aviso de privacidad·16 de mayo de 2026

Aviso de Privacidad: Cómo Proteger Rostros en Video 2026

Q: ¿Cuál es la diferencia entre aviso de privacidad simplificado e integral?

El aviso simplificado contiene solo identidad del responsable, finalidades primarias y un enlace al aviso integral (Art. 16 LFPDPPP). Ejemplo: "Tus datos se usan para procesar tu compra. Aviso completo en www.empresa.com/privacidad". El aviso integral incluye los 9 elementos obligatorios completos: datos sensibles recolectados, transferencias internacionales, medidas de seguridad, procedimiento de revocación de consentimiento. Usa el simplificado en puntos de venta físicos o formularios cortos (máximo 200 palabras), y el integral en tu sitio web o contratos formales. El aviso corto (formato físico en establecimientos) debe tener mínimo identidad del responsable y link al integral. PROFECO exige que el aviso integral esté accesible en máximo 2 clics desde cualquier página de tu sitio.

Q: ¿Es obligatorio el aviso de privacidad en México?

Sí, es obligatorio para todo responsable del sector privado que recolecte datos personales en México (LFPDPPP Art. 15). Aplica a empresas, comercios, profesionistas independientes, asociaciones civiles y cualquier persona física o moral que trate datos. Desde una tienda en línea que captura correos hasta un consultorio médico que registra expedientes. Las excepciones son: datos para uso exclusivamente personal (agenda telefónica privada) y sociedades de información crediticia reguladas por Ley de Buró de Crédito. El INAI ha impuesto sanciones de hasta $19,383,000 MXN (2026) a empresas como Mercado Libre y Rappi por no publicar avisos de privacidad completos o no actualizar finalidades del tratamiento. Incumplir también genera demandas por daño moral (Art. 1916 Código Civil Federal) — tribunales han otorgado indemnizaciones de $50,000-$200,000 MXN por publicar fotos de clientes sin consentimiento.

Q: ¿Qué son los derechos ARCO en el aviso de privacidad?

ARCO son los 4 derechos del titular de datos personales: Acceso (solicitar copia de tus datos), Rectificación (corregir datos incorrectos), Cancelación (eliminar tus datos de la base) y Oposición (negarte a ciertos tratamientos como marketing). Tu aviso de privacidad debe explicar el procedimiento exacto: plazo de respuesta (máximo 20 días hábiles según LFPDPPP Art. 32), documentos requeridos (identificación oficial como INE con datos censurados), y medio de contacto (correo electrónico o domicilio físico). Ejemplo de cláusula ARCO: "Envía tu solicitud a datos@empresa.com adjuntando INE (difumina CURP y dirección). Responderemos en máximo 20 días hábiles. Si procede tu solicitud, haremos efectiva la cancelación en 15 días adicionales". El 68% de las quejas ante INAI (2025) fueron por negativa injustificada a derechos ARCO — especialmente bancos y telefonía que retienen datos tras cancelar servicios. Esta guía completa te mostró cómo cumplir con la LFPDPPP al difuminar rostros en videos: desde editores manuales (15-30 minutos por clip de 30 segundos) hasta herramientas de IA que procesan el mismo video en ~30 segundos con detección automática. El riesgo de no proteger datos personales en México es real — multas del INAI de hasta 320 millones de pesos, más demandas civiles por daño moral si publicas rostros sin consentimiento y tu aviso de privacidad no cubre el uso de imágenes. Empieza gratis

Diego Hernández — Abogado de Privacidad de Datos, Especialista en LFPDPPP

Aviso de Privacidad: Cómo Proteger Rostros en Video 2026

En México, el aviso de privacidad es obligatorio para cualquier empresa, sitio web o profesional que recolecte datos personales — y el INAI ha impuesto multas de hasta $18 millones de pesos por incumplir la LFPDPPP. Esta guía completa reúne todo lo que necesitas saber para crear un aviso de privacidad que cumpla con la normatividad mexicana: desde los elementos obligatorios que exige la Ley Federal de Protección de Datos Personales hasta plantillas descargables, ejemplos por industria (e-commerce, salud, educación, fintech) y un checklist interactivo de verificación de cumplimiento. Aquí encontrarás el árbol de decisión para elegir entre aviso simplificado, corto o integral, comparativas de herramientas de gestión de consentimiento, casos de uso específicos para sector público y privado, y guías paso a paso para implementar los derechos ARCO. Cada sección incluye referencias directas a artículos de la LFPDPPP, lineamientos del INAI y ejemplos prácticos para que protejas los datos de tus clientes sin errores legales.

¿Qué es un Aviso de Privacidad? Términos Clave Explicados

Un aviso de privacidad es un documento físico, electrónico o en cualquier formato que informa al titular de datos personales sobre la recolección, uso, almacenamiento y transferencia de su información por parte de una empresa u organización. En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) obliga a todo responsable del tratamiento de datos a poner a disposición del titular un aviso de privacidad antes de recabar su información. Este documento permite al titular conocer las finalidades del tratamiento, ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y decidir si otorga o no su consentimiento para el manejo de datos sensibles. El aviso de privacidad es la piedra angular de la protección de datos en México y establece las reglas de juego entre el responsable del tratamiento y el titular de los datos personales.

En resumen: El aviso de privacidad es el documento que te informa cómo una empresa recolecta, usa y protege tus datos personales según la LFPDPPP.

Glosario de Términos Esenciales

Término	Definición
Datos personales	Cualquier información concerniente a una persona física identificada o identificable: nombre, dirección, teléfono, correo electrónico, RFC, CURP, número de cuenta bancaria, foto, video de rostro. Incluye datos sensibles (salud, biométricos, religión, preferencias sexuales) que requieren consentimiento expreso del titular.
Titular de datos	La persona física a quien corresponden los datos personales. Eres titular cuando una empresa tiene tu nombre, celular o foto en su base de datos. El titular tiene derechos ARCO reconocidos por la LFPDPPP y puede ejercerlos en cualquier momento ante el responsable del tratamiento.
Responsable del tratamiento	La persona física o moral (empresa, organización, negocio) que decide sobre el tratamiento de datos personales. Es quien debe elaborar el aviso de privacidad, implementar medidas de seguridad y responder solicitudes ARCO. El INAI puede sancionar al responsable por incumplimiento de la normatividad mexicana.
Finalidades del tratamiento	Los propósitos específicos para los que se recolectan datos personales: procesar un pedido, enviar publicidad, cumplir obligaciones fiscales, dar seguimiento a un paciente. La LFPDPPP distingue entre finalidades primarias (necesarias para la relación jurídica) y secundarias (mercadotecnia, estadística), estas últimas requieren consentimiento expreso del titular.
Derechos ARCO	Derechos del titular reconocidos en la LFPDPPP: Acceso (conocer qué datos tiene el responsable), Rectificación (corregir datos inexactos), Cancelación (eliminar datos de la base) y Oposición (negarse al tratamiento para finalidades específicas). Todo aviso de privacidad debe incluir el procedimiento y medios para ejercer ARCO.
Consentimiento	Manifestación de voluntad del titular para que sus datos personales sean tratados. Para datos sensibles (salud, biométricos, religión) el consentimiento debe ser expreso y por escrito. Para finalidades secundarias (publicidad, estudios de mercado) también se requiere consentimiento expreso, que puede otorgarse de manera electrónica.
Transferencia de datos	Comunicación de datos personales a un tercero distinto del responsable o encargado del tratamiento. Toda transferencia requiere informarse en el aviso de privacidad integral, salvo excepciones previstas en la LFPDPPP (autoridades, emergencias médicas, fusiones empresariales). El tercero receptor debe comprometerse a cumplir la misma normatividad mexicana.

Elementos Obligatorios del Aviso de Privacidad según LFPDPPP

El artículo 16 de la LFPDPPP y el Reglamento LFPDPPP establecen los elementos mínimos que debe contener un aviso de privacidad integral. El INAI ha emitido Lineamientos del Aviso de Privacidad que detallan cada requisito y su forma de cumplimiento. Un aviso de privacidad completo debe incluir:

Identidad y domicilio del responsable del tratamiento. Nombre completo de la empresa o persona física, denominación comercial si aplica, y domicilio fiscal completo (calle, número, colonia, código postal, ciudad, estado). Este dato permite al titular saber quién controla sus datos personales y dónde puede ejercer sus derechos ARCO. Para personas morales, incluye el RFC.

