Datos personales e IA

LFPDPPP 2025: qué cambia para tu negocio al usar IA con datos de clientes

En marzo de 2025 México estrenó una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Si tu negocio atiende clientes por WhatsApp, usa un CRM o un chatbot con IA, esto te toca. Aquí está lo esencial, sin lenguaje de abogado.

Qué pasó, en una frase

El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que entró en vigor al día siguiente y sustituyó a la ley de 2010.

El cambio de fondo no es solo el texto: también se disolvió el INAI y la vigilancia de datos personales pasó a la Secretaría Anticorrupción y Buen Gobierno, un órgano que depende del Ejecutivo. Cambia quién puede sancionar y ante quién responde tu negocio.

Por qué te toca aunque no seas una 'empresa de datos'

La nueva ley amplió quién cuenta como responsable del tratamiento: cualquier persona física o moral que trate datos personales, sin necesidad de que decida sobre ese tratamiento. En la práctica, entran también los que solo procesan datos por encargo.

Traducción para un negocio local: si guardas teléfonos y nombres de clientes en un CRM, si un chatbot de WhatsApp pide datos para agendar, o si mandas la conversación a una herramienta de IA para responder, estás tratando datos personales. La obligación no es solo de las grandes empresas.

Los cuatro cambios que más pegan a un negocio con IA

No es un repaso completo de la ley; son los puntos que más aparecen cuando automatizas atención y ventas:

  • Consentimiento libre, específico e informado. El cliente debe saber para qué usas sus datos. La ley mantiene, como regla general, que el consentimiento tácito puede ser válido, pero eso no te exime de informar con claridad.
  • Aviso de privacidad más exigente. El aviso simplificado ahora debe incluir identidad y domicilio del responsable, qué datos tratas (marcando los sensibles), para qué, cuáles usos requieren consentimiento y dónde consultar el aviso completo.
  • Fuente de acceso público, redefinida. Solo cuentan como públicas las bases que por ley se pueden consultar sin impedimento; queda fuera lo obtenido de forma ilícita. Comprar o raspar listas de contactos es terreno resbaladizo.
  • Nueva autoridad. Las quejas y sanciones ya no pasan por el INAI, sino por la Secretaría Anticorrupción y Buen Gobierno.

IA generativa: cinco focos prácticos

Usar IA para atender clientes es válido y útil. El riesgo aparece en cómo fluyen los datos. Estos cinco puntos evitan la mayoría de los problemas:

  • No pegues datos personales de clientes en herramientas públicas de IA sin una base legal y sin saber cómo tratan esa información.
  • Pon el consentimiento dentro del flujo: que el chatbot avise para qué pide los datos antes de pedirlos.
  • Enlaza tu aviso de privacidad donde el cliente entrega datos: WhatsApp, formularios del sitio, landing de contacto.
  • Minimiza. Pide solo los datos que de verdad necesitas para responder o agendar, no todo 'por si acaso'.
  • Deja por escrito el trato con tus proveedores. Si un tercero procesa datos de tus clientes (CRM, plataforma de mensajería, herramienta de IA), esa relación de encargo debe estar clara.

Checklist rápido antes de automatizar con IA

  • ¿Tienes un aviso de privacidad actualizado y accesible?
  • ¿El cliente sabe para qué pides sus datos, en el momento en que los pide?
  • ¿Guardas solo los datos necesarios y por el tiempo necesario?
  • ¿Sabes qué herramientas externas ven los datos de tus clientes?
  • ¿Tienes claro cómo atender una solicitud de acceso, rectificación o cancelación?

Este artículo es informativo y no constituye asesoría legal. Para el caso concreto de tu negocio conviene revisar el texto vigente de la ley y, si aplica, consultar a un especialista.

Preguntas frecuentes

Dudas comunes sobre este tema

¿La nueva LFPDPPP prohíbe usar IA con datos de clientes?

No. No prohíbe usar inteligencia artificial. Regula cómo tratas los datos personales: con consentimiento informado, aviso de privacidad claro, datos mínimos y control sobre quién los procesa.

¿Un negocio pequeño también tiene que cumplir?

Sí. La ley aplica a cualquier persona física o moral que trate datos personales. Un negocio local que usa WhatsApp, CRM o chatbot está tratando datos y tiene obligaciones.

¿Ante quién se reclama ahora que desapareció el INAI?

Desde 2025 las funciones de protección de datos pasaron a la Secretaría Anticorrupción y Buen Gobierno.

Siguiente paso

Convierte esto en un plan para tu negocio

Revisamos tu operación y te decimos qué automatizar primero, con números, no con promesas.

Automatización de WhatsApp con IACRM y automatización de ventasAuditoría IA para tu negocio

Aliados, comunidad y ecosistema

MAYIA Partner MAYIA Hub Digital Jalisco Parte del Hub Digital Jalisco Women in AI Women in AI
WhatsApp