Proteger la información personal de las personas es un requisito indispensable para cualquier empresa en México.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece obligaciones claras para los responsables del tratamiento de datos y su incumplimiento puede derivar en graves consecuencias.
Las multas por protección de datos en México son un recordatorio de que la privacidad es un compromiso legal y ético.
En la era de la información, salvaguardar la privacidad de los individuos es un aspecto crucial para mantener la confianza y evitar riesgos asociados al uso indebido de información personal. Según un estudio publicado por la Universidad de Nebraska–Lincoln, se deben establecer mecanismos claros de protección de datos para garantizar que la información sensible se maneje de manera responsable y segura.
Además, los errores pueden generar riesgos financieros y reputacionales. Por este motivo, las autoridades cuentan con mecanismos para supervisar el cumplimiento de la ley y sancionar a quienes no cumplan con los principios de licitud, finalidad y confidencialidad.
Conocer cómo funcionan estas sanciones y los criterios que se aplican es fundamental para prevenir problemas legales y proteger la confianza de los titulares de la información.
Por otro lado, las multas por protección de datos en México buscan promover una cultura empresarial de responsabilidad y buenas prácticas en el manejo de información.
Índice de temas
¿Qué rangos de sanción establece la LFPDPPP para infracciones comunes?
La LFPDPPP establece distintos rangos de multas por protección de datos en México, dependiendo de la gravedad de la infracción. Entre las posibles sanciones se encuentran apercibimientos y multas monetarias, e incluso sanciones agravadas en caso de datos sensibles o reincidencia.
Rangos generales previstos
- En casos de infracciones leves o de carácter administrativo menores (como no atender correctamente una solicitud ARCO sin justificación), lo habitual es iniciar con apercibimientos, que consisten en una llamada de atención formal.
- Para infracciones más serias, la LFPDPPP prevé multas que van de 100 a 160.000 días de salario mínimo en el Distrito Federal para ciertas conductas reguladas en las primeras fracciones del artículo 63 de la ley. A octubre de 2025, este monto se sitúa entre $11.314 y $18.102.400.
- Para infracciones más graves previstas en otras fracciones del mismo artículo, el rango puede escalar hasta 200.000 o 320.000 días de salario mínimo. Es decir, las multas por protección de datos en México pueden ser de entre $22.628 y $36.204.800 en 2025.
- Si las infracciones persisten o hay reincidencia, la ley permite imponer multas adicionales que van desde 100 ($11.314) hasta 320.000 días de salario mínimo ($36.204.800) para cubrir esos casos repetidos.
- En el caso de infracciones vinculadas al tratamiento de datos personales sensibles, las sanciones pueden duplicarse respecto de los montos base establecidos.
Sanciones penales
Además de las sanciones administrativas, la LFPDPPP contempla penas de prisión de entre seis meses y cinco años para aquellos que traten datos personales de manera engañosa o aprovechándose del error del titular para obtener un beneficio económico. Si se trata de datos sensibles, estas penas pueden duplicarse.
¿Qué sectores fueron los más sancionados por el INAI en 2023?
Entre los últimos datos disponibles, en el 2023, el ya extinto Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) impuso multas por protección de datos en México por un total de 46.849.777 pesos mexicanos a personas físicas y morales que infringieron la LFPDPPP.
Procedimientos y protección de derechos
Durante ese año, se iniciaron 91 procedimientos de imposición de sanciones, de los cuales 74 fueron concluidos con la imposición de multas.
Además, se iniciaron 293 procedimientos de protección de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), los cuales fueron desglosados de la siguiente manera:
- 155 relacionados con el derecho de acceso a datos personales.
- 5 de rectificación.
- 122 de cancelación.
- 79 de oposición al tratamiento de datos.
Sectores con mayores sanciones
Los sectores económicos más sancionados fueron:
- Servicios financieros y de seguros: lideró las sanciones con un total de 21.415.045 pesos, número que representa aproximadamente el 45,6% del total de las multas impuestas.
- Información en medios masivos: las empresas de este sector fueron multadas por 6.765.633 pesos, lo que equivale al 14,4% del total.
- Comercio al por menor: recibió sanciones por 5.487.401 pesos, equivalentes al 11,7% del monto total.
¿Cuáles son las conductas que más provocan sanciones según el INAI?
Las principales conductas que motivaron estas sanciones fueron:
Tratamiento indebido de datos personales
Consiste en utilizar la información personal de manera contraria a los principios establecidos por la ley como:
- Finalidad.
- Licitud.
- Proporcionalidad.
- Transparencia.
Esta infracción es una de las más comunes y se refiere a situaciones en las que los datos se usan para fines distintos a los informados al titular o sin su consentimiento. Su violación puede derivar en multas por protección de datos en México.
Incumplimiento del deber de confidencialidad
Implica la divulgación no autorizada de datos personales, ya sea por parte del responsable o de sus empleados, sin el consentimiento del titular. Este tipo de infracción pone en riesgo la privacidad de las personas y puede generar daños importantes.
Omisión en el aviso de privacidad
La ley exige que el aviso de privacidad contenga los siguientes elementos:
- Identidad del responsable.
- Finalidades del tratamiento.
- Opciones y medios para limitar el uso o divulgación de los datos.
- Mecanismos para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
La falta de alguno de estos elementos constituye una infracción.