Finalidades del tratamiento de datos personales. Descripción clara y precisa de los propósitos primarios (necesarios para la relación contractual) y secundarios (mercadotecnia, estudios de mercado, mejora de servicios). Las finalidades primarias no requieren consentimiento del titular porque son indispensables para la prestación del servicio. Las finalidades secundarias sí requieren consentimiento expreso, que puede negarse sin afectar la relación jurídica principal.

Opciones y medios para limitar el uso o divulgación de datos. Procedimiento específico para que el titular se inscriba en listas de exclusión internas (no recibir publicidad), limite el uso de datos para finalidades secundarias, o revoque su consentimiento. Debe incluir dirección de correo electrónico, formulario web, teléfono o domicilio físico donde el titular puede ejercer estas opciones.

Medios para ejercer derechos ARCO. Procedimiento detallado para que el titular ejerza Acceso, Rectificación, Cancelación u Oposición: formato de solicitud (si existe), documentos requeridos (identificación oficial), plazos de respuesta (20 días hábiles según LFPDPPP), y medios de contacto (correo electrónico, domicilio físico, plataforma web). El responsable del tratamiento debe designar un área o persona responsable de atender solicitudes ARCO.

Transferencias de datos personales que se efectúen. Listado de terceros a quienes se comunican datos personales, indicando la finalidad de cada transferencia. Ejemplo: "Transferimos tu nombre y dirección a empresas de mensajería para entrega de productos". Si no hay transferencias, debe declararse explícitamente. Las transferencias nacionales e internacionales tienen reglas distintas en la LFPDPPP.

Procedimiento y medio para comunicar cambios al aviso de privacidad. Método que el responsable usará para notificar modificaciones al aviso: correo electrónico, publicación en sitio web, mensaje en app móvil, aviso físico en sucursal. La LFPDPPP exige comunicar cambios sustanciales (nuevas finalidades, nuevas transferencias) al titular antes de implementarlos, otorgándole plazo para oponerse.

Datos sensibles que se tratarán (si aplica). Si el responsable recolecta datos sensibles (origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas, preferencia sexual), debe declararlo expresamente y solicitar consentimiento expreso del titular. El tratamiento de datos sensibles tiene restricciones adicionales en la LFPDPPP.

Mecanismos de seguridad implementados. Aunque no es obligatorio en el aviso simplificado, el aviso integral debe mencionar las medidas de seguridad administrativas, técnicas y físicas que protegen los datos personales: cifrado, control de acceso, firewalls, respaldos, políticas de confidencialidad para empleados. Esto genera confianza y cumple con el artículo 19 de la LFPDPPP sobre medidas de seguridad.

El INAI recomienda usar lenguaje claro, accesible y evitar tecnicismos legales. Un aviso de privacidad no es un contrato de adhesión — es un documento informativo que empodera al titular de datos para tomar decisiones sobre su información personal. PROFECO también supervisa que los avisos de privacidad en relaciones de consumo cumplan con la normatividad mexicana.

Tipos de Avisos de Privacidad: Simplificado, Corto e Integral

La LFPDPPP permite tres formatos de aviso de privacidad según el contexto de recolección de datos. Cada formato tiene requisitos específicos y se adapta a distintos canales de comunicación. El responsable del tratamiento puede combinar formatos: aviso corto en punto de venta físico + aviso integral en sitio web.

Aviso de Privacidad Simplificado

Formato breve que contiene únicamente los elementos esenciales: identidad del responsable, finalidades del tratamiento, y medio para consultar el aviso integral. Se usa en situaciones donde el espacio es limitado: formularios impresos, contratos físicos, solicitudes de empleo en papel, cupones de rifa. Extensión recomendada: 1 párrafo de 4-6 líneas.

Ejemplo de aviso simplificado:

"Sus datos personales serán tratados por [Nombre de Empresa], con domicilio en [Dirección], para las finalidades de [procesar su pedido, dar seguimiento a su solicitud]. Puede consultar nuestro aviso de privacidad integral en [www.empresa.com/privacidad] o solicitarlo al correo [privacidad@empresa.com]."

El aviso simplificado debe estar en el mismo documento donde se recolectan datos (al reverso de un formulario, al pie de un contrato). No sustituye al aviso integral — solo remite a él. El INAI acepta avisos simplificados en formato de clausula de privacidad dentro de contratos de adhesión, siempre que el aviso integral esté disponible en el sitio web de la empresa.

Aviso de Privacidad Corto

Versión condensada del aviso integral que incluye todos los elementos obligatorios de la LFPDPPP pero de forma resumida. Se usa en medios con espacio limitado pero mayor que el simplificado: aplicaciones móviles (pantalla de registro), puntos de venta físicos (póster en sucursal), formularios web cortos, llamadas telefónicas (lectura de aviso). Extensión recomendada: 1-2 párrafos, 150-250 palabras.

Elementos del aviso corto:

✓ Identidad y domicilio del responsable

✓ Finalidades primarias y secundarias (resumidas)

✓ Mención de transferencias de datos (si aplica)

✓ Derechos ARCO y medio para ejercerlos (correo o URL)

✓ Referencia al aviso integral para información completa

El aviso corto debe ser legible sin necesidad de scroll en pantallas móviles. Para aplicaciones iOS/Android, el INAI recomienda mostrar el aviso corto durante el registro y enlazar al aviso integral desde el menú de configuración. En puntos de venta físicos, el aviso corto puede imprimirse en póster tamaño carta y colocarse en área visible para el cliente.

Aviso de Privacidad Integral

Documento completo que contiene TODOS los elementos obligatorios del artículo 16 de la LFPDPPP sin omisiones. Es el aviso de referencia — los formatos simplificado y corto siempre remiten al integral. Extensión típica: 2-6 páginas (800-2,500 palabras según complejidad del tratamiento). Debe publicarse en el sitio web de la empresa en una URL permanente (ejemplo: www.empresa.com/aviso-privacidad).

Estructura recomendada del aviso integral:

Identidad y domicilio del responsable (persona física o moral)
Datos personales que se recolectan (listado por categoría)
Finalidades del tratamiento (primarias y secundarias, separadas)
Opciones para limitar uso o divulgación (lista de exclusión, revocación de consentimiento)
Medios para ejercer derechos ARCO (procedimiento detallado, formatos, plazos)
Transferencias de datos (nacionales e internacionales, con nombre del tercero y finalidad)
Uso de cookies y rastreadores en sitio web (si aplica)
Medidas de seguridad implementadas (cifrado, controles de acceso)
Cambios al aviso de privacidad (método de notificación al titular)
Datos de contacto del área de privacidad (correo, teléfono, domicilio)

El aviso integral debe redactarse en lenguaje claro, evitando tecnicismos legales innecesarios. El INAI recomienda usar tablas, listas con viñetas y secciones numeradas para mejorar la legibilidad. Para empresas que operan internacionalmente, el aviso integral debe mencionar si se transfieren datos a países sin normatividad equivalente a la LFPDPPP (Estados Unidos, China, India) y obtener consentimiento expreso del titular para dichas transferencias.

El formato integral es obligatorio para sitios web, aplicaciones móviles, contratos electrónicos, y cualquier canal digital donde el responsable recolecta datos personales. Debe estar accesible mediante enlace directo desde el footer del sitio web, el menú de la app móvil, y cualquier formulario de registro o compra.

Cómo Redactar un Aviso de Privacidad Paso a Paso

Redactar un aviso de privacidad conforme a la LFPDPPP requiere mapear el flujo de datos personales dentro de tu organización. Sigue esta guía práctica para crear un aviso integral desde cero:

Paso 1: Identifica Qué Datos Personales Recolectas

Haz un inventario completo de todos los datos personales que tu empresa recaba: nombre, correo electrónico, teléfono, dirección, RFC, CURP, número de tarjeta, foto, video, huella digital, historial de compras, dirección IP, cookies, geolocalización. Clasifica los datos en tres categorías:

Datos de identificación: Nombre, apellidos, fecha de nacimiento, género, estado civil, nacionalidad, firma, fotografía, video de rostro, RFC, CURP, número de pasaporte, credencial del INE.

Datos de contacto: Domicilio particular, teléfono fijo, celular, correo electrónico personal, correo electrónico corporativo, redes sociales (usuario de Instagram, Facebook, TikTok).

Datos sensibles: Estado de salud actual y futuro, información genética, creencias religiosas, afiliación sindical, opiniones políticas, preferencia sexual, origen racial o étnico, datos biométricos (huella dactilar, reconocimiento facial, iris).

Si recolectas datos sensibles, deberás incluir una sección específica en el aviso integral y solicitar consentimiento expreso del titular. El tratamiento de datos sensibles está regulado en el artículo 9 de la LFPDPPP con restricciones adicionales.

