⚠️ Léeme primero (importante)

No soy abogado y esto no es asesoría legal. Es un checklist práctico, basado en experiencia construyendo y publicando software, para que entiendas los riesgos más comunes al lanzar un SaaS y sepas qué preguntarle a un abogado y qué puedes resolver tú mismo en una tarde. Las plantillas son un punto de partida para personalizar y revisar, no un documento final para copiar y pegar a ciegas.

Cómo usar este documento:

1. Léelo completo una vez.
2. Llena el checklist final (al final del doc) marcando lo que ya tienes.
3. Ataca primero lo barato de arreglar (estructura de documentos), luego lo técnico (seguridad), luego lo fiscal.
4. Antes de cobrarle a tu primer cliente pago, ten mínimo: estructura definida + términos + privacidad + HTTPS + procesador de pago serio.

🧠 El modelo mental que casi nadie entiende

La ley no sigue tu pasaporte. Sigue a tu cliente.

No importa tanto si vives en EE.UU., Venezuela, República Dominicana o España. Lo que activa obligaciones legales es la combinación de cuatro cosas:

Ejemplos concretos:

• Vives en RD pero le cobras a usuarios de EE.UU. → entras en reglas de EE.UU. (FTC, impuestos estatales, etc.).
• Tu SaaS tiene un solo usuario europeo, o usas cookies/analytics que rastrean a europeos → puede aplicarte el GDPR, aunque tu empresa no esté registrada en la UE.
• Le vendes a clientes en Brasil → entra la LGPD. En California → CCPA/CPRA.

Por eso la base mínima es la misma vivas donde vivas. Aquí están los 5 cimientos.

🧱 Cimiento 1 — Estructura legal clara

Qué resuelve: define quién cobra, quién declara impuestos y quién responde si algo sale mal. Sin esto no tienes un negocio, tienes un riesgo personal.

Tus opciones (de menos a más formal)

Qué decidir y documentar

• [ ] Quién es el titular legal que cobra (tú o una empresa).
• [ ] Dónde declaras impuestos sobre esos ingresos (tu país de residencia fiscal).
• [ ] Si vendes global en USD: evalúa US LLC (registro remoto vía Firstbase, doola, Stripe Atlas) + EIN + cuenta Mercury/Wise.
• [ ] Si abres US LLC: anota en tu calendario el Form 5472 + 1120 pro forma anual (multa de hasta $25,000 por no presentarlo, aunque no debas impuestos).
• [ ] Separa cuenta bancaria del negocio de tu cuenta personal desde el día 1.

Regla práctica: puedes empezar como persona natural para validar, pero formaliza antes de tener ingresos recurrentes o datos sensibles de clientes.

📜 Cimiento 2 — Términos de uso (Terms of Service)

Qué resuelve: es el contrato entre tu SaaS y el usuario. Define las reglas del juego y limita tu responsabilidad. Sin términos, cada usuario molesto es una demanda esperando a pasar.

Qué debe incluir (checklist)

• [ ] Descripción del servicio y que puede cambiar/discontinuarse.
• [ ] Elegibilidad (edad mínima, uso comercial vs personal).
• [ ] Cuentas y responsabilidad del usuario sobre su contraseña.
• [ ] Pagos: precios, ciclo de cobro, renovación automática, impuestos.
• [ ] Cancelaciones y reembolsos: política clara (Stripe la exige).
• [ ] Uso aceptable: qué está prohibido (spam, abuso, ingeniería inversa, reventa).
• [ ] Suspensión/terminación de cuentas que violen las reglas.
• [ ] Propiedad intelectual: tu código es tuyo; el contenido del usuario es del usuario, pero le das licencia para operar el servicio.
• [ ] Limitación de responsabilidad y "el servicio se ofrece tal cual" (as-is).
• [ ] Indemnización: el usuario te cubre si su uso indebido te genera un reclamo.
• [ ] Ley aplicable y resolución de disputas (jurisdicción + arbitraje).
• [ ] Cómo se notifican cambios a los términos.

