En la vida digital de hoy, cada click, compra o registro deja una huella personal tras de sí, la protección del los datos personales se ha vuelto un tema central. Hoy, se comparte a diario información que puede ser utilizada en su contra, más en un contexto en el que los delitos no han dejado de crecer.
Toda esa información conforma lo que especialistas llaman huella digital: miles de archivos con detalles de nuestra identidad y de nuestras actividades en línea. Y aunque México ha avanzado en materia regulatoria, aún queda mucho por hacer.
En México, la protección de datos personales es cada vez más crítica: solo en 2024, el INAI recibió más de 2,347 denuncias por uso indebido de información privada, un 18 % más que en 2023. Entre los casos más notorios destacan la sanción de 23 millones de pesos a Banamex por una filtración masiva de datos y la multa de 14.5 millones de pesos a Elektra por uso indebido de registros de clientes. Estos incidentes confirman que la gestión inadecuada de la información puede derivar en sanciones millonarias y pérdida de confianza del consumidor.
Índice de temas
Estado actual de la protección de datos en México
Según la Organización para la Cooperación y el Desarrollo Económicos (OCDE), México cumple con el 67% de los criterios internacionales en regulación de datos personales. En el terreno de la transparencia, la cifra llega al 65% de los estándares recomendados por organismos vinculados a Naciones Unidas.
Sin embargo, de 102 millones de usuarios reportados en el país durante 2024, un 82% de ellos han identificado robo de datos personales como el principal riesgo de navegar en internet.
Así lo afirma la Asociación de Internet de México(AIMX),quien además dice que el 67% de cibernautas está preocupado por ser víctima de fraude y el 63% menciona la invasión de la privacidad como su inquietud primordial.
¿Qué son los datos personales?
Hay muchas formas de definir a los datos personales, dado que hoy no solo es un formulario con información íntima completada por escrito. Detenerse por más tiempo en una publicación, hacer click en un artículo o mirar más contenido en determinada red social es, en sí mismo, un dato personal.
El National Institute of Standards and Technology (NIST) de los Estados Unidos define a los datos personales como “Información que puede utilizarse para identificar o rastrear la identidad de una persona, ya sea de forma individual o combinada con otra información vinculada o que pueda vincularse a una persona”.
Ejemplos de datos personales que permiten la identificación directa incluyen:
- Nombres
- Fotografías
- Números o claves de identificación
- Historias laborales, académicas y domicilio
Por su parte, existen otros métodos de identificación, como los indirectos, donde es posible reconocer individuos mediante la dirección IP de sus dispositivos o el nombre de usuario que se usa en servicios digitales o redes sociales.
Los datos biométricos también forman parte de las herramientas para la identificación indirecta, ya que toda información relacionada con una persona identificable constituye el conjunto de datos personales.
Protección de datos en el contexto de las organizaciones
La protección de datos a nivel empresarial comprende todos los procesos orientados a resguardar la información personal y organizacional frente a accesos no autorizados, robos o usos indebidos por parte de actores externos.
Esto es de suma importancia para firmas latinoamericanas, ya que allí el Banco Mundial registró un crecimiento del 25 % anual en incidentes cibernéticos en el período 2014-2024.
Preservar la integridad de los datos empresariales implica aplicar metodologías para prevenir fugas, corrupción o malversación de la información. Muchos de estos procesos de apoyan en copias de seguridad, protocolos de restauración; aunque la sofisticación del ciberdelito exige un enfoque más robusto.
Importancia de la protección de datos personales
Proteger la información de los individuos es un aspecto indispensable en las organizaciones del mundo digital actual. La siguiente infografía resume alguno de sus riesgos principales y razones para fortalecer su legislación, implementar nuevas prácticas empresariales y concientizar a las personas frente al delito.
Identificabilidad digital
- La huella de datos personales hace identificable a cada usuario.
- Incrementa el riesgo de exposición en el entorno digital.
Uso de datos
- Los datos pueden abrir acceso a recursos físicos o informáticos.
- También se utilizan con fines mercadológicos, analíticos o de investigación.
Vulnerabilidades
- A mayor volumen de información personal, mayor riesgo de ataques.
- Amenazas frecuentes: ransomware, phishing y robo de identidad.
Marco legal
- Juristas y tecnológicas insisten en actualizar la Ley de Protección de Datos Personales.
- Una regulación sólida refuerza la confianza y previene abusos.