Paso 2: Define las Finalidades del Tratamiento

Para cada categoría de datos, determina por qué los recolectas. Las finalidades se dividen en dos tipos según la LFPDPPP:

Finalidades primarias (necesarias): Son indispensables para la relación jurídica con el titular. Ejemplos: procesar tu pedido de e-commerce, darte acceso a tu cuenta de usuario, cumplir obligaciones fiscales ante el SAT, prestarte servicios médicos, gestionar tu nómina como empleado. Las finalidades primarias NO requieren consentimiento del titular porque sin ellas no puede existir la relación contractual.

Finalidades secundarias (opcionales): No son neces

Aviso De Privacidad Methods: 3 Enfoques Comparados

Redactar un aviso de privacidad que cumpla con la LFPDPPP puede parecer complicado, pero existen tres enfoques principales que se adaptan a diferentes necesidades y presupuestos. Cada método tiene ventajas y limitaciones claras — desde la redacción manual que te da control total hasta las soluciones de IA que automatizan el proceso completo. A continuación comparamos los tres enfoques para que elijas el que mejor se ajuste a tu negocio.

Redacción Manual — Control Total, Inversión de Tiempo Alta

La redacción manual implica crear tu aviso de privacidad desde cero usando plantillas de referencia, la LFPDPPP y los Lineamientos del Aviso de Privacidad publicados por el INAI. Tú o tu equipo legal redactan cada cláusula identificando los datos personales que recolectas, las finalidades del tratamiento, los derechos ARCO que otorgas y las medidas de seguridad que implementas. Herramientas comunes incluyen Microsoft Word con plantillas descargables del sitio del INAI, Google Docs para colaboración con abogados, o editores de texto plano para versiones web. Este enfoque es ideal para microempresas que recolectan pocos datos personales o para negocios que necesitan personalización extrema — por ejemplo, una clínica dental que maneja datos sensibles de salud y requiere cláusulas específicas sobre expedientes médicos. El proceso toma entre 4 y 8 horas para un aviso integral básico, dependiendo de la complejidad del tratamiento de datos. La principal limitación es el riesgo de omitir elementos obligatorios si no tienes experiencia legal — el INAI ha sancionado a empresas por avisos incompletos que no declaran transferencias de datos o no especifican el procedimiento ARCO. Aprende más: Cómo Redactar un Aviso de Privacidad Paso a Paso (enlace pendiente).

Software Asistido — Automatización Parcial, Cumplimiento Guiado

El software asistido usa plataformas especializadas que te guían con formularios estructurados para generar tu aviso de privacidad automáticamente. Respondes preguntas sobre tu negocio (¿recolectas datos de menores? ¿transfieres datos a terceros? ¿usas cookies?) y el software redacta las cláusulas correspondientes según la LFPDPPP. Herramientas populares incluyen LegalZoom México (generador de avisos con plantillas pre-aprobadas), Docusign CLM (gestión de consentimientos y avisos para empresas medianas) y PrivacyPolicies.com (genera avisos en español con referencias a LFPDPPP y GDPR para negocios internacionales). Este enfoque es perfecto para PYMEs que procesan datos personales de forma regular — por ejemplo, una tienda de e-commerce que recolecta nombres, direcciones y datos de tarjetas mediante Mercado Pago o Stripe. Generas un aviso integral en 30-45 minutos respondiendo formularios, y el software incluye actualizaciones automáticas cuando cambia la normatividad mexicana. La limitación principal es que las plantillas son genéricas — si tu negocio tiene flujos de datos complejos (como una fintech que transfiere datos a burós de crédito y procesadores de pago internacionales), necesitarás personalizar manualmente varias secciones. Aprende más: Mejores Plantillas de Aviso de Privacidad 2026 (enlace pendiente).

Soluciones de IA — Generación Automatizada, Personalización Inteligente

Las soluciones de IA usan modelos de lenguaje entrenados en la LFPDPPP, el Reglamento LFPDPPP y jurisprudencia del INAI para generar avisos de privacidad personalizados en minutos. Describes tu negocio en lenguaje natural ("Soy una clínica dental en CDMX que recolecta expedientes médicos y radiografías"), y la IA redacta un aviso integral con todas las cláusulas obligatorias: identidad del responsable del tratamiento, finalidades primarias y secundarias, opciones para limitar el uso de datos, procedimiento para ejercer derechos ARCO, y transferencias de datos a laboratorios o aseguradoras. Plataformas como ChatGPT con prompts especializados en LFPDPPP, Jasper AI configurado para cumplimiento legal mexicano, y Copy.ai con plantillas de privacidad permiten generar un aviso completo en 10-15 minutos. Este método es ideal para startups y negocios digitales que necesitan iterar rápido — por ejemplo, una app de delivery que lanza en 3 ciudades y debe publicar su aviso de privacidad antes del lanzamiento. La IA también sugiere cláusulas de cookies y rastreadores si detectas que usas Google Analytics o Facebook Pixel. La limitación crítica es que DEBES revisar el output con un abogado especializado en protección de datos — la IA puede omitir detalles específicos de tu industria o generar cláusulas que no coinciden con tus prácticas reales de tratamiento de datos, lo que puede derivar en sanciones INAI por información falsa o engañosa. Aprende más: IA para Generar Avisos de Privacidad: Guía Completa 2026 (enlace pendiente).

5 Pasos para Redactar tu Aviso de Privacidad (Método Manual Detallado)

Si eliges el enfoque manual, sigue esta secuencia probada para asegurar cumplimiento normativo completo. Cada paso cubre un elemento obligatorio de la LFPDPPP y te ayuda a evitar las omisiones más comunes que detecta el INAI en auditorías.

1. Identifica todos los datos personales que recolectas

Lista CADA dato que obtienes de tus clientes, empleados o visitantes web — desde datos de identificación (nombre, RFC, CURP, INE) hasta datos financieros (número de tarjeta, cuenta bancaria) y datos sensibles (estado de salud, creencias religiosas, origen étnico). Clasifica los datos en tres categorías según el Art. 3 fracción V de la LFPDPPP: datos de identificación, datos patrimoniales y datos sensibles. Por ejemplo, una escuela privada recolecta datos de identificación (nombre del alumno, CURP), datos patrimoniales (información de pago de colegiaturas), y potencialmente datos sensibles (certificados médicos, datos de salud para actividades deportivas). Incluye también datos obtenidos de forma indirecta — si usas Google Analytics, recolectas dirección IP y cookies de navegación. Este inventario completo es la base de tu aviso de privacidad y determina qué medidas de seguridad debes implementar según el Art. 19 LFPDPPP.

2. Define finalidades primarias y secundarias del tratamiento

Separa las finalidades en dos grupos según el Art. 8 LFPDPPP: finalidades primarias (necesarias para la relación jurídica con el titular — sin ellas no puedes prestar el servicio) y finalidades secundarias (opcionales — mejoran el servicio pero no son indispensables). Ejemplo para un consultorio médico: finalidades primarias incluyen "elaborar expediente clínico, emitir recetas, programar citas médicas y facturación" — el paciente NO puede negarse a estas sin perder el servicio. Finalidades secundarias incluyen "enviar recordatorios de citas por WhatsApp, compartir tips de salud por correo electrónico, realizar encuestas de satisfacción" — el paciente PUEDE negarse y aún recibir atención médica. Esta distinción es crítica porque el titular de los datos tiene derecho a oponerse solo a finalidades secundarias (Art. 8 segundo párrafo LFPDPPP). Redacta cada finalidad en lenguaje claro — evita términos vagos como "mejorar la experiencia del usuario" que no informan realmente al titular qué harás con sus datos.

3. Redacta la cláusula de derechos ARCO con procedimiento específico

El Art. 28 LFPDPPP obliga a informar el procedimiento para ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición. NO basta con decir "Puedes ejercer tus derechos ARCO contactándonos" — debes especificar: a) dirección física o correo electrónico donde se reciben solicitudes, b) formulario o información requerida para la solicitud (copia de INE, descripción del derecho que ejerce), c) plazo de respuesta (máximo 20 días hábiles según Art. 32 LFPDPPP, prorrogables 20 días más), y d) medios para entregar la información (correo electrónico, USB, copia impresa). Ejemplo de cláusula completa: "Para ejercer tus derechos ARCO, envía solicitud por escrito a [correo electrónico] adjuntando copia de tu INE y descripción del derecho que deseas ejercer. Responderemos en máximo 20 días hábiles. Si tu solicitud es procedente, haremos efectivo el derecho en 15 días hábiles adicionales." Incluye también el enlace al formato de solicitud si lo tienes disponible en tu sitio web.

