Una empresa que prestaba servicios de internet tenía publicados en una página web los datos de sus clientes: nombre, domicilio, teléfono y correo electrónico. No fue una denuncia lo que destapó el problema, sino el monitoreo permanente que la autoridad hace de la red pública. A partir de ahí se abrió una investigación, después una verificación y finalmente un procedimiento sancionatorio que terminó en multas.
Lo que vuelve este caso no es que la empresa fuera deshonesta, sino que probablemente nunca se detuvo a ordenar lo básico. Si tu empresa recaba datos de clientes, proveedores o empleados, la ley te considera «responsable» del tratamiento de esos datos, es decir, la persona física o moral de carácter privado que lleva a cabo el manejo de datos personales (art. 2, LFPDPPP). Esa sola condición te obliga a tres cosas mínimas que, además, debes poder demostrar en cualquier momento. Este artículo las explica de forma práctica.
Obligaciones mínimas
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares vigente, publicada en el Diario Oficial de la Federación el veinte de marzo de dos mil veinticinco (DOF 20/03/2025), exige que todo responsable observe los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad (art. 5, LFPDPPP). De ese marco se desprenden tres deberes concretos que ninguna empresa debería pasar por alto.
1. Tener un aviso de privacidad y entregarlo a tiempo
El aviso de privacidad es el documento mediante el cual informas a la persona qué datos le pides, para qué los usarás y cómo puede controlarlos. La ley fija su contenido mínimo: la identidad y domicilio de la empresa, los datos que se tratarán con identificación de los sensibles, las finalidades distinguiendo las que requieren consentimiento, los medios para limitar el uso de los datos, los mecanismos para ejercer los derechos de acceso, rectificación, cancelación y oposición, y el procedimiento para comunicar cambios (art. 15, LFPDPPP).
No basta con tener el documento guardado. Debes ponerlo a disposición de la persona en el momento en que recabas sus datos, ya sea en formato impreso cuando los obtienes de manera presencial, o en una versión simplificada con liga al aviso completo cuando los obtienes por medios electrónicos (art. 16, LFPDPPP).
2. Obtener el consentimiento y poder probarlo
Todo tratamiento de datos personales está sujeto al consentimiento de la persona titular (art. 7, LFPDPPP). El consentimiento puede ser tácito, cuando se puso a disposición el aviso de privacidad y la persona no se opuso, o expreso, cuando la voluntad se manifiesta de forma verbal, escrita o electrónica. Tratándose de datos financieros o patrimoniales el consentimiento debe ser expreso, y si se trata de datos personales sensibles, como salud, origen étnico o creencias, debe ser expreso y por escrito (art. 8, LFPDPPP).
El punto es la prueba. En el caso real que motiva este artículo, la empresa no pudo acreditar que hubiera obtenido el consentimiento ni que hubiera entregado su aviso de privacidad al firmar el contrato con sus clientes. La autoridad no tiene que demostrar que incumpliste; eres tú quien debe demostrar que cumpliste. Por eso conviene conservar evidencia de cada autorización: contratos firmados, casillas marcadas, registros electrónicos o cualquier soporte que permita reconstruir cómo y cuándo se obtuvo el consentimiento.
3. Implementar y mantener medidas de seguridad
Todo responsable debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción y, sobre todo, contra el uso o acceso no autorizado (art. 18, LFPDPPP). Las medidas administrativas son las políticas internas, la clasificación de la información y la capacitación del personal. Las técnicas son los controles tecnológicos, como contraseñas, cifrado y restricción de accesos. Las físicas son las que protegen instalaciones y equipos.
En el caso real, los datos terminaron expuestos en internet porque la empresa no tenía un control de medidas de seguridad ni siquiera un inventario de los datos que trataba. Esa ausencia de controles fue lo que permitió que cualquier persona consultara la información de los clientes desde la web.
¿Cada cuándo se cumple y por qué importa?