Información identificable por métodos digitales
En el ámbito digital, toda la información que se pueda recopilar acerca de una persona constituye su identidad digital a partir de las siguientes categorías:
| Categoría | Descripción | Ejemplos | Características principales |
|---|---|---|---|
| Identidad por atributos digitales | Datos estáticos o formales que identifican directamente a una persona. | Nombre | Son declarativos: los das tú o están en registros oficiales |
| Fecha de nacimiento | |||
| DNI/pasaporte | Generalmente son permanentes | ||
| Correo electrónico | |||
| Historial médico | Pueden considerarse datos sensibles | ||
| Datos bancarios | |||
| Identidad por actividades digitales | Rastros dinámicos que una persona deja al interactuar en entornos digitales. | Historial de búsquedas en Google | Se generan de forma automática al usar servicios digitales |
| Descargas de apps | |||
| Fotos en redes sociales | Son cambiantes y acumulativos | ||
| Publicaciones en foros | |||
| Geolocalización (GPS) | Conforman la huella digital | ||
| Compras online |
Leyes y regulación de datos personales
México cuenta con una ley que regula el tratamiento de los datos personales en manos de particulares o empresas del sector privado desde 2010. De acuerdo con esta ley, se debe garantizar y proteger la información concerniente a personas físicas identificadas o identificables.
Ley Federal de Protección de Datos Personales
La LFPDPPP rige el manejo de la información personal de colaboradores, clientes y proveedores. Esta ley establece diversas regulaciones para el tratamiento de datos personales, medidas para garantizar su privacidad, así como el derecho de los titulares para decidir que se hace con su información.
Su complemento es el reglamento correspondiente, publicado en diciembre de 2011. La aplicación de ambos instrumentos pretende evitar que los datos personales sean utilizados indebidamente.
Estos instrumentos jurídicos buscan que también se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad.
¿Qué es la privacidad?
De acuerdo con la definición de la Asociación Internacional de Profesionales de la Privacidad (IAPP), se entiende por privacidad “el derecho a estar tranquilo, a no sufrir interferencias ni intrusiones”. La privacidad de la información es el derecho a tener cierto control sobre cómo se recopila y utiliza tu información personal.
La IAPP insiste en que, a medida que la tecnología avanza, privacidad y datos personales son conceptos que se revalorizan. Como resultado, la privacidad se convierte en el problema más importante de protección del consumidor (de las personas) en la economía global de la información; concluye.
Derechos de la ley de datos personales en México
La legislación mexicana se rige por principios como:
- Licitud
- Consentimiento
- Información
- Calidad
- Finalidad
- Proporcionalidad
- Responsabilidad
Dichos principios, sustentan a los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición). Permite a los titulares controlar el uso, destino y protección de su información personal.
Derechos ARCO: Acceso, rectificación, cancelación y oposición
| Derecho ARCO | Qué permite | Ejemplo práctico | Plazo de respuesta | Autoridad en México |
|---|---|---|---|---|
| Acceso | Solicitar a la empresa u organismo qué datos personales tuyos tiene y cómo los usa. | Un usuario pide a un banco el historial de datos que posee. | 20 días hábiles para confirmar recepción y 15 días hábiles para entregar datos. | INAI |
| Rectificación | Corregir datos personales inexactos o incompletos. | Actualizar tu dirección o RFC en la base de datos de una aseguradora. | 20 días hábiles para responder y 15 días para aplicar los cambios. | INAI |
| Cancelación | Solicitar que tus datos sean eliminados si ya no son necesarios. | Pides a una app que borre tu perfil tras cerrar la cuenta. | 20 días hábiles para responder y 15 días para eliminar datos. | INAI |
| Oposición | Negarte al uso de tus datos personales para fines específicos. | Te opones a que una tienda use tu email para enviar publicidad. | 20 días hábiles para responder y 15 días para aplicar restricciones. | INAI |
Según el INAI, es derecho de todos los mexicanos saber para qué se usan sus datos personales y las condiciones que se les dan a esos datos. Éstos, pueden corregirse e incluso eliminarse en caso de ser deseado.
Ley de datos personales: obligaciones para privados
Toda organización que maneja datos de empleados, clientes, proveedores o similares, está obligada a cumplir con la LFPDPPP. De igual manera, debe observar buenas prácticas de negocio y lineamientos éticos.
Las empresas deben emitir un aviso de privacidad claro antes de recopilar datos, garantizar consentimiento válido y aplicar medidas de seguridad proporcionales al riesgo. Asimismo, están obligadas a atender solicitudes ARCO y notificar a los titulares cualquier vulneración de seguridad detectada.
