Tienes una base de datos con correos de clientes, un formulario de contacto en tu web y quizás un Excel con datos de tus empleados. Todo eso son datos personales, y en México hay una ley que te obliga a manejarlos con cuidado. Se llama la Ley Federal de Protección de Datos Personales en Posesión de Particulares — o LFPDPPP, para los que no queremos repetirla completa cada vez — y la mayoría de las PyMEs la conoce de nombre pero no sabe qué significa en el día a día de su negocio.

¿A quién aplica y por qué debería importarte?

La ley aplica a cualquier persona física o empresa privada que recopile, use, almacene o transfiera datos personales. Eso te incluye si tienes una lista de prospectos, si facturas a clientes con RFC y domicilio, si pagas nómina o si simplemente tienes un formulario de “contáctanos” en tu página web.

El organismo que la hace cumplir es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Las sanciones van desde amonestaciones hasta multas que pueden llegar a los 320,000 días de salario mínimo general en casos graves. No es una amenaza vacía: el INAI ha sancionado a empresas de todos los tamaños.

Más allá de la multa, está la confianza de tus clientes. Cuando alguien te da su correo o su teléfono, está confiando en que no vas a venderlo, spam earlo ni compartirlo sin su permiso. Eso vale.

Las obligaciones concretas que tienes hoy

La ley establece varios principios, pero traducidos a acciones reales para una PyME, se resumen en esto:

  • Aviso de Privacidad: Es el documento donde le dices a las personas qué datos recopilan, para qué los usas, con quién los compartes y cómo pueden ejercer sus derechos. Si tienes un sitio web con formulario, necesitas uno. Si firmas contratos con clientes, también. Debe ser claro, en español sencillo y estar disponible antes de que la persona te dé sus datos.
  • Consentimiento explícito: Para ciertos usos de los datos — sobre todo los llamados “datos sensibles” como información de salud, origen étnico o situación patrimonial — necesitas que la persona firme o marque una casilla expresamente. Un consentimiento genérico enterrado en letra chica no cumple.
  • Finalidad limitada: Solo puedes usar los datos para lo que dijiste que los ibas a usar. Si alguien te dio su correo para recibir una cotización, no puedes meterlo a tu lista de newsletter sin pedirle permiso aparte.
  • Medidas de seguridad: Debes proteger los datos contra pérdida, robo o acceso no autorizado. No necesitas ser una empresa de ciberseguridad, pero sí tener contraseñas seguras, carpetas con acceso restringido y no mandar datos sensibles por WhatsApp sin más.
  • Derechos ARCO: Tus clientes y empleados tienen derecho a Acceder a sus datos, Rectificarlos, Cancelarlos u Oponerse a su uso. Debes tener un procedimiento claro para responder esas solicitudes en un plazo de 20 días hábiles.
  • Transferencia de datos: Si compartes datos personales con un proveedor externo — por ejemplo, una plataforma de email marketing o un despacho de cobranza — debes asegurarte de que ese tercero también cumple con la ley y, en muchos casos, informarlo en tu aviso de privacidad.

Los errores más comunes en PyMEs mexicanas

Después de revisar cómo trabajan muchas empresas medianas, los errores se repiten bastante:

  • Tener un aviso de privacidad copiado de internet que no corresponde al giro real del negocio.
  • Pedir datos en formularios sin vincular ningún aviso de privacidad en ese mismo formulario.
  • Compartir bases de datos con socios o franquiciados sin un contrato que establezca responsabilidades.
  • Guardar información de clientes en hojas de cálculo sin contraseña, en carpetas compartidas abiertas o en correos sin cifrar.
  • No tener ningún proceso para responder si alguien solicita que borren sus datos.

Ninguno de estos errores requiere ser experto en derecho para corregirlos. Requieren orden, un poco de tiempo y saber qué revisar.

Por dónde empezar si todavía no has hecho nada

El primer paso es hacer un inventario simple: ¿qué datos personales maneja tu empresa, dónde están almacenados, quién tiene acceso y para qué los usas? Con esa foto clara, el resto se acomoda.

Después redacta o actualiza tu aviso de privacidad con esa información real. No copies uno genérico: personalízalo a tu empresa, tus clientes y tus procesos. Si trabajas con contadores o proveedores externos que manejan datos de tus clientes o empleados — como una firma que procesa tu nómina — revisa que tengan sus propios avisos y que en tu contrato con ellos quede claro quién es responsable de qué.

Finalmente, capacita a quien tenga acceso a esos datos. No necesitas una certificación formal; basta con que todos en tu equipo sepan que los datos de clientes no se comparten por canales inseguros y que si alguien pide que lo “den de baja”, hay un proceso para hacerlo.

En CIFRA acompañamos a despachos y empresas medianas a poner en orden su cumplimiento con la LFPDPPP: desde revisar si tu aviso de privacidad es adecuado hasta establecer procesos internos que funcionen sin complicar tu operación. Si quieres saber en dónde está parada tu empresa hoy, platícanos tu caso y lo revisamos juntos.

Protección de Datos
Compartir: