Skip to content
Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Guía18 min de lectura

Privacidad datos más allá de LFPDPPP: CCPA, LGPD, POPIA

Guía práctica para empresas mexicanas sobre cumplimiento de privacidad global: LFPDPPP, CCPA, LGPD, POPIA, PIPL, DPDPA y APPI.

El equipo CheckFile
El equipo CheckFile·
Illustration for Privacidad datos más allá de LFPDPPP: CCPA, LGPD, POPIA — Guía

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

El incumplimiento de la normativa de privacidad de datos ya no es un riesgo exclusivo del entorno mexicano. Una empresa mexicana que opera en mercados internacionales —captando clientes en California, procesando datos en Brasil o verificando identidades para clientes sudafricanos— está sujeta simultáneamente a múltiples marcos regulatorios, cada uno con sus propias definiciones, derechos, plazos y regímenes sancionadores. Ignorar esta multiplicidad no es una opción: el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) no exime del cumplimiento extraterritorial, y los reguladores de terceros países actúan de forma independiente.

La fragmentación regulatoria global en materia de privacidad ha generado un escenario en el que más de 137 países disponen de legislación de protección de datos, según la UNCTAD, obligando a las empresas con actividad internacional a gestionar simultáneamente entre tres y ocho marcos normativos distintos.

Esta guía analiza los principales marcos de privacidad que afectan a las empresas mexicanas con actividad internacional —CCPA/CPRA, LGPD, POPIA, PIPL, DPDPA y APPI— y establece una estrategia práctica para construir un programa de cumplimiento multi-jurisdiccional eficiente, partiendo de la LFPDPPP como base consolidada.

La LFPDPPP como punto de partida: lo que ya deben tener implementado

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), en vigor desde julio de 2010, es el marco mexicano de protección de datos personales para el sector privado. Se complementa con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) para el sector público. Una empresa mexicana que cumple plenamente con la LFPDPPP dispone de una base —aviso de privacidad, principios ARCO (Acceso, Rectificación, Cancelación y Oposición), deberes de seguridad y confidencialidad— sobre la que puede construir su programa global.

El INAI supervisa la aplicación de la LFPDPPP e impone sanciones que pueden alcanzar los 320,000 a 1,600,000 UMA (aproximadamente $35 a $174 millones MXN) para infracciones graves. Las multas se duplican en caso de tratamiento indebido de datos sensibles.

Los principios fundamentales de la LFPDPPP son ocho: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Estos principios son en gran medida compatibles con los estándares internacionales, lo que facilita la construcción de un programa multi-jurisdiccional.

La clave para una estrategia global es identificar los elementos de la LFPDPPP que son transferibles —principios de minimización, gestión de consentimiento, derechos ARCO— y los que son específicos del entorno mexicano, para no partir de cero en cada nueva jurisdicción.

Para una visión completa del cumplimiento en México, consulten nuestra guía sobre protección de datos y documentos de identidad.

Comparativa de los principales marcos de privacidad global

La siguiente tabla resume los elementos clave de los marcos más relevantes para las empresas mexicanas con actividad internacional:

Marco Jurisdicción Ámbito de aplicación Derechos principales Sanción máxima Autoridad
LFPDPPP México Datos de personas físicas tratados por particulares ARCO (acceso, rectificación, cancelación, oposición) 1,600,000 UMA (~$174 M MXN) INAI
RGPD (2016/679) UE / EEE Datos de personas físicas en la UE Acceso, rectificación, supresión, portabilidad, oposición 20 M EUR / 4% facturación global Autoridades nacionales (CNIL, ICO, etc.)
CCPA/CPRA California (EE. UU.) Empresas con +25 M USD ingresos, +100,000 consumidores CA Conocer, eliminar, corregir, opt-out de venta 7,500 USD por infracción intencionada California Privacy Protection Agency (CPPA)
LGPD (Lei 13.709/2018) Brasil Tratamiento de datos de personas en Brasil Acceso, corrección, eliminación, portabilidad, revocación 2% facturación Brasil, máx. 50 M BRL por infracción ANPD
POPIA (Act 4 of 2013) Sudáfrica Responsables establecidos en Sudáfrica o que procesen datos allí Acceso, corrección, destrucción, objeción Hasta 10 M ZAR o prisión Information Regulator
PIPL China Tratamiento de datos de personas en China Conocer, decidir, corregir, suprimir, portabilidad Hasta 50 M CNY o 5% facturación anual CAC (Cyberspace Administration of China)

CCPA y CPRA: los requisitos californianos que afectan a empresas mexicanas

La California Consumer Privacy Act (CCPA), en vigor desde enero de 2020 y ampliada por la California Privacy Rights Act (CPRA) desde enero de 2023, es la norma de privacidad más exigente de los Estados Unidos. Dada la profunda integración comercial entre México y Estados Unidos a través del T-MEC, muchas empresas mexicanas procesan datos de consumidores californianos sin ser plenamente conscientes de sus obligaciones.

