contacto@duriva.com
+52 (55) 8852 7509
Privacidad digital en Mexico: Lo que realmente puedes exigirle a las empresas

Privacidad digital en Mexico: Lo que realmente puedes exigirle a las empresas

68 privacidad digital mexico 1


Firmaste un aviso de privacidad de 20 páginas sin leerlo.

No te estoy juzgando. Yo también lo he hecho. Todos lo hemos hecho. Esa ventana emergente que dice «He leído y acepto el aviso de privacidad» antes de poder usar un servicio, antes de poder comprar algo en línea, antes de poder crear una cuenta — le diste clic en «Aceptar» sin bajar ni una línea. Sin leer una sola cláusula. Sin tener la menor idea de a qué estabas accediendo.

Y ese clic le dio a una empresa el derecho de hacer cosas con tus datos personales que, si las supieras, probablemente no habrías aceptado.

Llevo 17 años en informática forense. He analizado bases de datos de empresas en litigios donde lo que encontramos adentro no se parecía en nada a lo que el aviso de privacidad decía que iban a hacer con los datos. He visto empresas que recopilan datos biométricos sin consentimiento específico. He visto bases de datos compartidas con terceros que el titular nunca autorizó. He visto avisos de privacidad redactados con el propósito explícito de ser imposibles de entender — no por incompetencia, sino por diseño. Porque mientras más largo, más confuso y más denso sea el aviso, menor es la probabilidad de que alguien lo lea. Y si nadie lo lee, nadie lo cuestiona.

Pero tienes derechos. Derechos reales, ejercitables, con consecuencias legales para quien los viole. Derechos que la mayoría de los mexicanos no conocen, no ejercen y no exigen. Derechos que las empresas preferirían que nunca descubrieras que tienes.

Ciudadano que siente que sus datos andan por todos lados y no sabe qué hacer: este artículo es tu manual. Te voy a explicar qué derechos tienes, cómo ejercerlos, y qué puede pasar si la empresa no responde.

Empresario con bases de datos de clientes: lo que va a leer aquí debería ser su checklist de cumplimiento. Porque la ley aplica para todos, y las consecuencias de no cumplir no son teóricas — son multas que pueden llegar a millones de pesos.

Abogado de protección de datos personales: encontrará aquí la traducción práctica de la LFPDPPP para sus clientes que no son abogados. Compártale este artículo antes de la siguiente consulta. Le va a ahorrar dos horas de explicación.

Activista de derechos digitales: lo que necesitamos no es más gente que diga «la privacidad importa.» Lo que necesitamos es más gente que sepa exactamente cómo ejercer sus derechos. Este artículo es una herramienta para eso.

LFPDPPP: la ley que ya tienes y que probablemente no conoces

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares. LFPDPPP. El nombre es largo. La ley es densa. Pero su núcleo es simple: si una empresa tiene tus datos personales, tiene obligaciones. Y tú tienes derechos.

Voy a hacer algo que la ley debió hacer y no hizo: explicarla en lenguaje humano.

La LFPDPPP establece que toda persona o empresa que recopile, use, almacene o comparta datos personales de otra persona — lo que la ley llama «responsable del tratamiento» — debe cumplir con una serie de principios y obligaciones. No son sugerencias. Son obligaciones legales con consecuencias reales.

Principio de licitud. Los datos personales deben ser recabados y tratados de manera lícita. Si la empresa recopiló tus datos de manera engañosa — por ejemplo, si dijo que los iba a usar para un propósito y los usó para otro –, violó este principio.

Principio de consentimiento. El tratamiento de datos personales requiere tu consentimiento. Ese consentimiento debe ser informado — es decir, debes saber para qué se van a usar tus datos. Y en el caso de datos sensibles — datos de salud, datos biométricos, datos sobre preferencias sexuales, datos sobre creencias religiosas –, el consentimiento debe ser expreso. No implícito. No «por el hecho de usar nuestro servicio.» Expreso. Explícito. Documentado.

Principio de información. La empresa debe informarte qué datos recopila, para qué los recopila, con quién los comparte y cómo puedes ejercer tus derechos. Eso es lo que se supone que es el aviso de privacidad. En teoría, el aviso de privacidad es la herramienta mediante la cual la empresa te informa sobre el tratamiento de tus datos. En la práctica, el aviso de privacidad es un documento de 20 páginas redactado por abogados para otros abogados, con cláusulas tan amplias que autorizan prácticamente cualquier uso de tus datos.

