LFPDPPP: cumplimiento documental
Cumplimiento de la LFPDPPP para documentos de identidad: reglas de recogida, plazos de conservación y requisitos de protección de datos.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokRecopilar una copia de un documento de identidad es una práctica habitual para la mayoría de las empresas. También es una de las actividades de tratamiento de mayor riesgo bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Un documento de identidad contiene datos personales sensibles — un número único, fotografía, firma y, en ocasiones, datos biométricos — cuyo tratamiento no conforme expone a la empresa a sanciones del INAI que pueden alcanzar los 75 millones de pesos, además de responsabilidad penal en casos de transferencia indebida. Esta guía cubre las normas aplicables en México, las directrices del INAI y las medidas concretas necesarias para tratar documentos de identidad con pleno cumplimiento normativo.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.
Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal, financiero ni regulatorio. El marco descrito aplica a México; para situaciones específicas, consulte a un abogado especializado en protección de datos personales.
El marco legal: qué dice la LFPDPPP sobre los documentos de identidad
La LFPDPPP no contiene disposiciones específicas para documentos de identidad. Su tratamiento se rige por los principios generales de la ley, complementados por el Reglamento de la LFPDPPP, los Lineamientos del Aviso de Privacidad del DOF y los criterios interpretativos del INAI.
Los principios fundamentales aplicables
Cinco principios de la LFPDPPP se aplican directamente a la recogida y tratamiento de documentos de identidad:
Consentimiento (artículos 8-10). La recogida de un documento de identidad debe contar con el consentimiento del titular, salvo excepciones legales. Para datos sensibles (como la fotografía o datos biométricos contenidos en una credencial del INE), se requiere consentimiento expreso y por escrito conforme al artículo 9. Las excepciones incluyen obligaciones legales (KYC bajo la LFPIORPI, relación laboral) donde el consentimiento no es necesario.
Proporcionalidad (artículo 13). La empresa debe recopilar únicamente la información estrictamente necesaria para la finalidad declarada. Este principio tiene importantes consecuencias prácticas para el tratamiento de documentos de identidad, que se detallan a continuación.
Finalidad (artículo 12). Los documentos de identidad no pueden utilizarse para finalidades distintas a las declaradas en el aviso de privacidad. El plazo de conservación debe definirse previamente y justificarse por la finalidad del tratamiento.
Responsabilidad (artículo 14). Los documentos de identidad deben protegerse contra el acceso no autorizado, la pérdida, destrucción o alteración mediante medidas de seguridad administrativas, técnicas y físicas apropiadas.
Información (artículos 15-16). La persona cuya identidad se verifica debe ser informada de forma clara y completa a través del aviso de privacidad: quién trata sus datos, por qué, durante cuánto tiempo, cómo ejercer sus derechos ARCO y si habrá transferencias a terceros.
Legislación complementaria en México
El marco normativo mexicano añade especificidades importantes:
- La LFPIORPI establece obligaciones de identificación y conservación documental para sujetos obligados y actividades vulnerables, supervisadas por la UIF y el SAT
- El Código Penal Federal penaliza la usurpación de identidad (artículo 211 Bis) y el acceso ilícito a sistemas informáticos, reforzando la obligación de proteger los documentos recogidos
- La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados aplica a entidades del sector público que tratan documentos de identidad
- El Código Fiscal de la Federación (Art. 32-B Ter) impone la identificación del beneficiario controlador
Directrices del INAI: reglas prácticas
El INAI ha publicado directrices y recomendaciones sobre el tratamiento de datos personales, incluyendo documentos de identidad. Aunque no son jurídicamente vinculantes por sí mismas, estas recomendaciones se utilizan como referencia en los procedimientos de verificación y sanción.
¿Cuándo puede recopilar un documento de identidad?
Se distinguen tres niveles de verificación de identidad según la finalidad:
| Nivel | Descripción | Ejemplos | Documento requerido |
|---|---|---|---|
| 1 - Declarativo | Recogida simple de nombre y datos básicos | Alta en newsletter, creación de cuenta básica | Sin documento de identidad |
| 2 - Verificación simple | Confirmar que la persona es quien dice ser | Arrendamiento, alta de suscripción | Presentación del documento (sin copia) o copia parcial |
| 3 - Verificación reforzada | Obligación legal de verificar la identidad | Apertura de cuenta bancaria (KYC), contratación laboral, actividades vulnerables LFPIORPI | Copia completa del documento de identidad |
Punto crítico. Muchas empresas recogen sistemáticamente copias completas de documentos de identidad cuando una verificación de Nivel 2 sería suficiente. Esto ocurre frecuentemente con inmobiliarias que exigen copias de la credencial del INE para simples visitas de inmuebles, o empresas que fotocopian el INE de los visitantes en recepción.
