La Ley Federal de Protección de Datos Personales en México

¿Qué es la LFPDPPP?

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es la principal ley mexicana que regula cómo las empresas y personas físicas recopilan, almacenan y utilizan datos personales. Fue promulgada el 5 de julio de 2010 y su reglamento entró en vigor en diciembre de 2011.

La ley aplica a cualquier persona física o moral de carácter privado que trate datos personales. El sector público se rige por una ley distinta: la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, aprobada en 2017.

El organismo encargado de su cumplimiento es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), un organismo autónomo constitucional que también supervisa el derecho de acceso a la información pública.

Los 8 principios de protección de datos

La LFPDPPP establece ocho principios fundamentales que deben regir todo tratamiento de datos personales:

1. Licitud: los datos deben tratarse conforme a la ley y con pleno respeto a los derechos del titular
2. Consentimiento: el tratamiento requiere el consentimiento del titular, que puede ser tácito o expreso según la sensibilidad de los datos
3. Información: el responsable debe informar al titular sobre el tratamiento a través de un aviso de privacidad
4. Calidad: los datos deben ser exactos, completos, pertinentes, correctos y actualizados
5. Finalidad: los datos solo pueden usarse para las finalidades establecidas en el aviso de privacidad
6. Lealtad: el tratamiento debe ser leal, privilegiando la protección de los intereses del titular
7. Proporcionalidad: solo deben tratarse los datos que sean necesarios, adecuados y relevantes para la finalidad
8. Responsabilidad: el responsable debe implementar mecanismos para cumplir con los principios y rendir cuentas sobre el tratamiento

Tus derechos ARCO

Como titular de datos personales en México, tienes cuatro derechos fundamentales conocidos como derechos ARCO:

• Acceso: conocer qué datos personales tiene una empresa sobre ti, para qué los usa y con quién los comparte
• Rectificación: solicitar la corrección de datos inexactos o incompletos
• Cancelación: pedir la eliminación de tus datos cuando ya no sean necesarios para la finalidad original, cuando retires tu consentimiento o cuando consideres que se tratan de forma indebida
• Oposición: negarte al tratamiento de tus datos para finalidades específicas, como el envío de publicidad no deseada

Cómo ejercer tus derechos ARCO

El proceso para ejercer tus derechos ARCO es el siguiente:

1. Identifica al responsable: revisa el aviso de privacidad de la empresa para encontrar los datos de contacto del departamento de datos personales o del oficial de privacidad
2. Presenta tu solicitud: envía una solicitud por escrito (correo electrónico, formato en línea o carta) incluyendo tu nombre, una copia de tu identificación oficial, una descripción clara de lo que solicitas y una dirección de correo para recibir la respuesta
3. Espera la respuesta: el responsable tiene 20 días hábiles para responderte. Si tu solicitud procede, tiene 15 días hábiles adicionales para ejecutarla
4. Si no responden: puedes presentar una queja ante el INAI, que tiene facultades para mediar y, en su caso, sancionar al responsable

Sanciones por incumplimiento

La LFPDPPP establece un régimen de sanciones significativo. Las multas se calculan en días de salario mínimo general vigente en la Ciudad de México:

• De 100 a 160,000 días de salario mínimo por infracciones como no cumplir con solicitudes ARCO o no contar con aviso de privacidad
• De 200 a 320,000 días de salario mínimo por infracciones graves como tratar datos en contra de los principios de la ley o transferir datos sin consentimiento

Con el salario mínimo de 2024 en la Ciudad de México ($248.93 MXN diarios), la multa máxima puede superar los $79 millones de pesos. Para datos sensibles tratados con ánimo de lucro, las sanciones pueden duplicarse.

En los casos más graves, el responsable puede enfrentar de 3 a 5 años de prisión por tratamiento indebido de datos personales con ánimo de lucro.

Los desafíos del INAI

A pesar de contar con un marco legal robusto, la protección de datos en México enfrenta retos importantes:

• Recortes presupuestarios: el presupuesto del INAI ha sido reducido en administraciones recientes, limitando su capacidad operativa
• Falta de comisionados: en 2023 el INAI operó sin pleno completo, lo que impidió que sesionara y resolviera casos. Esto creó un rezago significativo en la atención de quejas
• Debate institucional: la administración del presidente López Obrador cuestionó repetidamente la utilidad de organismos autónomos como el INAI, generando incertidumbre sobre su futuro
• Baja cultura de protección de datos: muchas empresas, especialmente pymes, no cumplen cabalmente con la ley por desconocimiento o falta de recursos

Comparación con el GDPR europeo

La LFPDPPP y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea comparten principios similares, pero hay diferencias importantes:

• Consentimiento: la LFPDPPP acepta el consentimiento tácito para datos no sensibles; el GDPR generalmente requiere consentimiento explícito y granular
• Sanciones: el GDPR prevé multas de hasta el 4% de la facturación global anual o 20 millones de euros; las multas de la LFPDPPP, aunque significativas, son considerablemente menores
• Aplicación extraterritorial: el GDPR se aplica a cualquier empresa que trate datos de residentes de la UE, sin importar dónde se ubique; la LFPDPPP tiene un alcance territorial más limitado
• Oficial de protección de datos: el GDPR exige un DPO (Data Protection Officer) en ciertos casos; la LFPDPPP no lo requiere de forma obligatoria, aunque es recomendable
• Enforcement: las autoridades europeas han impuesto multas multimillonarias a empresas como Meta, Amazon y Google; en México, las sanciones del INAI rara vez alcanzan sus montos máximos

Cómo Escudo VPN protege tus datos

En un entorno donde la ley existe pero su aplicación es desigual, la mejor estrategia es tomar el control de tu propia privacidad. Escudo VPN cifra todo tu tráfico de internet con WireGuard y rotación de claves post-cuántica mediante Rosenpass, lo que impide que tu proveedor de internet, redes Wi-Fi públicas o terceros intercepten tu actividad en línea.

Además, Escudo bloquea rastreadores publicitarios, dominios de malware y scripts de seguimiento a nivel DNS, complementando la protección legal con seguridad técnica real.