Principio de finalidad. Los datos personales solo pueden ser usados para los fines que se te informaron y para los que diste consentimiento. Si la empresa recopiló tu correo electrónico para enviarte la factura de una compra, no puede usar ese correo para enviarte publicidad. A menos que el aviso de privacidad diga que puede hacerlo — y aquí está la trampa: los avisos de privacidad suelen incluir cláusulas de finalidad tan amplias que autorizan casi todo.

Principio de proporcionalidad. Solo se deben recopilar los datos que sean necesarios para el fin declarado. Si una tienda en línea te pide tu CURP para venderte una camiseta, eso es desproporcional. No necesita tu CURP. Necesita tu dirección de envío, tu forma de pago y tu nombre. El CURP es un dato que no tiene relación con la transacción y su recopilación viola el principio de proporcionalidad.

Principio de responsabilidad. La empresa es responsable del tratamiento de tus datos. Si hay una filtración, si los datos se comparten sin autorización, si los datos se usan para un fin no autorizado — la empresa es responsable. No tú. No el «hacker.» La empresa. Porque la empresa es quien tenía la obligación de proteger los datos y no lo hizo.

Estos principios no son decoración legislativa. Son la base legal sobre la cual se construyen tus derechos. Y tus derechos tienen un nombre que todo mexicano debería conocer: ARCO.

Derechos ARCO: lo que realmente puedes exigir

ARCO son las siglas de Acceso, Rectificación, Cancelación y Oposición. Son tus cuatro derechos fundamentales sobre tus datos personales. Y son ejercitables. No son principios abstractos. Son derechos concretos que puedes exigir a cualquier empresa que tenga tus datos.

Derecho de Acceso

Tienes derecho a saber. A saber qué datos tiene la empresa sobre ti. A saber cómo los obtuvo. A saber para qué los está usando. A saber con quién los ha compartido.

Esto es más poderoso de lo que parece.

Si le pides a una empresa que te diga qué datos tiene sobre ti, la empresa está obligada por ley a responderte. No «cuando tenga tiempo.» No «si quiere.» Está obligada. Tiene un plazo de 20 días hábiles para responder. Si no responde en ese plazo, está en incumplimiento.

Y lo que puede revelarte esa solicitud de acceso es revelador. Porque muchas empresas recopilan más datos de los que tú crees que tienen. Tu nombre, tu correo, tu teléfono — eso lo esperabas. Pero también pueden tener tu historial de navegación en su sitio web. Tus patrones de compra. Tu ubicación geográfica basada en la IP desde la que accedes. Tus datos de dispositivo — qué celular usas, qué sistema operativo, qué navegador. En algunos casos, datos biométricos — tu voz si llamaste a su call center, tu rostro si usaron reconocimiento facial en su tienda.

Ejercer tu derecho de acceso te da la fotografía completa de lo que la empresa sabe sobre ti. Y esa fotografía es el punto de partida para ejercer los demás derechos.

Derecho de Rectificación

Tienes derecho a que la empresa corrija tus datos si son incorrectos o están incompletos. Si la empresa tiene tu nombre mal escrito, tu dirección desactualizada, tu estado civil equivocado — puedes exigir que lo corrija.

Parece básico. Pero pensalo: un dato incorrecto en una base de datos puede tener consecuencias reales. Un nombre mal escrito puede generar problemas en una verificación de antecedentes. Una dirección incorrecta puede hacer que una notificación legal no te llegue. Un dato de salud equivocado en tu expediente puede afectar tu acceso a un seguro.

La rectificación no es un favor que la empresa te hace. Es tu derecho. Y la empresa tiene la obligación de ejecutarla una vez que se la solicitas con la documentación que respalde la corrección.

Derecho de Cancelación

Tienes derecho a que la empresa elimine tus datos cuando ya no son necesarios para el fin para el que fueron recopilados, cuando retiras tu consentimiento, o cuando consideras que tus datos están siendo tratados de manera indebida.

A ver, a ver, a ver. Este derecho es el que más incomoda a las empresas. Porque las empresas acumulan datos como quien acumula activos. Los datos tienen valor. Se usan para análisis de mercado, para perfilamiento de clientes, para publicidad dirigida, para venta a terceros. Pedirle a una empresa que elimine tus datos es pedirle que destruya un activo. Y no les gusta.

