LFPDPPP en México: protección de datos para tu sitio

Si tu sitio atiende a personas en México, casi seguro recoges datos personales. Un correo en el formulario de contacto, un nombre y una dirección en el carrito de tu tienda, un teléfono que llega por el chat de WhatsApp, las cookies que registran quién visita tu blog. Ese acto cotidiano te coloca dentro de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, conocida por sus siglas: LFPDPPP.

No importa si vendes ropa, ofreces consultoría, tienes una landing en Wix o un WordPress con tienda. Si una empresa o persona privada trata datos de gente, esta ley aplica. La buena noticia es que cumplir lo esencial no exige ser abogado ni programador: se traduce en decisiones claras sobre qué pides, cómo lo avisas y cómo lo proteges.

En esta guía te explicamos qué es la LFPDPPP, sus principios, el aviso de privacidad (que es obligatorio), los derechos ARCO, quién vigila el cumplimiento en México y qué medidas de seguridad esperan de ti. Cerramos con un checklist accionable para tu sitio.

Esto es una guía práctica, no asesoría legal. El marco mexicano de protección de datos cambió de forma importante en los últimos años. Cuando algo dependa de la versión vigente de la ley o de la autoridad encargada, te diremos que lo verifiques con la fuente oficial.

Qué es la LFPDPPP

La LFPDPPP es la ley que regula cómo los particulares (empresas, profesionales independientes, asociaciones) tratan los datos personales de las personas en México. "Tratar" abarca casi todo lo que puedes hacer con un dato: recolectarlo, usarlo, almacenarlo, compartirlo o eliminarlo.

Conviene fijar tres roles, porque la ley te asigna obligaciones distintas según cuál seas:

• Titular: la persona a quien pertenecen los datos. Tu cliente, tu suscriptor, quien llena tu formulario.
• Responsable: quien decide sobre el tratamiento de los datos. Si es tu negocio o tu sitio, normalmente eres tú.
• Encargado: quien trata los datos por cuenta del responsable. Tus proveedores: el hosting, la plataforma de email marketing, la pasarela de pago, la herramienta de analítica.

Esto importa porque, aunque delegues el procesamiento en proveedores (Encargados), la responsabilidad frente al titular sigue siendo tuya. Por eso conviene saber con qué herramientas trabajas y dónde terminan los datos de tu gente.

Importante sobre el marco vigente: en años recientes México reformó su estructura institucional de transparencia y protección de datos, y se actualizó la legislación de la materia. El nombre exacto de la ley aplicable, la autoridad encargada y algunos plazos pueden haber cambiado. Antes de tomar decisiones legales, verifica el texto vigente en el Diario Oficial de la Federación y en el portal de la autoridad correspondiente.

Los principios que rigen el tratamiento

La protección de datos en México se apoya en una serie de principios. No los memorices al pie de la letra; entiende la intención, porque guían cómo debes diseñar tus formularios y tu operación:

• Licitud: tratas los datos conforme a la ley y de buena fe.
• Consentimiento: como regla general, necesitas el consentimiento del titular para tratar sus datos.
• Información: el titular debe saber qué datos recoges y para qué. Aquí entra el aviso de privacidad.
• Calidad: los datos deben ser exactos y estar actualizados. Por eso existen los flujos de "editar mis datos".
• Finalidad: los datos se recogen para fines concretos y legítimos. No pidas el RFC "por si acaso".
• Lealtad: no obtienes datos con engaño ni de forma encubierta.
• Proporcionalidad: pides solo los datos necesarios para la finalidad declarada.
• Responsabilidad: debes poder demostrar que cumples, no solo afirmarlo.

Fíjate en finalidad y proporcionalidad: la mayoría de los sitios pecan de pedir de más. Cada campo extra en tu formulario es un dato que tienes que cuidar, justificar y, llegado el caso, poder borrar.

El aviso de privacidad (obligatorio)

El aviso de privacidad es la pieza central y es obligatorio. Es el documento con el que informas al titular quién eres, qué datos recoges, para qué los usas y cómo puede ejercer sus derechos. En la web suele ser tu página de "Aviso de Privacidad" o "Política de Privacidad", enlazada desde el pie de página y junto a tus formularios.

