LFPDPPP en México 2026: 8 Obligaciones que Todo Dueño Debe Cumplir

LFPDPPP: No es opcional, y el desconocimiento no es defensa legal

Imagina que recibiste una carta. La envía la IFAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Dice algo como: "Hemos detectado que tu empresa manejaba datos de clientes sin consentimiento. Multa: $2 millones de pesos."

Tu primer pensamiento: "¿Cómo no sabía que eso era ilegal?"

Bienvenido a la realidad de muchos dueños de PYME en México. La LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares) existe desde 2010, fue reformada en 2018, y sigue siendo una sorpresa desagradable para negocios que creían que estaban operando legalmente.

¿Qué es exactamente LFPDPPP?

Es una ley mexicana que dice, esencialmente: Si tu empresa recopila, almacena, o usa datos personales de cualquier persona, tienes la responsabilidad legal de proteger esos datos.

"Datos personales" significa casi cualquier cosa que identifique a alguien:

• Nombre completo
• Email
• Número de teléfono
• Dirección
• RFC o CURP
• Información bancaria
• Historial médico
• Edad
• Información biométrica (incluso fotos)
• Cookies que rastrean comportamiento online

Si tu empresa tiene una lista de clientes en Excel en una computadora compartida, estás bajo LFPDPPP.

Las tres obligaciones clave (lo que puedes controlar)

1. Consentimiento informado

Lo que dice la ley: No puedes recopilar datos de alguien sin su consentimiento explícito.

Lo que la mayoría de PYMEs hace: Nada. Compran listas de contactos de proveedores, usan redes sociales para extraer información de clientes potenciales, o heredan bases de datos de dueños anteriores sin actualizar consentimientos.

Lo que necesitas hacer:

• Antes de recopilar cualquier dato, avisa a la persona qué datos recopilabas y para qué
• Obtén su consentimiento explícito (un checkbox, un firma, un email confirmando)
• Mantén un registro de ese consentimiento

Ejemplo práctico: Cuando alguien se suscribe a tu newsletter, tu formulario debe decir algo como: "Recopilaremos tu nombre y email para enviarte contenido sobre ciberseguridad cada semana. Puedes desuscribirte en cualquier momento." Entonces tiene que hacer clic en "Acepto" antes de poder enviar el formulario.

2. Deber de confidencialidad y seguridad

Lo que dice la ley: Una vez que tienes datos personales, tienes la obligación legal de protegerlos contra acceso no autorizado, pérdida o robo.

Lo que la mayoría de PYMEs hace: Almacenan datos en computadoras sin actualizar (sin antivirus), compartidas entre múltiples empleados, sin contraseñas fuertes, en folders de Google Drive sin control de acceso.

Lo que necesitas hacer:

• Almacena datos personales en sistemas seguros (criptografía, contraseñas fuertes)
• Limita el acceso: solo los empleados que necesitan esos datos deben tenerlos
• Mantén antivirus y software actualizado
• Usa VPN si accedes a datos desde redes públicas
• Si usas un proveedor de servicios (un contador, una agencia de marketing), asegúrate de que también cumple con LFPDPPP

Costo aproximado: Un sistema de gestión de contraseñas ($20-50 USD/mes), un buen antivirus ($10-20 USD/mes), capacitación de empleados (una vez). Total: menos de $100 USD mensuales.

3. Derecho del sujeto a conocer, acceder y rectificar

Lo que dice la ley: Si alguien te pide "¿Qué datos tienes de mí?", tienes la obligación legal de decirle en 20 días hábiles.

Lo que la mayoría de PYMEs hace: No tiene idea de dónde están todos sus datos, o no responde a tiempo.

Lo que necesitas hacer:

• Crea un proceso para cuando alguien pida sus datos: "Quiero saber qué información tienes de mí"
• Responde en 20 días hábiles o menos
• Sé exhaustivo: cuéntale cada dato que tienes, cómo lo obtuviste, cómo lo usas
• Si alguien pide que corrijas un dato erróneo (ej: tienes su email mal), corrígelo

Costo: El tiempo de un empleado para compilar la información. Una vez por mes, probablemente menos.

Las excepciones (dónde SÍ puedes ignorar la LFPDPPP)

Hay casos donde la ley NO se aplica:

• Datos públicos: Si alguien publica su dirección en una red social pública, técnicamente es "público". Pero sigue siendo prudente pedirle permiso de todos modos.
• Datos con fines académicos: Investigación científica está exenta
• Seguridad pública: Si la policía necesita datos para una investigación criminal

Pero NO son excepciones:

• "Lo necesito para mi negocio" (sí necesitas consentimiento)
• "Nadie se va a enterar" (no es excusa legal)
• "Mis competidores también lo hacen" (no te hace legal)

Las sanciones (lo que te asusta si no cumples)

La IFAI puede multar desde $2,600 hasta $2.5 millones de pesos.

Pero eso no es lo peor. Si una brecha de datos tuya afecta a muchas personas, podrías enfrentar:

• Demandas civiles de clientes afectados
• Pérdida de reputación (un artículo "Empresa X robó datos de 50,000 clientes" te destruye)
• Requisas de reguladores

La buena noticia: El cumplimiento básico cuesta poco y toma poco tiempo. Es principalmente sentido común.

Cómo empezar hoy

Semana 1:

1. Enlista todos los datos personales que tu empresa recopila y dónde los almacena

2. Verifica que tengas consentimiento documentado de la mayoría

Semana 2:

1. Implementa contraseñas fuertes y un gestor de contraseñas

2. Revisa los permisos de acceso a folders de Google Drive / OneDrive (¿realmente todos necesitan acceso a todo?)

3. Asegúrate de que tu antivirus está actualizado

Semana 3:

1. Crea un proceso de respuesta para cuando alguien pida sus datos

2. Capacita brevemente a tu equipo sobre qué es y no es LFPDPPP

Semana 4:

1. Revisa tu política de privacidad en el sitio web (¿existe?)

2. Asegúrate de que los formularios web tienen claras las cláusulas de consentimiento

Costo total: $0-500 USD

El mito de "somos muy pequeños"

Una PYME con 50 empleados que maneja datos de 2,000 clientes está completamente bajo LFPDPPP. El tamaño de tu negocio no te exime. De hecho, la mayoría de multas que hemos visto han sido contra negocios pequeños y medianos que no esperaban que alguien se quejaría con la IFAI.

El siguiente paso

LFPDPPP puede parecer aterrador, pero es principalmente sentido común: si obtienes datos personales, pide permiso y protégelos.

En Simiriki, ofrecemos auditorías de cumplimiento de LFPDPPP donde revisamos tus prácticas actuales, identificamos brechas de cumplimiento, y creamos un plan de acción. Es menos costoso que una multa y mucho mejor para tu reputación.

¿Quieres dormir tranquilo sabiendo que tu empresa cumple? [Agenda tu auditoría de cumplimiento hoy](/diagnostic).

Para empresas que requieren cumplimiento regulatorio avanzado y gestión continua, conoce nuestro [plan Enterprise](/enterprise).