Desde hace varios años, cualquier negocio que envíe comunicaciones comerciales por email a contactos en México debe cumplir con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares). No se trata solo de una recomendación: es una obligación legal que, si se incumple, puede resultar en sanciones administrativas y daño reputacional.
La buena noticia es que el cumplimiento no es complicado si entiendes qué exige la ley. En esta guía te mostraremos los pilares legales, los requisitos técnicos y un checklist práctico para que tu estrategia de email marketing esté alineada con la normativa mexicana.
¿Qué es la LFPDPPP y por qué aplica a email marketing?
La LFPDPPP es el marco legal en México para el tratamiento de datos personales por parte de organizaciones privadas. Cualquier empresa, desde una startup hasta un e-commerce, que recopile o procese datos de personas (nombres, emails, teléfonos, direcciones) está sujeta a esta ley.
El email marketing entra directamente en el alcance porque:
- Recopila direcciones de email, que son datos personales.
- Almacena esos datos en bases de datos o CRM.
- Envía comunicaciones que identifican tanto al usuario como a tu empresa.
La ley no prohíbe el email marketing, pero impone condiciones claras sobre cómo debes tratarlo y respetar los derechos de las personas.
El aviso de privacidad: elemento obligatorio
El pilar central de la LFPDPPP es el aviso de privacidad. Antes de recopilar el email de un contacto, debes presentarle un aviso claro y accesible donde declares:
- Identidad del responsable: Tu nombre o razón social, domicilio y datos de contacto.
- Finalidad del tratamiento: Por ejemplo, «Enviarás emails de marketing» o «procesarás pagos».
- Datos recogidos: Qué información específica obtendrá (email, teléfono, etc.).
- Transferencias: Si comparte los datos con terceros (ESP, proveedor de análisis, etc.).
- Derechos ARCO: Cómo el usuario puede ejercer Acceso, Rectificación, Cancelación u Oposición.
- Cambios al aviso: Que pueden modificarse y cómo te enterarás.
No tiene que ser un documento largísimo. Puede ser un párrafo compacto en tu formulario de registro, un checkbox acompañado de un enlace a la política completa, o ambos. Lo importante es que sea visible en el punto de captura, no solo escondido en el pie de página.
Derechos ARCO: cómo responder solicitudes
Cada persona tiene cuatro derechos clave sobre sus datos personales bajo la LFPDPPP:
- Acceso: Solicitar una copia de los datos que almacenas sobre ellos.
- Rectificación: Corregir datos incorrectos o incompletos.
- Cancelación: Eliminar sus datos (especialmente si ya no desean recibir comunicaciones).
- Oposición: Negar el uso de sus datos para una finalidad específica (ej: oponerse a emails promocionales pero aceptar transaccionales).
Tu obligación es responder estas solicitudes dentro de un plazo razonable, generalmente hasta 20 días. Debes:
- Publicar un canal claro para que los usuarios presenten solicitudes (email de contacto, formulario, teléfono).
- Guardar registro de quién solicitó qué y cuándo respondiste.
- Ejecutar la acción (acceso, rectificación, cancelación u oposición) sin demora innecesaria.
En la práctica, la mayoría de solicitudes ARCO son bajas por email. Usar un enlace de desuscripción de un clic (one-click unsubscribe) en cada email es la forma más rápida de cumplir y mejorar tu reputación como remitente.
Autenticación técnica: SPF, DKIM y DMARC
Desde febrero de 2024, los principales proveedores de email (Gmail, Yahoo, Outlook y otros) han endurecido los requisitos de autenticación. En México se aplican los mismos estándares:
- SPF (Sender Policy Framework): Autoriza a servidores específicos a enviar emails en tu nombre.
- DKIM (DomainKeys Identified Mail): Firma criptográfica que verifica que tu email no fue alterado.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Política que define cómo manejar emails que fallan SPF o DKIM.
