La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley de Datos Personales) regula cómo las empresas recogen, almacenan, usan y transfieren información identificable de clientes y empleados. Su cumplimiento no es opcional: las sanciones alcanzan los 32 millones de pesos por infracción grave. Ignorarla expone a multas, demandas colectivas y pérdida de confianza del consumidor.
¿Cuál es el alcance real de la Ley de Datos Personales en México?
La ley aplica a todos los particulares —empresas, asociaciones, profesionales independientes— que traten datos personales en México, incluso si operan desde el extranjero pero dirigen servicios al mercado nacional.
No cubre datos anónimos ni los tratados por autoridades públicas en ejercicio de sus funciones. Tampoco regula datos personales usados exclusivamente para fines personales o domésticos.
¿Quiénes son los actores clave bajo la ley?
El titular de los datos es la persona física cuya información se procesa. El responsable es quien decide los fines y medios del tratamiento (por ejemplo, una tienda en línea). El encargado es quien trata los datos por encargo del responsable (como un proveedor de hosting o CRM).
El INEGI y la Comisión Nacional de Protección de Datos Personales (INAI) supervisan el cumplimiento. Desde 2023, el INAI cuenta con facultades reforzadas para auditar, sancionar y exigir pruebas de cumplimiento técnico y organizativo.
¿Qué obligaciones impone la ley a las empresas mexicanas?
Toda empresa debe publicar un Aviso de Privacidad claro, accesible y actualizado. Debe especificar qué datos recoge, con qué finalidad, con quién los comparte y cómo ejercer los derechos ARCO (Acceder, Rectificar, Cancelar u Oponerse al tratamiento).
El consentimiento debe ser expreso, informado y revocable. No basta con una casilla preseleccionada o una cláusula genérica en términos de uso. Para datos sensibles —como origen étnico, salud, orientación sexual o creencias religiosas— se requiere consentimiento expreso y por escrito.
¿Qué medidas de seguridad son obligatorias?
Las empresas deben implementar medidas técnicas y organizativas proporcionales al riesgo. Esto incluye cifrado de bases de datos, controles de acceso, registros de auditoría, políticas de manejo de contraseñas y capacitación del personal. Desde 2024, el INAI exige documentar estas medidas en un Registro de Tratamiento de Datos, similar al Record of Processing Activities (ROPA) del GDPR.
¿Cuáles son las sanciones por incumplimiento?
Las multas varían según la gravedad: desde 100 hasta 32 millones de pesos. Las infracciones graves incluyen tratar datos sensibles sin consentimiento, no atender solicitudes ARCO en plazos legales (20 días hábiles) o sufrir una filtración por negligencia en la seguridad.
En 2025, el INAI inició 147 procedimientos sancionadores contra pymes —un 42 % más que en 2024—, principalmente por avisos de privacidad incompletos o falta de registro de tratamientos.
¿Cómo impacta la ley en la economía digital mexicana?
El cumplimiento genera costos iniciales, pero reduce riesgos financieros y reputacionales. Según el Banco de México, el 68 % de los consumidores evita comprar en sitios que no muestran un aviso de privacidad claro. Además, las empresas certificadas en Norma Mexicana NMX-I-001-NYCE-2022 obtienen ventajas en licitaciones públicas y alianzas con multinacionales.
¿Qué cambios legales recientes deben considerar los responsables de datos?
En marzo de 2025, entró en vigor la Modificación al Reglamento de la Ley, que exige notificación obligatoria de brechas de seguridad en menos de 72 horas al INAI —y a los titulares, si existe riesgo alto para sus derechos. También se fortalecieron los requisitos para transferencias internacionales de datos, alineándose parcialmente con estándares del GDPR.
Datos Clave
- La ley aplica a cualquier empresa que trate datos personales en México, sin importar su tamaño o sector.
- El Aviso de Privacidad debe ser claro, accesible y actualizado; su omisión es infracción grave.
- El consentimiento para datos sensibles requiere formato escrito y expreso, no implícito ni digital por defecto.
- Las multas van de 100 hasta 32 millones de pesos, según la gravedad y reiteración.
- Desde 2025, las brechas de datos deben notificarse al INAI en menos de 72 horas.
El marco legal evoluciona con la digitalización acelerada. Las empresas que integran la protección de datos como eje estratégico —no como trámite burocrático— ganan competitividad, confianza y acceso a mercados regulados. La inversión en cumplimiento ya no es un costo: es una ventaja diferenciadora comprobada.
