Cada quincena procesas la nómina y sin darte cuenta acumulas una cantidad enorme de información sensible de tus empleados: su RFC, su CURP, el número de cuenta bancaria, cuánto ganan, qué descuentos tienen, si tienen un embargo o una pensión alimenticia. Esos datos no son tuyos. Son de ellos. Y la ley te obliga a cuidarlos como si fueran de alguien que te los prestó con toda la confianza del mundo.

Por qué la nómina es un expediente de datos personales sensibles

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aplica a cualquier empresa o persona física con actividad empresarial que recopile datos de individuos. Como patrón, eres el responsable del tratamiento de los datos personales de todos tus colaboradores.

El archivo de nómina típico contiene, al menos:

• RFC y CURP — datos de identidad fiscal y civil
• Número de seguridad social (NSS) ante el IMSS
• Cuenta bancaria para dispersión de pago
• Historial salarial y tabuladores
• Deducciones especiales: pensiones, embargos, créditos Infonavit o Fonacot
• Datos de salud cuando hay incapacidades médicas o seguros de gastos médicos

Los datos de salud son considerados datos sensibles bajo la LFPDPPP, lo que implica obligaciones adicionales y un nivel de protección más estricto. No se pueden usar para nada distinto a la finalidad para la que fueron recopilados, y el empleado debe haber dado su consentimiento expreso.

Cuánto tiempo debes conservar los expedientes de nómina

Aquí es donde muchos patrones se confunden porque hay varios ordenamientos que dictan plazos distintos y todos aplican al mismo tiempo.

La Ley Federal del Trabajo establece que debes conservar los recibos de nómina firmados al menos un año, pero la práctica recomendada —y lo que te cubre ante una demanda laboral— es guardarlos cinco años, que es el plazo de prescripción de las acciones laborales más comunes.

El Código Fiscal de la Federación te obliga a conservar la contabilidad, incluidos los comprobantes de nómina timbrados (CFDI), durante cinco años contados a partir de la fecha en que se presentó o debió presentarse la declaración anual correspondiente. Si hay pérdidas fiscales pendientes de amortizar, ese plazo se extiende hasta que las amortices por completo.

El IMSS e Infonavit pueden revisar hasta cinco años hacia atrás en una visita de inspección ordinaria, y hasta diez años si detectan irregularidades. Por eso, conservar los movimientos afiliatorios y los comprobantes de pago de cuotas al menos ese tiempo es lo prudente.

En resumen: cinco años como mínimo operativo, con copias de seguridad que sobrevivan posibles auditorías extendidas de hasta diez años.

Cómo proteger esos datos: obligaciones concretas del patrón

La LFPDPPP no te pide que construyas un búnker digital, pero sí te exige medidas razonables y documentadas. Estas son las principales:

• Aviso de privacidad: debes entregarlo a cada empleado desde el momento de la contratación. Debe explicar qué datos recopilas, para qué los usas, con quién los compartes (por ejemplo, el banco o el IMSS) y cómo puede el trabajador ejercer sus derechos.
• Acceso restringido: solo las personas que necesitan trabajar con la nómina deben poder verla. Nada de tener el archivo de Excel de sueldos en una carpeta compartida con toda la empresa.
• Cifrado o contraseña en los archivos digitales que contienen datos de empleados, especialmente si se transmiten por correo electrónico o se guardan en la nube.
• Contratos de confidencialidad con tu despacho contable externo, tu proveedor de software de nómina y cualquier tercero que procese esa información a tu nombre. Bajo la ley, ellos son encargados del tratamiento y tú sigues siendo el responsable.
• Protocolo para bajas: cuando un empleado sale de la empresa, sus datos no desaparecen de inmediato, pero sí debes dejar de usarlos para fines que ya no aplican. Define cuándo y cómo eliminas o archivas cada tipo de dato.
• Plan de respuesta ante brechas: si te hackean o pierdes información, la ley te obliga a notificarlo al Instituto Nacional de Transparencia (INAI) y a los titulares afectados sin demora.

Los derechos ARCO de tus empleados y cómo atenderlos

Tus colaboradores tienen derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales. Estos son los llamados derechos ARCO y como patrón debes tener un mecanismo para responderlos.

En la práctica esto significa que si un empleado te pide ver qué datos tienes de él, tienes 20 días hábiles para responder. Si pide corregir un error en su RFC o en su número de cuenta, debes atenderlo. Si se va de la empresa y pide que borres cierta información una vez cumplidos los plazos legales de conservación, también debes tener un proceso para hacerlo.

No es burocracia vacía: el INAI ha impuesto multas a empresas medianas por no contar con un aviso de privacidad adecuado o por no atender solicitudes ARCO. Las sanciones van desde los 100 hasta los 320,000 días de salario mínimo, dependiendo de la gravedad.