Aunque técnicamente no son una exigencia legal explícita de la LFPDPPP, estos estándares son obligatorios de facto para que tus emails lleguen a la bandeja de entrada (no a Spam). Sin ellos, los filtros de Google, Yahoo y Outlook marcarán tu correo como sospechoso.
Si usas un ESP como Brevo, Mailjet o Mailrelay, la plataforma te guiará para añadir registros SPF y DKIM en tu DNS. Si envías desde tu propio servidor o WordPress, deberás configuralos manualmente en tu panel de control de dominio.
Errores comunes que debes evitar
Aquí hay prácticas que hemos visto en México y que pueden exponerte a riesgos legales:
- Comprar listas de email sin consentimiento previo: Aunque la lista esté «pública» en internet, si no hay constancia de que cada persona consintió recibir tu email, violas la LFPDPPP. Solo puedes usar contactos que te dieron permiso explícito.
- No incluir un enlace de desuscripción visible: La ley exige que el usuario pueda dejar de recibir fácilmente. Un botón escondido no cumple; debe ser prominente y de un clic.
- Cambiar la finalidad del tratamiento sin avisar: Si recopilaste datos para transaccional (confirmación de pedido), no puedes usarlos de repente para marketing sin nuevo consentimiento y aviso.
- Guardar datos más tiempo del necesario: Si alguien se dio de baja, no puedes mantenerlo en listas de remarketing o futuras campañas. Debes respetar la cancelación.
Checklist de cumplimiento: verifica hoy
Para asegurar que estás alineado con la LFPDPPP, recorre este checklist:
- ☐ Tengo un aviso de privacidad visible en mi formulario de captura (no solo en política de privacidad).
- ☐ El aviso declara que enviaré emails de marketing y explica para qué usaré los datos.
- ☐ Mi dominio tiene SPF, DKIM y DMARC correctamente configurados. (Verifica gratis con check.live-direct-marketing.online.)
- ☐ Cada email incluye un enlace de desuscripción de un clic claro y funcional.
- ☐ Tengo un canal de contacto publicado (email, formulario) para solicitudes ARCO.
- ☐ Respeto las solicitudes de cancelación en máximo 20 días.
- ☐ Si cambio mi política de privacidad (especialmente en finalidades), notifico a los usuariosy solicito nuevo consentimiento si es un cambio sustancial.
- ☐ No comparto datos con terceros sin haberlo declarado en el aviso o sin autorizaciones específicas.
Si marcaste todas las casillas, tu estrategia está en buen camino. Si falta alguna, prioriza implementarla en las próximas dos semanas.
¿Qué sanciones hay si incumplo la LFPDPPP?
La LFPDPPP es administrada por organismos como la Procuraduría Federal del Consumidor (PROFECO) y otras autoridades. Las sanciones pueden incluir multas administrativas significativas, órdenes de cese de actividades, antecedentes legales para tu empresa e, incluso, responsabilidad penal en casos de divulgación intencional de datos.
En la práctica, muchas infracciones se detectan cuando un usuario presenta una queja formal. Lo importante es cumplir desde el inicio para evitar problemas.
¿Necesito traducir el aviso de privacidad si todos mis usuarios son mexicanos?
Sí, es recomendable que esté completamente en español. Aunque el español es idioma oficial en México, la ley exige claridad y accesibilidad. Si tu sitio o emails están en español, la política debe estarlo también. Esto demuestra profesionalismo y cumplimiento transparente.
¿Puedo usar un ESP internacional o es mejor uno mexicano?
Puedes usar cualquier ESP que te ayude a cumplir la ley. Lo importante es que:
- Tenga un acuerdo de tratamiento de datos contigo (DPA, Data Processing Agreement).
- Tu dominio esté correctamente autenticado (SPF/DKIM/DMARC).
- Incluyas desuscripción de un clic en cada email.
Algunos ESPs mexicanos como Mailrelay y Acumbamail ofrecen herramientas locales y soporte en español, facilitando el cumplimiento. Otros como Brevo o Mailjet funcionan igual de bien. La elección depende de tus necesidades de escala y presupuesto.