Ley Federal de Protección de Datos Personales: lo que muchos CISOs siguen pasando por alto
»Inicio»Articulos

Ley Federal de Protección de Datos Personales: lo que muchos CISOs siguen pasando por alto


Mayo 2026 - Regulación, cumplimiento y gobernanza de datos en México y Latinoamérica

Tener un aviso de privacidad publicado no es cumplir con la LFPDPPP. Es el primer paso de un marco que impone obligaciones técnicas, operativas y de gobernanza que la mayoría de las organizaciones mexicanas no tienen completamente implementadas.

La empresa tiene su aviso de privacidad en el sitio web desde 2012. Nadie lo ha actualizado desde entonces. Tampoco existe un registro de actividades de tratamiento, el proveedor de CRM no firmó nunca un contrato de encargado, y el área de recursos humanos no sabe qué hacer cuando un empleado solicita acceso a sus datos personales.

Ese cuadro —más común de lo que parece— no es cumplimiento. Es apariencia de cumplimiento.

Lo que la ley exige y pocas organizaciones tienen

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desde 2010, establece un conjunto de obligaciones que van mucho más allá del aviso de privacidad. El problema es que durante años la aplicación fue laxa y muchas organizaciones aprendieron que publicar ese documento era suficiente para pasar desapercibidas. Eso está cambiando. El INAI ha incrementado su actividad de investigación y las multas por incumplimiento pueden alcanzar el equivalente a 320,000 días de salario mínimo.

Las obligaciones que más se omiten no son las más complejas. Son las que requieren trabajo interno sostenido, no solo un documento publicado.

Cuatro obligaciones que el aviso de privacidad no cubre

La primera es el registro de actividades de tratamiento. La organización debe documentar qué datos personales recopila, con qué finalidad, durante cuánto tiempo los conserva, a quién los transfiere y bajo qué base legal los trata. Ese registro no es público, pero debe existir y estar actualizado. En una auditoría del INAI, es el primer documento que se solicita.

La segunda es la formalización de encargados. Cualquier proveedor que procese datos personales en nombre de la organización —un proveedor de nómina, un CRM en la nube, una agencia de cobranza— es un encargado en términos de la ley. La relación debe estar regulada por un contrato que establezca las instrucciones de tratamiento, las medidas de seguridad exigidas y las obligaciones de confidencialidad. Un acuerdo de confidencialidad genérico no es suficiente.

La tercera es el proceso de atención a derechos ARCO. Los titulares de datos —clientes, empleados, prospectos— tienen derecho a acceder, rectificar, cancelar u oponerse al tratamiento de sus datos. La ley establece plazos específicos: 20 días hábiles para responder una solicitud de acceso, 15 para rectificación o cancelación. La organización debe tener un proceso documentado y operable, no solo la intención de responder si alguien pregunta.

La cuarta es la notificación de vulnerabilidades de seguridad. Cuando ocurre una brecha que afecta datos personales, la LFPDPPP establece la obligación de notificar a los titulares afectados de forma inmediata. No al INAI en primer lugar —a los titulares. Muchas organizaciones no tienen ese proceso definido, y en el momento del incidente improvisan una comunicación que no cumple con los requisitos formales que la ley establece.

Lo que la mayoría tiene Aviso de privacidad publicado en el sitio web Lo que la ley además exige Registro de tratamiento · Contratos con encargados · Proceso ARCO · Notificación de brechas Lo que una auditoría del INAI verifica Evidencia operativa de cada obligación, no solo documentos Multas de hasta 320,000 días de salario mínimo · daño reputacional · responsabilidad directiva
La distancia entre lo que la mayoría implementa y lo que la ley realmente exige es donde vive el riesgo regulatorio

Por qué esto es responsabilidad del CISO, no solo del área legal

La LFPDPPP no es solo una ley de privacidad. Es también un marco de seguridad de la información. El artículo 19 establece explícitamente que el responsable debe implementar medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales. Eso incluye controles de acceso, cifrado, gestión de incidentes y evaluaciones de riesgo periódicas.

Cuando el área legal gestiona el aviso de privacidad pero nadie revisa si los controles técnicos están implementados, la organización tiene cumplimiento documental sin cumplimiento real. Y en una brecha, esa diferencia se vuelve muy visible muy rápido.

El CISO que entiende la LFPDPPP como un aliado —no como una carga del área legal— tiene un argumento regulatorio concreto para justificar inversión en controles técnicos, en clasificación de datos y en procesos de respuesta a incidentes. Eso es exactamente lo que muchos equipos de seguridad necesitan y pocos usan.

¿Tu organización podría responder hoy a una solicitud ARCO de un empleado dentro del plazo legal, con el proceso documentado y la evidencia de respuesta conservada?

Acciones inmediatas

  • Revisa la fecha de la última actualización de tu aviso de privacidad. Si tiene más de dos años sin revisión, probablemente no refleja los sistemas, proveedores y finalidades de tratamiento actuales. Una brecha entre el aviso y la realidad operativa es un hallazgo regulatorio por sí mismo.
  • Levanta un inventario de proveedores que procesan datos personales en nombre de tu organización. Para cada uno, verifica si existe un contrato de encargado firmado con cláusulas de tratamiento, seguridad y confidencialidad. Los que no lo tienen son exposición regulatoria activa.
  • Documenta y prueba el proceso de atención a solicitudes ARCO. Define quién las recibe, quién las resuelve, dónde se registran y cómo se verifica el cumplimiento del plazo legal. Ejecuta una solicitud de prueba interna para validar que el proceso funciona antes de que llegue una real.
  • Verifica que el plan de respuesta a incidentes incluye el proceso de notificación a titulares por brecha de datos personales. Debe especificar el contenido mínimo del aviso, el canal de comunicación y el responsable de ejecutarlo. La obligación es hacia los titulares, no solo hacia el INAI.
  • Agenda una revisión conjunta entre el área de seguridad y el área legal sobre el artículo 19 de la LFPDPPP. Mapea qué medidas técnicas exige la ley y cuáles están efectivamente implementadas con evidencia. Esa brecha es el punto de partida de un plan de cumplimiento real, no documental.

Si tu organización quiere evaluar su nivel de cumplimiento real con la LFPDPPP e identificar brechas antes de que lo haga un auditor, contáctanos en https://tbsek.mx/contacto/.

También te puede interesar

Descubre más contenido de ciberseguridad que puede ser útil para tu organización

Categorías:
Amenazas y tendencias
Amenazas y tendencias
Las cinco decisiones que pueden mejorar tu postura de seguridad antes de que empiece 2026

Las cinco decisiones que pueden mejorar tu postura de seguridad antes de que empiece 2026
Amenazas y tendencias
Ciberseguridad en la nube: cómo construir una estrategia que evolucione con tu negocio

Ciberseguridad en la nube: cómo construir una estrategia que evolucione con tu negocio
Amenazas y tendencias
2026 será el año de la resiliencia: qué significa realmente para las empresas de Latinoamérica

2026 será el año de la resiliencia: qué significa realmente para las empresas de Latinoamérica
Amenazas y tendencias
Cuando la nube falla, no falla TI: falla el modelo de negocio

Cuando la nube falla, no falla TI: falla el modelo de negocio

¿Buscas más contenido especializado en ciberseguridad?

Ver todos los artículos

Transforma tu seguridad digital hoy

No esperes a ser víctima de un ciberataque. Nuestro equipo de expertos está listo para implementar la estrategia de ciberseguridad que tu empresa necesita para operar con confianza.

Inteligencia de amenazas real
Implementación ágil
Soporte especializado
Comenzar ahora
Endpoint
Cloud
Network
Email