La buena noticia es que ordenar todo esto no requiere contratar un abogado de tiempo completo. Requiere tener procesos claros, documentados y revisados periódicamente.

Tienes una base de datos con correos de clientes, un formulario de contacto en tu web y quizás un Excel con datos de tus empleados. Todo eso son datos personales, y en México hay una ley que te obliga a manejarlos con cuidado. Se llama la Ley Federal de Protección de Datos Personales en Posesión de Particulares — o LFPDPPP, para los que no queremos repetirla completa cada vez — y la mayoría de las PyMEs la conoce de nombre pero no sabe qué significa en el día a día de su negocio.

¿A quién aplica y por qué debería importarte?

La ley aplica a cualquier persona física o empresa privada que recopile, use, almacene o transfiera datos personales. Eso te incluye si tienes una lista de prospectos, si facturas a clientes con RFC y domicilio, si pagas nómina o si simplemente tienes un formulario de “contáctanos” en tu página web.

El organismo que la hace cumplir es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Las sanciones van desde amonestaciones hasta multas que pueden llegar a los 320,000 días de salario mínimo general en casos graves. No es una amenaza vacía: el INAI ha sancionado a empresas de todos los tamaños.

Más allá de la multa, está la confianza de tus clientes. Cuando alguien te da su correo o su teléfono, está confiando en que no vas a venderlo, spam earlo ni compartirlo sin su permiso. Eso vale.

Las obligaciones concretas que tienes hoy

La ley establece varios principios, pero traducidos a acciones reales para una PyME, se resumen en esto:

• Aviso de Privacidad: Es el documento donde le dices a las personas qué datos recopilan, para qué los usas, con quién los compartes y cómo pueden ejercer sus derechos. Si tienes un sitio web con formulario, necesitas uno. Si firmas contratos con clientes, también. Debe ser claro, en español sencillo y estar disponible antes de que la persona te dé sus datos.
• Consentimiento explícito: Para ciertos usos de los datos — sobre todo los llamados “datos sensibles” como información de salud, origen étnico o situación patrimonial — necesitas que la persona firme o marque una casilla expresamente. Un consentimiento genérico enterrado en letra chica no cumple.
• Finalidad limitada: Solo puedes usar los datos para lo que dijiste que los ibas a usar. Si alguien te dio su correo para recibir una cotización, no puedes meterlo a tu lista de newsletter sin pedirle permiso aparte.
• Medidas de seguridad: Debes proteger los datos contra pérdida, robo o acceso no autorizado. No necesitas ser una empresa de ciberseguridad, pero sí tener contraseñas seguras, carpetas con acceso restringido y no mandar datos sensibles por WhatsApp sin más.
• Derechos ARCO: Tus clientes y empleados tienen derecho a Acceder a sus datos, Rectificarlos, Cancelarlos u Oponerse a su uso. Debes tener un procedimiento claro para responder esas solicitudes en un plazo de 20 días hábiles.
• Transferencia de datos: Si compartes datos personales con un proveedor externo — por ejemplo, una plataforma de email marketing o un despacho de cobranza — debes asegurarte de que ese tercero también cumple con la ley y, en muchos casos, informarlo en tu aviso de privacidad.

Los errores más comunes en PyMEs mexicanas

Después de revisar cómo trabajan muchas empresas medianas, los errores se repiten bastante:

• Tener un aviso de privacidad copiado de internet que no corresponde al giro real del negocio.
• Pedir datos en formularios sin vincular ningún aviso de privacidad en ese mismo formulario.
• Compartir bases de datos con socios o franquiciados sin un contrato que establezca responsabilidades.
• Guardar información de clientes en hojas de cálculo sin contraseña, en carpetas compartidas abiertas o en correos sin cifrar.
• No tener ningún proceso para responder si alguien solicita que borren sus datos.

Ninguno de estos errores requiere ser experto en derecho para corregirlos. Requieren orden, un poco de tiempo y saber qué revisar.

Por dónde empezar si todavía no has hecho nada

El primer paso es hacer un inventario simple: ¿qué datos personales maneja tu empresa, dónde están almacenados, quién tiene acceso y para qué los usas? Con esa foto clara, el resto se acomoda.

Después redacta o actualiza tu aviso de privacidad con esa información real. No copies uno genérico: personalízalo a tu empresa, tus clientes y tus procesos. Si trabajas con contadores o proveedores externos que manejan datos de tus clientes o empleados — como una firma que procesa tu nómina — revisa que tengan sus propios avisos y que en tu contrato con ellos quede claro quién es responsable de qué.

Finalmente, capacita a quien tenga acceso a esos datos. No necesitas una certificación formal; basta con que todos en tu equipo sepan que los datos de clientes no se comparten por canales inseguros y que si alguien pide que lo “den de baja”, hay un proceso para hacerlo.

