Conformidad LGPD/RGPD en México: ¿Qué Debo Conocer Como Dueño de PYME?
Entiende LFPDPPP, LGPD, RGPD para PyMEs. Derechos de datos, notificación de brechas y conformidad en operaciones internacionales.
# Conformidad LGPD/RGPD en México: ¿Qué Debo Conocer Como Dueño de PYME?
Una PYME mexicana de software exporta servicios a Brasil. Almacena datos de usuarios brasileños (nombres, correos, datos de uso). Hizo setup básico de privacy pero:
1. No entiende que LGPD (Ley General de Protección de Datos Personales de Brasil) aplica
2. No configura consentimiento explícito para recopilación de datos
3. No tiene política de retención (datos almacenados indefinidamente)
4. No puede procesar solicitudes de "derecho al olvido" automáticamente
Resultado: LGPD multa de ~$300,000 BRL (~$60,000 USD).
¿Cuál fue el error? Asumir que "LFPDPPP mexicana" es suficiente. No es. Si tienes clientes en Brasil, Canadá, EE.UU., o Europa, necesitas cumplir LGPD, LCCPA (Canadá), CCPA/CPRA (California), RGPD (Europa).
El Panorama Actual: Múltiples Regulaciones
México: LFPDPPP
- Aplica a empresas que manejan datos de residentes mexicanos
- Moderadamente exigente
- Multas: hasta $15,000 pesos
- Autoridad: INAI
Brasil: LGPD
- Muy similar a RGPD (basada en GDPR europeo)
- Altamente exigente
- Multas: hasta 2% del ingreso anual (máx ~$15M BRL)
- Autoridad: ANPD
Europa: RGPD
- El estándar global más estricto
- Extremadamente exigente
- Multas: hasta 20M EUR o 4% ingresos globales (lo que sea mayor)
- Autoridad: Reguladores por país
Estados Unidos: CCPA/CPRA (California), VCCPA (Virginia), etc.
- Fragmentado (cada estado tiene leyes)
- Creciente en exigencia
- CCPA: Multas hasta $7,500 por violación intencional
- Autoridad: Fiscal de cada estado
La Realidad: Si Operas Internacionalmente, Cumples el Más Estricto
Si tu PYME:
- Vende a Brasil → LGPD aplica
- Vende a Europa → RGPD aplica
- Vende a California → CCPA aplica
- Tiene empleados/clientes en múltiples países → El más estricto aplica
¿El más estricto? RGPD (Europa).
Muchas PYMES mexicanas cumplen LFPDPPP pero no RGPD, incluso si tienen un cliente en Europa. Riesgo innecesario.
Comparativa: LFPDPPP vs LGPD vs RGPD
| Aspecto | LFPDPPP (México) | LGPD (Brasil) | RGPD (Europa) |
|---|---|---|---|
| Consentimiento | Frecuente | Obligatorio explícito | Obligatorio explícito |
| Derecho al olvido | No específico | Sí (LGPD 45) | Sí (Art. 17) |
| Notificación de brechas | 15 días | 5 días (ANPD), inmediatamente (sujeto) | 72 horas |
| Evaluación de impacto (DPIA) | No requerida | Requerida para riesgo alto | Obligatoria (Art. 35) |
| DPO (Data Protection Officer) | No requerido | Requerido para procesamiento a escala | Obligatorio si procesamiento a escala |
| Transferencia internacional | Regulada | Muy regulada | Muy regulada (Schrems II) |
| Multas máximas | $15K MXN | ~2% ingresos anuales | €20M o 4% ingresos |
Conceptos Clave Explicados
1. Consentimiento Explícito
No es checkbox silencioso. Es:
- Afirmativo (opt-in, no opt-out)
- Específico (por propósito)
- Informado (entender qué se recopila y por qué)
- Documentado
Ejemplo INCORRECTO:
```html
<input type="checkbox" checked>
Acepto términos y condiciones
</input>
```
(Pre-checked = no es consentimiento válido)
Ejemplo CORRECTO:
```html
<input type="checkbox" unchecked>
Acepto recopilación de datos para:
[ ] Email de marketing
[ ] Análisis de uso del producto
[ ] Publicidad personalizada
</input>
```
2. Derecho al Olvido (Right to Erasure)
Cliente solicita: "Quiero que elimines todos mis datos personales."
