¿Es legal usar inteligencia artificial para atender clientes por WhatsApp en México? Sí, pero debes cumplir con la LFPDPPP. Aquí tienes todo lo que necesitas saber.
¿Qué es la LFPDPPP?
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es la ley mexicana que regula cómo las empresas recopilan, almacenan y usan datos personales de los ciudadanos mexicanos. Fue publicada en 2010 y su reglamento en 2011.
¿Qué tiene que ver con WhatsApp y la IA?
Cuando un agente IA atiende a un cliente por WhatsApp, procesa datos personales:
- Número telefónico
- Nombre del contacto
- Contenido de los mensajes
- Historial de conversaciones
- Posiblemente: dirección, email, datos de pago
Estos datos están protegidos por la LFPDPPP sin importar si los procesa un humano o una máquina.
Los 4 principios ARCO que debes cumplir
| Derecho | Significado | Cómo cumplir con Trement |
|---|---|---|
| Acceso | El cliente puede pedir ver qué datos tienes | Exportación de datos en 1 click |
| Rectificación | El cliente puede pedir que corrijas sus datos | Edición de contactos en el panel |
| Cancelación | El cliente puede pedir que elimines sus datos | Borrado completo del contacto |
| Oposición | El cliente puede oponerse al uso de sus datos | Desactivación del contacto en el agente |
Aviso de privacidad: qué debe incluir
La LFPDPPP exige un aviso de privacidad que informe al cliente:
- Quién es el responsable del tratamiento (tu empresa)
- Qué datos se recopilan
- Para qué se usan (finalidad)
- Cómo ejercer derechos ARCO
- Si los datos se comparten con terceros
Aviso simplificado para WhatsApp
Puedes configurar tu agente IA para enviar un aviso simplificado al inicio de cada conversación:
"Al continuar esta conversación, aceptas nuestro aviso de privacidad: [enlace]. Tus datos son tratados por [empresa] conforme a la LFPDPPP."
Sanciones por incumplimiento
| Infracción | Sanción (UMA 2026) | Equivalente aprox. MXN |
|---|---|---|
| No tener aviso de privacidad | 100–160,000 UMA | $10,800–$17,280,000 |
| No atender derechos ARCO | 100–160,000 UMA | $10,800–$17,280,000 |
| Transferencia no autorizada | 200–320,000 UMA | $21,600–$34,560,000 |
| Datos sensibles sin consentimiento expreso | 200–320,000 UMA | $21,600–$34,560,000 |
Checklist de cumplimiento para PyMEs mexicanas
- ✅ Publica tu aviso de privacidad en tu sitio web
- ✅ Configura el mensaje de consentimiento en el agente IA
- ✅ Ten un canal para solicitudes ARCO (email o WhatsApp)
- ✅ No almacenes datos sensibles (salud, religión, orientación) a menos que sea necesario
- ✅ Configura retención de datos (30-90 días)
- ✅ Designa a un responsable de datos en tu empresa
¿INAI puede sancionar por usar IA?
El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) no prohíbe el uso de IA. Lo que regula es el tratamiento de datos, independientemente de si lo hace un humano o una máquina.
Si cumples con el aviso de privacidad y los derechos ARCO, estás dentro de la ley.
"Cumplir con la LFPDPPP no es complicado — es un aviso de privacidad y un proceso de borrado de datos. Trement te facilita ambos. Y estar en regla te protege de multas millonarias."