Política de Uso Aceptable de Recursos de TI en México
POLÍTICA DE USO ACEPTABLE DE RECURSOS DE TECNOLOGÍA DE LA INFORMACIÓN
Conforme a la Ley Federal de Telecomunicaciones y Radiodifusión art. 189 y la LFPDPPP art. 3
1. DATOS DE LA ORGANIZACIÓN
Organización: [Organization Name]
RFC: [Organization RFC]
Domicilio Fiscal: [Organization Address]
Responsable de Seguridad / DPO: [Responsible Officer]
2. ALCANCE Y PERSONAS SUJETAS A ESTA POLÍTICA
La presente Política de Uso Aceptable (en adelante 'la Política') aplica a: [Covered Persons] que accedan, utilicen o administren los recursos de tecnología de la información (TI) propiedad o bajo el control de [Organization Name].
Recursos de TI Cubiertos: [IT Resources]
Dispositivos Personales (BYOD): [BYOD Policy]
Todo usuario que acceda a los sistemas de la organización acepta, mediante el uso de dichos sistemas, quedar sujeto a las disposiciones de esta Política, al aviso de privacidad emitido conforme al Artículo 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), y al Reglamento Interior de Trabajo aplicable.
3. USOS AUTORIZADOS
Los recursos de TI de la organización están destinados primordialmente al desempeño de las funciones laborales, la comunicación con clientes y proveedores por razones de negocio, el acceso a sistemas corporativos críticos, y la participación en capacitación y desarrollo profesional autorizados.
Uso Personal Incidental: [Personal Use Policy]
Restricciones Fuera del Horario Laboral: [Off-Hours Restrictions]
4. USOS PROHIBIDOS
Queda expresamente prohibido utilizar los recursos de TI de la organización para las siguientes actividades, las cuales pueden constituir delitos conforme al Código Penal Federal (CPF) y otras leyes aplicables:
a) Acceso no autorizado a sistemas informáticos de terceros, en violación de los Artículos 211 bis 1 al 211 bis 7 del Código Penal Federal.
b) Descarga, distribución o almacenamiento de contenido que infrinja derechos de autor conforme a la Ley Federal del Derecho de Autor (LFDA).
c) Transmisión o almacenamiento de material de abuso sexual infantil (MASAI), sancionado por el Artículo 202 CPF.
d) Distribución de software malicioso (malware, ransomware, spyware) o participación en actividades de phishing o fraude electrónico conforme a los Artículos 386 y 387 CPF.
e) Intercepción de comunicaciones privadas sin autorización legal, sancionada por el Artículo 167 CPF y la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) Artículo 189.
f) Actividades comerciales personales que compitan con la organización o que utilicen información confidencial de la misma.
g) Acceso a sitios de apuestas (sitios de juegos de azar) durante el horario laboral en equipos corporativos.
5. USO DE REDES SOCIALES
[Social Media Rules]
Los usuarios no podrán publicar información confidencial de la organización ni de sus clientes en plataformas de redes sociales. La divulgación de secretos empresariales o industriales a través de redes sociales puede constituir causal de rescisión sin responsabilidad para el patrón conforme al Artículo 47, Fracción IX de la Ley Federal del Trabajo (LFT). Esta política no restringe el derecho de los trabajadores a discutir sus condiciones laborales conforme a los convenios de la Organización Internacional del Trabajo (OIT).
6. MONITOREO Y EXPECTATIVA DE PRIVACIDAD
La organización monitorea el uso de sus recursos de TI conforme al Reglamento de la LFPDPPP, Artículos 63 y 64, que permiten el monitoreo cuando: (a) se declara previamente en el aviso de privacidad o contrato de trabajo; (b) el monitoreo responde a un propósito legítimo empresarial (seguridad, cumplimiento normativo, productividad); y (c) los datos recolectados se protegen con las medidas de seguridad apropiadas bajo la NMX-I-27001-NYCE.
Alcance del Monitoreo: [Monitoring Scope]
Los usuarios de recursos corporativos de TI tienen una expectativa de privacidad reducida (expectativa de privacidad reducida) respecto de su actividad en dichos sistemas. El monitoreo de dispositivos personales queda estrictamente limitado a los datos corporativos, conforme a los lineamientos del INAI sobre segmentación de datos en dispositivos BYOD.