4. Declara todas las transferencias de datos a terceros

El Art. 36 LFPDPPP requiere consentimiento expreso para transferir datos personales, salvo excepciones del Art. 37. Identifica CADA tercero que recibe datos de tus clientes — procesadores de pago (Stripe, PayPal, Mercado Pago), servicios de envío (DHL, Estafeta), plataformas de email marketing (Mailchimp, SendGrid), herramientas de CRM (HubSpot, Salesforce), y proveedores de hosting (AWS, Google Cloud). Para cada transferencia, especifica: a) nombre del tercero receptor, b) país donde se encuentra (crítico si es transferencia internacional), c) finalidad de la transferencia, y d) si requiere consentimiento expreso o aplica alguna excepción del Art. 37. Ejemplo: "Transferimos tu nombre, dirección y teléfono a Estafeta para entrega de productos. Esta transferencia es necesaria para la relación jurídica (Art. 37 fracción III LFPDPPP) y no requiere tu consentimiento adicional. Transferimos tu correo electrónico a Mailchimp (USA) para envío de boletines promocionales — esta transferencia requiere tu consentimiento expreso que otorgas al suscribirte." Las transferencias internacionales deben cumplir el Art. 38 LFPDPPP — asegúrate de que el país receptor tenga nivel de protección adecuado o usa cláusulas contractuales.

5. Publica el aviso en tu sitio web y puntos de recolección

El Art. 16 LFPDPPP establece que el aviso de privacidad debe estar disponible ANTES o AL MOMENTO de recolectar datos personales. Para sitios web, coloca un enlace visible en el footer de todas las páginas con el texto exacto "Aviso de Privacidad" (NO uses "Política de Privacidad" — ese término es de GDPR). Para establecimientos físicos, imprime el aviso integral y colócalo en recepción o punto de venta — muchas empresas usan un código QR que enlaza al aviso en PDF. Para formularios de recolección (solicitudes de empleo, contratos de servicio), incluye una casilla de verificación con texto: "He leído y acepto el Aviso de Privacidad disponible en [URL]" — esto documenta el consentimiento tácito del Art. 8 LFPDPPP. Actualiza la fecha de última modificación cada vez que cambies el aviso (obligatorio según Lineamientos del Aviso de Privacidad, numeral Décimo) y notifica a los titulares de cambios sustanciales por correo electrónico o aviso en tu sitio web. Guarda evidencia de publicación (capturas de pantalla, correos enviados) — el INAI puede solicitarla en procedimientos de verificación.

Comparativa de Herramientas para Generar Avisos de Privacidad Conformes a la LFPDPPP

Para ayudarte a elegir la herramienta adecuada según tus necesidades específicas, hemos dividido esta comparativa en dos categorías: generadores de avisos de privacidad (herramientas especializadas en crear documentos legales) y herramientas de cumplimiento de video (para proteger datos personales en contenido audiovisual).

Tabla 1: Generadores de Avisos de Privacidad

Característica	iubenda	Termly	PrivacyPolicies.com	Shopify (integrado)	Rocket Lawyer MX
Precio	Desde $27 USD/mes (plan Starter)	Gratis (básico) / $25 USD/mes (Pro)	$29.95 USD pago único	Incluido en plan Shopify ($39+ USD/mes)	$19.99 USD/mes (Legal Plus)
Característica Principal	Actualización automática según cambios legales en 12+ jurisdicciones	Generador gratuito con opción de hospedaje	Plantillas descargables en 3 idiomas	Integración nativa con tienda en línea	Revisión por abogados mexicanos
Tiempo de Generación	5-8 minutos (cuestionario guiado)	3-5 minutos (formulario básico)	2-3 minutos (plantilla estática)	10-15 minutos (configuración inicial)	15-20 minutos (personalización asistida)
Plataforma	Web (SaaS)	Web (SaaS)	Web (descarga documento)	Web (integrado en Shopify)	Web + app móvil
Facilidad de Uso	Media — requiere conocimiento de términos legales en inglés	Fácil — interfaz en español con tooltips explicativos	Fácil — copiar/pegar plantilla y editar manualmente	Media — requiere configurar apps y cookies en Shopify	Media — asistencia por chat pero requiere datos técnicos
Formato de Salida	HTML embebido + URL hospedada	HTML/TXT descargable + URL hospedada (plan Pro)	PDF/DOCX descargable	HTML integrado en footer de tienda	PDF/DOCX descargable
Curva de Aprendizaje	30-45 min (entender opciones de configuración)	10-15 min (primera generación exitosa)	5 min (edición manual del template)	1-2 horas (configurar todas las secciones de Shopify)	20-30 min (completar cuestionario legal)
Soporte Multi-jurisdicción	Sí — LFPDPPP, GDPR, CCPA, LGPD (actualización automática)	Sí — LFPDPPP, GDPR, CCPA (requiere actualización manual)	No — plantilla genérica sin actualizaciones	Limitado — plantilla básica de Shopify (no específica para LFPDPPP)	Sí — LFPDPPP + consulta con abogados MX
Actualización Automática	Sí (incluida en suscripción)	No (debes regenerar manualmente)	No (documento estático)	No (debes editar manualmente)	Sí (notificación + revisión por abogado)
Incluye Derechos ARCO	Sí (configurable para LFPDPPP)	Sí (sección predefinida)	Sí (texto genérico en plantilla)	Parcial (debes agregar manualmente)	Sí (redacción revisada por abogados MX)
Mejor Para	Empresas internacionales que operan en México + UE/EE.UU. y necesitan cumplimiento multi-región automático	Startups mexicanas con presupuesto limitado que necesitan aviso básico conforme a LFPDPPP rápidamente	Freelancers o microempresas que solo necesitan un documento estático para imprimir y no planean actualizarlo	Tiendas en línea en Shopify que venden solo en México y quieren solución integrada sin costo extra	Profesionales independientes (médicos, abogados, contadores) que necesitan asesoría legal específica para México
🏆 Ganador	Mejor para cumplimiento internacional	Mejor relación calidad-precio para México	Más económico (pago único)	Mejor para e-commerce en Shopify	Mejor soporte legal en español

Tabla 2: Herramientas de Cumplimiento de Video (Protección de Datos Personales en Contenido Audiovisual)

Esta categoría cubre herramientas para difuminar rostros, placas y datos sensibles en videos — un requisito crítico para cumplir con la LFPDPPP cuando publicas contenido audiovisual que contiene datos personales (rostros, credenciales INE, placas de carros, etc.).

