LFPDPPP aplicada a chatbots de WhatsApp en México: lo que el INAI revisa de verdad

Si tu empresa opera en México y automatiza conversaciones por WhatsApp, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aplica. No es opcional, no es "para empresas grandes", no es "ya veremos cuando crezcamos". El día que un cliente molesto te denuncie ante el INAI, o que tengas una brecha de datos, vas a estar en problemas si no preparaste esto antes.

Disclaimer obvio pero necesario: este artículo es informativo y refleja mi experiencia ayudando a empresas a cumplir como parte del setup de Yolani. Para casos específicos, especialmente si manejas datos sensibles o si ya tienes un proceso del INAI abierto, consulta a un abogado especializado en protección de datos.

Lo mínimo que el INAI revisa cuando hay una queja

De los procedimientos que he visto y de lo que publica el propio INAI en sus resoluciones, cuando alguien denuncia que un chatbot trató mal sus datos personales, revisan en este orden:

1. ¿Existe aviso de privacidad accesible desde el sitio web público?
2. ¿El aviso menciona específicamente que se recolectan datos vía WhatsApp / chatbot?
3. ¿El aviso lista a las terceras partes que reciben los datos (Meta, proveedor de IA, pasarela de pago)?
4. ¿Hay un mecanismo operativo para ejercer derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)?
5. ¿Se atendió la solicitud ARCO del denunciante en los plazos legales (20 días hábiles)?

Si fallas en cualquiera de estos cinco puntos, la sanción es prácticamente segura. Si los cumples, normalmente el procedimiento se cierra sin sanción aunque haya habido un error operativo.

El aviso de privacidad: qué tiene que decir, en serio

El artículo 16 de la LFPDPPP exige, mínimo, lo siguiente en tu aviso integral:

• Identidad y domicilio del responsable. Razón social completa, RFC, domicilio fiscal. No basta el nombre comercial.
• Datos personales que se recaban. Específicamente nombre, teléfono, dirección, datos de pago, conversaciones, ubicación, lo que aplique a tu operación.
• Finalidades del tratamiento, divididas en primarias (atención, venta, cobranza) y secundarias (marketing, mejora del servicio, perfilamiento).
• Mecanismos para limitar el uso o divulgación. Si el cliente puede optar por no recibir marketing, cómo hacerlo.
• Medios para ejercer derechos ARCO. Correo, formulario, proceso paso a paso.
• Transferencias a terceros. Especialmente importantes: las internacionales. Aquí caen Meta, OpenAI, Stripe, Mercado Pago, tu CRM si está en EE.UU.
• Procedimiento para cambios al aviso. Cómo notificas si actualizas la política.

Yolani publica un aviso de privacidad de referencia en /privacidad. Tu empresa debe publicar el suyo (no puedes usar el nuestro literal porque eres tú el responsable, no nosotros), pero te sirve como esqueleto.

Las transferencias internacionales: el punto que se olvida

Cuando un cliente escribe a tu bot, sus datos personales pasan por varios proveedores fuera de México. Esto debe estar listado en tu aviso. Para una operación típica con Yolani, los flujos son:

• Meta (WhatsApp Cloud API o Multi-Device): Servidores en EE.UU. y Europa. Procesa el mensaje, la metadata y los archivos adjuntos.
• Yolani (la plataforma): Servidores en México (Cloudflare región LATAM) y backup en EE.UU. Almacena la conversación, el contexto del cliente, los metadatos operativos.
• Proveedor de IA (OpenAI, Anthropic o Google según el modelo elegido): Servidores en EE.UU. Procesan el texto del mensaje para generar la respuesta. No retienen el contenido si tienes los toggles correctos activados.
• Pasarela de pago (Stripe, Mercado Pago, Conekta): Servidores internacionales. Procesan el cargo.
• CRM o calendario externo (HubSpot, Pipedrive, Google Calendar, Calendly): Servidores típicamente en EE.UU.

Cumplir LFPDPPP no es ocultar estas transferencias — es transparentarlas. Cada proveedor que reciba datos personales debe estar listado.

Consentimiento: explícito vs tácito

Una pregunta que recibo seguido: "¿necesito que el cliente acepte el aviso de privacidad cada vez que escribe al bot?" La respuesta corta: no, pero el aviso debe ser accesible y el consentimiento puede ser tácito siempre que el cliente sea consciente.

En la práctica, esto se traduce en:

• El primer mensaje del bot incluye una línea: "Al continuar esta conversación, aceptas nuestro aviso de privacidad: [link]."
• El link va al aviso integral publicado en tu sitio.
• Si recolectas datos sensibles (salud, financieros), el consentimiento debe ser explícito y registrado — esto es típicamente con un mensaje del tipo: "¿Aceptas que procesemos tu información de [tipo] para [finalidad]?" y guardar la respuesta.

