El panorama regulatorio mexicano está evolucionando rápidamente. La LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares) es el pilar, pero no es la única regulación que importa. Aquí está lo que necesitas saber.
La LFPDPPP: Los Fundamentos
La LFPDPPP, publicada en 2010 y reformada en 2024, es la ley federal que protege datos personales. Aplica a cualquier empresa privada que recolecte, use, almacene o procese información personal sobre individuos.
¿Qué son datos personales?
Nombres, correos, teléfonos, direcciones, RFC, información financiera, datos biométricos, historial de compras. Básicamente, cualquier cosa que permita identificar a una persona.
¿Cuáles son tus obligaciones?
1. Aviso de Privacidad: Debes tener un documento claro que explique: - Qué datos recolectas - Para qué los usas - Cuánto tiempo los guardas - Cómo puedes compartirlos - Cómo ejerce el titular sus derechos ARCO
- Consentimiento: Para casi todos los datos, necesitas consentimiento explícito del titular. Existen algunas excepciones (datos para cumplimiento de ley, relación laboral).
3. Seguridad: Debes implementar medidas técnicas y administrativas apropiadas para proteger los datos. Esto incluye: - Control de acceso - Cifrado - Auditoría de acceso - Políticas de respaldos
4. Derechos ARCO: El titular tiene derecho a: - Acceso: Ver qué datos tienes sobre ellos - Rectificación: Corregir datos incorrectos - Cancelación: Que elimines sus datos (con algunas excepciones) - Oposición: Rechazar que uses sus datos para ciertos propósitos
5. Notificación de Brechas: Si sufres una violación de datos, debes notificar: - A los titulares (dentro de cierto plazo, dependiendo de la severidad) - Al INAI (Instituto Nacional de Transparencia, Acceso a Información y Protección de Datos Personales)
Multas: Violaciones pueden resultar en multas de 100 a 160 salarios mínimos mensuales por infracción, y hasta 4,000 salarios mínimos en casos graves.
NOM-151-SCFI-2016: Información Financiera
Si trabajas con información financiera, cuentas bancarias, o datos de tarjetas, NOM-151 aplica. Esta norma especifica requisitos de seguridad para instituciones financieras, pero muchas empresas que manejan pagos o información financiera deben cumplir.
Requisitos clave:
- Cifrado de datos en tránsito y reposo
- Autenticación multifactor para acceso a sistemas
- Auditoría completa de acceso a datos
- Incident response plan
RECI: Regulación Exterior de Ciberinteligencia
Aunque menos conocida, RECI establece pautas para compartir información en contextos de seguridad nacional y ciberseguridad. Si eres proveedor de tecnología o tienes datos sensibles, esto puede afectarte.
NOM-035-STPS: Factores de Riesgo Psicosocial
Si tienes empleados, esta norma requiere que protejas su salud mental y bienestar. Incluye requisitos como:
- Cultura de prevención de acoso
- Protección de datos del empleado
- Reportes sobre acoso o violencia
Algunos datos de empleados están protegidos bajo LFPDPPP, otros bajo leyes laborales específicas.
Leyes Sectoriales
Dependiendo de tu industria:
- Salud: Regulación especial bajo LSPC (Ley de Servicios de Protección de Crédito)
- E-commerce: Ley Federal de Protección al Consumidor
- Financiero: NOM-151 plus otros requerimientos del Banco de México
Cómo Cumplir en la Práctica
Paso 1: Mapeo de Datos Identifica exactamente: - Qué datos recolectas - Dónde los almacenas - Cuánto tiempo los guardas - Quién tiene acceso - Cómo se protegen
Paso 2: Aviso de Privacidad Crea un aviso claro que explique todo esto. Debe estar disponible en tu sitio, formularios, y cualquier punto donde recolectes datos.
Paso 3: Consentimiento Implementa mecanismos de consentimiento explícito: - Checkboxes pre-unchecked (no pre-checkeados) - Texto claro explicando qué consienten - Opción fácil de revocar consentimiento
Paso 4: Seguridad Implementa controles técnicos: - Control de acceso basado en roles - Cifrado (especialmente para datos sensibles) - Auditoría de quién accedió qué y cuándo - Backups regulares y probados - Plan de respuesta a incidentes
Paso 5: Respuesta a Incidentes Si sufres una brecha: - Detecta rápidamente - Contiene el daño - Notifica a titulares y reguladores según requiera la ley - Documenta todo
Automatización: Tu Aliada en Compliance
Aquí es donde muchas empresas fallan: intentan cumplir manualmente. Control de acceso manual, auditoría manual, notificación manual. Esto no escala.
Automatizar te permite: - Auditoría automática: Cada acceso se registra, automáticamente - Políticas automáticas: Si alguien intenta acceder a datos que no debería, se bloquea automáticamente - Retención automática: Los datos se eliminan automáticamente cuando llega su fecha de expiración - Cumplimiento documentado: Tienes pruebas de que cumples cada requisito
En Simiriki diseñamos procesos de compliance automáticos que: - Se integran con tus sistemas existentes - Documentan compliance automáticamente - Reducen riesgo de violación - Ahorran tiempo y dinero
La alternativa es contratar compliance officers, invertir en herramientas caras, y aún tener brechas de seguridad. Nosotros automatizamos para que cumplas con confianza.