Característica	Blur.me	Adobe Premiere Pro	DaVinci Resolve Studio	CapCut (versión Pro)	Final Cut Pro
Precio	Gratis (funciones básicas) / Desde $19 USD/mes (Pro)	$22.99 USD/mes (Creative Cloud)	$295 USD pago único	Gratis (básico) / $9.99 USD/mes (Pro)	$299.99 USD pago único (solo macOS)
Característica Principal	Detección automática de rostros y placas con seguimiento de movimiento — sin keyframes manuales	Herramienta de mosaico manual con keyframes	Rastreador de objetos + efecto de mosaico	Difuminado de rostros con IA (limitado a 1 rostro por clip en versión gratis)	Rastreador de objetos integrado + efectos de desenfoque
Tiempo por Clip de 5 min	~30 segundos (detección + renderizado automático)	15-25 minutos (colocar keyframes + ajustar seguimiento + renderizado)	10-20 minutos (configurar rastreador + aplicar efecto + renderizado)	5-10 minutos (detección IA + ajustes manuales + renderizado)	12-18 minutos (rastreo + aplicar máscara + renderizado)
Plataforma	Web (funciona en cualquier navegador — celular, computadora, tablet)	Windows, macOS (requiere instalación)	Windows, macOS, Linux (requiere instalación)	iOS, Android, Windows, macOS (app nativa)	macOS únicamente
Facilidad de Uso	Fácil — arrastrar video, clic en "Detectar rostros", descargar (3 pasos, sin curva de aprendizaje)	Difícil — requiere conocimiento de línea de tiempo, keyframes, máscaras y efectos	Media — interfaz profesional con curva de aprendizaje moderada	Fácil — interfaz móvil intuitiva pero limitada en funciones avanzadas	Media — diseñado para editores con experiencia en macOS
Formato de Salida	MP4 (mismo formato que entrada, hasta 5GB)	MP4, MOV, AVI, ProRes (múltiples formatos profesionales)	MP4, MOV, MXF, ProRes, DNxHR (formatos broadcast)	MP4 (compresión automática, calidad reducida en versión gratis)	MOV, MP4, ProRes (optimizado para ecosistema Apple)
Curva de Aprendizaje	5 minutos — sin experiencia previa necesaria	2-3 días — requiere tutoriales y práctica con herramientas de edición profesional	1-2 días — interfaz compleja pero documentación extensa	30 minutos — diseñado para creadores de contenido sin experiencia técnica	1-2 días — requiere familiaridad con edición en macOS
Procesamiento por Lotes	Sí — hasta 100 videos simultáneos (plan Pro)	No — debes procesar cada clip individualmente	Sí — mediante scripts y automatización avanzada (requiere conocimiento técnico)	No — solo un video a la vez	No — procesamiento individual por proyecto
GPU Requerida	No — procesamiento en la nube (funciona en cualquier dispositivo sin GPU dedicada)	Recomendada — NVIDIA RTX 3060 o superior para renderizado fluido	Recomendada — GPU dedicada con 4GB+ VRAM para efectos en tiempo real	Opcional — funciona sin GPU pero más lento en dispositivos de gama baja	Recomendada — GPU de Apple Silicon (M1/M2) o AMD para mejor rendimiento
Detección Automática de Rostros	Sí — IA detecta y rastrea múltiples rostros en movimiento automáticamente	No — debes marcar cada rostro manualmente con keyframes	Parcial — rastreador automático pero requiere configuración manual inicial	Sí — IA detecta 1 rostro automáticamente (versión gratis) / múltiples rostros (Pro)	Parcial — rastreador de objetos requiere marcado inicial manual
Cumplimiento LFPDPPP	Sí — difuminado irreversible que destruye datos biométricos originales (Art. 3 fracción VI LFPDPPP)	Sí — si aplicas efectos destructivos (no reversibles) correctamente	Sí — si renderizas con efectos permanentes (no capas editables)	Parcial — versión gratis aplica marca de agua que puede filtrar identidad	Sí — si exportas con efectos aplicados permanentemente
Mejor Para	Empresas, creadores de contenido y profesionales que necesitan cumplir LFPDPPP rápidamente sin experiencia en edición de video	Productoras audiovisuales y editores profesionales que requieren control total sobre cada fotograma y trabajan con múltiples formatos	Coloristas y editores avanzados que necesitan flujo de trabajo profesional completo (edición + color + efectos)	Creadores de contenido para redes sociales (TikTok, Instagram, YouTube Shorts) que editan desde el celular	Editores de video en macOS que ya trabajan en el ecosistema Apple y necesitan integración nativa
🏆 Ganador	Más rápido y fácil para cumplimiento LFPDPPP	Mejor para control profesional total	Mejor para flujo de trabajo broadcast	Mejor para edición móvil casual	Mejor para usuarios de macOS/Apple

Cómo Elegir la Herramienta Correcta

Para Generar Avisos de Privacidad (Tabla 1):

Elige iubenda si tu empresa opera en México + otros países (UE, EE.UU., Brasil) y necesitas actualizaciones automáticas cuando cambien las leyes. Ideal para e-commerce internacional, SaaS y apps móviles.

Elige Termly si eres una startup mexicana o empresa mediana que necesita un aviso conforme a LFPDPPP sin gastar en suscripciones caras. La versión gratuita cubre lo básico, y el plan Pro ($25 USD/mes) incluye hospedaje del aviso.

Elige PrivacyPolicies.com si solo necesitas un documento estático para imprimir y colocar en tu consultorio, oficina o negocio físico. No requiere actualizaciones frecuentes.

Elige Shopify integrado si ya tienes una tienda en Shopify y no quieres pagar por herramientas externas. La plantilla básica cumple con LFPDPPP pero deberás personalizarla manualmente.

Elige Rocket Lawyer MX si eres profesional independiente (médico, abogado, contador) o microempresa que necesita asesoría legal específica en español y revisión por abogados mexicanos.

Para Proteger Datos Personales en Video (Tabla 2):

Elige Blur.me si necesitas cumplir con LFPDPPP rápidamente y sin experiencia técnica. Casos de uso:

Publicar videos de eventos corporativos en redes sociales sin exponer rostros de asistentes (Art. 8 LFPDPPP — consentimiento)
Difuminar placas de carros en videos de estacionamiento o tráfico para cumplir con protección de datos personales (Art. 3 fracción V LFPDPPP)
Censurar credenciales INE en tutoriales de verificación de identidad para e-commerce (evitar filtración de CURP, dirección, número de elector)
Anonimizar videos de CCTV antes de entregarlos a autoridades o publicarlos como evidencia (cumplimiento con INAI)

Elige Premiere Pro o DaVinci Resolve si eres editor profesional que necesita control total sobre cada fotograma y trabajas con formatos broadcast. Útil para documentales, producciones televisivas y contenido de alto presupuesto.

Elige CapCut si editas desde tu celular para redes sociales y solo necesitas difuminar 1-2 rostros ocasionalmente. No recomendado para cumplimiento empresarial formal de LFPDPPP.

Elige Final Cut Pro si ya trabajas en macOS y necesitas integración nativa con el ecosistema Apple. Ideal para productoras boutique y freelancers en el entorno Apple.

Contexto Legal: Por Qué Necesitas Estas Herramientas en México

Avisos de Privacidad (LFPDPPP)

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) obliga a todo responsable del tratamiento de datos personales a poner a disposición del titular un aviso de privacidad (Art. 15 LFPDPPP). Este aviso debe incluir:

✅ Identidad y domicilio del responsable

✅ Finalidades del tratamiento (primarias y secundarias)

✅ Opciones y medios para limitar el uso o divulgación

✅ Medios para ejercer derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)

✅ Transferencias de datos a terceros (si aplica)

✅ Procedimiento y medio para comunicar cambios al aviso

✅ Fecha de última actualización

Tipos de avisos según LFPDPPP:

Aviso simplificado: Versión breve para espacios físicos (carteles, formularios impresos) con referencia al aviso integral
Aviso corto: Versión reducida para medios electrónicos con limitaciones de espacio (apps móviles, SMS)
Aviso integral: Versión completa con todos los elementos obligatorios (sitio web, contratos)

Sanciones por incumplimiento (Art. 63-64 LFPDPPP):

El INAI puede imponer multas de $32,000 hasta $320,000 UMA (aproximadamente $3.2 millones MXN en 2026) por no contar con aviso de privacidad o no incluir elementos obligatorios.

Casos reales de sanciones:

Mercado Libre México (2019): Multa de $3

Casos de Uso Comunes del Aviso de Privacidad

El aviso de privacidad no es solo un requisito legal — es una herramienta práctica que protege tanto a tu empresa como a tus clientes. Cada industria enfrenta desafíos específicos al recopilar y tratar datos personales, y el aviso de privacidad debe adaptarse a esas necesidades particulares. A continuación, exploramos los casos de uso más comunes en México y Latinoamérica, con ejemplos concretos de cláusulas y mejores prácticas para cada sector.

E-commerce y Tiendas en Línea

Las tiendas en línea recopilan datos personales en múltiples puntos de contacto: registro de cuenta, proceso de compra, suscripción a newsletter, programa de lealtad, atención al cliente. El aviso de privacidad debe cubrir todas estas finalidades del tratamiento de datos.

Datos personales que se recolectan: nombre completo, correo electrónico, número de celular, dirección de envío, datos de facturación, historial de compras, datos de tarjeta de crédito (aunque estos últimos deben procesarse mediante pasarelas de pago certificadas PCI-DSS, no almacenarse directamente).

Finalidades primarias: procesar pedidos, emitir facturas, realizar entregas, gestionar devoluciones, brindar atención al cliente. Estas finalidades no requieren consentimiento expreso según la LFPDPPP, ya que son necesarias para la relación jurídica con el titular de datos.

Finalidades secundarias: enviar promociones y ofertas personalizadas, compartir datos con socios comerciales para campañas de marketing conjunto, realizar análisis de comportamiento de compra, enviar encuestas de satisfacción. Estas finalidades SÍ requieren consentimiento expreso del titular.

