"Tengo que cumplir con protección de datos" es una frase que muchas empresas repiten sin saber qué significa concretamente. En México existe una ley específica que regula cómo las organizaciones privadas manejan la información personal de las personas, y aunque suene intimidante, sus exigencias de fondo son bastante razonables —y en su mayoría, cosas que una empresa seria querría hacer de todos modos—.
Aviso: este artículo es orientación general con fines educativos, no asesoría legal. El marco regulatorio y las autoridades en México han estado en cambio; para obligaciones concretas de tu empresa, verifica el estado vigente con un especialista legal.
De qué ley hablamos
La norma es la LFPDPPP —Ley Federal de Protección de Datos Personales en Posesión de los Particulares—, que regula el tratamiento de datos personales por parte de empresas y personas privadas. Su lógica de fondo es simple: los datos de una persona son de esa persona, y quien los usa lo hace con permiso y con responsabilidad, no como si fueran propios.
Qué son "datos personales" (más de lo que crees)
Un dato personal es cualquier información que identifica o hace identificable a una persona: su nombre, su correo, su teléfono, su RFC, su dirección. Hay una categoría con protección reforzada, los datos sensibles —salud, origen étnico, creencias, orientación, información que podría usarse para discriminar—, que exigen cuidados mayores. Casi cualquier empresa maneja datos personales: de sus clientes, de sus empleados, de sus proveedores. No es un tema solo de gigantes tecnológicos.
Los principios, en cristiano
La ley se organiza alrededor de unos principios que, traducidos, son de sentido común:
- Consentimiento e información: pide permiso y di claramente para qué vas a usar los datos (ahí entra el aviso de privacidad).
- Finalidad y proporcionalidad: úsalos solo para lo que dijiste, y recaba solo lo necesario —no pidas la CURP para una lista de correo—.
- Calidad: mantenlos correctos y actualizados.
- Responsabilidad y seguridad: protégelos con medidas reales y respondes por ellos, incluso si los maneja un tercero por ti.
Lo que se traduce en obligaciones prácticas
Bajado a tierra, cumplir implica sobre todo cuatro cosas: tener un aviso de privacidad real, obtener el consentimiento adecuado, resguardar los datos con medidas de seguridad razonables (aquí es donde el cumplimiento se toca con la ciberseguridad —la clasificación de la información, el control de acceso—), y tener un mecanismo para atender los derechos de las personas sobre sus datos. Una fuga de datos no es solo un problema técnico: puede ser también un incumplimiento con consecuencias.
La idea que se queda
La ley mexicana de datos personales (LFPDPPP) exige, en esencia, tratar los datos de las personas con permiso, propósito, proporción y protección —y poder responder por ellos—. La mayoría de sus obligaciones coinciden con lo que una empresa cuidadosa haría igual. Empezar es concreto: un buen aviso de privacidad, consentimiento, resguardo y un canal de derechos. Recuerda verificar las obligaciones vigentes con un especialista; esto es el mapa, no el terreno legal exacto. Parte del cumplimiento en cristiano.