Minimización de datos aplicada a documentos de identidad
La proporcionalidad es el principio más frecuentemente ignorado en el tratamiento de documentos de identidad. Las recomendaciones del INAI proporcionan directrices precisas.
Ocultación de datos innecesarios. Cuando se requiere una copia del documento, los datos no relevantes para la finalidad declarada deben ocultarse. Por ejemplo, al verificar la identidad de un arrendatario, la CURP y la sección electoral son innecesarios y deben oscurecerse.
Prohibición de recoger ciertos datos. La recogida de la fotografía de un documento de identidad solo se justifica cuando es necesaria la verificación física de la identidad (control de acceso, comparación biométrica). Para una verificación puramente administrativa, la foto debe ocultarse.
Datos a ocultar según la finalidad:
| Finalidad | Datos necesarios | Datos a ocultar |
|---|---|---|
| Arrendamiento de inmueble | Nombre, fecha de nacimiento, vigencia | Foto, clave de elector, CURP, firma |
| Apertura de cuenta bancaria (KYC) | Todos los datos del documento | Ninguno (obligación legal LFPIORPI) |
| Contrato laboral | Nombre, CURP, RFC | Foto (salvo para credencial), clave de elector |
| Verificación de edad | Fecha de nacimiento | Todo lo demás |
| Entrega de paquetería | Nombre | Todo lo demás |
Plazos de conservación
La LFPDPPP y la legislación sectorial imponen plazos de conservación que varían según la finalidad del tratamiento y la base jurídica.
| Contexto | Plazo de conservación | Base jurídica |
|---|---|---|
| KYC bancario/seguros (véase requisitos KYC 2026) | 10 años tras el fin de la relación comercial | LFPIORPI art. 18 fracción IV |
| Contrato laboral | 5 años tras la salida del empleado | Ley Federal del Trabajo, art. 516 |
| Arrendamiento (solicitud aceptada) | Duración del contrato + 5 años (prescripción) | Código Civil Federal |
| Arrendamiento (solicitud rechazada) | Eliminación inmediata, 1 mes máximo | Criterio INAI |
| Verificación de identidad puntual | Duración de la verificación únicamente, sin conservación | Criterio INAI |
| Actividades vulnerables LFPIORPI | 10 años tras la ejecución de la operación | LFPIORPI art. 18 fracción IV |
| Actos notariales | 25 años (protocolo notarial) | Ley del Notariado |
Error frecuente. Conservar los documentos de identidad de solicitantes de arrendamiento rechazados constituye una infracción de la LFPDPPP. El INAI ha resuelto casos donde inmobiliarias fueron sancionadas por este motivo.
Medidas técnicas para proteger los documentos de identidad
La LFPDPPP exige medidas de seguridad administrativas, técnicas y físicas "apropiadas" para proteger los datos personales. Para los documentos de identidad — que conllevan un alto riesgo de suplantación de identidad en caso de vulneración — estas medidas deben ser especialmente robustas.
Medidas obligatorias según las recomendaciones del INAI
Cifrado en reposo y en tránsito. Las copias digitales de documentos de identidad deben cifrarse con un algoritmo reconocido (AES-256 mínimo). Las transmisiones deben utilizar TLS 1.2 o superior.
Controles de acceso estrictos. El acceso a los documentos de identidad debe limitarse a las personas con necesidad operativa justificada. Los derechos de acceso deben revisarse periódicamente. Cada acceso debe registrarse en una bitácora de auditoría.
Alojamiento seguro. Los documentos de identidad deben alojarse en servidores con un proveedor que ofrezca garantías suficientes. Certificaciones como ISO 27001 son recomendables. Si se almacenan en territorio mexicano, se facilita el cumplimiento de las obligaciones de transferencia internacional de datos. Nuestra página de seguridad detalla los estándares que cumplimos.
