LFPDPPP y gestión documental: guía de cumplimiento
Guía práctica de cumplimiento de la LFPDPPP en gestión documental: plazos de conservación, derechos ARCO
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokCada documento que una empresa recopila contiene datos personales protegidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. Copias de credenciales del INE, recibos de nómina, contratos laborales, comprobantes de domicilio: cada uno genera obligaciones específicas de tratamiento, conservación y destrucción. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ha intensificado sus actuaciones en materia de gestión documental, con sanciones que alcanzan los 75 millones de pesos o equivalentes de acuerdo con las infracciones previstas en la ley. Esta guía detalla los principios aplicables, los plazos de conservación, los derechos de los titulares y las medidas concretas para una gestión documental conforme en México.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.
Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal, financiero ni regulatorio. El marco descrito aplica a México; para situaciones específicas, consulte a un abogado especializado en protección de datos personales.
Los 8 principios de la LFPDPPP aplicados a la gestión documental
La LFPDPPP establece ocho principios fundamentales que rigen todo tratamiento de datos personales. Su aplicación a la gestión documental exige medidas concretas en cada fase del ciclo de vida del documento.
| Principio LFPDPPP | Artículo | Aplicación a la gestión documental |
|---|---|---|
| Licitud | Art. 6 | Cada recogida de documentos debe cumplir con la legislación aplicable y el tratamiento debe ser conforme a la ley |
| Consentimiento | Art. 8 | El titular debe otorgar su consentimiento para el tratamiento, salvo excepciones legales (obligación fiscal, relación laboral) |
| Información | Art. 15-16 | El aviso de privacidad debe detallar qué documentos se recogen, para qué y durante cuánto tiempo |
| Calidad | Art. 11 | Los documentos deben ser exactos, completos y actualizados; una credencial del INE vencida debe sustituirse |
| Finalidad | Art. 12 | Una credencial del INE recogida para verificación KYC no puede reutilizarse para elaborar perfiles comerciales |
| Lealtad | Art. 7 | El tratamiento debe respetar la expectativa razonable del titular sobre el uso de sus documentos |
| Proporcionalidad | Art. 13 | Recopilar solo los documentos estrictamente necesarios: un estado de cuenta basta para una transferencia, no una copia de la tarjeta bancaria |
| Responsabilidad | Art. 14 | La empresa debe poder demostrar su cumplimiento: aviso de privacidad, medidas de seguridad, procedimientos documentados |
El INAI ha publicado guías específicas sobre protección de datos personales que refuerzan la obligación de proporcionalidad en el contexto documental. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establece requisitos adicionales para entidades del sector público.
Para orientación específica sobre documentos de identidad bajo la LFPDPPP, consulte nuestra guía LFPDPPP y documentos de identidad.
Plazos de conservación por tipo de documento
La definición de plazos de conservación es una de las obligaciones más concretas de la LFPDPPP. En México, estos plazos resultan de la combinación de la ley de protección de datos, la LFPIORPI, el Código Fiscal de la Federación y múltiples normas sectoriales. El INAI ha sancionado a empresas por conservar documentos más allá de los plazos legalmente justificados.
| Tipo de documento | Base jurídica | Plazo de conservación recomendado | Normativa aplicable |
|---|---|---|---|
| Copia de INE/Pasaporte (KYC) | Obligación legal | 10 años tras el fin de la relación comercial | LFPIORPI, art. 18 fracción IV |
| Contrato de trabajo | Ejecución del contrato | 5 años tras la extinción del contrato | Ley Federal del Trabajo, art. 516 (prescripción) |
| Recibos de nómina | Obligación legal | 5 años (prescripción laboral y fiscal) | LFT art. 516, CFF art. 30 |
| Comprobante de domicilio | Interés legítimo | Duración de la relación + 1 año | Criterio INAI |
| Facturas (CFDI) | Obligación legal | 5 años desde la fecha de emisión | CFF art. 30 |
| Documentos contables | Obligación legal | 5 años desde la fecha de la última declaración | CFF art. 30 |
| Datos bancarios (CLABE) | Ejecución del contrato | Duración de la relación + 10 años | LFPIORPI, Código de Comercio art. 1047 |
| Expediente médico laboral | Obligación legal | 5 años desde el último examen | NOM-030-STPS-2009, Ley del IMSS |
La interacción entre la LFPIORPI y la LFPDPPP
En México, la LFPIORPI impone plazos de conservación de 10 años para los documentos de identificación de clientes en el marco de las obligaciones PLD/FT, lo que supera los plazos estándar de conservación bajo la LFPDPPP. Este plazo entra en tensión con el principio de proporcionalidad. El INAI ha aclarado que la obligación legal prevalece como base jurídica, pero que los documentos deben eliminarse de forma segura en cuanto expire el plazo legal.
