La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley de Datos Personales) regula cómo las empresas recogen, almacenan, usan y comparten información personal en México. Aplica a todas las organizaciones que procesan datos de ciudadanos mexicanos, sin importar su ubicación física. El incumplimiento puede generar multas de hasta 32 millones de pesos y daños reputacionales graves.
¿Qué obligaciones impone la Ley de Datos Personales a las empresas?
Las empresas deben nombrar un encargado de protección de datos, implementar un aviso de privacidad claro y actualizado, y obtener el consentimiento informado antes de procesar datos sensibles. También deben garantizar la seguridad física y lógica de los sistemas que almacenan información personal.
¿Qué datos considera la ley como sensibles?
La ley clasifica como datos personales sensibles aquellos que revelan origen étnico o racial, preferencias sexuales, creencias religiosas, opiniones políticas, salud, vida sexual o información genética. Su tratamiento exige consentimiento expreso y medidas adicionales de seguridad.
¿Qué derechos tienen los titulares de los datos?
Los ciudadanos pueden ejercer los derechos ARCO: Acceder, Rectificar, Cancelar y Oponerse al uso de sus datos. Las empresas deben responder a estas solicitudes en un plazo máximo de 20 días hábiles. Además, deben notificar a la Agencia de Protección de Datos (INAI) en caso de brechas de seguridad que afecten la integridad de los datos.
¿Cuál es el impacto económico real del cumplimiento?
El cumplimiento no es solo un costo: es una ventaja competitiva. Empresas certificadas en norma NMX-I-001-NYCE-2017 reportan un 23 % menos de incidentes de fuga de datos y un 17 % más de confianza del cliente, según el INAI 2025. Por otro lado, las multas por incumplimiento promediaron 8.4 millones de pesos en 2025, con un aumento del 41 % interanual. El sector financiero y el de salud concentran el 68 % de las sanciones.
¿Qué marco legal complementa la Ley de Datos Personales?
La ley opera junto con la Constitución Política de los Estados Unidos Mexicanos, artículo 16, y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, que rige a entidades gubernamentales. Además, el Reglamento de la Ley y las Directrices del INAI establecen criterios técnicos para auditorías, evaluaciones de impacto y registros de actividades de tratamiento.
¿Qué cambios recientes ha introducido el INAI?
En marzo de 2026, el INAI actualizó sus lineamientos sobre transferencias internacionales de datos, exigiendo cláusulas contractuales específicas y evaluaciones de riesgo para envíos a países sin nivel adecuado de protección. También lanzó un registro obligatorio de encargados para empresas con más de 200 empleados o que procesen datos de más de 50,000 personas.
Datos Clave
- La ley aplica a cualquier persona moral o física que trate datos personales en México, incluso si está radicada en el extranjero.
- El aviso de privacidad debe estar disponible de forma permanente y accesible, en español y en lenguaje claro.
- Las empresas deben llevar un registro de actividades de tratamiento desde 2025, con descripción de finalidades, categorías de datos y destinatarios.
- El INAI puede realizar inspecciones sin previo aviso y exigir pruebas documentales de cumplimiento técnico y organizativo.
- El consentimiento tácito no es válido para datos sensibles: se requiere consentimiento expreso, por escrito o electrónico.
El contexto actual muestra una aceleración regulatoria: 72 % de las empresas mexicanas aún no cuentan con un programa formal de cumplimiento de privacidad, según el Índice Nacional de Madurez en Protección de Datos 2026. Esto eleva su exposición legal y operativa. Desde el punto de vista práctico, integrar la privacidad desde el diseño (Privacy by Design) ya no es opcional: es un requisito para licitaciones públicas, alianzas estratégicas y certificaciones internacionales como ISO/IEC 27701. El marco legal evoluciona hacia una mayor exigencia de trazabilidad, responsabilidad proactiva y rendición de cuentas técnica, no solo documental.
