LFPDPPP y Destrucción de Datos: Obligaciones para Empresas en México

Si tu empresa procesa datos personales de clientes, empleados o proveedores —y en México prácticamente todas lo hacen—, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) te impone obligaciones específicas sobre cómo destruir esos datos cuando dejan de ser necesarios. Y esa obligación no termina en la base de datos: se extiende a cada disco duro, cada laptop, cada servidor y cada dispositivo móvil que alguna vez almacenó información personal. Ignorar este vínculo entre la protección de datos y la disposición de activos tecnológicos puede exponer a tu organización a multas multimillonarias, sanciones penales y un daño reputacional difícil de revertir.

En este artículo desglosamos las obligaciones que la LFPDPPP establece para la destrucción de datos personales, cómo se conectan con la disposición de activos tecnológicos, qué estándares técnicos debes aplicar, cuáles son las consecuencias de no hacerlo y cómo puedes implementar un proceso que satisfaga tanto al INAI como a tus auditores internos. Si eres responsable de compliance, legal o TI, esta guía te dará el marco que necesitas para actuar con certeza.

¿Qué es la LFPDPPP y por qué importa para TI?

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, y su Reglamento entró en vigor en diciembre de 2011. Junto con los Lineamientos del Aviso de Privacidad y los Parámetros de Autorregulación, conforman el marco normativo integral que rige cómo las empresas privadas en México deben tratar los datos personales.

La LFPDPPP aplica a toda persona física o moral de carácter privado que trate datos personales en el territorio mexicano. Si tu empresa tiene empleados, clientes, proveedores o cualquier tipo de contacto cuya información personal maneje —nombres, direcciones, correos electrónicos, datos financieros, registros médicos—, estás sujeto a esta ley. No importa el tamaño de la empresa ni el sector: desde una pyme con 20 empleados hasta una corporación transnacional con miles de registros.

La ley se estructura alrededor de ocho principios fundamentales que todo responsable del tratamiento debe observar:

• Licitud: El tratamiento de datos debe ajustarse a la legislación vigente.
• Consentimiento: Se requiere autorización del titular para el tratamiento de sus datos.
• Información: El titular debe ser informado sobre el uso que se dará a sus datos a través del aviso de privacidad.
• Calidad: Los datos deben ser exactos, completos, pertinentes, correctos y actualizados.
• Finalidad: Los datos solo pueden usarse para los fines establecidos en el aviso de privacidad.
• Lealtad: El tratamiento debe privilegiar la protección de los intereses del titular.
• Proporcionalidad: Solo deben tratarse los datos necesarios y pertinentes para la finalidad.
• Responsabilidad: El responsable debe responder por el tratamiento de los datos, incluyendo cuando los transfiera a terceros.

Pero ¿qué tiene que ver todo esto con el departamento de TI? La respuesta es directa: los datos personales no existen en abstracto. Residen en servidores, discos duros, laptops, dispositivos móviles, unidades de respaldo y memorias USB. Cuando la ley habla de destruir datos personales, no se refiere a borrar un registro en una base de datos; se refiere a garantizar que esa información sea irrecuperable en cualquier medio donde haya existido. Y eso convierte al área de TI en el ejecutor operativo de una obligación legal.

Para los directores de TI, esto significa que cada decisión sobre el retiro, reuso o reciclaje de un equipo tecnológico tiene implicaciones legales directas bajo la LFPDPPP. Un proceso de disposición de activos (ITAD) que no considere la destrucción de datos es un proceso incompleto y potencialmente ilícito.

Obligaciones de destrucción de datos bajo la LFPDPPP

El corazón de la obligación de destrucción de datos se encuentra en el artículo 37 de la LFPDPPP, que establece de manera explícita que las bases de datos que contengan datos personales que hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad, y que no estén sujetas a un procedimiento legal o administrativo en trámite, deberán ser canceladas.