Transferencia de datos sin consentimiento
Se refiere a la transmisión de datos personales a terceros sin el consentimiento expreso del titular, en casos donde este consentimiento es exigible. Esta práctica es grave cuando involucra datos sensibles o se realiza sin informar al titular.
Falta de respuesta a solicitudes ARCO
El INAI también sancionó a entidades que no respondieron en tiempo y forma a las solicitudes de los titulares para ejercer sus derechos ARCO. El incumplimiento de estos plazos y procedimientos establecidos por la ley es una infracción que puede derivar en multas por protección de datos en México.
¿Cómo se conectan los procedimientos ARCO con las sanciones?
Los procedimientos ARCO son mecanismos fundamentales para que los titulares de datos personales ejerzan sus derechos frente a los responsables del tratamiento. Sin embargo, cuando estas solicitudes no son atendidas adecuadamente, pueden dar lugar a sanciones por parte de la Secretaría Anticorrupción y de Buen Gobierno (SABG).
Relación entre procedimientos ARCO y sanciones
Aunque los procedimientos ARCO y las sanciones son independientes, existe una interconexión entre ellos. Si un responsable no atiende una solicitud ARCO en los plazos establecidos o lo hace de manera incorrecta, el titular puede presentar una denuncia. Esta puede dar inicio a un procedimiento de verificación y, si se confirma la infracción, a un procedimiento sancionador.
Esta situación puede derivar en multas por protección de datos en México.
Procedimiento sancionador
Las sanciones tienen como objetivo corregir las conductas indebidas y evitar su repetición en el futuro. Las multas por protección de datos en México fueron consecuencia de diversas infracciones, que pueden haber incluido o no el incumplimiento de los derechos ARCO.
Es importante destacar que este procedimiento no busca reparar el daño al titular, sino corregir la conducta del responsable. Por lo tanto, aunque ambos procedimientos están relacionados, tienen objetivos y alcances diferentes.
¿Qué plazos y criterios legales establece la LFPDPPP para imponer multas?
La LFPDPPP establece un marco normativo claro para la imposición de sanciones por infracciones en el tratamiento de datos personales. Estas sanciones buscan garantizar el cumplimiento de los principios de protección de datos y la reparación de los daños causados a los titulares de la información.
Plazos para la imposición de sanciones
La ley no especifica plazos exactos para la imposición de sanciones. Se deben seguir los lineamientos establecidos en la Ley Federal de Procedimiento Administrativo. Esto implica que, una vez iniciada la investigación, la autoridad tiene un plazo determinado para resolver el caso, aunque este puede variar dependiendo de la complejidad del asunto.
Criterios para la determinación de sanciones
El artículo 127 de la Ley en Posesión de Sujetos Obligados establece criterios para la imposición de sanciones, que son aplicables por analogía:
- Gravedad de la infracción: se evalúa la naturaleza y el alcance de la violación cometida.
- Reincidencia: si el responsable incurrió previamente en infracciones similares, la sanción puede ser más severa.
- Condición económica del infractor: la capacidad económica del responsable puede influir en la cuantía de la multa.
- Intencionalidad: se considera si la infracción fue cometida con dolo o negligencia.
¿Qué debe hacer su empresa para evitar multas por protección de datos en México?
Para evitar multas por protección de datos en México, es fundamental que las empresas implementen prácticas robustas de seguridad. Estas son algunas de las directrices establecidas por la ya extinta INAI para garantizar el cumplimiento de la ley y proteger la privacidad de los titulares de los datos.
Elaboración y difusión del Aviso de Privacidad
Antes de recabar cualquier dato personal, la empresa debe proporcionar un aviso de privacidad claro y accesible. Este documento debe detallar:
- Identidad del responsable.
- Finalidades del tratamiento.
- Mecanismos para ejercer los derechos ARCO.
- Datos de contacto del responsable del tratamiento.
La falta de un aviso de privacidad adecuado es una infracción sancionable.
Obtención del consentimiento del titular
La empresa debe obtener el consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales. Este consentimiento debe ser documentado y almacenado de manera segura. El tratamiento de datos sin el consentimiento adecuado puede resultar en sanciones severas.
Implementación de medidas de seguridad
Es obligatorio adoptar medidas técnicas, físicas y administrativas para proteger los datos personales contra accesos no autorizados, alteraciones, pérdidas o divulgaciones indebidas. Estas medidas deben ser proporcionales al riesgo y actualizarse periódicamente para adaptarse a nuevas amenazas. De lo contrario, las empresas podrían arriesgarse a multas por protección de datos en México.
Designación de un Responsable de Protección de Datos
En empresas medianas y grandes, es recomendable designar a un Responsable de Protección de Datos (DPO) que supervise el cumplimiento de la LFPDPPP, coordine las acciones de protección de datos y actúe como punto de contacto con las autoridades.
Establecimiento de políticas internas y procedimientos
La empresa debe contar con políticas internas que regulen el tratamiento de datos personales. Estas deben ser revisadas y actualizadas periódicamente para garantizar su eficacia.
Auditorías y evaluaciones periódicas
Realizar auditorías internas y evaluaciones de impacto en la protección de datos permite identificar posibles vulnerabilidades y áreas de mejora. Estas acciones proactivas ayudan a mitigar riesgos y demostrar el compromiso de la empresa con la protección de datos.