Estas obligaciones no son un trámite anual que se cumple una vez y se archiva. Son deberes permanentes que acompañan a la empresa durante todo el tiempo que trate datos personales. El aviso de privacidad debe actualizarse cada vez que cambien las finalidades del tratamiento o los datos que recabas, y las medidas de seguridad deben revisarse conforme cambian los riesgos, la tecnología y la sensibilidad de la información (art. 18, LFPDPPP). Conviene programar una revisión periódica, al menos una vez al año y cada vez que la operación cambie de forma relevante.
La razón de fondo es que la ley invierte la carga de la prueba. El responsable no solo debe cumplir, debe poder acreditar que cumple. Cuando la autoridad detecta datos personales expuestos y la empresa no aporta evidencia de su aviso de privacidad, de los consentimientos o de sus medidas de seguridad, esa ausencia de pruebas se interpreta en contra de la empresa. En el caso que comentamos, la falta de respuesta llevó a que se tuvieran por ciertos los hechos imputados y la sanción se volvió prácticamente automática. Por eso documentar el cumplimiento es tan importante como cumplir.
Riesgos de incumplir
Desde el veinte de marzo de dos mil veinticinco desapareció el INAI y la autoridad que ahora vigila el tratamiento de datos personales por parte de empresas privadas es la Secretaría Anticorrupción y Buen Gobierno (art. 2, LFPDPPP). Esa autoridad realiza verificaciones de oficio y puede requerir a la empresa la documentación que considere necesaria (arts. 54 y 55, LFPDPPP).
La ley vigente clasifica como infracciones, entre otras conductas, dar tratamiento a los datos en contravención a los principios, omitir elementos del aviso de privacidad, vulnerar la seguridad de las bases de datos cuando resulte imputable al responsable, recabar datos sin el consentimiento exigible y obstruir los actos de verificación de la autoridad (art. 58, LFPDPPP). Las sanciones se calculan en Unidades de Medida y Actualización, que es la referencia económica que el INEGI fija cada año y que en dos mil veintiséis equivale a 117.31 pesos diarios. Para las infracciones a los principios o al aviso de privacidad la multa va de 100 a 160,000 UMA, es decir, de poco más de 11,700 pesos hasta cerca de 18.7 millones de pesos. Para la falla de seguridad o la obstrucción de la verificación la multa va de 200 a 320,000 UMA, esto es, desde alrededor de 23,400 pesos hasta cerca de 37.5 millones de pesos, y si se trata de datos sensibles los montos pueden duplicarse (art. 59, LFPDPPP).
Hay un riesgo adicional que el caso real ilustra con claridad. La empresa no respondió el requerimiento de información y tampoco se defendió en el procedimiento, así que perdió la oportunidad de aportar pruebas y las presunciones de la autoridad quedaron firmes. Conviene tener presente, además, que la única vía para combatir una resolución de la Secretaría es el juicio de amparo, que es el proceso ante un juez federal para impugnar un acto de autoridad (art. 51, LFPDPPP), de modo que ignorar a la autoridad no detiene el procedimiento, solo reduce las defensas disponibles. La buena noticia es que todo esto es prevenible: ordenar el aviso de privacidad, los consentimientos y las medidas de seguridad antes de cualquier verificación cambia por completo el resultado.
¿Cómo te ayuda ALEF-BEIT?
En ALEF-BEIT | Abogados acompañamos a empresas a poner en orden su cumplimiento en materia de protección de datos personales antes de que llegue una verificación: diseñamos y revisamos avisos de privacidad, estructuramos la obtención y el resguardo del consentimiento, y documentamos las medidas de seguridad para que tu empresa pueda demostrar que cumple. Si ya recibiste un requerimiento o iniciaron un procedimiento en tu contra, también te representamos para ejercer tus defensas en tiempo. Escríbenos y revisamos juntos el estado de tu empresa antes de que el riesgo se convierta en multa.