Empresa
¿Quiénes somos? Visión y Valores
Herramientas
Email Checker Vigía DNS SSL Checker Password Strength HTTP Headers
Alertas
Todas las alertas Vulnerabilidades Incidentes Solo críticas En CISA KEV
Editorial
Análisis técnico ¿Cuál es mi IP?
Blog
Blog 2MCI ISO 27001 Amenazas LATAM Recursos Gratuitos eBook Gratuito Newsletter Podcast / YouTube
Empresa
Servicios Contacto Suscribirse al Newsletter
🆕 Nuevo en 2MCI
✨ Crear cuenta gratis 🛠️ Ver herramientas sin registro
Ya tengo cuenta
🔒 Iniciar sesión
Equipo
🏠 Portal interno 2MCI
Privacidad

Qué son los datos personales y cómo protegerlos — Guía LFPDPPP 2026

11 de junio de 2026 · 9 min de lectura · 2MCI Editorial · 22 lecturas

Los datos personales van mucho más allá del nombre y el correo. Descubre qué son, qué categorías existen, cuáles son los derechos ARCO y qué obligaciones tiene tu empresa bajo la LFPDPPP.

¿Qué son los datos personales? Definición oficial

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México define los datos personales como:

"Cualquier información concerniente a una persona física identificada o identificable."

Esta definición es deliberadamente amplia. No se limita a un nombre o un número de identificación — incluye cualquier dato que permita distinguir a una persona del resto, ya sea de forma directa o indirecta.

La norma internacional ISO/IEC 29101:2018 complementa esta definición al clasificar los datos personales dentro de un marco de privacidad que considera tanto la identificabilidad directa como la posibilidad de reidentificación mediante la combinación de múltiples datos aparentemente anónimos.

Ejemplos de datos personales: más de lo que crees

La mayoría de las empresas entiende que el nombre y el correo electrónico de un cliente son datos personales. Pero el alcance es mucho mayor:

TipoEjemplos
Identificadores directosNombre completo, CURP, RFC, número de pasaporte, NSS
Datos de contactoCorreo electrónico, teléfono, dirección postal
Datos económicosNúmero de tarjeta, historial de crédito, nivel de ingresos
Datos de ubicaciónGeolocalización en tiempo real, historial de movimientos
Datos digitalesDirección IP, cookies, identificador de dispositivo, historial de navegación
Datos biométricosHuella dactilar, reconocimiento facial, voz, iris
Datos de imagenFotografías, videos de vigilancia donde aparece la persona

Un dato aparentemente inocuo puede convertirse en dato personal en contexto. La dirección IP de un usuario, combinada con su historial de navegación y su zona horaria, puede identificar a una persona con alta precisión — incluso sin conocer su nombre.

Datos personales sensibles: protección reforzada

La LFPDPPP establece una categoría especial denominada datos personales sensibles, que requieren un nivel de protección superior por el riesgo que su divulgación representa para la persona:

  • Origen racial o étnico
  • Estado de salud presente, pasado o futuro
  • Información genética
  • Creencias religiosas, filosóficas y morales
  • Afiliación sindical
  • Opiniones políticas
  • Preferencia sexual

Para este tipo de datos, la ley exige consentimiento expreso y por escrito del titular. No basta con una casilla de verificación genérica en un formulario.

En el contexto empresarial, esto es relevante para: clínicas y hospitales, aseguradoras, plataformas de RRHH que almacenan expedientes médicos, apps de salud y cualquier empresa que realice perfilamiento de usuarios.

Los derechos ARCO: qué puede exigirte tu cliente

Toda persona cuyos datos personales sean tratados por una empresa tiene cuatro derechos fundamentales, conocidos como derechos ARCO:

A — Acceso

El titular puede solicitar en cualquier momento qué datos personales suyos tiene la empresa, con qué finalidad los usa y a quién los ha compartido. La empresa tiene 20 días hábiles para responder.

R — Rectificación

Si los datos son inexactos, incompletos o desactualizados, el titular puede exigir que se corrijan. La empresa debe responder en 20 días hábiles y realizar las correcciones en 15 días hábiles adicionales.

C — Cancelación

El titular puede pedir que sus datos sean eliminados de las bases de datos de la empresa, siempre que no exista una obligación legal de conservarlos (por ejemplo, datos fiscales que el SAT exige mantener por 5 años).

O — Oposición

El titular puede oponerse al uso de sus datos para finalidades específicas — por ejemplo, recibir publicidad o ser incluido en un proceso de perfilamiento automatizado.

Las empresas deben tener un mecanismo habilitado para recibir y tramitar solicitudes ARCO. No tenerlo es una infracción directa a la LFPDPPP.