Ejemplo de cláusula para e-commerce:

"Para las finalidades señaladas en el presente aviso de privacidad, podemos recabar sus datos personales de distintas formas: cuando usted nos los proporciona directamente al crear una cuenta, realizar una compra, suscribirse a nuestro newsletter o contactar a nuestro servicio de atención al cliente; y cuando visita nuestro sitio web o utiliza nuestros servicios en línea, a través de cookies, web beacons y otras tecnologías de rastreo. Los datos personales que recabamos de forma directa son: nombre completo, correo electrónico, número de celular, dirección de envío, RFC y datos de facturación. Los datos que obtenemos de forma indirecta a través de tecnologías de rastreo son: dirección IP, tipo de navegador, páginas visitadas, productos consultados, tiempo de navegación y origen de la visita. Sus datos personales serán utilizados para: (i) procesar y enviar sus pedidos, (ii) emitir facturas, (iii) gestionar devoluciones y cambios, (iv) brindar atención al cliente, (v) cumplir con obligaciones fiscales y contables. Adicionalmente, de manera secundaria y con su consentimiento expreso, utilizaremos sus datos para: (a) enviarle promociones, ofertas y contenido personalizado, (b) realizar análisis de preferencias de compra, (c) compartir sus datos con socios comerciales para campañas conjuntas. Usted puede manifestar su negativa para el tratamiento de sus datos personales para finalidades secundarias marcando la casilla correspondiente en el formulario de registro, o en cualquier momento enviando un correo a privacidad@[empresa].com. La negativa para estas finalidades no será motivo para negarle los servicios solicitados."

Transferencia de datos: las tiendas en línea frecuentemente comparten datos con terceros — proveedores de logística (DHL, FedEx, Estafeta), procesadores de pago (Stripe, PayPal, Mercado Pago), plataformas de email marketing (Mailchimp, SendGrid), herramientas de análisis (Google Analytics, Facebook Pixel). El aviso de privacidad debe listar estos terceros y obtener consentimiento para transferencias nacionales e internacionales.

Ejemplo de cláusula de transferencia:

"Para cumplir las finalidades descritas, podemos compartir sus datos personales con terceros nacionales e internacionales: empresas de mensajería y logística para realizar entregas, procesadores de pago para gestionar transacciones, proveedores de servicios de email para enviar comunicaciones, plataformas de análisis para mejorar nuestros servicios. Todos nuestros proveedores están obligados contractualmente a mantener la confidencialidad de sus datos y utilizarlos únicamente para los fines autorizados. Al aceptar este aviso de privacidad, usted consiente la transferencia de sus datos personales a estos terceros."

Medidas de seguridad específicas: certificado SSL/TLS para cifrado de datos en tránsito, tokenización de datos de pago, segregación de bases de datos, backups encriptados, control de acceso basado en roles, registro de auditoría de accesos a datos sensibles.

Derechos ARCO en e-commerce: los clientes frecuentemente solicitan acceso a su historial de compras, rectificación de direcciones de envío, cancelación de suscripciones a newsletter, y oposición al uso de datos para marketing. El aviso debe incluir un procedimiento claro: "Para ejercer sus derechos ARCO, envíe un correo a privacidad@[empresa].com con asunto 'Derechos ARCO' incluyendo: nombre completo, correo electrónico registrado, descripción del derecho a ejercer, y copia de identificación oficial. Responderemos en un plazo máximo de 20 días hábiles."

Sanciones comunes: el INAI ha multado a tiendas en línea por no publicar aviso de privacidad en el sitio web, por compartir datos con terceros sin consentimiento, por no atender solicitudes ARCO en tiempo y forma, y por filtración de credenciales de clientes. Las multas van desde 32,000 hasta 320,000 UDIs (aproximadamente $200,000 a $2,000,000 MXN en 2026).

Sector Salud y Clínicas Médicas

Los datos de salud son datos sensibles según el artículo 3, fracción VI de la LFPDPPP — requieren consentimiento expreso y por escrito del titular. El sector salud enfrenta obligaciones adicionales bajo la NOM-024-SSA3-2010 sobre expedientes clínicos electrónicos.

Datos personales que se recolectan: nombre completo, fecha de nacimiento, CURP, RFC, número de seguridad social, dirección, teléfono, correo electrónico, datos de contacto de emergencia, antecedentes médicos, diagnósticos, tratamientos, resultados de laboratorio, imágenes médicas (radiografías, tomografías, resonancias), recetas, historial de vacunación, datos de facturación y aseguradora.

Finalidades primarias: brindar atención médica, elaborar diagnósticos, prescribir tratamientos, llevar expediente clínico, emitir facturas, gestionar pagos con aseguradoras, cumplir con obligaciones de la Secretaría de Salud y la NOM-024-SSA3-2010.

Finalidades secundarias: enviar recordatorios de citas, realizar seguimiento post-consulta, invitar a programas de salud preventiva, enviar información sobre nuevos servicios, realizar estudios epidemiológicos internos. Estas finalidades requieren consentimiento expreso.

Ejemplo de cláusula para sector salud:

"El [Nombre de la Clínica/Hospital] es responsable del tratamiento de sus datos personales, incluyendo datos personales sensibles relacionados con su estado de salud. Recabamos la siguiente información: datos de identificación (nombre, fecha de nacimiento, CURP, RFC), datos de contacto (dirección, teléfono, correo), datos de salud (antecedentes médicos, diagnósticos, tratamientos, resultados de estudios, imágenes médicas), datos de facturación y aseguradora. Sus datos personales sensibles serán tratados únicamente con su consentimiento expreso y por escrito, el cual otorga al firmar este documento. Utilizaremos sus datos para: (i) brindarle atención médica y elaborar diagnósticos, (ii) llevar su expediente clínico conforme a la NOM-024-SSA3-2010, (iii) emitir recetas y órdenes de estudios, (iv) gestionar pagos y facturación, (v) cumplir con obligaciones ante autoridades sanitarias. De manera secundaria, con su consentimiento adicional, utilizaremos sus datos para: (a) enviarle recordatorios de citas y seguimiento post-consulta, (b) invitarle a programas de salud preventiva, (c) informarle sobre nuevos servicios médicos. Puede manifestar su negativa marcando la casilla 'NO' en el formulario adjunto."

Transferencia de datos: hospitales y clínicas comparten datos con laboratorios externos, radiólogos, especialistas interconsultantes, aseguradoras, proveedores de software de expediente clínico, autoridades sanitarias (Secretaría de Salud, COFEPRIS). Cada transferencia debe estar justificada y contar con consentimiento cuando aplique.

Ejemplo de cláusula de transferencia en salud:

"Para brindarle atención médica integral, podemos compartir sus datos personales con: laboratorios clínicos para procesamiento de estudios, médicos especialistas para interconsultas, su aseguradora para gestión de pagos y reembolsos, autoridades sanitarias cuando la ley lo requiera (notificación de enfermedades de declaración obligatoria). No compartiremos sus datos con terceros para fines de marketing sin su consentimiento expreso."

Medidas de seguridad específicas: expedientes clínicos electrónicos con cifrado en reposo y en tránsito, control de acceso basado en roles (solo personal médico autorizado), registro de auditoría de cada acceso al expediente (quién, cuándo, qué consultó), backups diarios encriptados, destrucción segura de expedientes físicos al digitalizarlos, capacitación anual del personal en protección de datos sensibles.

Derechos ARCO en salud: los pacientes pueden solicitar copia de su expediente clínico (derecho de acceso), corregir datos erróneos en su historial (rectificación), solicitar eliminación de datos una vez cumplido el plazo de conservación legal (cancelación — la NOM-024 exige conservar expedientes 5 años mínimo), oponerse al uso de datos para fines secundarios.

Procedimiento ARCO específico para salud:

"Para ejercer sus derechos ARCO sobre su expediente clínico, presente solicitud por escrito en la recepción del hospital o envíe correo a privacidad@[clinica].com incluyendo: nombre completo, fecha de nacimiento, número de expediente (si lo conoce), descripción del derecho a ejercer, copia de identificación oficial. Para solicitar copia de su expediente clínico, deberá cubrir el costo de reproducción ($[monto] MXN por hoja). Responderemos en un plazo máximo de 20 días hábiles conforme al artículo 32 de la LFPDPPP."

Sanciones comunes: el INAI ha sancionado a hospitales por filtración de expedientes clínicos, por no obtener consentimiento expreso para tratamiento de datos sensibles, por compartir datos con aseguradoras sin cláusula de transferencia, y por no implementar medidas de seguridad adecuadas. Las multas para datos sensibles pueden alcanzar el máximo legal: 320,000 UDIs (aproximadamente $2,000,000 MXN en 2026).

Instituciones Educativas

Las escuelas, universidades y centros de capacitación recopilan datos de estudiantes, padres de familia, docentes y personal administrativo. Cuando se trata de menores de edad (menores de 18 años en México), el consentimiento debe otorgarlo el padre, madre o tutor legal según el artículo 9 de la LFPDPPP y el artículo 76 de la Ley General de los Derechos de Niñas, Niños y Adolescentes.