Aunque los detalles dependen de la versión vigente de la ley, un aviso de privacidad razonable suele incluir:

• Identidad y domicilio del responsable (tu empresa o tú).
• Los datos personales que se tratan (qué recoges).
• Las finalidades del tratamiento, distinguiendo las necesarias de las que no lo son (por ejemplo, enviar promociones).
• Los mecanismos para ejercer los derechos ARCO y un canal de contacto para hacerlo.
• Las transferencias de datos a terceros, si las hay, y su finalidad.
• El procedimiento para conocer cambios en el propio aviso.
• Si usas cookies u otras tecnologías de rastreo, cómo deshabilitarlas.

En la práctica se habla de avisos en distintos formatos: uno integral (completo) y versiones simplificadas o cortas que remiten al integral, útiles cuando el espacio es limitado, como en un formulario o un mostrador. El punto clave: el titular debe poder enterarse antes o en el momento en que entrega sus datos.

Evita dos errores muy comunes: copiar el aviso de otra empresa sin adaptarlo (acabarás declarando finalidades que no son las tuyas), y esconderlo. Si nadie puede encontrar tu aviso, en la práctica es como no tenerlo.

Los derechos ARCO

Los derechos ARCO son el corazón de lo que tus usuarios pueden pedirte. Son cuatro:

• Acceso: conocer qué datos tienes sobre la persona y cómo los usas.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación: que elimines sus datos cuando ya no haya razón para conservarlos.
• Oposición: negarse a que uses sus datos para ciertos fines (por ejemplo, marketing).

A esto se suma la posibilidad de revocar el consentimiento que en su momento otorgó.

Para ti, como dueño del sitio, esto se traduce en algo muy concreto: necesitas un canal real para recibir y atender estas solicitudes (un correo de contacto o un formulario sirve), y la capacidad operativa de cumplirlas. Si alguien te pide que borres sus datos, debes poder hacerlo de verdad, no solo "ocultar" su perfil.

La ley fija plazos para responder las solicitudes ARCO. Esos plazos pueden actualizarse con los cambios normativos recientes, así que verifica los términos vigentes y diseña tu operación para cumplirlos con margen.

Quién vigila el cumplimiento en México

Durante años, la autoridad garante a nivel federal fue el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Aquí toca ser claro y prudente.

Verifica el estado vigente del organismo. En el marco de una reforma a organismos autónomos, la estructura institucional de transparencia y protección de datos en México fue modificada y las funciones de vigilancia pudieron haber sido reasignadas a otra dependencia del gobierno federal. Antes de dirigir una solicitud o un reclamo, confirma cuál es hoy la autoridad competente y por qué medio se le contacta, consultando fuentes oficiales actualizadas.

Más allá de cómo se llame hoy la autoridad, la idea de fondo no cambia: existe un organismo que vigila el cumplimiento, atiende reclamos de titulares cuando un responsable no resuelve, y puede iniciar procedimientos e imponer sanciones. Las multas se calculan según criterios que define la ley y pueden ser significativas, sobre todo si hay datos sensibles de por medio o reincidencia.

No citamos un monto exacto aquí porque los topes y la forma de cálculo se actualizan. Si necesitas la cifra vigente, consúltala en la fuente oficial o con tu asesor legal. El punto práctico: la autoridad tiene facultades sancionadoras, y el incumplimiento tiene costo.

Las medidas de seguridad

Aquí está la parte que muchas guías legales omiten. La LFPDPPP no te pide buenas intenciones: te exige medidas de seguridad administrativas, técnicas y físicas para proteger los datos contra daño, pérdida, alteración, destrucción o acceso no autorizado.