Una empresa mexicana queda sujeta a la CCPA/CPRA si cumple al menos uno de estos criterios: (1) ingresos brutos anuales superiores a 25 millones de dólares; (2) tratamiento de datos personales de 100,000 o más consumidores o hogares californianos al año; o (3) obtención de más del 50% de los ingresos anuales de la venta de datos personales.

La CPRA creó la California Privacy Protection Agency (CPPA), un regulador independiente con poder para imponer multas de hasta 7,500 dólares por cada infracción intencionada, lo que puede traducirse en sanciones millonarias para brechas masivas, como ilustra la multa de 1.2 millones de dólares impuesta a Sephora en 2022 por el fiscal general de California (California AG, comunicado de prensa).

Las principales obligaciones prácticas de la CCPA/CPRA para una empresa mexicana son:

  • Publicar un aviso de privacidad que incluya las categorías de datos recogidos y los fines del tratamiento antes o en el momento de la recopilación.
  • Proporcionar mecanismos para que los consumidores ejerzan el derecho a conocer, eliminar, corregir y limitar el uso de sus datos sensibles.
  • Implementar el botón «Do Not Sell or Share My Personal Information» si se comparten datos con terceros.
  • Establecer contratos de servicio con los proveedores que acceden a datos de consumidores californianos.
  • Mantener registros de las solicitudes de derechos y sus respuestas durante 24 meses.

La CPRA introduce, además, la categoría de «datos sensibles» que incluye número de seguro social, datos financieros, datos de salud, datos biométricos, datos de geolocalización precisa, comunicaciones privadas y datos sobre origen racial o étnico.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Explorar las guías

LGPD: el marco brasileño y su relevancia para empresas con operaciones en América Latina

La Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), en vigor desde septiembre de 2020 con plenas facultades sancionadoras desde agosto de 2021, es el equivalente brasileño de las normativas de protección de datos más avanzadas del mundo. Para las empresas mexicanas, Brasil es un socio comercial clave en América Latina, con más de 200 millones de personas y un ecosistema digital en rápida expansión.

La LGPD se aplica a cualquier operación de tratamiento de datos personales de personas físicas ubicadas en Brasil, independientemente de dónde esté establecido el responsable. Las bases jurídicas reconocidas incluyen el consentimiento libre, informado y específico, el cumplimiento de obligaciones legales, la ejecución de contratos, el interés legítimo y el ejercicio regular de derechos.

La Autoridade Nacional de Proteção de Dados (ANPD) ha emitido sus primeras resoluciones sancionadoras en 2023 y 2024, con multas que alcanzan el 2% de la facturación en Brasil, con un máximo de 50 millones de reales por infracción; la Resolução CD/ANPD n.º 4/2023 establece el procedimiento sancionador detallado.

Diferencias clave entre la LGPD y la LFPDPPP que deben considerarse:

  • La LGPD reconoce diez bases jurídicas, mientras que la LFPDPPP se centra en el consentimiento como base principal, con excepciones específicas.
  • El plazo para notificar brechas de seguridad a la ANPD es de 72 horas desde que se tome conocimiento, más estricto que el plazo "inmediato" pero no cuantificado de la LFPDPPP.
  • La LGPD exige la designación de un Encarregado (equivalente al oficial de protección de datos) para todos los responsables del tratamiento, sin excepción de tamaño.
  • La transferencia internacional de datos requiere garantías adecuadas: cláusulas contractuales estándar, normas corporativas vinculantes o el país destinatario debe contar con reconocimiento de adecuación por parte de la ANPD.

Para empresas con actividad en Brasil que también verifican documentos en este mercado, los requisitos del Banco Central do Brasil (Bacen) y del Conselho de Controle de Atividades Financeiras (Coaf) añaden capas de cumplimiento en materia de KYC y prevención del lavado de dinero que deben articularse con la LGPD.

POPIA: el marco sudafricano en expansión

La Protection of Personal Information Act (POPIA, Act 4 of 2013) entró plenamente en vigor en julio de 2021. Aunque África puede parecer un mercado secundario para muchas empresas mexicanas, los sectores de minería, energía y manufactura automotriz tienen presencia significativa en el continente, y Sudáfrica actúa como hub regulatorio para toda la región.