El proceso de cancelación se desarrolla en dos etapas definidas por la ley y su Reglamento:

Bloqueo

Cuando los datos ya no son necesarios para la finalidad original, el primer paso es el bloqueo. El artículo 3 fracción III del Reglamento define el bloqueo como la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento. Durante el período de bloqueo, los datos no pueden ser tratados para ninguna finalidad y solo se conservan como evidencia.

Supresión

Una vez concluido el período de bloqueo —que la ley no define en un plazo único, sino que depende de la naturaleza de los datos y de los plazos legales de conservación aplicables—, el responsable debe proceder a la supresión. El artículo 11 del Reglamento establece que el responsable deberá establecer y documentar procedimientos para la conservación, bloqueo y supresión de los datos personales que trate.

El punto crítico para las áreas de TI es que la obligación de supresión se extiende al medio físico donde los datos residen. El artículo 38 del Reglamento especifica que el responsable deberá establecer procedimientos para la supresión de los datos personales que trate, de manera que se imposibilite su recuperación. Esto significa que no basta con eliminar un archivo del sistema operativo, vaciar la papelera de reciclaje o formatear un disco duro. La ley exige que el dato sea irrecuperable.

Esta exigencia de irrecuperabilidad tiene consecuencias directas para la gestión del ciclo de vida de los activos de TI. Cuando una empresa retira una laptop, un servidor o un dispositivo móvil, la obligación legal de destruir los datos personales que contiene no desaparece. El equipo puede cambiar de ubicación, de propietario o de estado operativo, pero la responsabilidad sobre los datos permanece con el responsable original hasta que se demuestre su destrucción efectiva.

¿Qué datos personales viven en tus equipos de TI?

Una de las razones por las que muchas empresas subestiman su obligación de destrucción de datos es que no dimensionan la cantidad y variedad de información personal que reside en sus equipos. Los datos personales no están confinados a la base de datos del CRM; se dispersan por todo el ecosistema tecnológico de la organización.

Estos son los tipos de datos personales que comúnmente se encuentran en equipos corporativos al momento del retiro:

• Registros de recursos humanos: Expedientes de empleados con RFC, CURP, números de seguridad social, datos bancarios para nómina, evaluaciones de desempeño, actas administrativas, contratos laborales y documentos de identidad escaneados.
• Bases de datos de clientes: Nombres, direcciones, teléfonos, correos electrónicos, historial de compras, preferencias, datos de facturación y registros de comunicación.
• Archivos de correo electrónico: Los buzones locales (archivos PST, OST o MBOX) contienen años de comunicaciones que frecuentemente incluyen datos personales de terceros en el cuerpo del mensaje, firmas y archivos adjuntos.
• Datos financieros: Facturas, estados de cuenta, registros contables con datos de personas físicas, información de cuentas bancarias de proveedores y clientes.
• Registros de salud: Si tu empresa maneja datos de salud ocupacional, exámenes médicos, incapacidades o seguros de gastos médicos, estos constituyen datos personales sensibles con un nivel de protección aún más estricto.
• Datos de CRM y sistemas ERP: Registros de interacciones comerciales que contienen información personal de contactos, prospectos y clientes.
• Registros de acceso y bitácoras: Logs de sistemas que pueden contener nombres de usuario, direcciones IP, patrones de acceso y actividad individual identificable.
• Archivos temporales y caché: Navegadores web, aplicaciones de oficina y sistemas operativos generan archivos temporales que pueden contener fragmentos de datos personales incluso después de que el usuario ha eliminado los archivos originales.

El riesgo real es que un borrado superficial —un formateo rápido o un restablecimiento de fábrica— no elimina estos datos. Con herramientas forenses disponibles comercialmente, es posible recuperar información de discos duros que fueron formateados, e incluso de unidades SSD que pasaron por un borrado convencional. Para profundizar en los riesgos económicos de no destruir datos correctamente, consulta nuestro análisis sobre el costo real de una brecha por datos no destruidos.