7. OBLIGACIONES DE SEGURIDAD
Todos los usuarios están obligados a cumplir los siguientes requisitos de seguridad:
Política de Contraseñas y Acceso: [Password Policy]
Adicionalmente, todos los usuarios deben: bloquear su estación de trabajo al ausentarse; no compartir credenciales de acceso (credenciales de acceso) bajo ninguna circunstancia; completar la capacitación anual en ciberseguridad; y reportar de inmediato cualquier incidente de seguridad sospechoso al equipo de TI.
Reporte de Incidentes de Seguridad: [Incident Report Contact]
8. CLASIFICACIÓN Y MANEJO DE DATOS
La información corporativa se clasifica en cuatro niveles: (1) Pública — información que puede compartirse libremente; (2) Interna — información de uso interno sin restricción especial; (3) Confidencial — información sujeta a acceso restringido con cifrado obligatorio; (4) Restringida — información de acceso altamente controlado, prohibida en dispositivos personales. Los datos personales de empleados, clientes y proveedores se tratan como mínimo como Confidencial, conforme al Artículo 19 de la LFPDPPP y la Norma NMX-I-27001-NYCE.
9. SOLICITUDES DE INFORMACIÓN POR AUTORIDADES
Toda solicitud de autoridades gubernamentales — incluyendo la Fiscalía General de la República (FGR), la Secretaría de Seguridad y Protección Ciudadana (SSPC), o la Unidad de Inteligencia Financiera (UIF) — para acceder a datos almacenados en los sistemas de la organización debe ser canalizada inmediatamente al área jurídica. Conforme al Artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR), la organización cooperará con solicitudes de intercepción legal debidamente fundadas y motivadas, verificando previamente su validez jurídica y alcance para no divulgar más información que la estrictamente requerida por el ordenamiento legal.
10. SANCIONES POR INCUMPLIMIENTO
El incumplimiento de esta Política podrá dar lugar a las siguientes consecuencias disciplinarias conforme a la Ley Federal del Trabajo:
Marco Disciplinario Aplicable: [Sanction Framework]
Las violaciones graves — incluyendo actividades ilícitas tipificadas en el Código Penal Federal, la divulgación no autorizada de información confidencial, o la comisión de fraude informático — podrán constituir causal de rescisión de la relación laboral sin responsabilidad para el patrón conforme al Artículo 47 LFT. Toda sanción se aplicará respetando la garantía de audiencia del trabajador, con la documentación requerida en el acta administrativa correspondiente, dentro del plazo de 30 días establecido por el Artículo 517 LFT.
ADOPCIÓN Y VIGENCIA
En [Policy City], a [Policy Date].
La presente Política entra en vigor en la fecha indicada y sustituye cualquier política previa sobre el mismo objeto. Los empleados y usuarios deben firmar el acuse de recibo adjunto, cuya copia se incorpora a su expediente personal.
POR LA ORGANIZACIÓN:
[Organization Name]
Responsable: [Responsible Officer]
Firma: _________________________ Fecha: _________________________
ACUSE DE RECIBO DEL USUARIO:
Nombre del Usuario: _________________________
Puesto: _________________________
Declaro haber recibido, leído y comprendido la Política de Uso Aceptable.
Firma: _________________________ Fecha: _________________________
Organization Representative (Representante de la Organización)
________________
Signature
User / Employee (Usuario / Empleado)
________________
Signature
Qué es Política de Uso Aceptable de Recursos de TI en México
La Política de Uso Aceptable en México (AUP) es un documento de política corporativa formal que define las reglas que rigen cómo los empleados, contratistas, proveedores y demás usuarios autorizados pueden acceder y usar los recursos de tecnología de la información (TI) de una organización (incluidos computadoras, redes, sistemas de correo electrónico, servicios en la nube, cuentas de redes sociales y conexiones a internet) dentro del marco legal establecido por la legislación mexicana de telecomunicaciones, protección de datos y ciberseguridad. La Política de Uso Aceptable establece qué constituye el uso autorizado, las conductas prohibidas y las consecuencias de las violaciones a la política, y funciona a la vez como instrumento de gobierno interno y como documento legalmente relevante para efectos de su aplicación.
