• Dom. Abr 19th, 2026

Asesor Legal en México

"Asesoría clara y práctica para entender y aplicar el derecho en tu vida diaria."

Tratamiento de los datos personales

PorContent Manager

Dic 7, 2025
Tratamiento de los datos y sus actores legalesTratamiento de los datos y sus actores legales

¿Qué es el «Tratamiento»? (La Definición Amplia)

No caigas en la trampa de pensar que tratar datos es solo «usarlos». La ley lo define como cualquier operación o conjunto de operaciones (físicas o automatizadas) que se hagan con los datos.

El ciclo completo incluye:

  • Obtención: Recopilarlos (formulario web, papel, verbalmente).
  • Uso: Aprovechamiento, manejo o acceso para cualquier fin.
  • Almacenamiento: Guardarlos en una base de datos, archivero o nube.
  • Divulgación/Transferencia: Compartirlos con otros.
  • Disposición: Eliminarlos o destruirlos.

Nota para recordar: Si tienes una caja llena de expedientes en una bodega y nadie los toca hace años, estás realizando tratamiento (almacenamiento/posesión) y tienes obligaciones legales de seguridad.

Reglas de Oro del Tratamiento

Para que el tratamiento sea legal, debe alinearse con el Aviso de Privacidad.

  • Límite de Finalidad: Solo puedes tratar los datos para lo que dijiste en el Aviso. Si quieres usarlos para algo nuevo y distinto (ej. usarlos para vender seguros cuando eran solo para una rifa), debes obtener un nuevo consentimiento del titular.
  • Confidencialidad: Todas las personas que intervengan en el tratamiento (empleados, proveedores) deben guardar secreto sobre los datos. Esta obligación persiste aun después de finalizar la relación laboral o comercial.
  • Seguridad: Todo responsable debe mantener medidas de seguridad (administrativas, técnicas y físicas) para proteger los datos contra daño, pérdida o robo. Estas medidas no pueden ser menores a las que usas para proteger tu propia información confidencial.

El Ciclo de Vida del Tratamiento (Importante para examen)

El tratamiento no es eterno. La ley establece cuándo debe terminar:

  1. Cumplimiento de Finalidad: Cuando se logra el objetivo para el que se pidieron los datos (ej. ya se entregó el pedido y venció la garantía), los datos dejan de ser necesarios.
  2. Bloqueo: Una vez cumplida la finalidad, no se borran inmediatamente. Se «bloquean». Esto significa identificarlos y conservarlos solo para determinar posibles responsabilidades legales (por si alguien demanda). Durante este tiempo, no se pueden usar para nada más.
  3. Supresión (Cancelación): Una vez que pasa el tiempo de bloqueo (plazo de prescripción legal), el dato debe ser eliminado físicamente o borrado electrónicamente de forma definitiva.

Tratamiento por Terceros (Transferencia vs. Remisión)

El tratamiento puede salir de tus manos, pero la responsabilidad cambia:

  • Nacional o Internacional: Si transfieres datos (a un tercero distinto del encargado), debes comunicarles el Aviso de Privacidad original y las limitaciones que el titular puso.
  • Consentimiento: Si vas a transferir datos, el titular debe aceptar o rechazar esa transferencia en el Aviso de Privacidad (mediante una cláusula específica), salvo las excepciones de ley (como mandatos judiciales o emergencias médicas).

Este es el mejor ejemplo posible, porque el sector salud maneja los datos más delicados que existen (Datos Personales Sensibles).

Vamos a desglosar el «Ciclo de Tratamiento» en la «Clínica Vida Sana» para que veas cómo aplica la ley paso a paso.

Escenario: El Paciente Nuevo

Imagina que Juan Pérez llega a la clínica por un dolor de estómago.

1. La Obtención (El momento crítico)

Juan se acerca a la recepción. Antes de que la recepcionista le pida su nombre o síntomas, debe suceder lo siguiente:

  • Aviso de Privacidad: La clínica debe mostrarle el Aviso de Privacidad (físico o un código QR)1111.
  • Recolección de Datos: Juan llena un formulario con:
    • Datos Generales: Nombre, teléfono, dirección2.
    • Datos Sensibles: Tipo de sangre, alergias, antecedentes de cáncer en la familia3.
  • El Consentimiento: Como hay datos sensibles (salud), la recepcionista no puede solo pedirle que marque una casilla. Juan debe otorgar su consentimiento expreso y por escrito (firma autógrafa o huella digital)4.

2. El Uso y Finalidad (Diagnóstico)

El médico revisa el expediente de Juan.

