Privacidad y protección de datos personales en México como activo estratégico de negocio

Toda empresa que opera en México y utiliza un proveedor de software o servicios en la nube con servidores fuera del país está realizando una transferencia internacional de datos personales, lo sepa o no.

Cuando una empresa mexicana contrata Salesforce, Google Workspace, AWS, SAP o cualquier plataforma SaaS con infraestructura fuera de México, y en esa plataforma se almacenan o procesan datos de clientes, empleados o proveedores mexicanos, se activa el régimen de transferencias internacionales de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el DOF el 20 de marzo de 2025.

Qué es una transferencia y qué no lo es

El artículo 2, fracción XX LFPDPPP define transferencia como “toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.” La clave está en los últimos términos: si el proveedor de nube actúa como persona encargada del tratamiento bajo instrucciones del responsable, la relación no es una transferencia en sentido estricto — es una relación responsable-encargado que se rige por los artículos 36 a 40 LFPDPPP y exige un contrato específico.

Esta distinción es relevante porque el régimen aplicable es diferente: las transferencias requieren análisis de base jurídica y, en muchos casos, consentimiento del titular; la relación con el encargado requiere un contrato que delimite el tratamiento autorizado.

Cuándo no se necesita consentimiento para transferir

El artículo 37 LFPDPPP lista los supuestos en que las transferencias nacionales o internacionales pueden realizarse sin el consentimiento del titular. Los más relevantes para empresas privadas son: cuando la transferencia esté prevista en una ley o tratado en que México sea parte; cuando sea necesaria por virtud de un contrato celebrado en interés del titular; cuando se trate de transferencias entre empresas del mismo grupo bajo procesos y políticas internas comunes; o cuando sea necesaria para el cumplimiento de una relación jurídica entre el titular y el responsable.

En la práctica, la mayoría de las transferencias a proveedores SaaS empresariales pueden encuadrarse en alguno de estos supuestos — pero solo si el responsable ha documentado correctamente la base jurídica y ha suscrito los instrumentos contractuales adecuados.

El contrato con el encargado del tratamiento

Para los proveedores que actúan como encargados, los artículos 36 a 40 LFPDPPP establecen la estructura mínima del contrato. Las cláusulas no negociables incluyen: finalidad del tratamiento estrictamente limitada a las instrucciones del responsable; obligación de confidencialidad que subsiste después de terminada la relación (artículo 20 LFPDPPP); obligación de notificar de forma inmediata cualquier vulneración de seguridad al responsable para que este pueda cumplir su obligación frente a los titulares conforme al artículo 19 LFPDPPP; prohibición de subcontratación sin consentimiento previo del responsable; y obligación de eliminar o devolver los datos al concluir el contrato.

Muchos contratos estándar de proveedores internacionales — incluyendo los DPA de Google, AWS o Microsoft — satisfacen parte de estos requisitos, pero no todos son conformes con el marco específico de la LFPDPPP 2025. La evaluación de conformidad es una tarea jurídica que no puede sustituirse por la aceptación acrítica de los términos estándar del proveedor.

El papel de la SABG

La Secretaría Anticorrupción y Buen Gobierno (SABG) — definida en el artículo 2, fracción XV LFPDPPP como “la Secretaría” — es la autoridad competente en materia de protección de datos personales desde la entrada en vigor de la ley, en sustitución del extinto INAI. La SABG tiene facultades de verificación, imposición de sanciones e investigación. Un contrato de encargado que no cumpla con los requisitos de la LFPDPPP puede ser base suficiente para un procedimiento de verificación iniciado de oficio.

El vector de riesgo más frecuente en 2025

La práctica muestra que el vector de riesgo más común no es la transferencia deliberada sino la accidental: un empleado que sube una base de datos de clientes a una herramienta de productividad en la nube sin que la empresa haya evaluado si ese proveedor puede actuar como encargado del tratamiento bajo la LFPDPPP. La ausencia de un catálogo de proveedores con tratamiento de datos personales, actualizado conforme al artículo 18 LFPDPPP, es hoy el incumplimiento más extendido entre empresas mexicanas de tamaño medio.

La transferencia internacional como activo de negocio

Una empresa que ha estructurado correctamente sus transferencias internacionales y sus contratos de encargado no solo cumple la ley — tiene un activo de due diligence. En procesos de M&A, financiamiento con inversión institucional o auditorías de clientes corporativos, la capacidad de demostrar que los flujos de datos personales están mapeados y documentados es un diferenciador que reduce la incertidumbre del comprador o del inversor y acelera el cierre.

AE Abogados asesora a empresas privadas en la estructuración de contratos de encargado del tratamiento, la evaluación de conformidad de DPAs internacionales y el diseño de marcos de cumplimiento LFPDPPP para operaciones con proveedores de nube.