Protección de datos personales en México: obligaciones vigentes para empresas bajo la LFPDPPP

El régimen mexicano de protección de datos personales del sector privado se rige desde el 21 de marzo de 2025 por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y reformada el 14 de noviembre de 2025. La ley abroga la ley homónima de 2010 y transfiere las atribuciones de supervisión y sanción al organismo que hoy ejerce la autoridad en la materia: la Secretaría Anticorrupción y Buen Gobierno (en adelante, la Secretaría), tras la disolución del INAI.

Para cualquier empresa que trate datos personales de personas físicas en México —con independencia de su tamaño, sector o modelo de negocio— el cumplimiento de esta ley no es optativo. Las siguientes secciones describen las obligaciones de mayor impacto práctico.

Quiénes están obligados

La LFPDPPP aplica a personas físicas y morales de carácter privado que lleven a cabo el tratamiento de datos personales (Art. 2, fracc. XVI). El tratamiento comprende cualquier operación sobre datos personales: obtención, uso, registro, organización, conservación, comunicación, difusión, almacenamiento, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición (Art. 2, fracc. XIX).

Quedan fuera del ámbito de la ley las sociedades de información crediticia en los supuestos de su ley especial y las personas que traten datos exclusivamente para uso personal sin fines de divulgación o utilización comercial (Art. 1).

La distinción entre responsable y persona encargada es estructural. El responsable decide sobre el tratamiento; la persona encargada trata datos por cuenta del responsable (Art. 2, fraccs. XIV y XII). Esta distinción determina el régimen contractual aplicable y la distribución de responsabilidades ante la Secretaría.

Principios que rigen el tratamiento

El artículo 5 establece ocho principios de observancia obligatoria: licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad. Su cumplimiento no se agota con la redacción de un aviso de privacidad: exige que los procesos internos de la empresa sean coherentes con las finalidades declaradas y que los datos se traten únicamente en la medida necesaria para dichas finalidades (Art. 12).

El principio de responsabilidad —conocido internacionalmente como accountability— implica que el responsable debe estar en condiciones de demostrar el cumplimiento ante la Secretaría, no solo declararlo.

El aviso de privacidad

El aviso de privacidad es el mecanismo central de información al titular. Debe ponerse a disposición desde el momento en que se recaban los datos y contener, como mínimo (Art. 15): la identidad y domicilio del responsable; los datos que se tratarán, identificando los sensibles; las finalidades, distinguiendo las que requieren consentimiento; los medios para limitar el uso o divulgación; los mecanismos para ejercer los derechos ARCO; y el procedimiento para notificar cambios al aviso.

Los datos personales sensibles —aquellos que revelan origen racial o étnico, estado de salud, información genética, creencias religiosas o filosóficas, opiniones políticas o preferencia sexual— merecen un tratamiento diferenciado y requieren consentimiento expreso (Art. 2, fracc. VI).

Derechos ARCO y plazos de respuesta

Toda persona titular puede ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) ante el responsable en cualquier momento (Art. 21). El ejercicio de uno no condiciona ni impide el de los demás.

El responsable tiene un plazo máximo de veinte días hábiles para comunicar la determinación adoptada, contados desde la recepción de la solicitud. Si resulta procedente, debe hacerse efectiva dentro de los quince días hábiles siguientes (Art. 31). Ambos plazos pueden ampliarse una sola vez por un período igual, cuando las circunstancias del caso lo justifiquen. El ejercicio de los derechos ARCO es gratuito (Art. 34).

Cuando el responsable niega una solicitud, debe informar el motivo y comunicarlo por el mismo medio en que se formuló la solicitud, con las pruebas pertinentes (Art. 33).

Relación responsable-encargado

Cuando el responsable contrata a un tercero para que trate datos personales por su cuenta, la relación debe formalizarse mediante contrato. El artículo 20 establece la obligación de que todas las personas que intervengan en el tratamiento guarden confidencialidad respecto de los datos, obligación que subsiste aun después de terminada la relación contractual.

El contrato de encargado del tratamiento es un documento de cumplimiento obligatorio —no una formalidad opcional— y debe reflejar el alcance del tratamiento, las instrucciones del responsable, las medidas de seguridad aplicables y las condiciones de devolución o destrucción de los datos al término del encargo.

Medidas de seguridad y notificación de brechas

La ley exige adoptar medidas de seguridad administrativas, técnicas y físicas que protejan los datos frente a daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizados. Las medidas deben ser adecuadas al tipo de datos tratados y a los riesgos identificados.

Nota: El Reglamento de la LFPDPPP 2025 no ha sido publicado en el DOF a la fecha de este artículo. Los plazos y procedimientos específicos de notificación de brechas de seguridad a la Secretaría serán desarrollados reglamentariamente. En tanto no se publique, aplican supletoriamente las disposiciones de la Ley Federal de Procedimiento Administrativo (Art. 4 LFPDPPP).

Procedimiento sancionatorio y sanciones

La Secretaría puede iniciar el procedimiento de imposición de sanciones cuando, en el curso de un procedimiento de protección de derechos o de verificación, detecte un presunto incumplimiento (Art. 56). El presunto infractor tiene quince días para rendir pruebas y manifestar lo que a su derecho convenga; concluido el desahogo, cinco días adicionales para presentar alegatos (Art. 57).

Las infracciones a la ley están tipificadas en el artículo 58 e incluyen, entre otras: incumplir solicitudes ARCO sin razón fundada, actuar con negligencia o dolo en su sustanciación, tratar datos en contravención a los principios de la ley, y omitir el aviso de privacidad.

Intersección con otros marcos normativos

Las empresas del sector de telecomunicaciones que operan bajo la LMTR están doblemente reguladas: por la LFPDPPP en su condición de responsables del tratamiento de datos de sus suscriptores, y por las obligaciones sectoriales de la CRT en materia de protección de los datos de usuarios. Ambos regímenes son independientes y sus incumplimientos generan exposición sancionatoria ante autoridades distintas.

Para las empresas con operaciones en España o que transfieren datos a la Unión Europea, el Reglamento General de Protección de Datos (RGPD) se aplica de forma paralela. La existencia de dos regímenes no implica que el cumplimiento de uno libere de las obligaciones del otro; requiere una estrategia de cumplimiento que los integre.

Los operadores de telecomunicaciones están sujetos simultáneamente a la LFPDPPP y a las obligaciones sectoriales de la CRT. Para entender el marco regulatorio completo, consulte nuestro análisis del régimen de telecomunicaciones en México bajo la LMTR y nuestra práctica de Telecomunicaciones & Regulatorio.

---

¿Su empresa necesita revisar su programa de protección de datos personales, actualizar contratos de encargado del tratamiento o preparar su respuesta ante un procedimiento de la Secretaría?

En AE Abogados asesoramos en cumplimiento de la LFPDPPP y el RGPD con práctica activa en México y España. Contáctenos.