Algunos ejemplos para ilustrar aspectos donde aplicar la protección de datos:
- Consentimiento explícito para el uso que se vaya a dar a los datos
- Evitar el uso de datos para fines no declarados
- Actualizar periódicamente la aplicación de medidas de seguridad adecuadas
- Mantener políticas de privacidad transparentes
- Respetar los derechos de acceso y rectificación (ARCO)
- Garantizar el consentimiento y ofrecer garantías adecuadas
Ley de datos personales: responsabilidades legales
La ley de protección de datos personales en México prevé una serie de sanciones económicas para aquellas empresas que hagan mal uso de los datos personales de sus clientes.
En total, contempla 19 conductas en que pueden incurrir las empresas en materia de protección y tratamiento de datos personales, por las cuales pueden ser sancionadas a través de multas que van desde 100 hasta 320,000 días de salario mínimo o su equivalente en UMAs (Unidad de Medida y Actualización).
Para ilustrar: en 2022 el INAI aplicó multas equivalentes a poco más de $60 millones de pesos por infracciones a la LFPDPPP. En tanto que para 2023 el monto fue de casi $47 millones de pesos por el mismo motivo.
Roles en la protección de datos personales
En el articulado de la LFPDPPP se definen varios roles de quienes participan activamente en los procesos de protección de datos personales. Las características y responsabilidades de estos roles son importantes para comprender la responsabilidad jurídica que tiene cada uno de ellos:
Sistemas informáticos de seguridad y confidencialidad para protección de datos
La seguridad informática busca garantizar la confidencialidad, integridad y disponibilidad de los datos dentro de un sistema, con el fin de proteger los activos tecnológicos de una organización (sus redes, dispositivos, sistemas y datos) frente a accesos no autorizados y ciberataques.
Para esto, es necesario emplear medidas como antivirus, firewalls, pruebas de penetración, sistemas de prevención de pérdida de datos (DLP) y mecanismos de autenticación, junto con la protección física del hardware y la seguridad lógica del software.
Medidas de seguridad para proteger datos
Existen múltiples herramientas para proteger los datos personales de los mexicanos utilizando softwares TI. Según el informe del ESET publicado en 2024, una de las vulnerabilidades más explotadas a nivel empresarial fueron Microsoft Office, principalmente sus versiones más viejas.
Sin embargo, las organizaciones están comenzando a utilizar alguno de los vectores descriptos en el gráfico de arriba para proteger su entorno digital. Según el ESET, 28% de las empresas considera a la ciberseguridad como una máxima preocupación y un 62% ve insuficiente su presupuesto para esta área.
Contraseñas seguras y autenticación de dos factores
Las contraseñas seguras responden a tres características: ser largas, aleatorias y singulares.
Las recomendaciones son:
- Longitud mayor de 16 caracteres o cinco palabras
- Aleatoriedad usando conceptos o términos que no puedan relacionarse fácilmente con el usuario
- Singularidad, una contraseña diferente para cada sitio, servicio o aplicación.
En cuanto a la autenticación de dos factores o 2FA, es una capa adicional de protección que sirve de refuerzo para la seguridad de las cuentas.
Requiere de un segundo dato para concretar el acceso, como un token, un código de autenticación enviado al dispositivo móvil o bien, una llave física.
Encriptación de datos
Es el proceso que convierte una información en ilegible, ya que se transforma su contenido a través de un algoritmo matemático.
Sirve para garantizar que la información viaja segura, no ha sufrido alteración o modificación, se mantiene confidencial, y también para acreditar su origen.
Actualizaciones de software y parches de seguridad
Para mayor claridad, todos los parches son actualizaciones de software, pero no todas las actualizaciones son parches.
Los parches solucionan problemas muy concretos, son sencillos y pequeños.
En cambio, las actualizaciones responden a fallas amplias o generales, hacen modificaciones profundas en el programa o sistema al que se envían. Es factible que causen inconvenientes luego de ser instaladas.
Uso de firewalls y antivirus
Son herramientas para combatir malware y virus.
El firewall se encarga de la seguridad externa, escanea el tráfico entrante de internet e impide el acceso de malware o virus al dispositivo de cómputo.
La función del antivirus consiste en escanear todos los archivos que ya están en el equipo de cómputo, para luego eliminar virus y malware.
Riesgos de la falta de protección de datos
Suplantación de identidad
- Robo de datos personales para abrir cuentas, realizar compras o cometer delitos.
- Genera impacto legal, financiero y reputacional en organizaciones obligadas a proteger la información de clientes y colaboradores.
