La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley de Datos Personales) regula cómo las empresas recogen, almacenan, usan y comparten información personal en México. Entró en vigor en 2010 y se actualizó en 2023 para alinearse con estándares internacionales. Aplica a todas las organizaciones que procesan datos de personas físicas en territorio nacional. El incumplimiento puede generar multas de hasta 32 millones de pesos y daño reputacional irreversible.
¿Qué obligaciones impone la Ley de Datos Personales a las empresas?
Toda organización debe nombrar un encargado de protección de datos, implementar un aviso de privacidad claro y accesible, y obtener el consentimiento informado antes de recopilar datos sensibles. Además, debe garantizar la seguridad física y lógica de la información mediante medidas técnicas como cifrado, controles de acceso y auditorías periódicas.
¿Qué datos están protegidos por la ley?
La ley protege datos personales (nombre, correo, teléfono), datos sensibles (origen étnico, salud, orientación sexual, creencias religiosas) y datos de menores. Estos últimos requieren autorización expresa de los tutores legales. No se consideran datos personales los que ya están en dominio público o los anónimos, siempre que no puedan ser reidentificados.
¿Cuáles son las sanciones por incumplimiento?
La Autoridad Nacional de Protección de Datos Personales, integrada en la Profeco, puede imponer multas desde 100 hasta 32 millones de pesos, según la gravedad y reiteración de la infracción. En 2025, el 68 % de las sanciones aplicadas fueron por falta de aviso de privacidad válido o por procesamiento sin consentimiento. También se prevé la suspensión temporal de actividades de tratamiento de datos.
¿Cómo impacta la ley en la economía digital mexicana?
El cumplimiento de la ley impulsa la confianza del consumidor: el 73 % de los usuarios mexicanos prefieren comprar en sitios que muestran un aviso de privacidad completo y actualizado. Empresas con políticas robustas reportan un 22 % más de retención de clientes. Sin embargo, el 41 % de las pymes aún no cuentan con un programa formal de cumplimiento, lo que representa un riesgo operativo y financiero creciente.
¿Qué cambios trajo la reforma de 2023?
La reforma fortaleció los derechos ARCO (Acceder, Rectificar, Cancelar, Oponerse) y exigió la notificación obligatoria de brechas de seguridad en menos de 72 horas. También incorporó el principio de responsabilidad proactiva, obligando a las empresas a demostrar que cumplen con la ley mediante registros de actividades de tratamiento y evaluaciones de impacto.
¿Qué debe hacer tu empresa hoy mismo?
- Revisar y actualizar su aviso de privacidad, asegurando que sea claro, accesible y esté disponible en todos los puntos de contacto.
- Capacitar al personal en manejo de datos personales, con énfasis en prevención de filtraciones.
- Implementar un registro de actividades de tratamiento conforme al formato oficial de la Profeco.
- Realizar al menos una auditoría interna anual de cumplimiento y documentar las acciones correctivas.
Datos Clave
- La ley aplica a todas las empresas que procesan datos de personas físicas en México, sin importar su tamaño o sector.
- El consentimiento debe ser libre, específico, informado y revocable en cualquier momento.
- Las brechas de seguridad deben notificarse a la Profeco y a los afectados en menos de 72 horas.
- El encargado de protección de datos puede ser interno o externo, pero debe tener formación certificada en privacidad.
- Desde 2024, las multas se calculan considerando el volumen de datos afectados, la intencionalidad y el historial de cumplimiento.
El marco legal evoluciona rápidamente. En 2025, la Profeco lanzó un programa de acompañamiento gratuito para pymes, con más de 12.000 inscritas. Al mismo tiempo, el Tribunal Federal de Justicia Administrativa ha incrementado un 40 % las resoluciones sobre recursos de revisión en materia de privacidad. Esto refleja una mayor exigencia regulatoria y una mayor conciencia ciudadana. El cumplimiento ya no es opcional: es una condición para operar con legitimidad en el mercado mexicano.