Regulación en el resto de LATAM

México no está solo. La protección de datos personales es una tendencia regional consolidada:

PaísLeyAutoridadAño
MéxicoLFPDPPPINAI (hoy en proceso de reforma)2010
ColombiaLey 1581 de 2012 (Habeas Data)SIC2012
ArgentinaLey 25.326 (PDPA)AAIP2000
PerúLey 29733ANDP2011
El SalvadorLey de Protección de Datos PersonalesIAIP2022
BrasilLGPD (Lei Geral de Proteção de Dados)ANPD2020
ChileLey 19.628 (en reforma)En proceso1999

La tendencia regional sigue el modelo europeo del RGPD (Reglamento General de Protección de Datos), que desde 2018 es el estándar global de referencia. Empresas mexicanas que operan en Europa o atienden a ciudadanos europeos también deben cumplir con el RGPD.

Obligaciones de las empresas en México

Si tu empresa maneja datos personales — y prácticamente toda empresa lo hace — tienes las siguientes obligaciones legales bajo la LFPDPPP:

1. Aviso de privacidad

Documento obligatorio que informa al titular qué datos se recaban, con qué finalidad, cómo se protegen y cómo puede ejercer sus derechos ARCO. Debe estar disponible antes de recabar los datos, no después.

2. Consentimiento

El tratamiento de datos personales requiere el consentimiento del titular, salvo excepciones establecidas en ley. Para datos sensibles, el consentimiento debe ser expreso y por escrito.

3. Medidas de seguridad

La ley exige implementar medidas de seguridad administrativas, físicas y técnicas para proteger los datos contra acceso no autorizado, pérdida, daño o uso indebido. No especifica qué controles exactos, pero la práctica estándar es seguir ISO 27001.

4. Responsable designado

Debe haber una persona o departamento designado como responsable del tratamiento de datos personales dentro de la organización — equivalente al DPO (Data Protection Officer) del RGPD europeo.

5. Transferencias

Si compartes datos personales con terceros (proveedores, filiales, socios comerciales), debes hacerlo bajo contrato que garantice el mismo nivel de protección, y en muchos casos con consentimiento expreso del titular.

Consecuencias de no proteger los datos personales

Las sanciones por incumplimiento de la LFPDPPP van desde advertencias hasta multas que pueden alcanzar los 320,000 días de salario mínimo — más de 30 millones de pesos a valores actuales.

Pero el costo real suele ser mayor que la multa:

  • Según IBM (2024), el costo promedio de una brecha de datos en México supera los 4.1 millones de dólares, considerando detección, contención, notificación y pérdida de negocio.
  • El 60% de las pequeñas empresas que sufren una brecha significativa cierran en los 6 meses siguientes, según datos del Verizon DBIR 2024.
  • El daño reputacional puede ser permanente: una empresa que expone datos de clientes pierde en promedio el 31% de su base de clientes en el año siguiente al incidente.

Cómo proteger los datos personales en tu empresa

No se necesita un presupuesto de millones para cumplir. Estos son los pasos concretos:

  1. Inventario de datos — Identifica qué datos personales recopilas, dónde están almacenados, quién tiene acceso y por cuánto tiempo los conservas.
  2. Aviso de privacidad actualizado — Redacta o actualiza tu aviso de privacidad. Debe ser claro, accesible y estar disponible antes de recabar cualquier dato.
  3. Mecanismo ARCO — Establece un correo o formulario dedicado para recibir solicitudes de acceso, rectificación, cancelación u oposición.
  4. Controles técnicos básicos — Cifrado en bases de datos que contengan datos personales, control de acceso por roles, logs de auditoría, backups cifrados.
  5. Contratos con proveedores — Si compartes datos con terceros (CRM, email marketing, nube), verifica que tengan cláusulas de protección de datos en sus contratos.
  6. Capacitación del equipo — El 74% de las brechas de datos involucra el factor humano (Verizon DBIR, 2024). Capacitar a tu equipo es tan importante como los controles técnicos.

Citas

Cámara de Diputados de México. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación. https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

ENISA. (2023). Data protection and privacy. European Union Agency for Cybersecurity. https://www.enisa.europa.eu/topics/data-protection

IBM Security. (2024). Cost of a data breach report 2024. IBM Corporation. https://www.ibm.com/reports/data-breach

INCIBE. (2024). Protección de datos personales en la empresa. Instituto Nacional de Ciberseguridad. https://www.incibe.es/empresas/tematicas/proteccion-datos

ISO. (2019). ISO/IEC 29101:2018 — Information technology — Security techniques — Privacy architecture framework. International Organization for Standardization. https://www.iso.org/standard/75293.html

Verizon. (2024). 2024 Data breach investigations report. Verizon Business. https://www.verizon.com/business/resources/reports/dbir/

¿Quieres saber si tu empresa tiene vulnerabilidades básicas?

Usa nuestras herramientas gratuitas para verificar tu dominio, SSL, DNS y reputación IP — sin registro, sin costo.

Ver herramientas gratuitas
Compartir:
Volver al blog

Comentarios

Sé el primero en comentar este artículo.

Deja tu comentario

Tu correo no será publicado. Los comentarios son revisados antes de aparecer. Al comentar aceptas nuestro Aviso de Privacidad.