El fundamento legal de las Políticas de Uso Aceptable en México descansa principalmente en el artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR, DOF del 14 de julio de 2014), que impone a los concesionarios y proveedores de servicios de redes de telecomunicaciones obligaciones respecto de la intervención legal de las comunicaciones, las medidas de ciberseguridad y la cooperación con las autoridades de seguridad, lo que establece un marco legal de referencia que las organizaciones deben observar al administrar sus propias redes y sistemas de comunicaciones. El artículo 189 de la LFTR faculta a las autoridades de seguridad mexicanas, incluidas la Secretaría de Seguridad y Protección Ciudadana (SSPC) y el Centro Nacional de Inteligencia (CNI), a solicitar el acceso a los datos de comunicaciones electrónicas para fines de seguridad pública, lo que significa que las organizaciones deben tener políticas de uso aceptable que definan cómo se manejarán los datos de la red corporativa en respuesta a las solicitudes de autoridad legítima.
El artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF del 5 de julio de 2010) aporta las definiciones de datos personales, datos personales sensibles y tratamiento que determinan qué obligaciones de protección de datos aplican cuando una organización monitorea el uso que los empleados hacen de los sistemas de TI. Los artículos 63 y 64 del Reglamento de la LFPDPPP abordan el monitoreo de los empleados: los patrones pueden monitorear el correo electrónico corporativo, la navegación en internet y la actividad de los sistemas cuando: la política de monitoreo se revela a los empleados en el aviso de privacidad o en el contrato de trabajo conforme a la Ley Federal del Trabajo (LFT); el monitoreo es proporcional y necesario para un fin legítimo de negocio; y los datos personales recolectados mediante el monitoreo se protegen con medidas de seguridad técnicas y organizativas adecuadas conforme a la Norma Mexicana NMX-I-27001-NYCE (ISO/IEC 27001).
El derecho penal mexicano establece límites importantes que una Política de Uso Aceptable debe atender. Los artículos 211 Bis 1 a 211 Bis 7 del Código Penal Federal (CPF), introducidos por el Decreto por el que se adicionan diversas disposiciones al Código Penal Federal publicado en el DOF el 17 de mayo de 1999 y reformados con posterioridad, tipifican el acceso ilícito a sistemas informáticos, la modificación o destrucción de datos y la interceptación de comunicaciones privadas. Una política de uso aceptable que prohíbe estas actividades y establece consecuencias por las violaciones protege a la organización de la responsabilidad y aporta el fundamento legal para la acción disciplinaria conforme a la Ley Federal del Trabajo.
Para las organizaciones sujetas a la Ley Fintech (DOF del 9 de marzo de 2018) (instituciones de tecnología financiera, instituciones de fondos de pago e instituciones de financiamiento colectivo), la Circular Única de Instituciones de Tecnología Financiera de la Comisión Nacional Bancaria y de Valores (CNBV) impone requisitos específicos de ciberseguridad y de gobierno de TI, incluidas políticas de uso aceptable obligatorias, planes de respuesta a incidentes y monitoreo de seguridad continuo, todos los cuales deben reflejarse en las políticas internas de la organización.
En México, el equivalente de un centro nacional de ciberseguridad (el CERT-MX operado por la autoridad nacional de seguridad de la información del Estado) coordina la respuesta nacional a los incidentes de ciberseguridad y publica lineamientos de ciberseguridad que orientan el desarrollo de mejores prácticas de políticas de uso aceptable para las organizaciones mexicanas de todos los sectores.
Cuándo necesitas Política de Uso Aceptable de Recursos de TI en México
La Política de Uso Aceptable en México la necesita cualquier organización (empresa, dependencia de gobierno, institución educativa u organización sin fines de lucro) que proporciona a los empleados, contratistas, estudiantes o terceros acceso a sus sistemas de TI, redes, plataformas de correo electrónico, servicios en la nube o conectividad a internet, cuando la organización desea definir las reglas del uso permisible, establecer derechos de monitoreo y crear un fundamento legal para la acción disciplinaria contra el uso indebido conforme a la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) y a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Una política de uso aceptable se requiere para las empresas con trabajadores remotos (trabajadores en home office) tras la reforma a la Ley Federal del Trabajo (LFT) publicada en el DOF el 11 de enero de 2021; los artículos 330-A a 330-K reformados de la LFT exigen a los patrones proporcionar a los trabajadores remotos el equipo y la conectividad necesarios para realizar su trabajo, y la política de uso aceptable define los usos permitidos y las obligaciones de seguridad del equipo y del acceso a la red proporcionados por la empresa que se usan desde casa.
