Si tu empresa mexicana vende productos en línea a clientes europeos, presta servicios de software a compañías de la UE o simplemente recopila datos de visitantes europeos en tu sitio web, hay una regulación que necesitas conocer: el GDPR (General Data Protection Regulation). No importa que tu oficina esté en Ciudad de México, Monterrey o Guadalajara. Si tocas datos de residentes europeos, esta ley te alcanza.
Puntos clave
- El GDPR es el reglamento europeo de protección de datos más estricto del mundo, vigente desde mayo de 2018.
- Aplica a cualquier empresa, sin importar su ubicación, que procese datos de residentes de la UE.
- Las multas pueden alcanzar el 4% de la facturación global anual o 20 millones de euros.
- ISO 27701 es el puente que conecta los requisitos del GDPR con la LFPDPPP mexicana.
¿Manejas datos de ciudadanos europeos? Solicita un diagnóstico de privacidad o explora nuestra certificación individual en GDPR.
Qué es el GDPR y por qué importa
El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es la legislación de la Unión Europea que regula cómo las organizaciones recopilan, almacenan, procesan y transfieren datos personales de personas que residen en el Espacio Económico Europeo (EEE).
Entró en vigor el 25 de mayo de 2018 y sustituyó a la Directiva 95/46/CE que llevaba más de dos décadas. A diferencia de su predecesora, el GDPR es un reglamento, lo que significa que se aplica directamente en todos los países miembros de la UE sin necesidad de transposición legislativa nacional.
Lo que lo hace revolucionario es su alcance extraterritorial: no solo obliga a empresas europeas, sino a cualquier organización en el mundo que procese datos de residentes de la UE. Esto incluye empresas mexicanas que:
- Venden productos o servicios en línea a consumidores europeos.
- Procesan datos como proveedores de empresas europeas (outsourcing, desarrollo de software, call centers).
- Monitorean el comportamiento de usuarios europeos (analytics, cookies, perfilamiento).
- Tienen empleados o subsidiarias en países de la UE.
Las 6 bases legales para procesar datos
El GDPR establece que solo puedes procesar datos personales si tienes una base legal válida. No basta con querer los datos; necesitas justificación. Las seis bases son:
- Consentimiento: la persona dio su permiso explícito, libre, informado e inequívoco. No valen casillas premarcadas ni consentimientos genéricos enterrados en términos y condiciones.
- Ejecución de un contrato: necesitas los datos para cumplir un contrato con la persona (por ejemplo, su dirección para enviar un producto que compró).
- Obligación legal: una ley te obliga a procesar esos datos (requisitos fiscales, laborales, regulatorios).
- Intereses vitales: el procesamiento es necesario para proteger la vida de alguien. Es la base más restrictiva y rara vez aplica en contextos comerciales.
- Interés público: el procesamiento es necesario para una tarea realizada en interés público o en ejercicio de autoridad oficial.
- Interés legítimo: tienes un interés comercial legítimo que no vulnera los derechos fundamentales de la persona. Requiere una evaluación de impacto que demuestre el balance.
Para empresas mexicanas, las bases más comunes son el consentimiento (en ventas B2C a europeos), la ejecución de contrato (en relaciones B2B de outsourcing) y el interés legítimo (en marketing y analytics).
Derechos de los titulares de datos
El GDPR otorga a las personas un conjunto robusto de derechos sobre sus datos personales. Toda empresa que procese datos de residentes de la UE debe estar preparada para atender estas solicitudes:
| Derecho | Qué implica | Plazo de respuesta |
|---|---|---|
| Acceso | La persona puede solicitar una copia de todos sus datos personales que procesas | 1 mes |
| Rectificación | Corregir datos inexactos o incompletos | 1 mes |
| Supresión (olvido) | Eliminar datos cuando ya no sean necesarios o se retire el consentimiento | 1 mes |
| Portabilidad | Recibir datos en formato estructurado y legible por máquina para transferirlos a otro proveedor | 1 mes |
| Oposición | Oponerse al procesamiento basado en interés legítimo o marketing directo | 1 mes |
| Limitación | Restringir temporalmente el procesamiento mientras se resuelve una disputa | 1 mes |
| No ser objeto de decisiones automatizadas | Derecho a intervención humana en decisiones que produzcan efectos jurídicos basadas solo en algoritmos | 1 mes |
Si comparas con la LFPDPPP mexicana, notarás que los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) cubren una parte, pero el GDPR agrega la portabilidad y las decisiones automatizadas que no existen como tales en la legislación mexicana.