Pero la ley es clara. Si solicitas la cancelación y la empresa no tiene una razón legal para retener los datos — como una obligación fiscal de conservar registros por un periodo determinado –, debe eliminarlos. No archivarlos. No marcarlos como «inactivos.» Eliminarlos.

Hay un matiz importante: la cancelación no siempre es inmediata. Existe un «periodo de bloqueo» antes de la eliminación definitiva, durante el cual los datos se conservan solo para efectos de responsabilidades derivadas del tratamiento. Pero después de ese periodo, los datos deben desaparecer.

Derecho de Oposición

Tienes derecho a oponerte al tratamiento de tus datos para fines específicos. Esto es particularmente relevante en el caso de publicidad y mercadotecnia.

Si una empresa tiene tus datos porque le compraste un producto, pero ahora te está enviando publicidad que no solicitaste, puedes ejercer tu derecho de oposición para que deje de usar tus datos con ese fin. La empresa puede seguir teniendo tus datos para el fin original — la factura, la garantía del producto — pero debe dejar de usarlos para el fin al que te opusiste.

El derecho de oposición también aplica cuando la empresa toma decisiones automatizadas que te afectan — por ejemplo, si un algoritmo de scoring te niega un servicio basándose en tus datos personales. Puedes oponerte a que tus datos sean utilizados para ese tipo de decisión automatizada.

68 privacidad digital mexico 2

Cómo ejercer tus derechos ARCO: el procedimiento real

No basta con saber que tienes derechos. Necesitas saber cómo ejercerlos. Y el procedimiento, aunque sencillo en su estructura, requiere precisión.

Paso uno: identifica al responsable y su mecanismo. El aviso de privacidad de la empresa — sí, el documento de 20 páginas que no leíste — debe incluir los datos de contacto del «departamento de datos personales» o del «oficial de privacidad.» También debe incluir el procedimiento para ejercer derechos ARCO. Si el aviso no incluye esta información, la empresa ya está en incumplimiento.

Paso dos: enviar la solicitud ARCO. La solicitud debe incluir tu nombre completo, una copia de tu identificación oficial, la descripción clara de lo que solicitas (acceso, rectificación, cancelación u oposición), y cualquier documento que sustente tu solicitud.

La solicitud puede enviarse por el medio que el aviso de privacidad indique — correo electrónico, formulario web, correo físico. Si el aviso no indica un medio específico, puedes usar cualquier medio que deje constancia de tu solicitud. Siempre, siempre, siempre: guarda copia de tu solicitud con acuse de recibo. La constancia de que enviaste la solicitud y la fecha en que la enviaste son fundamentales si después necesitas escalar.

Paso tres: esperar la respuesta. La empresa tiene 20 días hábiles para responder. Si la respuesta es favorable, debe ejecutar lo solicitado en un plazo de 15 días hábiles adicionales. Si la respuesta es negativa, debe fundamentar la negativa — es decir, explicar por qué no puede o no debe atender tu solicitud.

Paso cuatro: si no responde o te niega sin fundamento. Aquí es donde entra el INAI — el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Si la empresa no responde en el plazo legal, o si te niega tu solicitud sin un fundamento válido, puedes presentar una queja ante el INAI.

El INAI: la autoridad que puede obligar a las empresas

El INAI es la autoridad garante de la protección de datos personales en el sector privado. No es un organismo decorativo. Tiene facultades reales: puede investigar, puede sancionar, puede ordenar a la empresa que cumpla con tu solicitud ARCO.

Les soy franco: el proceso ante el INAI no es instantáneo. Tiene plazos, tiene etapas, tiene formalidades. Pero funciona. He visto casos donde empresas que ignoraron las solicitudes ARCO de sus clientes recibieron multas de millones de pesos y fueron obligadas a modificar sus prácticas de tratamiento de datos.

El procedimiento es el siguiente:

  • Presentas tu queja ante el INAI. Puedes hacerlo en línea a través del sistema de quejas del INAI, o de manera presencial.
  • El INAI notifica a la empresa y le da un plazo para responder.
  • Si la empresa no responde o su respuesta es insatisfactoria, el INAI puede iniciar un procedimiento de verificación.
  • El procedimiento puede resultar en una resolución que ordene a la empresa cumplir con tu solicitud ARCO y, si se acreditan violaciones a la ley, en sanciones económicas.