Eliminación segura. Al final del plazo de conservación, los documentos deben eliminarse de forma irreversible (borrado criptográfico o destrucción física del soporte de almacenamiento). Mover un archivo a la papelera de reciclaje no constituye una eliminación conforme.
Medidas recomendadas para tratamientos de alto volumen
Para empresas que procesan más de 1,000 documentos de identidad al mes, se recomiendan medidas adicionales:
- Evaluación de riesgo documentada. Obligatoria cuando el tratamiento pueda suponer un alto riesgo para los derechos de los titulares. El tratamiento a gran escala de documentos de identidad entra en esta categoría.
- Disociación de datos extraídos. Los datos extraídos de los documentos (nombre, número) deben disociarse en las bases de datos de producción. El vínculo con el documento original debe ser accesible únicamente en un entorno seguro dedicado.
- Segregación de entornos. Los entornos de producción, pruebas y desarrollo deben estar estrictamente separados. No deben existir documentos de identidad reales en los entornos de pruebas.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasDerechos ARCO de los titulares
Las personas cuyos documentos de identidad se recogen tienen derechos específicos que la empresa debe poder satisfacer dentro de los plazos legales.
Tabla resumen de derechos
| Derecho | Plazo de respuesta | ¿Aplicable a documentos de identidad? | Especificidades |
|---|---|---|---|
| Acceso | 20 días hábiles | Sí | La empresa debe facilitar una copia de todos los datos conservados, incluida la copia del documento |
| Rectificación | 20 días hábiles | Sí | En caso de cambio de identidad (matrimonio, etc.) o datos incorrectos |
| Cancelación | 20 días hábiles | Parcialmente | No es posible si la conservación es una obligación legal (LFPIORPI). Período de bloqueo antes de supresión |
| Oposición | 20 días hábiles | Parcialmente | No es posible si el tratamiento se basa en una obligación legal |
Solicitudes de cancelación: escenarios prácticos
El derecho de cancelación es la solicitud más frecuente y más delicada de gestionar para los documentos de identidad. Tres situaciones típicas:
Escenario 1: Un cliente solicita la eliminación de la copia de su credencial del INE tras cancelar su póliza de seguro. La aseguradora puede rechazar la solicitud si el plazo legal de conservación (10 años según la LFPIORPI) no ha transcurrido. Sin embargo, debe informar al cliente de la base jurídica que justifica la conservación continuada, el período de bloqueo y la fecha programada de eliminación.
Escenario 2: Un solicitante de arrendamiento rechazado solicita la eliminación de sus documentos. La inmobiliaria debe eliminar todos los documentos de inmediato. La negativa constituye una infracción de la LFPDPPP.
Escenario 3: Un extrabajador solicita la eliminación de la copia de su INE 6 años después de su salida. La empresa debe proceder a la eliminación, ya que el plazo de conservación de 5 años (prescripción laboral) ha expirado.
LFPDPPP y verificación documental automatizada
El uso de soluciones de validación documental automatizada plantea cuestiones específicas de la LFPDPPP, particularmente en relación con la toma de decisiones automatizada y los contratos con encargados del tratamiento.
La cuestión de la toma de decisiones automatizada
La LFPDPPP no contiene una disposición equivalente al artículo 22 del RGPD europeo sobre decisiones automatizadas. Sin embargo, el principio de responsabilidad (artículo 14) obliga al responsable a implementar mecanismos que garanticen que el tratamiento automatizado no vulnere los derechos de los titulares.
Para mantener el cumplimiento, la empresa debe:
- Informar al titular en el aviso de privacidad de que puede tomarse una decisión automatizada.
- Garantizar mecanismos de revisión humana (un operador debe poder revisar el expediente).
- Documentar la lógica de la decisión (motivo del rechazo, criterio no cumplido).
Las soluciones de IA bien diseñadas integran estos requisitos de forma nativa, proporcionando un motivo estructurado para cada rechazo y enrutando los casos límite a un operador humano.
El contrato con el encargado del tratamiento (artículo 36 LFPDPPP)
Cuando una empresa utiliza un proveedor externo para la verificación documental, debe formalizar la relación mediante un contrato conforme al artículo 36 de la LFPDPPP. Este contrato debe especificar:
- La naturaleza y finalidad del tratamiento.