Las organizaciones sujetas al cumplimiento de la LFPDPPP (que abarca a todas las entidades del sector privado que tratan datos personales) necesitan una política de uso aceptable como parte de su programa de protección de datos para definir cómo deben los empleados manejar los datos personales a los que se accede a través de los sistemas de TI, qué transmisiones de datos están permitidas y cómo deben reportarse internamente los incidentes de seguridad de datos. La política de uso aceptable complementa el aviso de privacidad de la organización y el marco de gobierno de datos exigido por la LFPDPPP y las guías del INAI.
Las empresas de tecnología, los proveedores de servicios de internet y los operadores de plataformas necesitan políticas de uso aceptable para regir el comportamiento de los usuarios en sus plataformas, al definir el contenido prohibido, los usos prohibidos de la infraestructura técnica y las consecuencias de la violación, incluidos la suspensión de la cuenta, la terminación y la remisión a las autoridades conforme a los artículos 211 Bis 1 a 211 Bis 7 del Código Penal Federal por los delitos cibernéticos.
Las instituciones educativas (universidades, escuelas técnicas, instituciones de educación superior) que proporcionan a los estudiantes y al profesorado acceso a la red, correo electrónico institucional y recursos de cómputo en la nube necesitan políticas de uso aceptable para definir los estándares de integridad académica, prohibir el plagio y la infracción del derecho de autor conforme a la Ley Federal del Derecho de Autor (LFDA) y establecer los procedimientos disciplinarios por el uso indebido de TI.
Conforme al artículo 3 de la LFPDPPP y al artículo 189 de la LFTR, las organizaciones que operan redes de TI en México y tratan datos personales de usuarios o empleados deben mantener una Política de Uso Aceptable por escrito; sin una política de uso aceptable documentada, las organizaciones carecen del fundamento legal y contractual para monitorear los sistemas de los empleados, responder a los incidentes de seguridad o tomar acciones disciplinarias contra el uso indebido de los recursos de TI.
Qué incluir en tu Política de Uso Aceptable de Recursos de TI en México
Una Política de Uso Aceptable en México eficaz y conforme al artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) y al artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) debe incluir los siguientes elementos esenciales:
Ámbito y recursos cubiertos: una definición precisa de los recursos de TI cubiertos: equipos de cómputo corporativos, computadoras portátiles, dispositivos móviles, cuentas de correo electrónico corporativo, redes internas (LAN/WAN), conexiones VPN, plataformas en la nube (Microsoft 365, Google Workspace, AWS), sistemas de videoconferencia y cualquier otra tecnología proporcionada o financiada por la organización. La política debe especificar si aplica a los dispositivos personales usados para fines de trabajo (BYOD) y a cualquier uso fuera del horario normal de trabajo.
Usos autorizados: una descripción clara de los fines para los que los recursos de TI pueden usarse de manera legítima: principalmente para desempeñar las funciones del puesto, comunicarse con clientes y proveedores para fines de negocio, acceder a los sistemas críticos del negocio y participar en la capacitación y el desarrollo profesional autorizados. El uso personal incidental limitado puede permitirse, sujeto a las condiciones y los límites de tiempo especificados en la política.
Usos prohibidos: una lista detallada de las actividades prohibidas en los sistemas de TI de la organización conforme al derecho mexicano, incluidas: acceder, transmitir o almacenar material de abuso sexual infantil, un delito grave conforme al artículo 202 del Código Penal Federal; vulnerar o intentar el acceso no autorizado a sistemas de terceros en violación de los artículos 211 Bis 1 a 211 Bis 7 del CPF; distribuir software malicioso (malware, ransomware, spyware); realizar phishing, robo de identidad o fraude conforme a los artículos 386 y 387 del CPF; descargar o distribuir contenido protegido por derecho de autor sin autorización en violación de la Ley Federal del Derecho de Autor (LFDA); acceder a sitios de apuestas durante el horario de trabajo; y usar los sistemas corporativos para actividades comerciales personales que compitan con el patrón.