🧩 Plantilla esqueleto (personalízala)

TÉRMINOS DE SERVICIO — [NOMBRE DEL PRODUCTO]
Última actualización: [FECHA]

1. ACEPTACIÓN
Al crear una cuenta o usar [PRODUCTO] aceptas estos Términos. Si no estás de acuerdo, no uses el servicio.

2. DESCRIPCIÓN DEL SERVICIO
[PRODUCTO] es un software como servicio (SaaS) que [QUÉ HACE]. Podemos modificar, suspender o discontinuar funciones en cualquier momento.

3. CUENTAS
Eres responsable de la actividad de tu cuenta y de mantener tu contraseña segura. Debes tener al menos [18] años.

4. PAGOS Y RENOVACIÓN
Los planes se cobran de forma [mensual/anual] y se renuevan automáticamente hasta que canceles. Los precios pueden cambiar con aviso previo. Los impuestos aplicables corren segun tu jurisdicción.

5. CANCELACIONES Y REEMBOLSOS
Puedes cancelar cuando quieras desde tu panel. [Política de reembolso: ej. "Reembolsamos dentro de los primeros 14 días" o "No ofrecemos reembolsos por períodos ya facturados".]

6. USO ACEPTABLE
No puedes: usar el servicio para actividades ilegales, enviar spam, vulnerar la seguridad, hacer ingeniería inversa, ni revender el acceso sin autorización.

7. CONTENIDO DEL USUARIO
Conservas la propiedad del contenido que subes. Nos otorgas una licencia limitada para alojarlo y procesarlo con el único fin de operar el servicio.

8. PROPIEDAD INTELECTUAL
El software, marca y diseño de [PRODUCTO] son nuestra propiedad.

9. LIMITACIÓN DE RESPONSABILIDAD
El servicio se ofrece "tal cual" y "según disponibilidad". En la medida permitida por la ley, no somos responsables por daños indirectos o pérdida de datos/ganancias. Nuestra responsabilidad total se limita a lo que pagaste en los últimos [3-12] meses.

10. INDEMNIZACIÓN
Aceptas indemnizarnos por reclamos derivados de tu uso indebido del servicio.

11. TERMINACIÓN
Podemos suspender o cerrar cuentas que violen estos Términos.

12. LEY APLICABLE Y DISPUTAS
Estos Términos se rigen por las leyes de [JURISDICCIÓN]. [Cláusula de arbitraje — ver abajo.]

13. CAMBIOS
Podemos actualizar estos Términos; te avisaremos por [email/aviso en la app]. El uso continuado implica aceptación.

14. CONTACTO
[EMAIL DE CONTACTO]

🔒 Cláusula de arbitraje (opcional pero poderosa para EE.UU.)

Una cláusula de arbitraje puede evitar demandas colectivas. Su validez varía por país — revisa con un abogado antes de usarla:

RESOLUCIÓN DE DISPUTAS POR ARBITRAJE
Cualquier disputa relacionada con estos Términos se resolverá mediante arbitraje vinculante individual, y no en un tribunal ni mediante demanda colectiva, salvo donde la ley lo prohíba. Renuncias al derecho a participar en una acción de clase.

🔐 Cimiento 3 — Política de privacidad

Qué resuelve: es obligatoria por ley en la práctica si recoges cualquier dato (email, IP, cookies). La exigen el GDPR, CCPA, Stripe, Apple/Google y casi cualquier integración.

Qué debe explicar (checklist)

• [ ] Qué datos recoges: nombre, email, IP, mensajes, archivos, cookies, logs, datos de pago.
• [ ] Para qué los usas: dar el servicio, facturar, soporte, mejorar el producto.
• [ ] Base legal (GDPR): consentimiento, contrato, interés legítimo.
• [ ] Con quién los compartes: tus subprocesadores (Stripe, hosting, email, IA).
• [ ] Cuánto tiempo los guardas (retención).
• [ ] Derechos del usuario: acceso, corrección, borrado, portabilidad, oposición.
• [ ] Cómo ejercer esos derechos (un email o un botón).
• [ ] Cookies y tracking (enlaza a tu política de cookies si usas analytics).
• [ ] Transferencias internacionales de datos (si usas servidores en otro país).
• [ ] Datos de menores (normalmente prohibido recoger de <13/16 años).
• [ ] Cómo notificas brechas de seguridad.
• [ ] Contacto del responsable de datos.