Bajo RGPD/LGPD, debes poder hacerlo en 30 días. Automatizado. Sin excepciones (excepto obligaciones legales).
¿Tu sistema actual? Probablemente no pueda eliminar datos de cliente de:
- Base de datos principal
- Backup
- Logs
- Email marketing
- Analytics
- CRM
Solución: Arquitectura de datos con "data retention policies" automáticas.
3. Notificación de Brechas (Breach Notification)
Si hay exposición de datos:
| Regulación | Plazo | Destinatarios |
|---|---|---|
| LFPDPPP | 15 días | INAI + usuario |
| LGPD | 5 días (ANPD), inmediatamente (usuario) | ANPD + usuario |
| RGPD | 72 horas | Autoridad + usuario |
La más exigente = 72 horas. Si tienes clientes europeos, debes notificar en 72 horas incluso si solo mexicano.
4. Evaluación de Impacto de Privacidad (DPIA)
Documento que dice: "Aquí está cómo procesamos datos, qué riesgos hay, cómo los mitigamos."
RGPD lo requiere obligatoriamente. LGPD lo requiere para procesamiento de riesgo alto.
Tipos de procesamiento que requieren DPIA:
- Perfilamiento automático de clientes
- Análisis genético, biométrico, o de salud
- Monitoreo a escala de espacios públicos
- Procesamiento de datos de menores
- Transferencia internacional de datos
5. Data Protection Officer (DPO)
RGPD/LGPD requieren DPO (oficial de privacidad) si:
- Organismo público
- Procesamiento "a escala" (grandes volúmenes)
- Evaluaciones automáticas/profiling
Para PYMES típicas: No obligatorio, pero recomendable designar responsable de privacidad.
6. Transferencia Internacional de Datos
Esto es crítico para PYMES. Si:
- Eres mexicano, tienes cliente en Europa, almacenas datos en AWS (EE.UU.)
- Estás violando RGPD (transferencia no autorizada)
¿Solución? Usar data centers en EU, o implementar "Standard Contractual Clauses" (SCC) con proveedores.
Post-Schrems II (2020), las SCC requieren "supplementary safeguards" (protecciones adicionales como encriptación end-to-end).
Arquitectura de Cumplimiento Práctico
Para PYME Mexicana SIN clientes internacionales
Cumplir: LFPDPPP
Inversión: $8,000-$15,000 setup + $600/mes
```
1. Política de Privacidad
- Explica qué datos recopilas
- Por qué los recopilas
- Cómo los proteges
- Derechos del usuario
2. Consentimiento
- Formularios opt-in (no pre-checked)
- Específico por propósito (email, marketing, etc.)
- Fácil de revocar
3. Minimización de datos
- Solo recopilar lo necesario
- Eliminar después de cierto plazo
- Anonimizar cuando sea posible
4. Encriptación
- SSL/TLS en tránsito
- Encriptación de disco en reposo
- Acceso controlado a datos sensibles
5. Auditoría
- Logs de quién accede qué datos
- Notificación de cambios de políticas
- Prueba anual de resiliencia
```
Para PYME Mexicana CON clientes internacionales (Brasil, Europa, EE.UU.)