Cláusula de monitoreo de los empleados: una revelación clara de que la organización monitorea el uso de sus recursos de TI (incluidos el contenido del correo electrónico, el historial de navegación en internet, los registros de uso de las aplicaciones, el acceso a archivos y las sesiones de escritorio remoto) según lo permitido conforme a los artículos 63 y 64 del Reglamento de la LFPDPPP y a la LFT, y de que los usuarios tienen una expectativa de privacidad reducida al usar los sistemas corporativos. La revelación del monitoreo debe referir el aviso de privacidad de la organización y especificar los fines del monitoreo: la detección de incidentes de seguridad, el cumplimiento de la política, la gestión de la productividad y el cumplimiento legal.
Clasificación y manejo de datos: las reglas para clasificar los datos corporativos por nivel de sensibilidad (Pública, Interna, Confidencial y Restringida) y los requisitos de manejo de cada nivel, incluidos los requisitos de cifrado de los datos Confidenciales y Restringidos conforme a la NMX-I-27001-NYCE, la prohibición de almacenar datos Restringidos en dispositivos personales y los requisitos de transmisión segura usando protocolos de cifrado aprobados.
Obligaciones de seguridad: las prácticas de seguridad obligatorias para todos los usuarios, incluidos el uso de contraseñas robustas de al menos 12 caracteres con requisitos de complejidad, la habilitación de la autenticación de múltiples factores (MFA) en todos los sistemas compatibles, el bloqueo de las estaciones de trabajo cuando queden desatendidas, la prohibición de compartir las credenciales de acceso, el reporte inmediato de los incidentes de seguridad sospechados al equipo de seguridad de TI y la realización de la capacitación anual en ciberseguridad.
Uso de redes sociales: las reglas que rigen el uso de las redes sociales por parte de los empleados en los sistemas corporativos y al representar a la organización, incluidos la prohibición de compartir información confidencial de la organización o de sus clientes en redes sociales, los requisitos de revelación al publicar sobre la organización y las consecuencias del daño reputacional causado por la actividad de los empleados en redes sociales.
Violaciones y consecuencias: una escala graduada de consecuencias disciplinarias por las violaciones a la política de uso aceptable conforme a la LFT, que va de la amonestación escrita por las faltas menores de primera vez, a la suspensión sin goce de sueldo conforme al artículo 423 de la LFT, hasta la rescisión de contrato sin responsabilidad para el patrón conforme al artículo 47 de la LFT por las violaciones graves, incluida la actividad delictiva usando los sistemas corporativos. La política debe referir el procedimiento disciplinario interno de la organización y el derecho del empleado a ser oído antes de la acción disciplinaria.
Reporte de incidentes: el procedimiento para que los usuarios reporten los incidentes de seguridad sospechados, las vulneraciones de datos, los intentos de phishing o las violaciones a la política, incluidos los datos de contacto del equipo de seguridad de TI o del Director de Seguridad de la Información (CISO), el tiempo de respuesta esperado y las protecciones disponibles para quienes reportan de buena fe (política de no represalia).
Forms-legal.com proporciona esta plantilla de Política de Uso Aceptable en México como un punto de partida práctico. Las organizaciones de sectores regulados (servicios financieros, salud, telecomunicaciones e infraestructura crítica) deben hacer revisar su política de uso aceptable por un Licenciado en Derecho especializado en derecho digital, seguridad informática o derecho laboral para confirmar el cumplimiento de la LFTR, la LFPDPPP, la LFT y las regulaciones de ciberseguridad sectoriales aplicables antes de su implementación.
Citar esta página
Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:
Forms Legal. (2026). Política de Uso Aceptable de Recursos de TI en México (México) [Legal document template]. Forms Legal. https://forms-legal.com/es/mexico/business/policies/politica-uso-aceptable-mexico
"Política de Uso Aceptable de Recursos de TI en México (México)." Forms Legal, 2026, https://forms-legal.com/es/mexico/business/policies/politica-uso-aceptable-mexico.
