Cada vez que un cliente te deja su nombre, su teléfono, su correo o los datos de su tarjeta, te está entregando algo valioso y, al mismo tiempo, una responsabilidad. En México, cuidar esa información no es solo buena educación con tus clientes: es una obligación legal. La protección de datos personales está regulada por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, conocida como LFPDPPP, y aplica a tu negocio sin importar si tienes tres empleados o trescientos.
La buena noticia es que cumplir no requiere convertirte en abogado ni en experto en tecnología. La mayoría de las obligaciones son sentido común ordenado: decir con claridad qué datos pides y para qué, guardarlos de forma segura y respetar lo que la persona quiera hacer con su información. En esta guía te explicamos, sin tecnicismos, qué cuenta como dato personal, qué debe llevar tu aviso de privacidad, los derechos ARCO y las medidas mínimas de seguridad. Un aviso antes de empezar: esto es una guía práctica para orientarte, no asesoría legal formal.
Qué cuenta como dato personal (y qué es un dato sensible)
Un dato personal es cualquier información que identifica o puede identificar a una persona física. Es más amplio de lo que parece: el nombre, el teléfono, el correo, el domicilio, el RFC, la CURP, la fotografía o los datos de facturación de un cliente son datos personales. Si los tienes guardados —en un Excel, en tu sistema de ventas, en la bandeja de tu correo o en un cuaderno— ya eres responsable de protegerlos.
Dentro de esa categoría hay un grupo que la ley trata con mayor cuidado: los datos personales sensibles. Son los que, mal usados, podrían dar pie a discriminación o poner en riesgo a la persona: estado de salud, origen étnico, creencias religiosas, preferencia sexual o datos biométricos, entre otros. Si tu negocio llega a manejar este tipo de información, las exigencias son más estrictas y conviene revisar muy bien por qué la pides.
El aviso de privacidad: tu obligación más visible
El aviso de privacidad es el documento donde le dices a la persona, antes de pedirle sus datos, qué información vas a recolectar, para qué la vas a usar, con quién la compartes y cómo puede ejercer sus derechos. Es la obligación más fácil de verificar desde afuera —y por lo tanto la más fácil de sancionar si falta o está incompleta.
No basta con copiar un texto genérico de internet. Un aviso útil identifica quién es el responsable (tu empresa, con datos de contacto), qué datos se tratan y para qué, distingue las finalidades necesarias de las que no, y explica cómo ejercer los derechos ARCO. Debe estar disponible donde recolectas los datos: tu sitio web, tus formularios de registro, el mostrador o el contrato.
Ten presente que el marco legal en México cambió recientemente y eso modificó algunos requisitos del aviso. Antes de dar por bueno el tuyo, revisa qué cambió con las nuevas regulaciones de protección de datos para no quedarte con una versión vencida.
Los derechos ARCO: lo que tus clientes pueden pedirte
Toda persona tiene cuatro derechos sobre sus datos, que se conocen por sus iniciales: ARCO.
- Acceso: saber qué datos suyos tienes y para qué los usas.
- Rectificación: pedir que corrijas datos incorrectos o desactualizados.
- Cancelación: solicitar que elimines sus datos cuando ya no haya razón para conservarlos.
- Oposición: negarse a que uses sus datos para ciertos fines, como publicidad.
En la práctica, necesitas un canal para recibir esas solicitudes y un proceso para responderlas dentro de los plazos de ley. No requieres un sistema sofisticado: un correo dedicado (por ejemplo, datos@tuempresa.mx) y una persona responsable de atenderlo bastan para empezar. Lo importante es que el canal exista, esté publicado en tu aviso de privacidad y que de verdad respondas.
Medidas de seguridad: técnicas y administrativas
La ley no te pide blindar tu empresa como un banco, pero sí exige que adoptes medidas razonables para proteger los datos según su sensibilidad y los riesgos. Estas medidas se dividen en dos grandes grupos, y necesitas ambos.
Medidas administrativas
Son las reglas y los hábitos de tu organización: definir quién accede a qué información (no todos necesitan ver todo), capacitar a tu equipo para que trate esos datos como confidenciales, incluir cláusulas de confidencialidad en los contratos y dar de baja los accesos cuando alguien deja la empresa. La mayoría de las fugas no empiezan con un hacker genial, sino con una contraseña compartida o un empleado que se llevó una base de datos.
Medidas técnicas
Son las herramientas que protegen la información: contraseñas robustas y verificación en dos pasos en los sistemas donde viven los datos, cifrado de equipos y de la información sensible, controles de acceso, antivirus actualizado y, fundamental, respaldos automáticos y probados. Si no sabes bien qué es ni por qué es tan importante, revisa nuestro glosario sobre backup: un buen respaldo es lo que te salva tanto de un borrado accidental como de un ataque de ransomware.
Si todo esto te parece mucho terreno por cubrir, tiene sentido apoyarte en especialistas. Nuestro servicio de ciberseguridad ayuda precisamente a poner orden en estas medidas sin frenar la operación.
Plan mínimo de cumplimiento
No tienes que hacerlo todo de golpe. Esta es una ruta sensata para que una PyME pase de "no sé si cumplo" a tener lo esencial cubierto:
¿Y si hay una fuga de datos?
Tarde o temprano puede pasar: un correo enviado a quien no debía, un equipo robado, un acceso no autorizado. Lo que define las consecuencias no es solo el incidente, sino cómo reaccionas. La LFPDPPP contempla que, ante una vulneración que afecte de forma significativa los derechos de las personas, el responsable debe informar a los afectados para que puedan tomar medidas.
En la práctica necesitas detectar el problema rápido, contener el daño (cambiar contraseñas, aislar el equipo comprometido, cortar el acceso), documentar qué pasó y notificar a las personas afectadas. Improvisar en ese momento es lo peor que puedes hacer; por eso el plan ante incidentes forma parte del cumplimiento, no es un extra.
Dónde apoyarte
La autoridad publica materiales y guías útiles para entender tus obligaciones. Vale la pena revisar los recursos oficiales del INAI como referencia, junto con la asesoría de un especialista legal cuando el caso lo amerite. Recuerda que el marco regulatorio en México tuvo cambios recientes, así que verifica siempre que trabajas con información vigente.
Cumplir la LFPDPPP no se trata de tenerle miedo a una multa, sino de hacer bien algo que tus clientes ya esperan de ti: cuidar la información que te confiaron. Las empresas que lo toman en serio no solo evitan sanciones; construyen una confianza que se nota en el negocio.
Protección de datos
¿Cumples con la protección de datos de tus clientes?
Revisamos cómo recolectas, guardas y proteges la información de tus clientes y te entregamos un plan de prioridades claro y accionable. Sin tecnicismos.