Cumplir: LFPDPPP + LGPD/RGPD (lo más estricto)
Inversión: $25,000-$50,000 setup + $2,000/mes
```
Incluye Nivel Básico, más:
1. Data Retention Automation
- Políticas automáticas (eliminar datos después de X meses)
- Derecho al olvido automatizado
- Sistema de "data expiration"
2. Evaluación de Impacto (DPIA)
- Documentar cómo procesas datos
- Identificar riesgos
- Implementar mitigaciones
3. Designar DPO (Data Protection Officer)
- Responsable de cumplimiento
- Punto de contacto para reguladores
- Auditorías regulares
4. Consentimiento Granular
- Separate consent per purpose
- Easy withdraw consent
- Documented proof of consent
5. Transferencia Internacional
- Standard Contractual Clauses (SCC)
- Supplementary safeguards (encriptación)
- Evaluación de riesgo
6. Incidente Response
- Procedimiento de 72 horas
- Plantilla de notificación
- Documentación de incidente
```
Checklist de Conformidad por Regulación
LFPDPPP (México)
- [ ] ¿Tienes Aviso de Privacidad actualizado?
- [ ] ¿Existe consentimiento documentado para recopilación de datos?
- [ ] ¿Puedes procesar solicitudes de acceso de usuarios?
- [ ] ¿Tienes política de notificación de brechas?
- [ ] ¿Se encriptan datos sensibles?
- [ ] ¿Existe auditoría de accesos?
LGPD (Si tienes clientes en Brasil)
Incluye todo LFPDPPP, más:
- [ ] ¿Consentimiento es explícito (opt-in)?
- [ ] ¿Puedes eliminar datos automáticamente (derecho al olvido)?
- [ ] ¿Tienes DPIA para procesamiento de riesgo?
- [ ] ¿Notificas brechas en 5 días?
- [ ] ¿Designaste DPO?
- [ ] ¿Documentaste transferencias internacionales (SCC)?
RGPD (Si tienes clientes en Europa)
Incluye todo LGPD, más:
- [ ] ¿Consentimiento es específico por propósito?
- [ ] ¿Implementaste "Privacy by Design"?
- [ ] ¿Notificas brechas en 72 horas?
- [ ] ¿Tienes Data Processing Agreement (DPA) con terceros?
- [ ] ¿Encriptación end-to-end para datos de "special category"?
- [ ] ¿Evaluación periódica por tercero externo?
Caso Real: PYME Tech Mexicana Internacionalizada
Startup mexicana (20 empleados) desarrolla SaaS de gestión de proyectos. Tenía clientes en:
- México: 30%
- Brasil: 35%
- Europa: 25%
- EE.UU.: 10%
Cumplía LFPDPPP pero no LGPD/RGPD. En 2024:
LGPD Multa (Brasil): ~150,000 BRL (~$30,000 USD) por consentimiento no explícito
RGPD Multa (Europa): €80,000 por notificación tardía de brecha (3 días en lugar de 72 horas)
Costo de remediación: $120,000
Costo de cumplimiento proactivo: $35,000 setup + $1,500/mes
Próximos Pasos
Si tu PYME:
1. Opera en México → LFPDPPP
2. Opera en múltiples países → El más estricto aplica (probablemente RGPD)
3. No sabes dónde estás → Diagnóstico urgente
En Simiriki, ayudamos a 40+ PYMES mexicanas a entender y cumplir LFPDPPP, LGPD, RGPD simultáneamente. Especialmente para startups que escalan internacionalmente.
[Accede a tu Diagnóstico Gratuito de Conformidad →](/diagnostic)
O si tienes clientes internacionales y buscas auditoría completa:
[Programa tu Auditoría de Cumplimiento LGPD/RGPD →](/audit)
---
Recursos Adicionales
- INAI (México): inai.org.mx
- ANPD (Brasil): www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd
- EDPB (Europa): edpb.europa.eu
- Plantillas DPIA: iso.org/standard/74175.html
Simiriki: Infraestructura de Ciberseguridad y Cumplimiento Normativo para PyMEs Internacionalizadas
¿Tu empresa está protegida?
Diagnóstico gratuito de madurez digital en 5 minutos. Identifica riesgos antes de que se conviertan en incidentes.