La POPIA se aplica a cualquier responsable que trate datos personales en Sudáfrica, y sus ocho condiciones de tratamiento legítimo son conceptualmente similares a los principios de la LFPDPPP: responsabilidad, limitación de la finalidad, minimización, calidad de la información, apertura, seguridad, participación del interesado y restricción al flujo transfronterizo.

El Information Regulator de Sudáfrica puede imponer multas de hasta 10 millones de rands sudafricanos (aproximadamente 10 millones MXN al tipo de cambio actual) o penas de prisión de hasta 10 años para las infracciones más graves, lo que convierte a la POPIA en una de las normas con régimen sancionador más severo fuera de la UE (Information Regulator South Africa).

La POPIA exige la notificación obligatoria de brechas al Information Regulator y a los afectados tan pronto como sea razonablemente posible, sin un plazo específico de horas como en la LGPD. También requiere que las organizaciones designen un Information Officer registrado ante el Information Regulator.

PIPL, DPDPA y APPI: los marcos emergentes de Asia

China: PIPL (noviembre de 2021)

La Ley de Protección de la Información Personal de China (PIPL), en vigor desde noviembre de 2021, es la norma más extraterritorial de Asia. Se aplica a cualquier tratamiento de datos de personas en China, incluyendo empresas extranjeras. Las sanciones pueden alcanzar los 50 millones de CNY o el 5% de la facturación anual del año anterior, y la CAC puede ordenar la suspensión de actividades o la revocación de licencias. La PIPL impone restricciones muy estrictas a las transferencias transfronterizas: las empresas que superen umbrales de volumen de datos deben someterse a evaluaciones de seguridad del gobierno chino antes de transferir datos al extranjero.

India: DPDPA (agosto de 2023)

La Digital Personal Data Protection Act (DPDPA), promulgada en agosto de 2023, establece el primer marco comprensivo de privacidad en India. Aunque el reglamento de desarrollo aún está pendiente, las obligaciones principales incluyen: consentimiento granular, designación de un Data Protection Officer para procesadores de datos significativos, y notificación de brechas a la Junta de Protección de Datos. Las multas pueden alcanzar las 250 crore de rupias (aproximadamente 550 millones MXN).

Japón: APPI (revisión de 2022)

La Act on the Protection of Personal Information (APPI), modificada con efectos desde abril de 2022, refuerza los derechos de los interesados e introduce obligaciones de notificación de brechas. La Comisión de Protección de Información Personal (PPC) de Japón puede imponer multas de hasta 100 millones de yenes para personas jurídicas.

Estrategia de cumplimiento multi-jurisdiccional para empresas mexicanas

Primer paso: cartografía de flujos de datos por jurisdicción

El cumplimiento multi-jurisdiccional comienza con un inventario preciso de los flujos de datos. Para cada tratamiento de datos, la empresa debe identificar: (1) dónde residen o se ubican los titulares de los datos, (2) dónde se almacenan y procesan los datos, y (3) qué regulaciones se activan en función de estas coordenadas.

Las plataformas de verificación documental como CheckFile han procesado más de 2.4 millones de documentos en 32 jurisdicciones, lo que permite a los equipos de cumplimiento mapear con precisión los flujos de datos transfronterizos y las regulaciones aplicables a cada tipo de documento y cliente.

Segundo paso: construir sobre la LFPDPPP

La LFPDPPP, aunque menos granular que el RGPD europeo, establece principios sólidos. Una empresa mexicana que disponga de:

  • Aviso de privacidad integral conforme al artículo 15 de la LFPDPPP
  • Procedimientos para atención de derechos ARCO
  • Medidas de seguridad administrativas, técnicas y físicas documentadas
  • Contratos de transferencia de datos con encargados del tratamiento
  • Plan de respuesta ante vulneraciones de seguridad

...dispone de entre el 50% y el 70% de las bases necesarias para cumplir con la LGPD, la POPIA, la APPI y el RGPD, dado que estos marcos comparten principios fundamentales.

Tercer paso: capa de requisitos específicos

Sobre la base LFPDPPP, cada jurisdicción añade requisitos que deben implementarse específicamente:

  • RGPD: registro de actividades de tratamiento, evaluaciones de impacto (EIPD), designación de DPO, mecanismos de portabilidad de datos.
  • CCPA/CPRA: mecanismo de opt-out de venta/compartición de datos, contratos de servicio específicos, gestión de «datos sensibles» californianos.
  • LGPD: designación del Encarregado, gestión de la base jurídica de «protección del crédito», adaptación de avisos de privacidad al portugués brasileño.
  • POPIA: registro del Information Officer, adaptación del flujo de notificación de brechas, cumplimiento de las condiciones transfronterizas.
  • PIPL: evaluaciones de seguridad para transferencias a China, localización de datos para operadores de infraestructura crítica.