Controlador vs. procesador: obligaciones diferentes
El GDPR distingue dos roles fundamentales:
- Controlador (controller): la entidad que determina los fines y medios del procesamiento de datos. Decide qué datos se recopilan y para qué.
- Procesador (processor): la entidad que procesa datos por cuenta del controlador. Ejecuta instrucciones del controlador.
Muchas empresas mexicanas actúan como procesadores de empresas europeas. Por ejemplo, si una empresa de desarrollo de software en Guadalajara maneja la base de datos de clientes de una fintech alemana, la fintech es el controlador y la empresa mexicana es el procesador.
Ambos roles tienen obligaciones bajo el GDPR, pero el controlador carga con la responsabilidad principal. El procesador debe:
- Procesar datos solo según las instrucciones documentadas del controlador.
- Garantizar que su personal mantenga confidencialidad.
- Implementar medidas de seguridad técnicas y organizativas adecuadas.
- No subcontratar a otro procesador sin autorización previa del controlador.
- Notificar al controlador de cualquier brecha de seguridad sin demora indebida.
- Eliminar o devolver todos los datos al finalizar la relación contractual.
¿Tu empresa procesa datos de europeos? Evalúa tu nivel de cumplimiento con un diagnóstico de seguridad de la información o capacítate con nuestra certificación GDPR.
El rol del Delegado de Protección de Datos (DPO)
El GDPR requiere que ciertas organizaciones designen un Delegado de Protección de Datos (Data Protection Officer o DPO). Este rol es obligatorio cuando:
- La organización es una autoridad u organismo público.
- Las actividades principales requieren monitoreo regular y sistemático de personas a gran escala.
- Las actividades principales consisten en el procesamiento a gran escala de categorías especiales de datos (salud, biometría, religión, orientación sexual, etc.).
El DPO debe tener conocimiento experto en legislación de protección de datos y actuar con independencia. No puede recibir instrucciones sobre cómo realizar sus funciones ni ser sancionado por ejercerlas. Sus responsabilidades incluyen asesorar a la organización, supervisar el cumplimiento, cooperar con las autoridades de protección de datos y ser el punto de contacto para los titulares.
Transferencias internacionales de datos
Aquí es donde el tema se pone especialmente relevante para empresas mexicanas. El GDPR prohíbe transferir datos personales fuera del EEE a menos que el país destino ofrezca un nivel de protección adecuado, según determinación de la Comisión Europea.
México no cuenta con una decisión de adecuación de la Comisión Europea. Esto significa que para transferir datos de europeos a servidores o procesadores en México, necesitas recurrir a mecanismos alternativos:
- Cláusulas contractuales tipo (SCCs): contratos estándar aprobados por la Comisión Europea que establecen obligaciones de protección de datos entre el exportador y el importador. Es el mecanismo más usado por empresas mexicanas.
- Normas corporativas vinculantes (BCRs): políticas internas aprobadas para transferencias dentro de un grupo empresarial multinacional.
- Consentimiento explícito: la persona consiente informadamente a la transferencia, conociendo los riesgos. Solo viable para casos puntuales, no como base sistemática.
- Códigos de conducta o certificaciones aprobadas: mecanismos sectoriales que demuestran garantías adecuadas.
En la práctica, la mayoría de empresas mexicanas que procesan datos de europeos utilizan SCCs actualizadas (la versión de junio de 2021) como base contractual. Es fundamental que estas cláusulas se complementen con una evaluación de impacto de la transferencia (Transfer Impact Assessment o TIA).
Sanciones: lo que está en juego
Las sanciones del GDPR son, deliberadamente, disuasorias. El reglamento establece dos niveles:
- Infracciones graves (principios del procesamiento, derechos de los titulares, transferencias internacionales): hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor.
- Infracciones menos graves (obligaciones del controlador/procesador, organismos de certificación): hasta 10 millones de euros o el 2% de la facturación global anual.
Las multas se imponen caso por caso, considerando factores como la gravedad de la infracción, si fue intencional o negligente, las medidas adoptadas para mitigar el daño, el grado de cooperación con la autoridad y el historial de infracciones.
Algunas multas notables que ilustran la seriedad del GDPR:
- Meta (Facebook): 1,200 millones de euros (2023) por transferencias ilegales de datos a Estados Unidos.
- Amazon: 746 millones de euros (2021) por procesamiento de datos personales no conforme con el GDPR.