"Medidas técnicas" suena abstracto, pero se manifiesta en cosas que cualquiera puede observar desde afuera de tu sitio. Piénsalo así: si un atacante puede interceptar el formulario donde tu cliente escribe su nombre y su dirección, no estás aplicando medidas razonables, por mucho que tu aviso diga lo contrario. Ejemplos de seguridad observable que respaldan el cumplimiento:

• HTTPS en todo el sitio, no solo en el login o el checkout. Los datos personales viajan por muchos formularios.
• Cabeceras de seguridad (como HSTS y una buena Content-Security-Policy) que reducen interceptación e inyección de código.
• Cookies de sesión marcadas como Secure y HttpOnly cuando corresponde.
• Ausencia de fugas evidentes: rutas de administración expuestas, mensajes de error que revelan estructura interna, copias de seguridad o archivos de configuración accesibles.

Estas señales son auditables. De hecho, son justo el tipo de hallazgos que un escáner detecta en minutos. Pasar un escáner no te vuelve automáticamente "cumplidor" de la LFPDPPP (el cumplimiento es más amplio: incluye tu aviso, tus procesos y tu gobierno de datos), pero una configuración técnica débil contradice directamente la obligación de seguridad y es lo primero que conviene cerrar.

En Pursecure pegas la URL de tu sitio y recibes un puntaje de 0 a 100 con los hallazgos ordenados por gravedad. Cada hallazgo viene con una explicación en lenguaje claro y un prompt listo para que lo arregles tú, tu equipo o tu IA. Es una forma rápida de ver, hoy, qué tan lejos está tu sitio de la seguridad que la ley espera. Puedes correr un escaneo gratis en pursecure.app.

Qué revisar en tu sitio hoy

Una lista accionable, mitad legal y mitad técnica, para cualquier sitio o negocio que atienda a México:

Lo legal y de procesos

• Tienes un aviso de privacidad publicado, adaptado a tu negocio y enlazado desde el pie de página y los formularios.
• El aviso describe quién eres, qué datos recoges, para qué, las transferencias a terceros y cómo ejercer derechos.
• El titular ve el aviso (o una versión corta que remite al integral) antes o al momento de entregar sus datos.
• Pides solo los datos necesarios para una finalidad declarada (principio de proporcionalidad).
• Existe un canal claro para solicitudes ARCO (acceso, rectificación, cancelación, oposición) y revocación del consentimiento.
• Puedes cumplir esas solicitudes de verdad, dentro de los plazos vigentes, incluido borrar datos cuando proceda.
• Identificaste a tus Encargados (hosting, email, pagos, analítica) y sabes dónde terminan los datos.
• Si tratas datos sensibles (salud, datos financieros, datos biométricos, entre otros), revisaste el régimen reforzado.

Lo técnico (observable)

• Todo el sitio sirve por HTTPS y el tráfico HTTP redirige a la versión segura.
• HSTS activo y cabeceras de seguridad configuradas (CSP, X-Content-Type-Options, entre otras).
• Cookies de sesión con flags Secure y HttpOnly.
• No hay rutas de administración, copias de seguridad ni archivos de entorno expuestos públicamente.
• Los formularios que recogen datos personales no filtran información en los mensajes de error.
• Si usas cookies de rastreo o analítica, lo informas y ofreces una forma de gestionarlas.

Si marcaste las casillas técnicas a ojo, vale la pena confirmarlo con una medición. Muchas de estas fallan en silencio: el HTTPS está, pero falta el redirect; la cookie existe, pero sin Secure; el aviso menciona cookies, pero el banner nunca se mostró.

Conclusión

La LFPDPPP no es un trámite que se resuelve una sola vez. La protección de datos en México te pide tratar la información de tu gente con finalidad, transparencia y, muy concretamente, seguridad. Necesitas un aviso de privacidad real, un canal para los derechos ARCO y medidas técnicas que protejan lo que recoges. Y como el marco institucional cambió en los últimos años, conviene verificar con la fuente oficial cuál es la ley vigente y qué autoridad vigila hoy el cumplimiento.

La parte legal la trabajas con cuidado y, si hace falta, con un abogado. La parte de seguridad técnica la puedes empezar a cerrar hoy mismo, porque es medible. Pega la URL de tu sitio en pursecure.app/scan, revisa los hallazgos por gravedad y usa los prompts para arreglar lo que la obligación de seguridad te exige. Es el paso más concreto que puedes dar esta semana hacia un cumplimiento real.