la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES (LFPDPPP) tiene tres artículos clave que nos importan a los que trabajamos en seguridad:
El Artículo 18 obliga a implementar protecciones reales: controles de acceso, cifrado, lo básico.
El Artículo 19 exige reportar filtraciones (y rápido).
El Artículo 20 asegura la confidencialidad en todo tu equipo.
Luego están los Artículos 58-60 —las consecuencias. Sí, las multas son fuertes (hasta $36 MDP), pero la verdad es esta: si cumples con los primeros tres, nunca las verás.
Esto no es miedo. Es simple: la ley mexicana finalmente reconoce lo que siempre hemos dicho —proteger datos personales requiere medidas de seguridad reales, no solo trámites.
"Todo responsable deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. [...] Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico."
¿Qué significa esto?
Para cumplir con la Ley Federal de Protección de Datos Personales, tu empresa debe implementar tres tipos de medidas de seguridad:
1. Medidas Administrativas
Políticas internas: Documenta cómo se manejan los datos en tu empresa.
Capacitación: Entrena a tu equipo anualmente en protección de datos y prevención de riesgos (como phishing).
2. Medidas Técnicas
Estas son las herramientas tecnológicas que protegen los datos:
Cifrado: Usa tecnologías como AES-256 para almacenamiento y SSL/TLS para transmisión de datos.
Controles de acceso: Implementa autenticación de dos factores (2FA) y exige contraseñas seguras.
Herramientas esenciales:
Firewalls (ej: Windows Defender, pfSense).
Antivirus (ej: Bitdefender, Kaspersky).
Sistemas de detección de intrusos (IDS).
3. Medidas Físicas
Acceso restringido: Asegura servidores y archivos confidenciales con llaves, tarjetas de acceso o sistemas biométricos.
Destrucción segura: Usa trituradoras para documentos físicos y borrado certificado para dispositivos electrónicos.
Cómo cumplir:
Usa herramientas de cifrado, configura firewalls, instala anti-virus.
Bloquea físicamente servidores o archivos confidenciales.
Capacita empleados anualmente (ej: cómo evitar phishing).
🔍 ¿Necesitas una guía paso a paso? Ve nuestro Manual de Higiene Digital.
2. Notificación de Violaciones de Seguridad
"Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento [...] que afecten de forma significativa los derechos patrimoniales o morales de las personas titulares le serán informadas de forma inmediata por el responsable."
¿Qué significa esto?
Si hay una filtración de datos (ej: hackeo, pérdida de un USB con información), debes notificar a los afectados de inmediato.
Cómo cumplir:
Crea un protocolo de respuesta a brechas (ej: contactar clientes en 72 horas).
Incluye cláusulas de notificación en tu aviso de privacidad.
3. Confidencialidad de los Datos
"El responsable o tercero deberá establecer controles [...] para que todas aquellas personas que intervengan en cualquier fase del tratamiento de datos personales guarden confidencialidad."
¿Qué significa esto?
Empleados, proveedores o socios no pueden divulgar datos que manejen en su trabajo.
Cómo cumplir
Haz firmar acuerdos de confidencialidad a todo el personal.
Limita el acceso a datos sensibles (ej: solo el área de RH ve datos personales).
4. Infracciones y Multas
Artículo 58, XI: "Vulnerar la seguridad de bases de datos [...] cuando resulte imputable al responsable."
Artículo 59, III: "Multa de 200 a 320,000 veces la UMA."
Artículo 60: "La Secretaría considerará [...] la naturaleza del dato, la capacidad económica del responsable y la reincidencia."
¿Qué significa esto?
Multas graves
320,000 UMA's son aproximadamente 36.2 millones de pesos MXN (UMA 2025 = 113.14 MXN)
Cómo evitar multas
Realiza auditorías de seguridad cada 6 meses. ¿Prefieres hacerlo internamente? Descarga nuestra plantilla gratuita de auditoría para evaluar tus controles técnicos y cumplimiento legal.
📥 Descargar Plantilla de Autoauditoría
Contrata un consultor externo para revisar cumplimiento.