Who regulates the LFPDPPP now?

The Secretaría Anticorrupción y Buen Gobierno, following the dissolution of INAI.

What security measures does the LFPDPPP require?

Article 18 requires administrative, technical and physical measures to protect personal data against loss, unauthorized access, alteration and disclosure.

How does ImmuniWeb help with LFPDPPP compliance?

By testing and securing the web and mobile applications that process personal data, and by monitoring the external attack surface for exposed or leaked data.

Mexico LFPDPPP Compliance

Cumplimiento de la LFPDPPP de México

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México exige a las organizaciones proteger los datos personales con medidas de seguridad adecuadas. Descubra cómo ImmuniWeb le ayuda a cumplir.

LFPDPPP Compliance

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) — es la ley de protección de datos de México para el sector privado. Una nueva LFPDPPP entró en vigor el 21 de marzo de 2025, sustituyendo la ley de 2010. El texto oficial se publicó en el Diario Oficial de la Federación (DOF).

¿Qué es la LFPDPPP?

La LFPDPPP regula cómo las entidades privadas recogen, utilizan, almacenan y transfieren los datos personales de las personas en México. Establece principios fundamentales, los derechos de los interesados (los derechos ARCO: acceso, rectificación, cancelación y oposición) y las obligaciones de los responsables del tratamiento, incluida la obligación de proteger los datos personales.

Con la reforma de 2025, la supervisión pasó del ahora disuelto INAI a la Secretaría Anticorrupción y Buen Gobierno, y se reforzaron las obligaciones de los responsables del tratamiento, incluidas la evaluación de riesgos y las medidas de seguridad.

¿Quién debe cumplir con la LFPDPPP?

La LFPDPPP se aplica a cualquier parte privada —empresa o individuo— que trate datos personales de interesados en México, independientemente del tamaño o sector de la organización. Las organizaciones extranjeras que traten datos personales de personas en México también se encuentran en su alcance.

Presentación corporativa [PDF]

Requisitos clave de la LFPDPPP para la seguridad de los datos

Desde el punto de vista de la seguridad de la información, la obligación central se encuentra en el Capítulo II:

Capítulo II — Principios y deberes que rigen el tratamiento de datos personales.
Artículo 18 — el deber de establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra la pérdida, el acceso no autorizado, la alteración o la divulgación. Esta es la contraparte mexicana del Artículo 32 del RGPD de la UE.
Perspectiva de Application Security: ya que la mayoría de los breaches de datos personales ocurren a través de aplicaciones web y móviles vulnerables o activos expuestos a internet, la seguridad de las aplicaciones es una parte fundamental de las medidas de seguridad técnicas requeridas.

Cómo le ayuda ImmuniWeb a cumplir con la LFPDPPP

ImmuniWeb ayuda a las organizaciones a implementar y demostrar las medidas de seguridad técnicas exigidas por el Artículo 18, al proteger las aplicaciones y los activos externos que procesan datos personales.

Capítulo II, Artículo 18: medidas de seguridad

Requisito	Lo que requiere	Productos ImmuniWeb
Art. 18	Medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra la pérdida, el acceso no autorizado, la alteración o la divulgación.	ImmuniWeb On-Demand, Neuron, Discovery, Continuous
Datos de la app	Identifique y corrija vulnerabilidades en aplicaciones web y móviles que procesan datos personales.	ImmuniWeb On-Demand, Neuron, MobileSuite, Neuron Mobile
Exposure	Inventario de activos expuestos a Internet y detección de datos filtrados o expuestos, incluida la Dark Web.	ImmuniWeb Discovery (CTEM / ASM / Monitoreo de la Dark Web)

ImmuniWeb On-Demand y MobileSuite proporcionan pruebas de penetración web y móvil; Neuron y Neuron Mobile ofrecen análisis automatizados; e ImmuniWeb Discovery mapea continuamente su superficie de ataque y monitorea las filtraciones de datos, ayudándole a demostrar las medidas de seguridad adecuadas que exige la ley.

¿Por qué es importante el cumplimiento de la LFPDPPP?

La LFPDPPP se aplica ampliamente a cualquier organización que maneje datos personales de personas en México. La reforma de 2025 aumentó las obligaciones y reforzó la aplicación de la ley, con multas significativas calculadas en UMA (Unidad de Medida y Actualización).

Más allá de evitar sanciones, proteger los datos personales preserva la confianza de los clientes y la reputación de la marca. Demostrar sólidas medidas de seguridad técnica —incluidas pruebas periódicas de aplicaciones y attack-surface monitoring— evidencia la diligencia que esperan los reguladores.

Presentación corporativa [PDF]

Preguntas frecuentes

P

¿Qué cambió con la LFPDPPP de 2025?

A

El 21 de marzo de 2025, una nueva ley sustituyó a la LFPDPPP de 2010, reforzando las obligaciones de los responsables del tratamiento y trasladando la supervisión del INAI a la Secretaría Anticorrupción y Buen Gobierno.
P

¿Quién regula actualmente la LFPDPPP?

A

La Secretaría de Anticorrupción y Buen Gobierno, tras la disolución del INAI.
P

¿Qué medidas de seguridad exige la LFPDPPP?

A

El artículo 18 exige medidas administrativas, técnicas y físicas para proteger los datos personales contra la pérdida, el acceso no autorizado, la alteración y la divulgación.
P

¿Cómo ayuda ImmuniWeb a cumplir con la LFPDPPP?

A

Mediante las pruebas y la protección de las aplicaciones web y móviles que procesan datos personales, y la supervisión de la superficie de ataque externa en busca de datos expuestos o filtrados.
P

¿Se aplica la LFPDPPP a empresas extranjeras?

A

Sí. Las organizaciones fuera de México que procesen datos personales de personas en México están dentro de su ámbito de aplicación.