El estándar de destrucción que exige la ley

La LFPDPPP y su Reglamento exigen que la destrucción de datos sea irreversible, pero no especifican una metodología técnica particular. Esta aparente ambigüedad es intencional: la ley establece el resultado que debe alcanzarse (irrecuperabilidad) y deja al responsable la selección del método técnico adecuado para lograrlo.

Sin embargo, el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) ha emitido recomendaciones y guías que apuntan consistentemente a estándares internacionales como referencia para cumplir con la obligación de irrecuperabilidad. El estándar más ampliamente reconocido y adoptado es el NIST SP 800-88 (Guidelines for Media Sanitization) del Instituto Nacional de Estándares y Tecnología de Estados Unidos.

El NIST 800-88 establece tres niveles de sanitización de medios:

• Clear (Limpiar): Aplica técnicas lógicas para sanear datos en ubicaciones de almacenamiento accesibles al usuario. Protege contra técnicas de recuperación por software. Adecuado para reutilización interna.
• Purge (Purgar): Aplica técnicas físicas o lógicas que hacen irrecuperable la información incluso con técnicas de laboratorio. Es el nivel recomendado para equipos que saldrán del control de la organización.
• Destroy (Destruir): Destrucción física del medio (trituración, desmagnetización, incineración). Se aplica cuando el medio no se va a reutilizar o cuando la sensibilidad de los datos lo exige.

Para cumplir con la exigencia de irrecuperabilidad de la LFPDPPP en el contexto de la disposición de equipos de TI, el nivel Purge es generalmente el estándar mínimo recomendado. Este nivel garantiza que los datos no pueden recuperarse ni siquiera con herramientas forenses especializadas, lo que satisface el criterio legal de destrucción irreversible. Para una explicación detallada de cómo funciona este estándar y cómo elegir el nivel adecuado, consulta nuestra guía sobre borrado certificado de datos bajo NIST 800-88.

Es importante destacar que herramientas de borrado certificado como Blancco o BitRaser implementan estos estándares y generan un certificado de borrado individual por cada unidad de almacenamiento. Este certificado constituye la evidencia documental que demuestra el cumplimiento de la obligación legal y es el documento que deberás presentar ante el INAI si alguna vez necesitas acreditar que destruiste los datos de forma adecuada.

Sanciones por incumplimiento

El régimen sancionatorio de la LFPDPPP es una de las razones más contundentes para tomar en serio las obligaciones de destrucción de datos. El INAI tiene la facultad de imponer sanciones económicas significativas, y las ha ejercido de manera activa.

Las multas previstas en la ley se expresan en UMAs (Unidad de Medida y Actualización) y se clasifican según la gravedad de la infracción:

• Infracciones básicas (artículo 64): multas de 100 a 160,000 días de UMA. Con el valor de la UMA en 2026 (aproximadamente $113.14 MXN), esto representa un rango de $11,314 a $18.1 millones de pesos.
• Infracciones graves (artículo 65): multas de 200 a 320,000 días de UMA, lo que equivale a un rango de $22,628 a más de $36.2 millones de pesos.
• Reincidencia: En caso de reincidencia, las multas pueden duplicarse.

Pero las sanciones económicas no son el único riesgo. El artículo 67 de la LFPDPPP tipifica como delito el tratamiento de datos personales de manera engañosa, con penas de prisión de tres meses a tres años. Y el artículo 68 agrava la pena cuando se trata de datos personales sensibles, con prisión de seis meses a cinco años. Esto significa que el manejo inadecuado de datos personales no es solo una cuestión administrativa: puede tener consecuencias penales para los responsables.