Las sanciones no son menores. La LFPDPPP contempla multas de hasta 320,000 días de salario mínimo general vigente. Hagan la matemática. No es un número simbólico.

Lo que el aviso de privacidad realmente dice (cuando lo lees)

Voy a hacer el ejercicio que deberíamos hacer todos pero que nadie hace: leer un aviso de privacidad típico y explicar lo que realmente dice.

No voy a usar el aviso de una empresa específica. Voy a usar un compuesto — un aviso típico que refleja las cláusulas que he visto en cientos de avisos de privacidad de empresas mexicanas. Porque los patrones se repiten.

Cláusula típica 1: «Recopilamos datos personales que usted nos proporciona directamente, así como datos obtenidos de fuentes públicamente accesibles y de terceros.»

Traducción: no solo usamos los datos que nos das. También buscamos datos tuyos en internet y los compramos a otras empresas que los tienen. Cuando dice «fuentes públicamente accesibles,» se refiere a redes sociales, directorios públicos, registros gubernamentales abiertos. Cuando dice «terceros,» se refiere a brokers de datos — empresas que se dedican a recopilar y vender información personal.

Cláusula típica 2: «Utilizamos sus datos personales para las finalidades primarias necesarias para la relación jurídica con usted, así como para finalidades secundarias que incluyen, de manera enunciativa mas no limitativa, mercadotecnia, publicidad, prospección comercial, y perfilamiento.»

Traducción: los usamos para lo que te prometimos, pero también para venderte cosas, para analizar tu comportamiento de compra, para crear un perfil comercial tuyo, y para cualquier otra cosa que se nos ocurra — porque «de manera enunciativa mas no limitativa» significa que la lista no está cerrada. Puede incluir lo que sea.

Cláusula típica 3: «Podemos transferir sus datos personales a terceros nacionales o internacionales, sin requerir su consentimiento, en los supuestos previstos por el artículo 37 de la LFPDPPP.»

Traducción: podemos darle tus datos a otras empresas, incluso fuera de México, y en ciertos casos no necesitamos preguntarte. El artículo 37 tiene excepciones al consentimiento — como cuando la transferencia es necesaria por un contrato, por una ley, o por la defensa de un derecho en un proceso judicial. Pero la redacción vaga permite que la empresa interprete las excepciones de manera amplia.

Cláusula típica 4: «Si usted no manifiesta su oposición para que sus datos personales sean tratados para las finalidades secundarias, se entenderá que ha otorgado su consentimiento.»

Traducción: si no dices que no, asumimos que dijiste que sí. Este es el mecanismo de consentimiento tácito. La ley lo permite para datos personales no sensibles. Pero aquí está el problema: para oponerte a las finalidades secundarias, primero necesitas leer el aviso de privacidad, identificar cuáles son las finalidades secundarias, y manifestar tu oposición antes de que la empresa empiece a tratar tus datos para esas finalidades. Si no lo hiciste — y no lo hiciste, porque no leíste el aviso –, la empresa tiene tu consentimiento tácito.

Es un sistema diseñado para que el consentimiento sea automático y la oposición sea una excepción que requiere acción afirmativa del titular. El sistema debería ser al revés: el consentimiento debería ser la acción afirmativa y la oposición debería ser el default.

Pero la ley es la que es. Y dentro de la ley, tus derechos ARCO son la herramienta para recuperar el control.

68 privacidad digital mexico 3

Lo que REALMENTE puedes exigir: técnica y legalmente

Voy a ser concreto porque la teoría sin acción no sirve.

Puedes exigir saber exactamente qué datos tiene la empresa sobre ti. No un resumen. No una descripción general. Los datos. Tu expediente completo. Incluyendo los datos que obtuvieron de terceros, los perfiles que crearon con base en tu comportamiento, las decisiones automatizadas que se tomaron con tus datos.

Puedes exigir que dejen de venderte cosas. Oposición a finalidades secundarias de mercadotecnia. La empresa está obligada a dejar de usar tus datos para publicidad si se lo pides. Si sigue enviándote correos comerciales después de tu solicitud de oposición, está en violación de la ley.

Puedes exigir que borren tus datos. Cancelación. Si ya no quieres que la empresa tenga tu información, puedes solicitar la eliminación. Salvo excepciones legales — como obligaciones fiscales de conservación de registros –, la empresa debe cumplir.