  • Tratamiento lícito: El médico usa los datos para diagnosticar y recetar. Esto cumple con la finalidad informada5.
  • Principio de Proporcionalidad: El médico pregunta sobre la dieta de Juan (necesario), pero no debería preguntar sobre su orientación política o religión, ya que no es necesario para curar un dolor de estómago6666.

Excepción de Emergencia: Si Juan llegara desmayado (incapaz de dar consentimiento), el médico puede tratar sus datos para salvarle la vida sin su firma previa. La ley permite esta excepción7.

3. Almacenamiento y Seguridad (La Custodia)

El expediente clínico (físico o electrónico) se guarda. Aquí aplican las medidas de seguridad estrictas8:

  • Medidas Físicas: El archivero con expedientes en papel debe tener llave y estar en una zona donde no pasen otros pacientes.
  • Medidas Técnicas: Si usan computadora, el sistema debe tener contraseña y, idealmente, los datos deben estar cifrados.
  • Medidas Administrativas (Confidencialidad): La enfermera puede ver el expediente, pero el personal de limpieza no. Todos firmaron cláusulas de confidencialidad que duran para siempre, incluso si renuncian9.

4. Transferencia (Compartir con Terceros)

Aquí distinguimos dos casos clave:

  • Caso A (Remisión – No requiere permiso extra): El médico envía la sangre de Juan a un laboratorio externo para análisis. El laboratorio actúa como Encargado (trabaja para el médico).
  • Caso B (Transferencia – Requiere permiso): Juan quiere que la clínica envíe su diagnóstico a su Aseguradora para que le paguen. La Aseguradora es un Tercero (otro Responsable). Juan debe haber aceptado esta transferencia en el Aviso de Privacidad10101010.

5. Bloqueo y Cancelación (El fin… pero no inmediato)

Juan se cura y pide que borren sus datos (Derecho de Cancelación).

  • El problema: En México, la Ley General de Salud y la NOM del Expediente Clínico obligan a los médicos a conservar los expedientes por un mínimo de 5 años.
  • La Solución Legal: La clínica NO borra los datos inmediatamente. Entra en periodo de Bloqueo11.
    • Se guardan los datos pero se «congelan» (nadie los usa para diagnósticos ni publicidad).
    • Solo se conservan por si Juan demanda por mala praxis en el futuro.
    • Pasado el plazo legal (ej. 5 años), entonces sí, se destruyen (triturar papel o borrado seguro digital)12121212.

Resumen Visual del Caso Médico

FaseAcción en la ClínicaRequisito Legal (LFPDPPP)
InicioPaciente llega a recepción.Mostrar Aviso de Privacidad13.
FirmaPaciente llena historial médico.Recabar Firma Autógrafa (Datos Sensibles)14.
ConsultaMédico atiende y anota síntomas.Usar datos solo para fines médicos (Finalidad)15.
EnvíoEnviar factura a la Aseguradora.Consentimiento para Transferencia16.
SalidaEnfermera comenta el caso en el pasillo.PROHIBIDO (Violación de Confidencialidad)17.

En el tratamiento de datos personales, la ley (LFPDPPP) identifica claramente a cuatro actores principales que juegan roles distintos. Es vital distinguirlos porque cada uno tiene responsabilidades legales diferentes.

Aquí tienes quiénes son y qué hacen, basándonos en las definiciones del Artículo 2 de la ley1:

1. El Titular (El Dueño)

Es la persona a quien corresponden los datos personales2.

  • Su Rol: Es el protagonista y el único que tiene el poder de decisión final sobre su información (a través del Consentimiento y los Derechos ARCO).
  • Ejemplo: El paciente en el hospital o el cliente en el banco.

2. El Responsable (El que Decide)

Son los sujetos regulados, es decir, las personas físicas o morales de carácter privado que llevan a cabo el tratamiento de los datos3333.

  • Su Rol: Es quien decide sobre el tratamiento. Determina para qué se usan los datos («finalidad») y cómo se protegen. Es quien da la cara ante la ley y ante el titular.
  • Ejemplo: El Hospital, la Tienda en Línea o el Médico particular que te pide tus datos.

3. El Encargado (El que Ejecuta)

Es la persona física o jurídica que trata datos personales por cuenta del responsable4.

  • Su Rol: No decide nada sobre los datos; solo sigue instrucciones del Responsable. Existe una relación de mandato o servicio entre ellos.
  • Ejemplo: Una empresa de contabilidad externa a la que el Hospital le envía la nómina de los empleados para procesar los pagos. El contador (Encargado) trabaja para el Hospital (Responsable).

4. El Tercero (El Ajeno)

Es cualquier persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos5.