Hackeo y pérdida de información
- Accesos no autorizados a datos confidenciales (clientes, finanzas, propiedad intelectual).
- Puede ocurrir por piratería, robo o descuido y derivar en pérdida total o parcial de archivos críticos.
- Ejemplos: documentos de investigaciones académicas o policiacas. Daño económico, reputacional y hasta político.
Uso con fines comerciales de datos personales
- Perfilado para estimar poder adquisitivo, preferencias y necesidades.
- Objetivo frecuente: cobrar el mayor precio posible según el perfil del usuario.
Pérdida de la privacidad
- La privacidad se erosiona y deja de tener sentido.
- Se deteriora la confianza entre usuarios, empresas e instituciones.
Privacidad en redes sociales y aplicaciones móviles
Cada red social ofrece opciones para configurar una serie de características que modulan el tipo de información que se comparte.
Sin embargo, los usuarios en general no otorgan importancia a los términos de privacidad; se aceptan sin revisarlos y eventualmente, provocan problemas.
Configuración de privacidad en redes sociales
Aquí algunas recomendaciones sobre la privacidad y protección de datos personales en las redes sociales:
- Elegir en cada red social qué se quiere compartir
- Seleccionar las casillas que correspondan a ello y guardar los cambios o ajustes, permite establecer un tipo de perfil, es decir, se quiere visible o no la fecha de nacimiento, el correo electrónico o el teléfono de contacto.
- ¿Publicaciones abiertas para todo público o solo para la red de contactos? Se puede definir si cada publicación estará disponible para cualquier persona en la red o solo para algunos segmentos.
Permisos de aplicaciones móviles y acceso a datos personales
Para ilustrar con un ejemplo, tenemos que la geolocalización permanente del dispositivo móvil se puede permitir o no.
Al permitirse la geolocalización, otorga consentimiento para el rastreo del equipo.
¿Esto resulta conveniente para el usuario? ¿Respeta la privacidad? ¿Vulnera sus datos personales?
Lo mismo sucede con los permisos para la activación automática de la cámara frontal de los equipos, o con los aplicables para la identificación de patrones de voz en las llamadas.
Riesgos de compartir información personal en línea
La información que recopilan las redes sociales (preferencias, ubicación, contactos), puede ser usada por terceros con fines comerciales, pero también para robo de identidad.
Fotos y publicaciones pueden ser compartidas sin consentimiento del usuario, afectando reputación, vida familiar y profesional, incluso colocándolos en situaciones de riesgo.
Cómo proteger la privacidad en redes sociales y aplicaciones móviles
Las recomendaciones básicas son:
- En la configuración, establecer quienes pueden ver información y publicaciones.
- Evitar la publicación de información personal sensible (domicilio, datos bancarios).
- Ser conscientes y responsables con lo que se comparte.
- Emplear contraseñas seguras y cambiarlas con regularidad.
- Mantener actualizados dispositivos y aplicaciones
Casos recientes de violaciones de datos en México
Vulneraciones o violaciones de datos están estrechamente relacionadas con ciberataques, al menos desde la perspectiva de las organizaciones. Descubre en este apartado alguna de las más populares en México.
2024: Ticketmaster: ciberseguridad en México y USA
Un ejemplo de ello es el reciente caso de Ticketmaster, tanto en Estados Unidos como en México. En el país norteamericano se llevan a cabo las acciones legales correspondientes, mientras que en México, el INAI abrió una investigación de oficio para dar seguimiento a este caso.
Por su parte, la empresa en su sitio web mexicano, cubre el aspecto reputacional y ofrece información a los usuarios (posiblemente afectados), a partir de una declaración “Sabemos lo importante que es su información personal y nos tomamos muy en serio su protección”.
2024: Filtración masiva de correos en México
Otro caso ocurrió en Septiembre de 2024, cuando un foro de hackers filtró más de 54,000 cuentas de correo electrónico y contraseñas de funcionarios y personal de instituciones educativas en México.
Según una publicación del sitio web AMECI, entre los damnificados, se encontraban empleados de la Secretaría de Salud, Sedena, la Comisión Nacional Bancaria de Valores, el SEP e incluso el INE; entre otros.
2025: Filtración de credenciales en la plataforma TrabajaEn
La Red de Defensa de los Derechos Digitales (R3D) publicó en junio de 2025 un artículo anunciando que la plataforma trabajaen.gob.mx sufrió una filtración de miles de contraseñas entre 2024 y 2025 que expuso datos de miles de personas en búsqueda de un empleo en México.
