--- law_key: "LFPDPPP" title: "Ley Federal De Protección De Datos Personales En Posesión De Los Particulares" content_level: law status: reviewed source: full_law_prompt_manual --- ## Resumen de la ley La Ley Federal De Protección De Datos Personales En Posesión De Los Particulares regula el tratamiento de datos personales por particulares en México. Su objeto es proteger privacidad y autodeterminación informativa mediante principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad. La ley establece reglas sobre aviso de privacidad, consentimiento, datos sensibles, medidas de seguridad, deber de confidencialidad, derechos ARCO, transferencias, esquemas de autorregulación, procedimientos de protección de derechos, verificación, infracciones, multas y delitos por tratamiento indebido de datos personales. ## Qué regula - Tratamiento de datos personales por particulares. - Avisos de privacidad. - Consentimiento para tratar datos personales y datos sensibles. - Principios y deberes de protección de datos. - Derechos de acceso, rectificación, cancelación y oposición. - Transferencias nacionales e internacionales de datos. - Medidas de seguridad y comunicación de vulneraciones. - Procedimiento de protección de derechos. - Verificación, infracciones, sanciones y delitos. ## A quién aplica - Personas físicas o morales particulares que deciden sobre el tratamiento de datos personales. - Responsables y encargados de bases de datos. - Personas titulares de datos personales. - Representantes legales de titulares. - Terceros que reciben transferencias de datos. - Organizaciones que adopten esquemas de autorregulación. - Secretaría Anticorrupción y Buen Gobierno u órgano competente conforme al régimen vigente. - Autoridades judiciales especializadas en amparo cuando corresponda. ## Materias principales - Privacidad. - Autodeterminación informativa. - Datos personales. - Datos personales sensibles. - Aviso de privacidad. - Consentimiento. - Derechos ARCO. - Transferencias de datos. - Seguridad de bases de datos. - Procedimientos, multas y delitos. ## Definiciones importantes | Concepto | Significado en la ley | | --- | --- | | Aviso de privacidad | Documento que informa a la persona titular las características y finalidades del tratamiento. | | Base de datos | Conjunto ordenado de datos personales referentes a una persona identificada o identificable. | | Consentimiento | Manifestación de la voluntad de la persona titular para autorizar el tratamiento de sus datos. | | Datos personales | Información concerniente a una persona física identificada o identificable. | | Datos personales sensibles | Datos que afectan esfera íntima o pueden originar discriminación o riesgo grave. | | Encargado | Persona que trata datos personales por cuenta del responsable. | | Responsable | Particular que decide sobre el tratamiento de datos personales. | | Titular | Persona física a quien corresponden los datos personales. | | Tratamiento | Obtención, uso, divulgación, almacenamiento, cancelación o cualquier manejo de datos personales. | | Transferencia | Comunicación de datos a persona distinta del responsable o encargado. | ## Mapa de temas | Tema | Artículos relacionados | Para qué sirve | | --- | --- | --- | | Objeto y conceptos | 1 a 4 | Entender alcance, definiciones y supletoriedad. | | Principios de tratamiento | 5 a 13 | Revisar bases para tratamiento lícito, proporcional e informado. | | Aviso de privacidad | 14 a 17 | Consultar contenido, puesta a disposición y cambios del aviso. | | Seguridad y confidencialidad | 18 a 20 | Ubicar medidas de seguridad, vulneraciones y confidencialidad. | | Derechos ARCO | 21 a 34 | Analizar acceso, rectificación, cancelación, oposición, requisitos y costos. | | Transferencias | 35 y 36 | Revisar cuándo se requiere consentimiento y excepciones. | | Autorregulación | 37 | Consultar esquemas vinculantes complementarios. | | Autoridad y procedimientos | 38 a 57 | Ver atribuciones, protección de derechos, verificación e imposición de sanciones. | | Infracciones y delitos | 58 a 64 | Identificar conductas infractoras, multas y penas de prisión. | ## Plazos importantes - El responsable debe comunicar vulneraciones de seguridad de forma inmediata cuando afecten significativamente derechos patrimoniales o morales. - El responsable debe responder solicitudes ARCO en un plazo máximo de veinte días desde su recepción. - Si la solicitud ARCO procede, debe hacerse efectiva dentro de los quince días siguientes a la comunicación de la respuesta. - La solicitud de protección de datos debe presentarse dentro de los quince días siguientes a la respuesta del responsable. - La autoridad debe resolver el procedimiento de protección de derechos en cincuenta días, prorrogables por una vez y hasta por periodo igual. - Si hay prevención por requisitos faltantes, la persona titular cuenta con cinco días para subsanar. - En procedimiento sancionador, la presunta persona infractora cuenta con quince días para ofrecer pruebas y manifestar defensa. ## Derechos principales - Derecho a la privacidad y a la autodeterminación informativa. - Derecho a recibir aviso de privacidad. - Derecho a consentir o negar el tratamiento cuando la ley lo exige. - Derecho de acceso a datos personales. - Derecho de rectificación de datos inexactos o incompletos. - Derecho de cancelación de datos. - Derecho de oposición al tratamiento. - Derecho a solicitar protección de datos ante la autoridad. - Derecho a reclamar indemnización por daños o lesiones causadas por incumplimiento. ## Obligaciones principales - Tratar datos conforme a los principios de la ley. - Poner a disposición avisos de privacidad completos. - Obtener consentimiento cuando sea exigible, especialmente para datos sensibles. - Limitar el tratamiento a finalidades informadas. - Mantener datos exactos, completos, correctos y actualizados. - Establecer medidas de seguridad administrativas, técnicas y físicas. - Guardar confidencialidad aun después de terminar la relación con el responsable. - Atender solicitudes ARCO y colaborar con verificaciones. ## Autoridades relacionadas - Secretaría Anticorrupción y Buen Gobierno u órgano federal competente conforme al texto vigente. - Autoridades garantes competentes en el régimen transitorio aplicable. - Poder Judicial de la Federación mediante juzgados y tribunales especializados en amparo. - Secretaría de Hacienda y Crédito Público en aspectos transitorios de transferencia institucional. - Órganos internos de control y autoridades administrativas que reciban asuntos transferidos. ## Trámites, procedimientos o acciones relacionadas - Elaboración y actualización de aviso de privacidad. - Solicitud de acceso, rectificación, cancelación u oposición. - Respuesta del responsable a derechos ARCO. - Solicitud de protección de datos ante la autoridad. - Conciliación dentro del procedimiento de protección. - Procedimiento de verificación. - Procedimiento de imposición de sanciones. - Comunicación de vulneraciones de seguridad. - Juicio de amparo contra resoluciones de la autoridad. ## Sanciones o consecuencias - Apercibimiento para cumplir actos solicitados por la persona titular. - Multa de 100 a 160,000 veces la Unidad de Medida y Actualización para infracciones previstas en la ley. - Multa de 200 a 320,000 veces la Unidad de Medida y Actualización para infracciones más graves. - Multa adicional de 100 a 320,000 veces la Unidad de Medida y Actualización si persisten infracciones. - Incremento hasta por dos veces cuando se trate de datos personales sensibles. - Prisión de tres meses a tres años por vulneración de seguridad con ánimo de lucro en ciertos supuestos. - Prisión de seis meses a cinco años por tratamiento engañoso con lucro indebido. - Duplicación de penas cuando se involucren datos personales sensibles. ## Artículos clave | Artículo | Importancia práctica | | --- | --- | | 1 | Define objeto de protección de datos personales en posesión de particulares. | | 2 | Reúne definiciones centrales para aplicar la ley. | | 5 | Establece principios de tratamiento. | | 7 | Regula consentimiento de la persona titular. | | 8 | Exige consentimiento expreso y por escrito para datos sensibles. | | 14 y 15 | Regulan aviso de privacidad y su contenido mínimo. | | 18 | Ordena medidas de seguridad. | | 19 | Regula comunicación de vulneraciones de seguridad. | | 21 a 34 | Desarrollan derechos ARCO y su procedimiento. | | 40 a 50 | Regulan procedimiento de protección de derechos. | | 58 y 59 | Enumeran infracciones y sanciones administrativas. | | 62 a 64 | Tipifican delitos por tratamiento indebido de datos. | ## Leyes relacionadas - [Constitución Política De Los Estados Unidos Mexicanos](/CPEUM/) - [Ley General De Protección De Datos Personales En Posesión De Sujetos Obligados](/LGPDPPSO/) - [Ley General De Transparencia Y Acceso A La Información Pública](/LGTAIP/) - [Ley Federal De Procedimiento Administrativo](/LFPA/) - [Código Nacional De Procedimientos Civiles Y Familiares](/CNPCF/) - [Código Civil Federal](/CCF/) ## Reformas y vigencia La ley fue publicada en el Diario Oficial de la Federación el 20 de marzo de 2025. El texto oficial local consultado reporta última reforma publicada el 14 de noviembre de 2025, vinculada con homologación normativa al Código Nacional de Procedimientos Civiles y Familiares. Su régimen transitorio reorganizó funciones antes asociadas al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. ## Preguntas frecuentes (autogeneradas) ### ¿Qué protege la Ley Federal De Protección De Datos Personales En Posesión De Los Particulares? Protege la privacidad y autodeterminación informativa de personas físicas cuyos datos son tratados por particulares como empresas, asociaciones, profesionales o proveedores. ### ¿Qué son los derechos ARCO? Son los derechos de acceso, rectificación, cancelación y oposición que permiten a la persona titular conocer, corregir, eliminar u oponerse al tratamiento de sus datos personales. ### ¿Cuánto tiempo tiene un responsable para responder una solicitud ARCO? El responsable debe comunicar su respuesta en un máximo de veinte días y, si procede, hacer efectivo el derecho dentro de los quince días siguientes. ### ¿Qué pasa si una empresa trata datos sensibles sin consentimiento? Puede enfrentar multas, incremento de sanciones por tratarse de datos sensibles y, en casos de conducta dolosa o lucrativa prevista por la ley, responsabilidad penal. ### ¿Qué artículos conviene revisar primero? Conviene revisar los artículos 1, 2, 5, 7, 8, 14, 15, 18, 19, 21 a 34, 58, 59 y 62 a 64. ## Fuente oficial - Ficha HTML: [Cámara de Diputados](https://www.diputados.gob.mx/LeyesBiblio/ref/lfpdppp.htm) - Word oficial: [LFPDPPP.doc](https://www.diputados.gob.mx/LeyesBiblio/doc/LFPDPPP.doc) - PDF oficial: [LFPDPPP.pdf](https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf) - PDF móvil: [Ley_Federal_de_Proteccion_de_Datos_Personales-Posesion-Particulares.pdf](https://www.diputados.gob.mx/LeyesBiblio/pdf_mov/Ley_Federal_de_Proteccion_de_Datos_Personales-Posesion-Particulares.pdf) ## Aviso Este contenido es informativo y no sustituye asesoría legal.