  • Su Rol: Es alguien externo a la relación original. Si los datos llegan a él, se considera una «Transferencia».
  • Ejemplo: Si el Hospital vende su base de datos a una Farmacéutica para que te vendan medicinas, la Farmacéutica es un «Tercero».

Resumen Visual de la Relación

Actor¿Quién es?Función Clave
TitularTú (Dueño del dato).Autorizar (Consentimiento).
ResponsableLa Empresa/Profesional.Decidir fines y responder legalmente.
EncargadoEl Proveedor.Obedecer instrucciones del Responsable.
TerceroOtra entidad ajena.Recibir datos (Transferencia).

Dato Importante sobre la Autoridad: Además de estos actores operativos, la ley menciona a la Secretaría (Secretaría Anticorrupción y Buen Gobierno) como la autoridad encargada de vigilar y verificar que todos cumplan la ley, resolver las quejas y sancionar a los infractores.

Las definiciones precisas y cómo se consideran legalmente estos conceptos en México, basándonos en la Ley Federal (LFPDPPP) y los criterios de la autoridad garante (Secretaría/INAI).

1. Datos Personales («Generales»)

Aunque la ley no usa el término «generales» como categoría oficial, en la práctica jurídica se le llama así a cualquier dato personal que no sea sensible.

  • Definición Legal: Es «cualquier información concerniente a una persona identificada o identificable»1. Se considera que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información2.
  • Cómo se consideran: Son la regla general. Su tratamiento requiere un Consentimiento Tácito (basta con mostrar el Aviso de Privacidad y que el titular no se niegue)3.
  • Ejemplos: Nombre, domicilio, teléfono, CURP, correo electrónico.

2. Información General

Este concepto se utiliza para diferenciar lo que está protegido por la ley de lo que es público o no personal.

  • Distinción Clave: Se refiere a información que no hace identificable a una persona física (por ejemplo, datos estadísticos anonimizados o datos de empresas como su razón social y dirección fiscal, los cuales no son datos personales) o información contenida en Fuentes de Acceso Público.
  • Definición de Fuente de Acceso Público: Son bases de datos, sistemas o archivos que por ley pueden ser consultadas públicamente (sin más requisito que pagar una tarifa en su caso), siempre que la información no provenga de un ilícito4.
  • Cómo se consideran: Esta información no requiere consentimiento del titular para ser tratada5.

3. Datos Personales Sensibles

Son la categoría más protegida por la ley debido al riesgo que implican.

  • Definición Legal: Son aquellos que afectan la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este6.
  • Lista (Enunciativa): Incluyen origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual7.
  • Cómo se consideran:
    • Prohibición de Base de Datos: No se pueden crear bases de datos con datos sensibles sin una justificación legítima y concreta8.
    • Consentimiento Estricto: Requieren Consentimiento Expreso y por Escrito (firma autógrafa, electrónica o mecanismo de autenticación)9.
    • Sanciones: Las multas por infracciones relacionadas con datos sensibles pueden incrementarse hasta dos veces10.

4. Datos Biométricos

Son las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad, atribuibles a una sola persona y que son medibles (huella digital, reconocimiento facial, iris, voz).

  • ¿Son Sensibles o Generales?La ley incluye la «información genética» explícitamente como sensible11. Sin embargo, para el resto de biométricos (como la huella o el rostro), el criterio en México (INAI) distingue según su uso:
    • Se consideran SENSIBLES: Cuando se usan para identificación única y autenticación (ej. entrar a tu app bancaria con tu huella) o si revelan datos de salud/origen racial. Esto se debe a que su vulneración conlleva un «riesgo grave» para el titular (es imposible cambiar tu huella digital si te la roban).
    • Se consideran GENERALES: Solo en casos donde no se usen para identificación unívoca o no revelen información sensible (ej. una foto simple en un gafete), aunque la tendencia actual es protegerlos siempre con el estándar más alto.

Tabla de Resumen: Consentimiento Requerido

Tipo de DatoEjemploConsentimiento Necesario
GeneralesNombre, Email.Tácito (Aviso de Privacidad sin oposición)12.
FinancierosTarjeta de crédito.Expreso (Verbal o clic, pero explícito)13.
SensiblesReligión, Salud.Expreso y por Escrito (Firma)14.
BiométricosHuella dactilar.Expreso y por Escrito (Se tratan comúnmente como sensibles por el riesgo grave).








.

Por Content Manager

Entrada relacionada

You missed

Abogados Lopez Ziga y Asociados Derechos Humanos Reflexiones Legales
Derecho Digital Derecho Sanitario Especialista en Derecho Sanitario inteligencia artificial jurídica Noticias Jurídicas Proteccion de datos personales
Derecho Digital
Derecho Digital