Se estima que el ataque tuvo como saldo el filtrado de 3937 credenciales de acceso a TrabajaEn, las cuales contenían información como el nombre completo, CURP, RFC, dirección, formas de contacto y documentos oficiales de la persona aspirante.
Incluso, los atacantes obtuvieron el historial laboral, educativo, psicométrico y referencial de todas estas personas.
Tendencias: la innovación tecnológica y protección de datos
Con los datos como insumo diario, su protección debiera evolucionar en paralelo con la innovación tecnológica que alimenta, o por lo menos, eso es lo deseable.
Aunque hay novedades a considerar, en algunas de ellas hay más dudas que certezas (neurodatos o metaversos), en tanto que otras (blockchain o Gen AI) muestran ventajas para la protección de datos.
Neurodatos y Metaverso
En el campo de la ciencia aplicada a usos mercadológicos están los neurodatos. Se trata de información que se recopila a partir del sistema nervioso, más concretamente, del cerebro de un individuo, sobre el que se hacen inferencias.
Dentro del mundo virtual que es el metaverso, el usuario experimenta eventos como si fueran reales, pero enfrenta riesgos para su privacidad de los que tal vez no es consciente: fraude, vigilancia masiva, suplantación de identidad, discriminación.
Blockchain
Al asegurar el anonimato y la confidencialidad mediante encriptación, mejora significativamente la protección de datos, mucho más allá del sector financiero en el que es tan apreciada.
La tecnología blockchain, gracias a sus características, eleva la capacidad de controlar la privacidad de los datos. Su capacidad para garantizar transacciones seguras y su inmutabilidad, la hacen una herramienta clave en el corto y mediano plazo.
Inteligencia Artificial
La inteligencia artificial (AI) sobre todo en su vertiente generativa, es un terreno por el momento lleno de contradicciones, tanto por los beneficios que empieza a reportar, como por los desafíos en términos de la protección de los datos personales.
De acuerdo con la IAPP (International Association of Privacy Professionals) en México, temas como deepfakes y el doxing, se perciben como riesgos asociados con la AI para la vulneración de datos personales.
Fortalecer la gobernanza y la gestión de datos
La IAPP recomienda como esencial para la protección de datos personales que las empresas y el gobierno “trabajen de manera conjunta para crear políticas que mitiguen los riesgos inherentes al uso de IA y garanticen que ésta se utilice de manera ética y responsable”.
La firma consultora KPMG, en su reciente estudio “Panorama de la inteligencia artificial en México. Retos y oportunidades para liderar la transformación”, enfatiza en la necesidad de fortalecer la gobernanza y la gestión de datos (de calidad) al interior de las organizaciones.
Entre sus buenas prácticas, se mencionan dos fundamentales:
- Asignar “responsables que garanticen la confiabilidad y calidad de la información”, cumplimiento estricto con leyes y regulaciones de datos”
- Observar “principios éticos para el uso de la IA (equidad, transparencia, responsabilidad, fiabilidad, privacidad y seguridad)“
Todo ello como parte de las acciones necesarias para mejorar la protección de datos.
FAQs sobre la protección de datos personales
¿Cómo pueden las empresas mexicanas demostrar cumplimiento con la Ley Federal de Protección de Datos Personales ante una auditoría externa?
Es clave implementar un sistema de gestión de privacidad basado en estándares como ISO/IEC 27701. Documentar el ciclo de vida de los datos, los avisos de privacidad y las evidencias de atención a derechos ARCO facilita el cumplimiento regulatorio.
¿Qué herramientas tecnológicas permiten automatizar la protección de datos personales en entornos empresariales?
Soluciones de DLP (Data Loss Prevention), CASB (Cloud Access Security Broker) y SIEM permiten monitoreo y control en tiempo real. Su integración con herramientas de IAM y cifrado refuerza la seguridad de los datos sensibles.
¿Qué sectores en México enfrentan mayor riesgo legal por el mal manejo de datos personales?
Sectores como salud, fintech, telecomunicaciones y educación manejan datos sensibles y están bajo mayor escrutinio del INAI. La exposición de información confidencial puede derivar en multas, pérdida de licencias y daño reputacional.
¿Qué estrategia deben adoptar las organizaciones ante vulneraciones de datos personales para mitigar riesgos legales y reputacionales?
Deben contar con un plan de respuesta a incidentes que incluya notificación al INAI, comunicación a afectados y medidas correctivas inmediatas. La transparencia y trazabilidad del evento son claves para minimizar impactos.