Puedes exigir saber si sufriste una filtración. Si la empresa tuvo un incidente de seguridad que comprometió tus datos — un hackeo, una filtración, un acceso no autorizado –, la LFPDPPP establece que la empresa debe notificarte. En la práctica, muchas empresas no lo hacen. Si sospechas que tus datos fueron comprometidos, tu derecho de acceso te permite solicitar la información y la empresa debe revelarte si hubo un incidente.

Puedes exigir que un humano revise una decisión automatizada. Si un algoritmo te negó un servicio, te asignó un precio diferente, o te clasificó de alguna manera basándose en tus datos personales, puedes oponerte al tratamiento automatizado y solicitar que un ser humano revise la decisión. Este derecho no está expresamente articulado en la LFPDPPP como lo está en el GDPR europeo, pero se puede construir jurídicamente desde los principios de consentimiento informado y oposición al tratamiento.

Puedes exigir que la empresa demuestre que cumple. El principio de responsabilidad de la LFPDPPP pone la carga en la empresa, no en ti. La empresa debe poder demostrar que cumple con la ley. Si no puede demostrarlo, está en incumplimiento. Un peritaje informático forense puede auditar las bases de datos, los sistemas de seguridad, las políticas de tratamiento y determinar si la empresa cumple o no con sus obligaciones legales.

La perspectiva forense: lo que he visto en los casos reales

He auditado bases de datos de empresas en el contexto de litigios. Lo que he encontrado en esas auditorías es lo que me impulsa a escribir este artículo.

He visto bases de datos donde los «datos eliminados» no estaban eliminados. Estaban marcados como inactivos en una tabla de la base de datos, pero seguían ahí. Accesibles. Consultables. Usables. La empresa le dijo al titular que sus datos habían sido cancelados. La base de datos decía otra cosa.

He visto empresas que compartían bases de datos completas con terceros sin ninguna cláusula contractual de protección. Los datos salían de la empresa original y entraban a otra empresa que los usaba sin consentimiento del titular, sin aviso de privacidad propio, sin ninguna de las obligaciones que la ley exige.

He visto avisos de privacidad que mencionaban medidas de seguridad «de industria» para proteger los datos, y cuando auditamos los sistemas, las contraseñas de acceso a la base de datos eran las de fábrica. La «seguridad de industria» era una declaración en un documento legal. No una realidad técnica.

Reitero: la ley existe. Los derechos existen. Pero la brecha entre lo que la ley dice y lo que las empresas hacen es enorme. Y esa brecha solo se cierra cuando los titulares ejercen sus derechos y cuando la autoridad sanciona los incumplimientos.

El peritaje informático forense es la herramienta que documenta esa brecha. Que convierte «creo que la empresa no está cumpliendo» en «el análisis forense demuestra que la empresa tiene datos del titular que debieron ser eliminados, que compartió datos con terceros no autorizados, y que sus medidas de seguridad no cumplen con el estándar declarado en su aviso de privacidad.»

Eso no es una opinión. Es evidencia.


Tus datos personales no son un regalo que le haces a las empresas a cambio de usar sus servicios. Son información tuya, protegida por una ley federal, con derechos específicos que puedes ejercer en cualquier momento.

El problema no es que la ley no exista. El problema es que nadie la ejerce. Que firmamos avisos de privacidad sin leerlos. Que aceptamos términos que no entendemos. Que entregamos nuestros datos como si no tuvieran valor. Y que cuando descubrimos que los usaron para algo que no autorizamos, no sabemos qué hacer.

Ahora lo sabes.

Sabes que tienes derechos ARCO. Sabes cómo ejercerlos. Sabes que el INAI es la autoridad que puede obligar a las empresas a cumplir. Sabes que las sanciones son reales. Y sabes que un peritaje informático forense puede documentar el incumplimiento de la empresa cuando la empresa dice una cosa y sus sistemas hacen otra.

El primer paso es ejercer tu derecho de acceso. Pídele a una empresa — cualquier empresa con la que tengas relación — que te diga qué datos tiene sobre ti. La respuesta te va a sorprender.

Y cuando te sorprenda, vas a entender por qué la privacidad digital no es un tema de activistas. Es un tema de cada persona que tiene un celular, un correo electrónico y una cuenta en cualquier servicio en línea.

Es decir, de todos.