La implementación práctica de estos plazos exige un sistema de gestión documental capaz de aplicar reglas de retención diferenciadas por tipo de documento y de automatizar la purga al vencimiento. Una solución de verificación documental automatizada permite fechar cada recogida y programar las destrucciones.
Derechos ARCO de los titulares en la gestión documental
La LFPDPPP reconoce a los titulares un conjunto de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) que la empresa debe poder atender en un plazo máximo de 20 días hábiles, prorrogable por 20 días más.
Derecho de acceso
Cualquier persona puede solicitar a la empresa información sobre qué datos personales se tienen de ella, incluidas copias de documentos. La empresa debe ser capaz de localizar y extraer todos los documentos asociados a un individuo en todos sus sistemas: gestor documental, correo electrónico, archivos físicos, respaldos. El INAI considera que la incapacidad técnica para atender este derecho constituye un incumplimiento.
Derecho de cancelación
El titular puede solicitar la eliminación de sus documentos, salvo cuando una obligación legal imponga su conservación (período de bloqueo). En la práctica, si un cliente solicita la cancelación de su copia de credencial del INE recopilada en el marco de la LFPIORPI, la empresa puede denegarla durante el plazo legal de 10 años, pero debe destruir el documento una vez expirado este plazo. Durante el período de bloqueo, los datos se conservan pero no se tratan.
Derecho a la portabilidad
La LFPDPPP no contempla un derecho de portabilidad equivalente al del RGPD europeo. Sin embargo, el derecho de acceso permite al titular obtener una copia de sus datos en formato comprensible. Para documentos escaneados, esto implica proporcionar los archivos en formato estándar (PDF, JPEG) junto con la información asociada.
La automatización de estos procesos es imprescindible a escala. Descubra cómo estructurar su programa de conformidad documental.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasEvaluación de impacto en la protección de datos personales
Aunque la LFPDPPP no contempla expresamente la obligación de realizar evaluaciones de impacto como las EIPD europeas, el INAI ha emitido recomendaciones para que los responsables del tratamiento realicen evaluaciones de riesgo cuando el tratamiento pueda entrañar un alto riesgo para los derechos de los titulares. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados sí establece esta obligación para el sector público.
Cuándo es recomendable una evaluación de riesgo
Una evaluación es recomendable cuando el tratamiento documental cumple al menos dos de estos criterios: tratamiento a gran escala, datos sensibles (biometría, documentos de identidad), monitorización sistemática, cruce de datos, personas vulnerables. En la práctica, cualquier empresa que verifique la identidad de más de unos cientos de personas al mes debería realizar una evaluación para sus procesos de verificación documental.
Metodología en cuatro fases
La metodología recomendada se estructura en cuatro fases. Primera, la descripción del tratamiento: qué documentos se recogen, por quién, con qué finalidad, con qué herramientas. Segunda, la evaluación de necesidad y proporcionalidad: todos los documentos recogidos son indispensables, los plazos de conservación están justificados, existe una alternativa menos intrusiva. Tercera, la evaluación de riesgos: qué amenazas existen (brecha de datos, acceso no autorizado, pérdida) y qué impacto tendrían sobre los titulares. Cuarta, las medidas de mitigación: cifrado, disociación, control de acceso, capacitación del personal.
El responsable del tratamiento debe documentar esta evaluación. Si el riesgo residual sigue siendo alto tras la aplicación de las medidas, se recomienda consultar al INAI a través de los canales habilitados.
Medidas técnicas y organizativas
La LFPDPPP exige la implementación de medidas de seguridad administrativas, técnicas y físicas para garantizar la protección de los datos personales contenidos en los documentos. Estas medidas deben ser proporcionales al riesgo, conforme a lo establecido en el Reglamento de la ley y las Recomendaciones del INAI.
Cifrado y control de acceso
El cifrado de documentos en reposo (AES-256) y en tránsito (TLS 1.3) constituye la base técnica mínima. Conozca nuestros estándares de seguridad y las medidas que aplicamos al tratamiento documental. El control de acceso basado en roles (RBAC) garantiza que solo el personal autorizado acceda a los documentos pertinentes: un responsable de recursos humanos accede a las nóminas, pero no a los expedientes KYC del departamento de cumplimiento.
La autenticación multifactor (MFA) es recomendable para el acceso a sistemas de gestión documental que contengan datos sensibles. El INAI considera que la ausencia de medidas de seguridad adecuadas constituye un incumplimiento de los artículos 19 y 20 de la LFPDPPP.