La gestión documental como núcleo del cumplimiento

Independientemente de la jurisdicción, el cumplimiento de privacidad requiere verificar, almacenar y gestionar documentos de identidad, contratos, consentimientos y registros de tratamiento con garantías de integridad. La plataforma CheckFile permite a los equipos de cumplimiento centralizar la verificación y el archivado documental con una tasa de cumplimiento en auditoría del 99.2%, reduciendo el tiempo de procesamiento en un 83% respecto a los procesos manuales. Con más de 85 clientes empresariales que operan en múltiples jurisdicciones, la plataforma gestiona la trazabilidad documental requerida tanto por la LFPDPPP como por la LGPD, la POPIA y la CCPA.

Para una herramienta práctica de verificación de su nivel de cumplimiento global, consulten el checklist de auditoría de cumplimiento.

Transferencias internacionales de datos: el punto más crítico del cumplimiento global

Las transferencias internacionales de datos son el punto de fricción más frecuente en los programas de cumplimiento multi-jurisdiccional. Cada marco tiene sus propias reglas para autorizar la exportación de datos personales:

  • LFPDPPP: consentimiento del titular, cláusulas contractuales, reconocimiento de nivel adecuado de protección por el INAI, normas corporativas vinculantes.
  • RGPD: decisiones de adecuación de la Comisión Europea, cláusulas contractuales tipo (CCT), normas corporativas vinculantes (BCR) o mecanismos del artículo 49 para situaciones específicas.
  • LGPD: autorización de la ANPD, decisión de adecuación, cláusulas estándar contractuales o normas corporativas globales.
  • POPIA: sujeto a que el destinatario esté en un país con protección adecuada o que el responsable asegure contractualmente el nivel de protección equivalente.
  • PIPL: evaluación de seguridad gubernamental para datos a gran escala, certificación de protección de datos personales, o cláusulas estándar de la CAC.

Para las empresas mexicanas, la transferencia de datos bajo el T-MEC (Tratado entre México, Estados Unidos y Canadá) se beneficia de las disposiciones del capítulo de comercio digital que prohíben restricciones injustificadas a los flujos de datos transfronterizos, aunque esto no exime del cumplimiento de la LFPDPPP ni de las leyes del país receptor.

Cumplimiento sectorial: requisitos adicionales para entidades financieras mexicanas

Las entidades financieras mexicanas operan bajo una capa adicional de requisitos que interactúan con los marcos de privacidad global. La CNBV, Banxico y la UIF imponen obligaciones de KYC y PLD que exigen la recopilación y conservación de documentos de identidad. Este tratamiento debe articularse con la LFPDPPP y, cuando el cliente reside en otra jurisdicción, con la normativa local aplicable.

Las fintech y entidades bancarias que captan clientes en Brasil deben cumplir simultáneamente con las Resoluções do Conselho Monetário Nacional (CMN) en materia de KYC, las circulares del Bacen y la LGPD. Del mismo modo, las operaciones en Sudáfrica exigen cumplir con el Financial Intelligence Centre Act (FICA) junto con la POPIA.

La regla práctica: cuando la normativa de prevención del lavado de dinero exige recopilar datos que el marco de privacidad restringiría, la base jurídica de obligación legal prevalece en todos los marcos, pero no exime de cumplir los demás principios —minimización, conservación limitada, seguridad y transparencia.

Consulten también nuestra guía sobre cumplimiento PLD para sujetos obligados para el contexto específico de las obligaciones antilavado.

Seguridad técnica y organizativa: requisitos comunes

Todos los marcos de privacidad global convergen en exigir medidas técnicas y organizativas apropiadas para proteger los datos personales. Los estándares mínimos que satisfacen simultáneamente los requisitos de la LFPDPPP, la CCPA, la LGPD y la POPIA incluyen:

  • Cifrado en reposo y en tránsito para datos personales
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio
  • Registros de auditoría para accesos a datos personales
  • Procesos de notificación de brechas con plazos definidos (72 horas LGPD, "inmediato" LFPDPPP, «razonablemente posible» POPIA)
  • Evaluaciones de riesgo periódicas de los sistemas de tratamiento
  • Capacitación documentada del personal con acceso a datos personales

La seguridad de la plataforma CheckFile está certificada y auditada para garantizar que los documentos procesados cumplen con los requisitos técnicos de todos los marcos mencionados, con cifrado AES-256, segregación de datos por cliente y registros de auditoría inmutables.