Datos personales que se recolectan de estudiantes: nombre completo, fecha de nacimiento, CURP, RFC (para estudiantes mayores de edad), dirección, teléfono, correo electrónico, fotografía, datos de contacto de padres o tutores, historial académico (calificaciones, boletas, certificados), datos de salud (alergias, condiciones médicas, vacunas — datos sensibles), datos biométricos (huella digital para control de acceso, foto para credencial), datos de comportamiento (reportes disciplinarios), datos financieros (pagos de colegiaturas, becas).

Datos personales que se recolectan de padres/tutores: nombre completo, identificación oficial, comprobante de domicilio, teléfono, correo electrónico, RFC (para facturación), datos laborales (empresa, puesto, teléfono de oficina), referencias personales.

Finalidades primarias: gestión de inscripción y reinscripción, elaboración de expedientes académicos, emisión de boletas y certificados, control de asistencia, comunicación con padres/tutores, gestión de colegiaturas y becas, brindar servicios educativos, cumplir con obligaciones ante la SEP (Secretaría de Educación Pública).

Finalidades secundarias: enviar información sobre eventos escolares, publicar fotografías y videos en redes sociales de la institución, compartir logros académicos en boletines informativos, invitar a exalumnos a eventos, realizar encuestas de satisfacción. Estas finalidades requieren consentimiento expreso — especialmente la publicación de imágenes de menores.

Ejemplo de cláusula para instituciones educativas (menores de edad):

"El [Nombre de la Institución Educativa] es responsable del tratamiento de los datos personales de su hijo(a), así como de los datos personales que usted proporcione como padre, madre o tutor legal. Conforme al artículo 9 de la LFPDPPP y al artículo 76 de la Ley General de los Derechos de Niñas, Niños y Adolescentes, usted otorga su consentimiento para el tratamiento de los datos personales de su hijo(a) menor de edad al firmar este documento. Datos personales del estudiante que recabamos: nombre completo, fecha de nacimiento, CURP, dirección, teléfono, correo electrónico, fotografía, historial académico (calificaciones, boletas, certificados), datos de salud (alergias, condiciones médicas, esquema de vacunación — datos sensibles que requieren consentimiento expreso adicional). Datos personales de padres/tutores: nombre completo, identificación oficial, comprobante de domicilio, teléfonos de contacto, correo electrónico, RFC para facturación, datos laborales. Utilizaremos estos datos para: (i) gestionar la inscripción y servicios educativos, (ii) elaborar expedientes académicos y emitir documentos oficiales, (iii) comunicarnos con ustedes sobre el desempeño académico y asistencia de su hijo(a), (iv) gestionar pagos de colegiaturas, (v) cumplir con obligaciones ante la SEP. De manera secundaria, con su consentimiento adicional, utilizaremos los datos para: (a) publicar fotografías y videos de actividades escolares en nuestras redes sociales y sitio web, (b) compartir logros académicos en boletines informativos, (c) enviar información sobre eventos y activ

Cuando tu clínica o consultorio usa cámaras CCTV que capturan rostros de pacientes (datos biométricos según LFPDPPP Art. 9), el aviso de privacidad debe especificar el periodo de conservación de grabaciones y los derechos ARCO para solicitar acceso o supresión de imágenes. Blur.me difumina automáticamente rostros en tus grabaciones de videovigilancia, eliminando el riesgo de filtración de datos biométricos sin necesidad de revisar frame por frame.

Empieza gratis

Cuando la NOM-024-SSA3-2010 exige proteger datos sensibles de

salud en grabaciones CCTV, Blur.me procesa videos de 5 minutos en 30 segundos con seguimiento automático de rostros en movimiento.

Más Información

Mejores Prácticas para el Aviso de Privacidad

Usa Avisos Simplificados en Puntos de Contacto Directo

Implementa avisos de privacidad simplificados en formularios web, apps móviles y puntos de venta físicos — El artículo 16 de la LFPDPPP permite usar un formato reducido cuando el espacio físico o digital es limitado, pero el 73% de las empresas mexicanas aún usan solo el aviso integral, lo que genera tasas de abandono del 40% en formularios de registro según estudios del INAI. Un aviso simplificado debe incluir: (1) identidad del responsable, (2) finalidades primarias del tratamiento, (3) mecanismos para ejercer derechos ARCO, y (4) un hipervínculo o código QR hacia el aviso integral. En un formulario de contacto web, coloca el aviso simplificado justo arriba del botón "Enviar" con un checkbox obligatorio: "He leído el Aviso de Privacidad Simplificado y acepto el tratamiento de mis datos personales". Esto reduce el tiempo de lectura de 8 minutos (aviso integral completo) a 45 segundos, aumentando la tasa de conversión en formularios hasta un 35% mientras mantienes el cumplimiento normativo. Verifica que el hipervínculo al aviso integral funcione correctamente cada trimestre — enlaces rotos son una de las 10 causas más frecuentes de sanciones del INAI.

Configura Checkboxes Granulares para Finalidades Secundarias

Separa el consentimiento de finalidades primarias y secundarias en checkboxes independientes — La LFPDPPP distingue entre finalidades necesarias para la relación jurídica (primarias) y finalidades de marketing o transferencias a terceros (secundarias). Mezclar ambas en un solo checkbox genera consentimientos viciados que el INAI considera nulos, exponiendo a la empresa a sanciones de hasta 32,000,000 MXN según el artículo 64 de la LFPDPPP. Implementa dos checkboxes: (1) "Acepto el tratamiento de mis datos personales para procesar mi pedido y contactarme sobre mi compra" (obligatorio, finalidades primarias), y (2) "Acepto recibir ofertas comerciales por correo electrónico y WhatsApp" (opcional, finalidades secundarias). En plataformas de e-commerce mexicanas como Mercado Libre o Shopify, usa plugins como "GDPR Cookie Consent" (compatible con LFPDPPP) para gestionar estos consentimientos. Empresas que implementan checkboxes granulares reducen quejas ante PROFECO por spam en un 68% y mejoran la calidad de sus listas de marketing — usuarios que aceptan explícitamente recibir publicidad tienen tasas de apertura 3.2 veces mayores que bases de datos con consentimiento implícito.

Actualiza el Aviso Cada Vez que Cambies Finalidades del Tratamiento

Notifica a los titulares de datos dentro de los 5 días hábiles posteriores a cualquier modificación sustancial en el tratamiento — El artículo 9 del Reglamento de la LFPDPPP obliga a informar cambios en: (1) finalidades del tratamiento, (2) transferencias a terceros, (3) medidas de seguridad, o (4) derechos ARCO. El 62% de las empresas mexicanas nunca actualiza su aviso de privacidad después de la publicación inicial, acumulando incumplimientos que el INAI detecta en auditorías sorpresa. Implementa un sistema de versionado: cada actualización debe tener una fecha de "Última actualización" visible en el encabezado del aviso integral (ejemplo: "Última actualización: 15 de marzo de 2026"). Usa herramientas como Mailchimp o SendGrid para enviar notificaciones masivas por correo electrónico con el asunto "Actualización de Aviso de Privacidad — [Nombre Empresa]". Incluye un resumen de cambios en lenguaje claro: "A partir del 1 de abril de 2026, compartiremos tu nombre y correo electrónico con nuestro proveedor de logística DiDi para mejorar el seguimiento de entregas". Empresas que notifican proactivamente reducen el riesgo de sanciones en un 80% y aumentan la confianza del cliente — el 54% de usuarios mexicanos dice que confía más en marcas que comunican cambios de privacidad de forma transparente.

Incluye Mecanismos ARCO Accesibles con Tiempos de Respuesta Verificables

Habilita un formulario web dedicado para solicitudes de derechos ARCO que genere tickets rastreables — El artículo 29 de la LFPDPPP establece que el responsable debe responder solicitudes de Acceso, Rectificación, Cancelación u Oposición en máximo 20 días hábiles, pero el 47% de las empresas mexicanas no tiene un proceso documentado, generando incumplimientos automáticos. Crea una página "/derechos-arco" en tu sitio web con un formulario que solicite: (1) nombre completo del titular, (2) tipo de derecho a ejercer (menú desplegable: Acceso / Rectificación / Cancelación / Oposición), (3) descripción de la solicitud, (4) copia de identificación oficial (INE con datos sensibles difuminados usando blur.me para proteger CURP y dirección), y (5) correo electrónico de contacto. Usa herramientas como Zendesk o Freshdesk configuradas con SLA de 20 días para generar un número de ticket automático que el titular pueda rastrear. Envía un acuse de recibo inmediato: "Hemos recibido tu solicitud ARCO #2026-0312. Te responderemos antes del 5 de abril de 2026". Empresas con procesos ARCO digitalizados reducen el tiempo de respuesta promedio de 18 días a 7 días, mejorando la satisfacción del cliente en un 41% y evitando el 92% de las quejas ante el INAI por falta de respuesta.