En la práctica, el INAI ha actuado contra empresas de diversos sectores por incumplimiento de obligaciones de protección de datos. Los casos más frecuentes involucran empresas del sector financiero sancionadas por no implementar medidas de seguridad adecuadas, organizaciones del sector salud por mal manejo de datos sensibles, y empresas de telecomunicaciones por transferencias no autorizadas. Si bien los procedimientos sancionadores del INAI no siempre se centran explícitamente en la destrucción de datos en medios físicos, la obligación está clara en la ley y un incidente de fuga de datos desde un equipo mal dispuesto activaría inmediatamente una investigación.

Más allá de las sanciones formales, el daño reputacional de una brecha de datos derivada de equipos desechados sin borrado certificado puede ser devastador. En un entorno donde la confianza del consumidor es un activo intangible crítico, perderla por una negligencia en la disposición de un disco duro es un riesgo que ninguna organización debería aceptar.

La intersección con la LGEC

Desde enero de 2026, las empresas mexicanas que gestionan activos tecnológicos enfrentan un escenario regulatorio de doble vía. Por un lado, la LFPDPPP les obliga a destruir los datos personales de forma irreversible. Por otro, la Ley General de Economía Circular (LGEC) les exige demostrar trazabilidad, circularidad y gestión responsable en la disposición de sus equipos.

Esta convergencia crea una doble obligación documental: no basta con probar que destruiste los datos; también debes probar que el equipo físico fue gestionado de manera ambientalmente responsable, con cadena de custodia verificable y destino final documentado.

El impacto de la LGEC en la gestión de activos de TI refuerza la necesidad de trabajar con proveedores profesionales que puedan atender ambos frentes simultáneamente. Un proveedor de ITAD profesional que ofrece borrado certificado bajo NIST 800-88 y al mismo tiempo genera la documentación de trazabilidad que la LGEC exige es la solución más eficiente para cumplir con ambos marcos legales en un solo proceso.

Desde una perspectiva práctica, la intersección LFPDPPP-LGEC significa que las empresas deben integrar su política de protección de datos con su estrategia de economía circular. No son silos independientes: el equipo que contiene datos personales es el mismo equipo que debe canalizarse conforme a la jerarquía de residuos de la LGEC. Y la documentación que acredita la destrucción de datos complementa la documentación de trazabilidad del activo físico.

Cómo implementar un proceso de destrucción conforme a la LFPDPPP

Cumplir con la LFPDPPP en materia de destrucción de datos no requiere reinventar tus procesos de TI, pero sí exige sistematizar prácticas que muchas organizaciones realizan de forma ad hoc o incompleta. A continuación presentamos los seis pasos fundamentales para implementar un proceso robusto y auditable.

Paso 1: Identificar todos los datos personales en tus equipos

Antes de destruir, necesitas saber qué tienes. Realiza un inventario de los equipos que serán retirados y clasifica los datos personales que contienen según su naturaleza (identificación, financieros, laborales, sensibles). No olvides dispositivos que frecuentemente se pasan por alto: memorias USB, discos externos, equipos de impresión con almacenamiento interno y dispositivos móviles corporativos. Este inventario es la base de todo el proceso y será parte de tu expediente de cumplimiento.

Paso 2: Seleccionar el método de borrado certificado adecuado

Basado en la clasificación de los datos y el destino previsto del equipo, selecciona el nivel de sanitización bajo NIST 800-88. Para equipos que serán revendidos o donados, el nivel Purge es el mínimo aceptable. Para equipos con datos altamente sensibles o sujetos a regulación sectorial específica, la destrucción física puede ser la opción más prudente. Herramientas como Blancco o BitRaser implementan múltiples estándares y permiten seleccionar el nivel adecuado para cada caso.

Paso 3: Documentar con certificados individuales por unidad

Cada disco duro, SSD o medio de almacenamiento debe contar con un certificado individual de borrado que registre el número de serie del medio, el método aplicado, la fecha y hora de ejecución, el resultado de la verificación y la identificación del operador. Este certificado es tu prueba ante el INAI, tus auditores y cualquier instancia legal que requiera verificar que cumpliste con la obligación de destrucción.