@misc{formslegal-politica-uso-aceptable-mexico,
author = {{Forms Legal}},
title = {Política de Uso Aceptable de Recursos de TI en México (México)},
year = {2026},
howpublished = {\url{https://forms-legal.com/es/mexico/business/policies/politica-uso-aceptable-mexico}},
note = {Free legal document template}
}También disponible para estas jurisdicciones:
Preguntas Frecuentes
Sí, pero con limitaciones importantes conforme al derecho mexicano. Los patrones pueden monitorear el uso que los empleados hacen de los sistemas de TI de la empresa —incluidos el correo electrónico, la navegación en internet y la actividad en las aplicaciones— cuando se cumplen requisitos legales específicos conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley Federal del Trabajo (LFT). El monitoreo debe revelarse a los empleados de manera previa —ya sea en el contrato de trabajo (contrato de trabajo), en el contrato colectivo de trabajo (contrato colectivo de trabajo), en el aviso de privacidad de la empresa conforme al Artículo 15 de la LFPDPPP, o en la Política de Uso Aceptable que los empleados reconocen formalmente. Los Artículos 63 y 64 del Reglamento de la LFPDPPP establecen que el monitoreo de los empleados es lícito cuando sirve a un propósito legítimo empresarial (propósito legítimo empresarial), es proporcional a ese propósito y no se extiende a las comunicaciones personales en dispositivos personales. El monitoreo de teléfonos móviles personales o cuentas de correo personales —incluso durante la jornada— sin consentimiento constituye una violación a la intimidad (violación a la intimidad) conforme al Artículo 16 de la Constitución Política y puede ser accionable como una violación al derecho laboral. El INAI ha sostenido que el monitoreo generalizado de todas las comunicaciones de los empleados sin una justificación específica vulnera el principio de proporcionalidad de la LFPDPPP. Una Política de Uso Aceptable que defina con claridad qué se monitorea, con qué propósito y en qué circunstancias proporciona la base legal para el monitoreo lícito y reduce de manera significativa el riesgo de reclamaciones conforme a la LFT y la LFPDPPP.
El Código Penal Federal (CPF) contiene varias disposiciones clave que definen los delitos informáticos (delitos informáticos) en México, que una Política de Uso Aceptable eficaz debe referenciar para disuadir la conducta prohibida y establecer las consecuencias legales de las violaciones. Los Artículos 211 Bis 1 a 211 Bis 7 —comúnmente referidos como el capítulo de delitos informáticos— tipifican: el acceso no autorizado a sistemas informáticos protegidos por medidas de seguridad (acceso ilícito a sistemas informáticos), sancionable con prisión de seis meses a dos años; la modificación, destrucción o pérdida de información (modificación o destrucción de información), sancionable con prisión de uno a cuatro años; y la copia o el uso no autorizado de información protegida, sancionable con prisión de tres meses a un año. Cuando los sistemas informáticos pertenecen a una institución financiera, una dependencia del gobierno federal o infraestructura crítica, las penas conforme a los Artículos 211 Bis 5 a 211 Bis 7 aumentan hasta en un 50%. El Artículo 167 del CPF tipifica la interferencia en las redes de telecomunicaciones. El Artículo 202 tipifica el material de explotación sexual infantil. Los Artículos 386 y 387 cubren el fraude cometido por medios electrónicos (fraude informático). Una Política de Uso Aceptable que prohíba expresamente las actividades que caen bajo estas disposiciones del CPF y haga referencia a las penas que implican sirve como un disuasivo importante —los usuarios que firman o reconocen la política no pueden alegar desconocimiento de las consecuencias penales del delito cibernético cometido usando los recursos de TI de la organización.