Tu cliente te da su RFC, su domicilio, sus estados de cuenta. Tú los guardas, los usas para preparar su declaración y posiblemente los compartes con el SAT o con un banco. ¿Tienes un aviso de privacidad que lo cubra todo? Si sacaste uno de Google hace tres años y le cambiaste el nombre de la empresa, hay una probabilidad alta de que ese documento no valga de mucho — ni para ti ni para tu cliente.

Por qué el aviso de privacidad no es un trámite de relleno

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) lleva vigente desde 2010. El INAI tiene facultades para sancionar a cualquier empresa o profesionista que trate datos personales sin cumplir sus requisitos. Eso incluye a despachos contables, bufetes, médicos, escuelas y prácticamente cualquier negocio que recopile información de personas físicas.

Las multas van desde los 100 hasta los 320,000 días de salario mínimo, dependiendo de la infracción. Pero más allá de la sanción económica, un aviso mal redactado te deja sin defensa legal si un cliente reclama que usaste su información de manera indebida.

La buena noticia es que redactar un aviso correcto no requiere ser abogado. Sí requiere saber exactamente qué elementos van y qué no.

Elementos que sí o sí deben estar en tu aviso

La ley es bastante específica. Un aviso de privacidad completo debe incluir:

• Identidad y domicilio del responsable: quién recopila los datos. Si eres un despacho, va la razón social o tu nombre como persona física, RFC y dirección completa.
• Finalidades del tratamiento: para qué vas a usar la información. “Para prestar servicios contables” es demasiado vago. Especifica: preparación de declaraciones fiscales, alta en el SAT, trámites de nómina, generación de estados financieros, etcétera.
• Datos personales que se recaban: nombre, RFC, CURP, domicilio, ingresos, datos bancarios. Si manejas datos sensibles — como información patrimonial detallada — hay obligaciones adicionales.
• Transferencias: si compartes datos con terceros, debes decirlo. El SAT, el IMSS, el Infonavit, bancos, otros despachos subcontratados. Si no lo declaras y lo haces, estás en incumplimiento.
• Derechos ARCO: debes explicar cómo puede el titular ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición, y proporcionar un medio de contacto (correo electrónico o formulario).
• Mecanismo para limitar el uso o divulgación: al menos una forma en que el titular pueda restringir cómo usas su información.
• Cómo se notificarán los cambios al aviso: si actualizas el documento, el titular tiene derecho a saberlo.

Si tu aviso actual no tiene alguno de estos puntos, necesitas corregirlo antes de seguir recopilando datos.

Lo que NO debe aparecer — y por qué el copy-paste es peligroso

Aquí está el problema con tomar el aviso de otra empresa y ajustarlo: cada organización trata datos de forma distinta. Si copias el aviso de un hospital, probablemente incluirá referencias a datos de salud que tú nunca manejas. Si lo copias de una tienda en línea, hablará de cookies y comportamiento de navegación que quizás no aplican a tu despacho.

Eso genera dos problemas concretos:

• Inexactitud: declaras que tratas datos que no tratas, o al revés, omites datos que sí manejas. El INAI puede interpretar ambos como incumplimiento.
• Inconsistencia con tu operación real: si tu aviso dice que no compartes datos con terceros pero resulta que sí los mandas a un software en la nube, tienes un problema legal documentado por ti mismo.

Además, algunos avisos viejos que circulan en internet todavía mencionan plazos o procedimientos que el Reglamento de la LFPDPPP o los lineamientos del INAI ya modificaron. Usarlos sin revisión es asumir un riesgo innecesario.

Otro error común: poner el aviso en un lugar donde nadie lo puede encontrar. La ley exige que sea accesible al momento en que se recaban los datos. Si tienes un formulario de contacto en tu sitio web, el aviso debe estar visible justo ahí, no enterrado en el pie de página con letra de tres puntos.

Tipos de aviso: cuál necesitas según tu operación

No todos los avisos son iguales. La norma reconoce tres tipos principales:

• Aviso integral: el más completo, incluye toda la información requerida por ley. Recomendable para tu sitio web y para contratos con clientes.
• Aviso simplificado: una versión corta que remite al aviso integral para el detalle. Útil cuando el espacio es limitado, como en un formulario impreso o una pantalla pequeña.
• Aviso corto: para situaciones donde solo puedes dar información mínima, siempre con referencia a la versión completa.

Como despacho contable, lo más práctico es tener un aviso integral en tu sitio web y uno simplificado en tus contratos de servicio o en los formularios que llenas con cada cliente nuevo. Ambos deben estar sincronizados y actualizados.

Un detalle importante: si en algún momento decides ampliar los usos de los datos — por ejemplo, empezar a enviar newsletter a tus clientes cuando antes no lo hacías — necesitas actualizar el aviso y notificárselo a tus titulares. No puedes simplemente empezar a usar los datos para algo nuevo sin informarlo.