Paso 4: Mantener los registros durante el período regulatorio

Los certificados de borrado y la documentación asociada deben conservarse durante un período que te permita acreditar cumplimiento ante cualquier requerimiento posterior. Si bien la LFPDPPP no define un plazo específico de conservación para esta documentación, la práctica recomendada es mantenerla durante al menos cinco años, alineada con los plazos de prescripción para infracciones administrativas y las buenas prácticas de retención documental.

Paso 5: Incluir la destrucción de datos en tu aviso de privacidad

Tu aviso de privacidad debe informar a los titulares sobre los procedimientos que la empresa aplica para la supresión de sus datos personales. Incluir una mención explícita de que la empresa aplica estándares de borrado certificado a los medios físicos donde se almacenan datos personales fortalece tu posición de cumplimiento y genera confianza. Además, demuestra ante el INAI que la destrucción de datos no es una ocurrencia tardía, sino una parte integral de tu política de protección de datos.

Paso 6: Capacitar al personal sobre las obligaciones

Las áreas de TI, compliance, legal, compras y almacén deben conocer sus responsabilidades en el proceso de destrucción de datos. Un técnico de soporte que formatea una laptop antes de reasignarla, un encargado de almacén que entrega equipos a un reciclador, o un gerente de compras que negocia un contrato de disposición: todos participan en la cadena de protección de datos y deben entender las consecuencias de no seguir el proceso establecido.

Para un marco más amplio sobre cómo estructurar tu programa de disposición de activos, incluyendo la destrucción de datos como componente central, consulta nuestra guía de 5 pasos para implementar un plan ITAD en tu empresa.

El rol del encargado y los terceros

La LFPDPPP distingue entre el responsable (la empresa que decide sobre el tratamiento de los datos) y el encargado (la persona física o moral que trata datos personales por cuenta del responsable). Cuando contratas a un proveedor de ITAD para que realice el borrado certificado de tus equipos, ese proveedor actúa como encargado en los términos de la ley.

El artículo 36 de la LFPDPPP establece que cuando el responsable pretenda transferir los datos personales a un encargado, deberá comunicar al encargado las obligaciones de confidencialidad y seguridad correspondientes. El Reglamento desarrolla esta obligación con mayor detalle y exige que la relación entre responsable y encargado se formalice a través de cláusulas contractuales que establezcan, entre otros elementos:

• El alcance específico del tratamiento que el encargado realizará.
• Las medidas de seguridad que el encargado debe implementar.
• La obligación del encargado de no tratar los datos para finalidades distintas a las instruidas por el responsable.
• Los procedimientos para la devolución o destrucción de los datos personales una vez concluida la relación.
• Las consecuencias del incumplimiento de las obligaciones contractuales.

Este marco de responsabilidad compartida tiene implicaciones prácticas muy concretas cuando seleccionas a tu proveedor de ITAD. No basta con que el proveedor sea eficiente o económico: debes verificar que tiene las capacidades técnicas, los procesos documentados y la cobertura de seguros necesarios para cumplir con las obligaciones que la ley te impone como responsable.

La debida diligencia que debes realizar sobre tu proveedor de ITAD incluye:

• Verificar que utiliza herramientas de borrado certificado reconocidas internacionalmente.
• Confirmar que genera certificados individuales de borrado por cada unidad de almacenamiento.
• Revisar sus procesos de cadena de custodia desde la recolección hasta la disposición final.
• Evaluar sus medidas de seguridad física y lógica durante el almacenamiento temporal de equipos.
• Confirmar que cuenta con seguro de responsabilidad civil que cubra incidentes de datos.
• Revisar su política de gestión de personal, incluyendo verificación de antecedentes y acuerdos de confidencialidad con sus empleados.

