¿Aplica el GDPR si no estoy en la EU?

Sí. El GDPR aplica según de quién sean los datos que procesas. Si tienes usuarios de la EU o UK, estás dentro del alcance sin importar dónde te encuentres tú o tus servidores.

¿Cuál es el fallo de GDPR más común en apps vibe-coded?

Datos personales expuestos. Una base de datos abierta o una clave filtrada que revela la información personal de los usuarios es a la vez una brecha de seguridad y una violación del GDPR. Asegurar el acceso a los datos es el primer paso de cumplimiento.

GDPR para apps creadas con IA y vibe-coded

Si tu app procesa datos personales de personas en la EU/UK, aplica el GDPR sin importar dónde estés ni que la hayas creado con una herramienta de IA. En la práctica significa: tener una base legal para recopilar datos, recopilar solo lo necesario, protegerlos adecuadamente, permitir que los usuarios accedan a sus datos y los eliminen, y no filtrarlos. Para las apps vibe-coded, el mayor riesgo de GDPR es el mismo que el mayor riesgo de seguridad: una base de datos expuesta que filtra datos personales.

Aplica si: Manejas datos personales de individuos de la EU/UK
Deberes principales: Base legal, minimización de datos, seguridad, derechos del usuario
Mayor riesgo: Datos personales expuestos por base de datos/claves abiertas
Regla de brechas: Notificar dentro de las 72 hours de tener conocimiento

¿Aplica el GDPR a tu app?

Si recopilas nombres, correos, direcciones IP o cualquier dato que pueda identificar a una persona en la EU o UK, sí, incluso como fundador en solitario fuera de Europa. El GDPR sigue al titular de los datos, no a tu ubicación. La mayoría de las apps con usuarios de la EU están dentro del alcance.

La seguridad es un requisito del GDPR, no solo una buena práctica

El GDPR exige "medidas técnicas apropiadas" para proteger los datos personales. Una app que deja su base de datos legible públicamente o envía secretos en el cliente está, por definición, incumpliendo ese requisito, y una filtración de datos personales es una brecha notificable (dentro de las 72 hours). Asegurar RLS, secretos y autorización no es solo higiene de seguridad; es cumplimiento.

Derechos del usuario: acceso y eliminación

Los usuarios pueden pedir ver sus datos y que se eliminen. Tu app necesita una forma real de honrar eso, lo cual es difícil si los datos están dispersos o no estás seguro de qué almacenas. Diseña desde el principio para el acceso y la eliminación de datos, y mantén un registro de qué datos personales conservas y por qué.

Obtén la autorización antes de lanzar.

Únete a la lista de acceso anticipado. Daremos prioridad a fundadores con una app ya desplegada y una fecha de lanzamiento en el calendario.

Preguntas

¿Aplica el GDPR si no estoy en la EU?: Sí. El GDPR aplica según de quién sean los datos que procesas. Si tienes usuarios de la EU o UK, estás dentro del alcance sin importar dónde te encuentres tú o tus servidores.
¿Cuál es el fallo de GDPR más común en apps vibe-coded?: Datos personales expuestos. Una base de datos abierta o una clave filtrada que revela la información personal de los usuarios es a la vez una brecha de seguridad y una violación del GDPR. Asegurar el acceso a los datos es el primer paso de cumplimiento.