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

Preguntas frecuentes

¿Qué marco de privacidad prevalece cuando se solapan la LFPDPPP y la CCPA?

Cuando una empresa mexicana trata datos de consumidores californianos que también están sujetos a la LFPDPPP, ambos marcos se aplican simultáneamente y de forma independiente. No existe jerarquía entre ellos: la empresa debe cumplir con todos los requisitos de ambas normas. En la práctica, la CCPA exige mecanismos específicos como el opt-out de venta de datos que no tienen equivalente en la LFPDPPP, y deben implementarse de forma adicional. Paralelamente, la LFPDPPP impone el aviso de privacidad integral con los 8 principios rectores, que la CCPA no exige en la misma forma.

¿La LGPD se aplica a una empresa mexicana que vende productos en línea a consumidores brasileños?

Sí. La LGPD se aplica siempre que el tratamiento de datos tenga por objeto ofrecer bienes o servicios a personas ubicadas en Brasil, independientemente de dónde esté establecida la empresa. Incluso una tienda en línea mexicana que recibe pedidos de clientes brasileños recopila y trata datos de personas ubicadas en Brasil y queda sujeta a la LGPD. El criterio es análogo al del RGPD para la aplicación extraterritorial.

¿Cuáles son los plazos de notificación de brechas de seguridad en los distintos marcos?

Los plazos varían significativamente: la LGPD y el RGPD exigen notificación a la autoridad de control en un plazo de 72 horas desde que el responsable tenga conocimiento de la brecha. La LFPDPPP exige notificación "inmediata" al titular cuando la vulneración afecte de forma significativa sus derechos patrimoniales o morales, sin un plazo específico en horas. La POPIA no fija un plazo en horas y exige notificación «tan pronto como sea razonablemente posible». La CCPA/CPRA no establece un plazo específico para notificación a la autoridad, pero obliga a notificar a los afectados sin demora injustificada.

¿Qué tamaño de empresa debe preocuparse por el cumplimiento multi-jurisdiccional?

El tamaño no es el criterio determinante: lo relevante es el alcance geográfico del tratamiento de datos. Una startup mexicana con 20 empleados que tenga usuarios en California, Brasil y Sudáfrica está sujeta a la CCPA, la LGPD y la POPIA. La mayoría de estos marcos establecen exenciones o simplificaciones para microempresas o volúmenes de datos muy pequeños. La CCPA exime a empresas con ingresos inferiores a 25 millones de dólares que no comercian con datos; la LGPD prevé regímenes diferenciados para pequeños agentes de tratamiento. Lo prudente es realizar una evaluación formal de aplicabilidad antes de descartarla.

¿Cómo puede CheckFile ayudar con el cumplimiento de privacidad en múltiples jurisdicciones?

CheckFile ofrece una plataforma de verificación y gestión documental diseñada para entornos multi-jurisdiccionales. La plataforma procesa documentos de identidad, contratos y expedientes de cumplimiento con controles de acceso granulares, cifrado de extremo a extremo y registros de auditoría que satisfacen los requisitos de conservación y trazabilidad de la LFPDPPP, la LGPD, la POPIA y la CCPA. Los equipos de cumplimiento pueden centralizar la gestión de solicitudes de derechos de los titulares y automatizar los plazos de conservación mediante las herramientas disponibles en CheckFile Tarifas.

Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico. Los marcos regulatorios descritos están sujetos a cambios frecuentes. Para situaciones concretas, consulten con un abogado especializado en protección de datos con experiencia en las jurisdicciones relevantes.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Guía17 min

CheckFile vs Jumio: comparación completa 2026

Comparación CheckFile vs Jumio para México — UIF, CNBV, SAT, LFPIORPI. ¿Qué solución de verificación de identidad elegir en 2026?

Leer
Guía15 min

CheckFile vs Onfido: comparación completa 2026

Comparación detallada CheckFile vs Onfido para México — UIF, CNBV, LFPIORPI. ¿Qué solución de verificación documental elegir en 2026?

Leer
Guía10 min

Know Your Supplier (KYS): verificación de proveedores en México

Guía KYS para México: UIF, CNBV, SAT y LFPIORPI para equipos de compras. Checklist de 12 verificaciones, documentos INE/RFC, señales de alerta y automatización 2026.

Leer