Es fundamental entender que, bajo la LFPDPPP, la responsabilidad no se transfiere al encargado. El responsable sigue siendo responsable ante el INAI y ante los titulares de los datos, independientemente de que haya contratado a un tercero para realizar la destrucción. Si tu proveedor de ITAD comete un error que resulta en una brecha de datos, la sanción regulatoria recae sobre tu empresa, no sobre el proveedor. Por eso la selección del proveedor no es una decisión de compras: es una decisión de gestión de riesgo que debe involucrar a las áreas legal, de compliance y de TI.

En tu contrato con el proveedor de ITAD, incluye cláusulas específicas de cumplimiento normativo, obligaciones de notificación de incidentes, derecho de auditoría y penalizaciones por incumplimiento. Estos elementos no son formalidades jurídicas: son herramientas concretas que protegen a tu organización y demuestran ante el INAI que actuaste con la debida diligencia.

Preguntas frecuentes sobre LFPDPPP y destrucción de datos

¿Formatear un disco duro es suficiente para cumplir con la LFPDPPP?

No. Un formateo convencional —ya sea rápido o completo— no destruye los datos de forma irreversible. Solo elimina las referencias al sistema de archivos, pero los datos subyacentes permanecen en el medio y pueden recuperarse con software forense. La LFPDPPP exige que la destrucción sea irreversible, lo que requiere métodos de borrado certificado que sobreescriban completamente los datos o, en su caso, la destrucción física del medio.

¿Cuánto tiempo debo conservar los datos personales antes de destruirlos?

La LFPDPPP no establece un plazo único. Los datos deben conservarse mientras sean necesarios para la finalidad para la que fueron recabados y durante los períodos de retención que otras leyes establezcan (por ejemplo, la legislación fiscal exige conservar documentación por cinco años, y la laboral por al menos un año después de terminada la relación). Una vez cumplidos todos los plazos aplicables, la ley te obliga a bloquear y posteriormente destruir los datos.

¿La obligación de destrucción aplica también a equipos que se donan o venden?

Sí. Cuando un equipo sale del control de tu organización —ya sea por venta, donación, reciclaje o cualquier otra vía—, la obligación de destruir los datos personales que contiene se activa plenamente. No puedes transferir un equipo con datos personales a un tercero, incluso si ese tercero firma un acuerdo de confidencialidad. Los datos deben destruirse antes de que el equipo cambie de manos, y debes conservar el certificado de borrado como evidencia.

¿Qué pasa si un equipo está dañado y no se puede realizar borrado por software?

Si el medio de almacenamiento está dañado al punto de que no puede ejecutarse un borrado por software, la opción adecuada es la destrucción física del medio (trituración o desmagnetización para discos mecánicos). Este método también debe documentarse con un certificado de destrucción que registre el número de serie del medio, la fecha, el método empleado y la verificación del resultado.

¿Mi empresa necesita un oficial de protección de datos para cumplir con la LFPDPPP?

La LFPDPPP no exige la designación de un oficial de protección de datos con ese título específico, pero sí requiere que el responsable designe a una persona o departamento que dé trámite a las solicitudes de derechos ARCO (acceso, rectificación, cancelación y oposición) y que supervise el cumplimiento de las obligaciones legales. En la práctica, designar a un responsable interno de protección de datos —con autoridad y recursos suficientes— es una medida recomendable que fortalece la postura de cumplimiento de la organización y facilita la coordinación con las áreas de TI en materia de destrucción de datos.

En resumen: La LFPDPPP no es una ley abstracta que vive en el departamento legal. Es un marco regulatorio con consecuencias operativas directas para las áreas de TI, especialmente cuando se retiran equipos que contuvieron datos personales. El ciclo de vida de los datos personales no termina cuando los archivos se eliminan del sistema: termina cuando el medio físico que los almacenó ha sido sanitizado de forma irreversible y documentada. Las empresas que integren la destrucción certificada de datos en su proceso de disposición de activos no solo evitarán multas y sanciones: construirán una cultura de protección de datos que genera confianza entre clientes, empleados y reguladores.