Trazabilidad y registros de auditoría
Cada acceso, modificación o eliminación de un documento debe registrarse en un registro de auditoría fechado y resistente a manipulaciones. Estos registros permiten demostrar el cumplimiento durante las verificaciones del INAI y detectar accesos no autorizados. Cada entrada debe incluir la identidad del usuario, la acción realizada, la marca temporal y el documento afectado.
Disociación y anonimización
Cuando los documentos ya no son necesarios en su forma completa, la disociación (sustitución de identificadores directos por códigos) o la anonimización (eliminación irreversible de todo elemento identificativo) permiten conservar datos con fines estadísticos o analíticos respetando el principio de proporcionalidad.
Para las empresas del sector financiero, estas medidas se enmarcan en un contexto más amplio de cumplimiento normativo. Descubra nuestras soluciones para financiamiento y arrendamiento.
Capacitación y concientización
Las medidas técnicas resultan ineficaces sin una cultura de protección de datos en la organización. La capacitación del personal que maneja documentos personales debe cubrir los principios de la LFPDPPP, los procedimientos internos de conservación y destrucción, y los protocolos de actuación ante una vulneración de seguridad (notificación al titular de forma inmediata conforme al artículo 20 de la LFPDPPP).
Para una visión completa, consulte nuestra guía completa de conformidad documental. Nuestra plataforma procesa más de 180,000 documentos de cumplimiento al mes con una precisión OCR del 98.7 % y una disponibilidad del 99.97 %.
Ir más allá
Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.
Ir más allá
Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.
Preguntas frecuentes
¿Es obligatorio designar a un responsable de protección de datos personales en México?
La LFPDPPP no establece la figura de un Delegado de Protección de Datos como tal. Sin embargo, el artículo 30 obliga a todo responsable del tratamiento a designar a una persona o departamento de datos personales que atienda las solicitudes de derechos ARCO. Para el sector público, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados sí establece la obligación de designar a un responsable. Las empresas del sector financiero reguladas por la CNBV deben contar con un oficial de cumplimiento que, entre sus funciones, supervise la protección de datos.
¿Cuánto tiempo puede conservarse una copia de la credencial del INE?
Según la LFPIORPI, las copias de documentos de identificación recogidas en el marco de obligaciones PLD/FT deben conservarse durante 10 años desde el fin de la relación comercial. Fuera de este contexto, la conservación debe limitarse al plazo estrictamente necesario para la finalidad perseguida, más el plazo de prescripción aplicable (normalmente 5 años según el Código Fiscal de la Federación o la Ley Federal del Trabajo).
¿Qué hacer en caso de vulneración de seguridad que afecte a documentos con datos personales?
Ante una vulneración de seguridad, el responsable del tratamiento debe notificar al titular de forma inmediata, conforme al artículo 20 de la LFPDPPP, cuando la vulneración afecte de forma significativa los derechos patrimoniales o morales de los titulares. La notificación debe incluir la naturaleza del incidente, los datos comprometidos y las acciones correctivas emprendidas. El INAI puede solicitar información adicional y, en su caso, iniciar un procedimiento de verificación.
¿Se aplica la LFPDPPP a los documentos en papel?
La LFPDPPP se aplica a todo tratamiento de datos personales contenidos en archivos, registros, bases de datos o cualquier otro medio, tanto automatizado como no automatizado (físico). Los archivos en papel están sujetos a las mismas reglas de conservación, acceso y destrucción que los documentos digitales. La destrucción debe realizarse de manera que impida la recuperación de la información.
¿Cómo interactúan la LFPDPPP y la Ley General de Transparencia?
La Ley General de Transparencia y Acceso a la Información Pública establece obligaciones de publicación y acceso a la información para sujetos obligados del sector público. Cuando la información solicitada contiene datos personales, prevalece la protección de la LFPDPPP y su equivalente para el sector público. La gestión documental debe conciliar ambos marcos, clasificando la información y aplicando versiones públicas que eliminen datos personales cuando sea necesario.
Estructurar el cumplimiento documental
La adecuación de la gestión documental a la LFPDPPP no es un proyecto puntual, sino un proceso continuo. Comience por auditar sus tratamientos documentales actuales, defina plazos de conservación alineados con la normativa mexicana y las recomendaciones del INAI, e implemente medidas técnicas proporcionadas a los riesgos identificados.
Para una visión completa de la conformidad documental más allá de la protección de datos, consulte nuestra guía completa de conformidad documental. Si tiene preguntas específicas sobre la adecuación de sus procesos, no dude en contactarnos para hablar con nuestro equipo. Explore también todos nuestros artículos sobre cumplimiento y protección de datos en nuestro blog.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.