🧩 Plantilla esqueleto (personalízala)

POLÍTICA DE PRIVACIDAD — [NOMBRE DEL PRODUCTO]
Última actualización: [FECHA]

1. QUIÉNES SOMOS
[NOMBRE LEGAL / EMPRESA], responsable del tratamiento de tus datos. Contacto: [EMAIL].

2. QUÉ DATOS RECOGEMOS
- Datos de cuenta: nombre, email, contraseña (cifrada).
- Datos de uso: dirección IP, navegador, logs, páginas visitadas.
- Contenido que subes: [archivos, mensajes, etc.].
- Datos de pago: procesados por [Stripe/PayPal]; nosotros NO almacenamos tu número de tarjeta.

3. PARA QUÉ LOS USAMOS
Para prestar y mantener el servicio, procesar pagos, dar soporte, cumplir obligaciones legales y mejorar el producto.

4. BASE LEGAL (si aplica GDPR)
Ejecución del contrato, tu consentimiento, y nuestro interés legítimo en operar y mejorar el servicio.

5. CON QUIÉN COMPARTIMOS
Usamos proveedores (subprocesadores) que tratan datos por nosotros: [Stripe, AWS/hosting, proveedor de email, proveedor de IA]. No vendemos tus datos.

6. TRANSFERENCIAS INTERNACIONALES
Tus datos pueden procesarse en [países]. Aplicamos salvaguardas adecuadas.

7. CUÁNTO TIEMPO LOS GUARDAMOS
Mientras tengas cuenta activa y el tiempo necesario para cumplir obligaciones legales.

8. TUS DERECHOS
Puedes solicitar acceso, corrección, borrado, portabilidad u oposición escribiendo a [EMAIL]. Responderemos en el plazo que exija la ley.

9. COOKIES
Usamos cookies para [autenticación / analytics]. Puedes gestionarlas desde el banner de cookies.

10. SEGURIDAD
Aplicamos medidas técnicas y organizativas para proteger tus datos (ver nuestra sección de seguridad).

11. MENORES
El servicio no está dirigido a menores de [13/16] años.

12. CAMBIOS
Podemos actualizar esta política; publicaremos la fecha de la última revisión.

13. CONTACTO
[EMAIL DEL RESPONSABLE DE DATOS]

DPA con tus subprocesadores (no lo olvides)

Cuando usas Stripe, tu hosting, tu email o un modelo de IA, les envías datos de tus clientes. El GDPR te exige un DPA (Data Processing Agreement) firmado con cada uno.

• [ ] La mayoría ya lo tienen listo — actívalo/fírmalo desde su panel (Stripe, AWS, OpenAI, etc.).
• [ ] Guarda una lista de todos tus subprocesadores y enlázala en tu privacidad.

🛡️ Cimiento 4 — Seguridad real

Qué resuelve: los papeles te protegen de la multa; la seguridad te protege de la filtración que dispara la multa. Copiar documentos legales de internet no protege ni un solo dato.

Checklist técnico mínimo

• [ ] HTTPS en todo (certificado SSL/TLS; redirige HTTP → HTTPS).
• [ ] Contraseñas cifradas con hashing fuerte (bcrypt, argon2) — nunca en texto plano.
• [ ] Variables de entorno para secretos (no API keys en el código ni en el repo).
• [ ] Backups automáticos y probados (que sepas restaurar, no solo respaldar).
• [ ] Permisos y roles (cada usuario ve solo lo suyo).
• [ ] Separación entre clientes (un cliente jamás accede a datos de otro — multi-tenant aislado).
• [ ] Validación de inputs (previene inyección SQL, XSS).
• [ ] Rate limiting y protección contra fuerza bruta en el login.
• [ ] Logs de auditoría (quién hizo qué y cuándo).
• [ ] Dependencias actualizadas (revisa vulnerabilidades conocidas).
• [ ] 2FA disponible para cuentas (al menos para admin).
• [ ] Principio de mínimo dato: no recojas lo que no necesitas.

Mini plan de respuesta a incidentes

Si hay una filtración, ten claro de antemano:

1. Contener: corta el acceso, rota credenciales.
2. Evaluar: qué datos, de cuántos usuarios.
3. Notificar: el GDPR exige avisar a la autoridad en 72 horas y a los afectados si hay riesgo alto.
4. Documentar: qué pasó y qué hiciste.
5. Corregir: cierra la causa raíz.