Datos personales que se recolectan (más de los que crees)

Es fácil pensar que un chatbot solo guarda nombres y teléfonos. La realidad operativa es bastante más amplia:

• Identificación: nombre, número de teléfono, posible email si lo comparten en la conversación.
• Operacionales: direcciones de envío, datos de pedidos, fechas de citas, productos consultados.
• Conversación: mensajes textuales completos, imágenes, audios, archivos enviados.
• Comportamiento: horarios de actividad, frecuencia de uso, tipo de consultas más comunes, historial completo de compras.
• Sensibles (cuidado especial): a veces el cliente comparte espontáneamente datos de salud (en una clínica), financieros (en una asesoría), o legales. Tu bot debe estar diseñado para no solicitar datos sensibles innecesariamente y para identificarlos cuando llegan sin pedirlos.

Buenas prácticas operativas

Minimización de datos

Si para un pedido solo necesitas nombre, teléfono y dirección, no preguntes RFC ni fecha de nacimiento. La LFPDPPP exige el principio de minimización: pedir lo estrictamente necesario para la finalidad.

Política de retención clara

Define explícitamente cuánto tiempo guardas cada tipo de dato. En Yolani lo configuras por categoría: ejemplo, audios después de 90 días se borran automáticamente, mensajes de texto se mantienen 2 años, metadata de operación se mantiene 5 años para auditoría fiscal.

Cifrado de información sensible

Datos como números de tarjeta de crédito, INE, documentos fiscales nunca deben quedar en texto plano en el storage. Configura tu bot para identificar estos patrones (regex + clasificador) y manejarlos con derivación a flujos seguros — ejemplo: si el cliente intenta escribir el número de tarjeta, el bot responde "por seguridad no compartas tu tarjeta en chat, te mando link seguro" y dispara el payment link de Stripe.

Opt-out de mensajería proactiva

Cualquier cliente puede pedir dejar de recibir mensajes proactivos. Configura palabras clave universales ("BAJA", "STOP", "NO MÁS") que pausen toda mensajería automatizada hacia ese número. Esto es ley en otros países también, así que es buena práctica.

Documentación de consentimientos para campañas

Para mensajes proactivos (no respuestas a mensajes entrantes), guarda el momento y forma en que el cliente dio consentimiento original: registro en formulario web, primera compra, suscripción al newsletter, opt-in explícito en conversación anterior. Esto es lo primero que el INAI te pide cuando hay queja por spam.

Cómo responder una solicitud ARCO en práctica

Si un cliente solicita ejercer un derecho ARCO, tienes 20 días hábiles para responder y 15 días hábiles más para hacerlo efectivo. Pasos típicos:

1. Recibir solicitud por correo (el correo de ARCO debe estar publicado en tu aviso de privacidad).
2. Verificar identidad del solicitante. No entregues datos personales a quien no es titular — esto puede pasar de incumplimiento a delito.
3. Buscar todos los registros del cliente en tu plataforma. En Yolani lo haces con un solo query por teléfono en el panel de administración.
4. Ejecutar la acción según el derecho:
   • Acceso: entregar copia de los datos.
   • Rectificación: actualizar los datos.
   • Cancelación: eliminar (con bloqueo previo de 30 días por si hay reclamación).
   • Oposición: detener tratamiento específico (ej. marketing) pero mantener otros (ej. histórico de compras).
5. Notificar al cliente con evidencia de la acción tomada.

Sanciones que sí aplican

El INAI puede multar entre 100 y 320,000 UMA (unidades de medida y actualización), lo que en 2026 equivale a entre ~$11,400 y ~$36 millones de pesos. Las multas más comunes que veo en sus resoluciones públicas:

• No publicar aviso de privacidad: multa típica $50,000-$200,000 MXN.
• No atender solicitudes ARCO en tiempo: multa típica $80,000-$400,000 MXN.
• Tratar datos para finalidades distintas a las informadas: multa típica $200,000-$1,200,000 MXN.
• Brecha de seguridad sin notificación al titular: multa típica $400,000-$2,000,000 MXN.

Para un negocio mediano, una sanción cualquiera de estas puede ser materialmente dañina. Para un negocio grande, son daño reputacional serio.

Checklist operativo

• Aviso de privacidad integral publicado en tu sitio web.
• Aviso accesible desde footer y desde cualquier formulario.
• Aviso simplificado en el primer mensaje del bot (con link al integral).
• Lista de transferencias internacionales explícita en el aviso (Meta, IA, pago).
• Correo dedicado para ARCO publicado y monitoreado.
• Procedimiento ARCO documentado y entrenado al equipo.
• Política de retención por categoría de dato definida.
• Palabra clave de opt-out funcionando ("BAJA", "STOP").
• Procedimiento de notificación de brechas de seguridad listo.
• Contrato de encargado del tratamiento firmado con cada proveedor que reciba datos (Yolani, BSP, CRM).

Cómo lo facilita Yolani

Yolani opera con servidores primarios en México, ofrece políticas de retención configurables por categoría de dato, maneja exportación y eliminación ARCO desde el panel con un clic, firma contrato de encargado del tratamiento con cada cliente y notifica cualquier incidente de seguridad. Lee nuestro aviso y úsalo como referencia. Si necesitas la plantilla editable en Word para usarlo de base para tu propio aviso, escríbenos a [email protected] y te la mando — es gratis aunque no seas cliente.