- Los tipos de datos personales tratados.
- Las medidas de seguridad implementadas por el encargado.
- Las condiciones de subcontratación (requiere autorización del responsable).
- Las condiciones de devolución y eliminación de datos al final del contrato.
- La obligación de confidencialidad.
Transferencias internacionales de datos
La elección del proveedor de verificación documental debe tener en cuenta las implicaciones de las transferencias internacionales de datos. La LFPDPPP (artículos 36-37) establece que las transferencias internacionales requieren que el receptor asuma las mismas obligaciones de protección. El INAI puede restringir transferencias cuando el país de destino no ofrezca un nivel de protección equiparable. Soluciones con procesamiento de datos dentro de jurisdicciones con marcos de protección reconocidos minimizan estos riesgos.
Lista de verificación de cumplimiento LFPDPPP para documentos de identidad
Estas son las acciones a verificar para garantizar que su tratamiento de documentos de identidad es conforme.
Antes de la recogida
- Verificar que la recogida del documento de identidad está justificada por una finalidad legítima y documentada.
- Confirmar que el nivel de verificación requerido (declarativo, simple, reforzado) corresponde a la finalidad declarada.
- Elaborar o actualizar el aviso de privacidad incluyendo: identidad del responsable, finalidad, plazo de conservación, transferencias y derechos ARCO del titular.
- Obtener consentimiento expreso y por escrito si se tratarán datos sensibles (biometría, fotografía).
Durante el tratamiento
- Aplicar la proporcionalidad: ocultar los datos no necesarios para la finalidad declarada.
- Cifrar los documentos recogidos (en reposo y en tránsito).
- Restringir el acceso al personal autorizado únicamente, con registro de accesos.
- Si utiliza un proveedor externo de cumplimiento KYC, verificar la existencia de un contrato de encargado conforme al artículo 36 y las cláusulas de transferencia internacional si aplica.
- Si se toman decisiones automatizadas, garantizar mecanismos de revisión humana y documentar la lógica de decisión.
Después del tratamiento
- Programar la eliminación automática de los documentos al final del plazo de conservación (con período de bloqueo previo a la supresión).
- Implementar un proceso para responder a las solicitudes de derechos ARCO dentro del plazo de 20 días hábiles.
- Documentar los tratamientos y mantener actualizado el inventario de datos personales.
- Auditar el cumplimiento del proceso anualmente.
Acciones de ejecución relacionadas con documentos de identidad en México
El INAI y otras autoridades han incrementado su actividad sancionadora en materia de tratamiento de documentos de identidad.
| Año | Entidad sancionada | Infracción | Sanción |
|---|---|---|---|
| 2023 | Inmobiliaria | Conservación ilimitada de copias de INE de solicitantes rechazados | $4,800,000 MXN |
| 2024 | Empresa fintech | Falta de medidas de seguridad en documentos almacenados | $12,500,000 MXN |
| 2024 | Plataforma de arrendamiento | Recogida desproporcionada de documentos innecesarios | $3,200,000 MXN |
| 2025 | Institución financiera | Falta de aviso de privacidad adecuado para tratamiento de datos biométricos | $22,000,000 MXN |
| 2025 | Empresa de outsourcing | Falta de eliminación de documentos de candidatos rechazados | $2,800,000 MXN |
Estas sanciones ilustran la creciente vigilancia de las autoridades sobre esta materia y la importancia de una gestión rigurosa de los documentos de identidad.
Conciliar cumplimiento de la LFPDPPP y eficiencia operativa
El cumplimiento de la LFPDPPP y la eficiencia operativa no son contradictorios. Las soluciones de verificación documental automatizada más avanzadas integran los requisitos de la ley de forma nativa: proporcionalidad automática de datos, cifrado de extremo a extremo, eliminación programada, bitácoras de auditoría completas y mecanismos de revisión humana.
CheckFile ha diseñado su plataforma de validación documental con cumplimiento nativo de la normativa de protección de datos. Los documentos se procesan con cifrado de extremo a extremo y se eliminan automáticamente al vencimiento del plazo de conservación que usted defina. Cada acción de tratamiento se registra y es auditable. Explore nuestros precios para encontrar el plan que se ajuste a su volumen documental, o contacte con nuestro equipo para una demo y una auditoría de cumplimiento de sus flujos documentales actuales.