- WhatsApp: 225 millones de euros (2021) por falta de transparencia en el procesamiento de datos.
GDPR vs. LFPDPPP: diferencias clave
Si tu empresa ya cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), tienes una base, pero no es suficiente para el GDPR. Las diferencias más importantes son:
| Aspecto | LFPDPPP (México) | GDPR (UE) |
|---|---|---|
| Consentimiento | Puede ser tácito en ciertos casos | Debe ser explícito, libre, informado e inequívoco |
| Notificación de brechas | Cuando afecte significativamente los derechos patrimoniales o morales | Obligatoria en 72 horas a la autoridad; sin demora indebida al titular si hay alto riesgo |
| DPO | No requerido por ley | Obligatorio en ciertos supuestos |
| Portabilidad | No contemplada como derecho específico | Derecho explícito del titular |
| Multa máxima | Hasta ~$25 millones MXN | 4% facturación global o 20M EUR |
| Alcance territorial | Empresas que tratan datos en territorio mexicano | Cualquier empresa que procese datos de residentes de la UE |
La buena noticia es que marcos como ISO 27701 te permiten alinear el cumplimiento de ambas regulaciones bajo un solo sistema de gestión de privacidad. Esta norma extiende ISO 27001 para cubrir específicamente la protección de datos personales, y sus controles mapean directamente tanto al GDPR como a la LFPDPPP.
Cómo prepararse desde México
Si tu empresa necesita cumplir con el GDPR, estos son los pasos prácticos para empezar:
- Mapea tus flujos de datos: identifica qué datos personales de residentes de la UE recopilas, dónde los almacenas, quién los accede y a quién los compartes. Crea un registro de actividades de tratamiento (obligatorio bajo el Artículo 30 del GDPR).
- Revisa tus bases legales: para cada tipo de procesamiento, determina cuál de las 6 bases legales aplica. No asumas que el consentimiento es siempre la mejor opción.
- Actualiza tus avisos de privacidad: el GDPR requiere avisos mucho más detallados que la LFPDPPP. Deben incluir la base legal, los plazos de retención, los derechos del titular y los datos de contacto del DPO (si aplica).
- Implementa SCCs: si recibes datos desde la UE, asegúrate de usar las cláusulas contractuales tipo actualizadas (versión 2021) con tu contraparte europea.
- Establece un proceso de gestión de brechas: necesitas poder detectar, investigar y notificar una brecha de datos personales en máximo 72 horas.
- Capacita a tu equipo: el factor humano es la principal causa de incidentes de privacidad. Todos los empleados que manejen datos personales necesitan formación en GDPR.
- Considera ISO 27701: la certificación en ISO 27701 demuestra a tus clientes europeos que tienes un sistema de gestión de privacidad alineado con el GDPR. Es una señal de confianza concreta y verificable.
¿Listo para evaluar tu cumplimiento en privacidad? Solicita un diagnóstico de ISO 27701 o realiza el autodiagnóstico en línea.
Preguntas frecuentes
¿El GDPR aplica a mi empresa mexicana si solo tengo un sitio web en español?
Sí puede aplicar. Si tu sitio web es accesible desde la Unión Europea y recopilas datos de visitantes europeos (cookies, formularios, analytics), el GDPR puede alcanzarte. El criterio no es el idioma del sitio, sino si ofreces bienes o servicios a residentes de la UE o monitoreas su comportamiento.
¿Cuál es la multa máxima por incumplir el GDPR?
Las sanciones pueden alcanzar hasta 20 millones de euros o el 4% de la facturación global anual de la empresa, lo que sea mayor. Para infracciones menos graves, la multa puede ser de hasta 10 millones de euros o el 2% de la facturación global.
¿La LFPDPPP me protege del GDPR?
No. Cumplir con la LFPDPPP no garantiza el cumplimiento del GDPR. Aunque ambas regulaciones comparten principios similares, el GDPR es más estricto en áreas como consentimiento explícito, derecho al olvido, portabilidad de datos y notificación de brechas en 72 horas.
¿Necesito un DPO si proceso datos de europeos desde México?
Depende. El GDPR requiere un Delegado de Protección de Datos (DPO) si tu actividad principal implica monitoreo regular y sistemático de personas a gran escala, o si tratas categorías especiales de datos (salud, religión, orientación sexual) a gran escala. Si no caes en estos supuestos, no es obligatorio pero sí recomendable.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.