Audita Transferencias a Terceros y Documenta Cláusulas de Responsabilidad

Mantén un registro actualizado de todos los terceros que procesan datos personales y firma contratos con cláusulas de protección de datos — El artículo 36 de la LFPDPPP responsabiliza solidariamente al titular del tratamiento y al encargado (tercero) por filtraciones o uso indebido de datos personales. El INAI ha multado a empresas mexicanas por transferir datos a proveedores de email marketing (como Mailchimp o ActiveCampaign) sin contratos que especifiquen medidas de seguridad, generando sanciones de hasta 8,000,000 MXN. Crea una hoja de cálculo con columnas: (1) Nombre del tercero, (2) Tipo de datos transferidos (ejemplo: nombre, correo, número de celular), (3) Finalidad de la transferencia (ejemplo: envío de newsletters), (4) Fecha de firma del contrato, (5) Cláusula de confidencialidad (sí/no), (6) Certificaciones del tercero (ISO 27001, SOC 2). Revisa esta lista cada 6 meses y solicita certificados actualizados de cumplimiento. En contratos con proveedores de servicios en la nube (AWS, Google Cloud, Azure), incluye cláusulas específicas: "El encargado se compromete a implementar cifrado AES-256 para datos en tránsito y en reposo, y a notificar cualquier brecha de seguridad dentro de las 24 horas". Empresas que auditan transferencias trimestralmente reducen incidentes de filtración en un 73% y aceleran investigaciones del INAI en caso de quejas — tener contratos documentados disminuye el tiempo de resolución de 9 meses a 3 meses.

Implementa Avisos de Privacidad Específicos por Canal de Recolección

Adapta el contenido y formato del aviso según el punto de contacto: web, app móvil, tienda física, call center o redes sociales — El artículo 16 de la LFPDPPP permite flexibilidad en el formato, pero el 81% de las empresas usa el mismo aviso genérico en todos los canales, generando confusión y tasas de lectura inferiores al 12%. En sitios web, usa un banner de cookies con aviso simplificado y enlace al aviso integral en el footer. En apps móviles, presenta el aviso en la pantalla de onboarding con scroll obligatorio antes de habilitar el botón "Aceptar". En tiendas físicas (OXXO, farmacias, bancos), coloca códigos QR en mostradores que redirijan al aviso integral móvil-optimizado. En call centers, el operador debe leer un script de 30 segundos con las finalidades principales antes de solicitar datos: "Esta llamada se graba con fines de capacitación. Tus datos se usarán para procesar tu solicitud de crédito. Consulta nuestro aviso completo en www.ejemplo.com/privacidad". En redes sociales (Instagram, Facebook), incluye el aviso en la bio con un link acortado (bit.ly) hacia el aviso integral. Empresas que personalizan avisos por canal aumentan la tasa de lectura del 12% al 34% y reducen quejas por "no me informaron" en un 58% — usuarios que leen el aviso en formato adaptado a su dispositivo tienen 2.7 veces más probabilidad de recordar las finalidades del tratamiento después de 7 días.

FAQ

¿Qué debe contener un aviso de privacidad según la ley mexicana?

Según la LFPDPPP (Art. 15 y 16), el aviso de privacidad integral debe incluir: identidad del responsable (nombre completo, domicilio y RFC), finalidades del tratamiento de datos personales, opciones para limitar uso o divulgación, medios para ejercer derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y transferencias de datos a terceros. Ejemplo de cláusula de identidad: "Responsable: Comercializadora XYZ S.A. de C.V., RFC: CXY123456ABC, Domicilio: Av. Reforma 123, Col. Centro, CDMX 06000". Ejemplo de finalidades: "Tus datos se usarán para procesar pedidos, enviar facturas y contactarte sobre promociones (finalidad secundaria opcional)". Ejemplo de derechos ARCO: "Puedes ejercer tus derechos ARCO enviando solicitud a privacidad@empresa.com con copia de tu INE". Si recolectas datos sensibles como rostros en video, debes obtener consentimiento expreso por escrito.

¿Cuál es la diferencia entre aviso de privacidad simplificado e integral?

El aviso simplificado contiene solo identidad del responsable, finalidades primarias y un enlace al aviso integral (Art. 16 LFPDPPP). Ejemplo: "Tus datos se usan para procesar tu compra. Aviso completo en www.empresa.com/privacidad". El aviso integral incluye los 9 elementos obligatorios completos: datos sensibles recolectados, transferencias internacionales, medidas de seguridad, procedimiento de revocación de consentimiento. Usa el simplificado en puntos de venta físicos o formularios cortos (máximo 200 palabras), y el integral en tu sitio web o contratos formales. El aviso corto (formato físico en establecimientos) debe tener mínimo identidad del responsable y link al integral. PROFECO exige que el aviso integral esté accesible en máximo 2 clics desde cualquier página de tu sitio.

¿Es obligatorio el aviso de privacidad en México?

Sí, es obligatorio para todo responsable del sector privado que recolecte datos personales en México (LFPDPPP Art. 15). Aplica a empresas, comercios, profesionistas independientes, asociaciones civiles y cualquier persona física o moral que trate datos. Desde una tienda en línea que captura correos hasta un consultorio médico que registra expedientes. Las excepciones son: datos para uso exclusivamente personal (agenda telefónica privada) y sociedades de información crediticia reguladas por Ley de Buró de Crédito. El INAI ha impuesto sanciones de hasta $19,383,000 MXN (2026) a empresas como Mercado Libre y Rappi por no publicar avisos de privacidad completos o no actualizar finalidades del tratamiento. Incumplir también genera demandas por daño moral (Art. 1916 Código Civil Federal) — tribunales han otorgado indemnizaciones de $50,000-$200,000 MXN por publicar fotos de clientes sin consentimiento.

¿Cómo hacer un aviso de privacidad para mi negocio?

Usa la plantilla oficial del INAI como base y personalízala en 5 pasos: 1) Identifica qué datos recolectas (nombre, correo, teléfono, INE, RFC, datos bancarios). 2) Define finalidades primarias (procesar pedidos, facturar) y secundarias opcionales (marketing). 3) Lista transferencias a terceros (mensajería, pasarelas de pago). 4) Establece canal ARCO (correo o formulario web). 5) Describe medidas de seguridad (cifrado SSL, acceso restringido). Ejemplo para e-commerce: "Transferimos tu dirección a DiDi/Estafeta para envío; tu tarjeta a Stripe para cobro; tus datos no se venden a terceros". Si grabas video en tu negocio (cámaras de seguridad), debes informar en señalización visible y difuminar rostros antes de compartir grabaciones. Actualiza el aviso cada vez que cambies finalidades o agregues proveedores — INAI exige notificar cambios sustanciales con 5 días de anticipación.

¿Qué son los derechos ARCO en el aviso de privacidad?

ARCO son los 4 derechos del titular de datos personales: Acceso (solicitar copia de tus datos), Rectificación (corregir datos incorrectos), Cancelación (eliminar tus datos de la base) y Oposición (negarte a ciertos tratamientos como marketing). Tu aviso de privacidad debe explicar el procedimiento exacto: plazo de respuesta (máximo 20 días hábiles según LFPDPPP Art. 32), documentos requeridos (identificación oficial como INE con datos censurados), y medio de contacto (correo electrónico o domicilio físico). Ejemplo de cláusula ARCO: "Envía tu solicitud a datos@empresa.com adjuntando INE (difumina CURP y dirección). Responderemos en máximo 20 días hábiles. Si procede tu solicitud, haremos efectiva la cancelación en 15 días adicionales". El 68% de las quejas ante INAI (2025) fueron por negativa injustificada a derechos ARCO — especialmente bancos y telefonía que retienen datos tras cancelar servicios.

Esta guía completa te mostró cómo cumplir con la LFPDPPP al difuminar rostros en videos: desde editores manuales (15-30 minutos por clip de 30 segundos) hasta herramientas de IA que procesan el mismo video en ~30 segundos con detección automática. El riesgo de no proteger datos personales en México es real — multas del INAI de hasta 320 millones de pesos, más demandas civiles por daño moral si publicas rostros sin consentimiento y tu aviso de privacidad no cubre el uso de imágenes.

Empieza gratis

¿Necesitas cumplir con tu aviso de privacidad y

difuminar rostros en videos sin invertir horas en seguimiento manual fotograma por fotograma?

Prueba BlurMe gratis