Para una visión completa, consulte nuestra guía completa de conformidad documental. Nuestra plataforma procesa más de 180,000 documentos de cumplimiento al mes con una tasa de detección de fraude del 94.8 % y una tasa de falsos positivos del 2.8 %.
Ir más allá
Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.
Ir más allá
Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.
Preguntas frecuentes
¿Puede cualquier empresa solicitar una copia de la credencial del INE a sus clientes?
No. La LFPDPPP exige que la recogida de un documento de identidad esté justificada por una finalidad legítima y sea proporcional a esa finalidad. Se distinguen tres niveles: verificación declarativa (sin documento), verificación simple (presentación sin copia, para arrendamientos o suscripciones), y verificación reforzada (copia completa, solo para obligaciones legales como apertura de cuenta bancaria o contratación laboral). Muchas empresas recogen sistemáticamente copias completas cuando una verificación simple sería suficiente, incurriendo así en una infracción del principio de proporcionalidad.
¿Cuánto tiempo puede conservar una empresa las copias de los documentos de identidad?
Los plazos de conservación varían según la finalidad del tratamiento. Para KYC bancario y de seguros, la LFPIORPI impone 10 años tras el fin de la relación comercial. Para contratos laborales, 5 años tras la salida del empleado (Ley Federal del Trabajo). Para solicitudes de arrendamiento rechazadas, el INAI exige eliminación inmediata, con un máximo de 1 mes. Conservar documentos de identidad de candidatos rechazados es una infracción recurrentemente sancionada. La programación de eliminación automática al vencimiento del plazo aplicable es la única forma de garantizar el cumplimiento de forma sistemática.
¿Qué datos de la credencial del INE deben ocultarse según el principio de proporcionalidad?
La proporcionalidad exige ocultar en la copia todos los datos no necesarios para la finalidad declarada. Para un arrendamiento, la clave de elector, la CURP, la fotografía y la firma deben oscurecerse, conservando solo nombre, fecha de nacimiento y período de vigencia. Para la verificación de edad, solo la fecha de nacimiento es pertinente. Incluso en contextos de KYC reforzado donde se requieren todos los datos, la fotografía solo está justificada cuando se realiza verificación biométrica; para verificaciones puramente administrativas, la foto debe ocultarse en la copia archivada.
¿Qué obligaciones impone la LFPDPPP cuando se usa IA para rechazar un documento?
Aunque la LFPDPPP no contiene una disposición específica sobre decisiones automatizadas equivalente al RGPD europeo, el principio de responsabilidad obliga al responsable a garantizar que el tratamiento automatizado no vulnere los derechos de los titulares. La empresa debe informar al titular en el aviso de privacidad, garantizar mecanismos de revisión humana para que un operador pueda revisar el expediente manualmente, y documentar la lógica de la decisión con el criterio específico no cumplido. Las soluciones de IA bien diseñadas integran estos requisitos de forma nativa.
¿Qué sanciones ha impuesto el INAI por tratamiento incorrecto de documentos de identidad?
El INAI ha incrementado su actividad sancionadora en esta materia. Entre los casos recientes destacan: $12,500,000 MXN a una empresa fintech por falta de medidas de seguridad en documentos almacenados (2024), $4,800,000 MXN a una inmobiliaria por conservación ilimitada de copias de INE (2023), $22,000,000 MXN a una institución financiera por falta de aviso de privacidad adecuado para datos biométricos (2025), y $2,800,000 MXN a una empresa de outsourcing por no eliminar documentos de candidatos rechazados (2025). Estas cifras reflejan una supervisión activa que hace del cumplimiento preventivo una necesidad económica además de una obligación legal.
Lectura relacionada: Para el marco más amplio de prevención de lavado de dinero que impulsa las obligaciones de conservación de documentos KYC, consulte nuestra guía de cumplimiento LFPIORPI. Los despachos de abogados enfrentan retos únicos para conciliar la LFPDPPP con el secreto profesional: nuestra guía sobre despachos de abogados que automatizan el KYC aborda esta cuestión directamente. Los notarios también deben cumplir los requisitos de la LFPDPPP al tratar documentos de identidad: nuestra lista de verificación documental notarial para transacciones inmobiliarias cubre plazos de conservación, minimización de datos y acciones de ejecución.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.