💳 Cimiento 5 — Pagos y marketing

Qué resuelve: evita el infierno de PCI y las multas por spam/consentimiento.

Pagos

• [ ] Usa Stripe, PayPal, Paddle o Lemon Squeezy — nunca toques ni almacenes números de tarjeta directamente (eso te quita PCI-DSS de encima).
• [ ] Activa Stripe Tax o usa un Merchant of Record (Paddle/Lemon Squeezy) si vendes global — ellos calculan y remiten el IVA/sales tax de cada país por ti.
• [ ] Ten una política de reembolsos visible (reduce chargebacks).
• [ ] Muestra precios claros, impuestos incluidos donde la ley lo exija.

Recordatorio del modelo mental: si le vendes a Alemania, legalmente debes el IVA alemán (19%) a Alemania. Vendes en 30 países = impuestos en 30 países. Un Merchant of Record te resuelve esto siendo el vendedor legal de récord.

Marketing y mensajería (email, WhatsApp, SMS)

• [ ] Consentimiento para entrar: la persona acepta recibir tus mensajes (opt-in).
• [ ] Botón para salir: enlace de baja real en cada email (CAN-SPAM / GDPR).
• [ ] Identifícate: remitente y dirección física/legal visibles.
• [ ] WhatsApp Business: cumple las políticas de Meta (opt-in, plantillas aprobadas, categorías permitidas) o te banean el número.
• [ ] No compres listas ni envíes frío masivo sin base legal.

🤖 Bonus — Si tu SaaS usa Inteligencia Artificial

• [ ] Divulga que usa IA (una frase en tu landing o privacidad). En EE.UU. la FTC trata como publicidad engañosa ocultar o exagerar capacidades de IA.
• [ ] Explica los límites: que las respuestas pueden contener errores y no sustituyen consejo profesional.
• [ ] No prometas lo que no puedes probar ("100% preciso", "reemplaza a tu abogado/médico").
• [ ] Datos y entrenamiento: aclara si usas los datos del cliente para entrenar (idealmente, no — o pide consentimiento explícito).
• [ ] Subprocesador de IA (OpenAI, Anthropic, etc.) listado en tu privacidad + su DPA firmado.

✅ Checklist final consolidado (imprime esto)

Cimiento 1 — Estructura

• [ ] Titular legal definido (quién cobra)
• [ ] Residencia fiscal / dónde declaras clara
• [ ] Cuenta bancaria del negocio separada
• [ ] (Si US LLC) recordatorio Form 5472 anual

Cimiento 2 — Términos de uso

• [ ] Publicados y enlazados en el footer + registro
• [ ] Pagos, reembolsos y cancelaciones definidos
• [ ] Limitación de responsabilidad incluida
• [ ] Ley aplicable / disputas definida

Cimiento 3 — Privacidad

• [ ] Política de privacidad publicada
• [ ] Derechos del usuario y cómo ejercerlos
• [ ] Lista de subprocesadores + DPAs firmados
• [ ] Banner de cookies (si usas analytics/tracking)

Cimiento 4 — Seguridad

• [ ] HTTPS en todo
• [ ] Contraseñas con hashing fuerte
• [ ] Backups probados
• [ ] Aislamiento entre clientes
• [ ] Plan de respuesta a incidentes

Cimiento 5 — Pagos y marketing

• [ ] Procesador serio (no tocas tarjetas)
• [ ] Impuestos: Stripe Tax o Merchant of Record
• [ ] Política de reembolsos visible
• [ ] Opt-in + opt-out en toda mensajería

Bonus IA

• [ ] Divulgación de IA + límites + sin promesas falsas

🧰 Herramientas útiles

📌 Recordatorio final

Publicar un SaaS legal no es subirlo a producción. Es tener una base legal, fiscal, de privacidad y de seguridad que aguante cuando empiecen a llegar usuarios reales. Empieza por lo barato de arreglar, no esperes a tener un problema para construir la base.

Este documento es educativo, no asesoría legal. Para tu caso específico (jurisdicción, tipo de datos, mercado), consulta con un abogado y un contador. Última revisión del material: jun 2026.