La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) lleva más de 10 años vigente, pero la mayoría de las empresas mexicanas sigue sin cumplirla cabalmente. Las multas pueden superar los $20 millones de pesos.
¿A quiénes aplica la ley?
La LFPDPPP aplica a toda persona física o moral de carácter privado que trate datos personales. Esto incluye: tiendas físicas y en línea, despachos profesionales, clínicas y consultorios, empresas que tienen empleados, cualquier negocio que use bases de datos de clientes, prospectos o proveedores.
Obligaciones principales
Las obligaciones más importantes que la ley impone son:
- Aviso de privacidad: debe entregarse al momento de recabar los datos, antes o al mismo tiempo
- Consentimiento: para datos sensibles (salud, biométricos, financieros) se requiere consentimiento expreso y por escrito
- Responsable de datos: debe designarse internamente quién responde por el tratamiento
- Medidas de seguridad: técnicas, administrativas y físicas proporcionales al riesgo
- Derechos ARCO: los titulares pueden acceder, rectificar, cancelar u oponerse al tratamiento de sus datos
El aviso de privacidad: qué debe decir
El aviso de privacidad no es un texto genérico que se copia de internet. Debe especificar: quién es el responsable del tratamiento, qué datos se recaban, para qué finalidades (primarias y secundarias), si los datos se transfieren a terceros, cómo ejercer derechos ARCO y cómo modificar el aviso. Un aviso genérico puede ser tan grave como no tenerlo.
Sanciones en 2025
El INAI puede imponer multas de entre 100 y 320,000 veces el salario mínimo diario, dependiendo de la gravedad de la infracción. En 2024 se registraron sanciones históricas superiores a $20 millones de pesos a empresas del sector salud y telecomunicaciones. Ningún sector está exento.