Las políticas de BYOD (uso de dispositivos personales) en México requieren un equilibrio cuidadoso conforme a la Ley Federal del Trabajo (LFT), la LFPDPPP y el derecho constitucional del empleado a la privacidad conforme al Artículo 16 de la Constitución Política. Cuando una organización permite o exige a los empleados usar dispositivos personales para el trabajo —práctica que se expandió de manera significativa con las reformas de la oficina en casa a la LFT en enero de 2021— la Política de Uso Aceptable debe atender varios aspectos distintos. Primero, qué datos y sistemas de la empresa pueden accederse desde los dispositivos personales —lo que típicamente requiere la instalación de una solución de Gestión de Dispositivos Móviles (MDM) que pueda segmentar los datos de la empresa de los datos personales en el dispositivo. Segundo, qué requisitos de seguridad aplican a los dispositivos personales usados para el trabajo —versiones mínimas del sistema operativo, cifrado obligatorio, uso obligatorio de VPN, prohibición de almacenar datos de la empresa en cuentas personales en la nube. Tercero, qué sucede cuando un dispositivo personal usado para el trabajo se pierde, es robado o se ve comprometido —incluido el derecho de la organización a borrar de forma remota los datos de la empresa del dispositivo, y el procedimiento para hacerlo de una manera que no destruya los datos personales del empleado. El Artículo 330-E de la LFT exige a los patrones que proporcionan equipo a los trabajadores remotos mantenerlo en buen estado de funcionamiento —para los escenarios de BYOD, es esencial un acuerdo claro sobre las responsabilidades de mantenimiento. Los lineamientos del INAI advierten que las soluciones de MDM deben configurarse técnicamente para acceder únicamente a la partición de trabajo de un dispositivo BYOD, no a las fotos, mensajes o aplicaciones personales —acceder a datos personales en el dispositivo personal de un empleado sin consentimiento vulnera el Artículo 8 de la LFPDPPP.
La Ley Federal del Trabajo (LFT) prevé un marco disciplinario escalonado para las violaciones de los empleados a las políticas internas, incluida la Política de Uso Aceptable. Para las violaciones menores o por primera vez, el patrón puede emitir una amonestación escrita (amonestación escrita) conforme a la fracción X del Artículo 423 de la LFT, que exige al patrón llevar un registro de las amonestaciones y presentarlas en cualquier procedimiento disciplinario posterior. Para las violaciones reiteradas o la conducta que causa un daño al patrón pero que no llega al nivel de causa justificada de terminación, el patrón puede imponer una suspensión sin goce de sueldo (suspensión sin goce de sueldo) de hasta ocho días, sujeta a la aprobación de la STPS (Secretaría del Trabajo y Previsión Social). Para las violaciones graves —incluida la actividad delictiva usando los sistemas de TI de la empresa, la revelación no autorizada de información confidencial (violación de secretos industriales) conforme a la Ley Federal de Protección a la Propiedad Industrial (LFPPI), o la insubordinación grave— el patrón puede rescindir la relación de trabajo sin responsabilidad (rescisión sin responsabilidad patronal) conforme al Artículo 47 de la LFT, eliminando la obligación de pagar la liquidación (liquidación). Para que la rescisión sea válida conforme al Artículo 47 de la LFT, el patrón debe notificar al empleado por escrito dentro de los 30 días siguientes a tener conocimiento de la violación, precisando la conducta exacta y la cláusula de la política violada. No seguir este procedimiento convierte la rescisión en un despido injustificado (despido injustificado) que exige el pago de tres meses de salario más 20 días por cada año de servicio más las partes constitucionales —lo que hace que una Política de Uso Aceptable bien documentada y debidamente firmada sea esencial para la capacidad del patrón de tomar acciones disciplinarias lícitas.
Sí. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, DOF 9 de marzo de 2018) y sus disposiciones de aplicación emitidas por la Comisión Nacional Bancaria y de Valores (CNBV) y el Banco de México (Banxico) imponen obligaciones específicas de gobierno de TI y ciberseguridad a las instituciones de tecnología financiera reguladas (Instituciones de Tecnología Financiera o ITF) —incluidas las Instituciones de Fondos de Pago Electrónico (IFPE) y las Instituciones de Financiamiento Colectivo (IFC). La Circular Única de Instituciones de Tecnología Financiera (CUFintech) de la CNBV exige a las ITF mantener: políticas escritas de seguridad de TI, incluida una Política de Uso Aceptable que cubra a todo el personal con acceso a los sistemas de producción; un sistema de gestión de seguridad de la información (sistema de gestión de seguridad de la información) alineado con la ISO 27001 o equivalente; procedimientos documentados de gestión de identidades y accesos (gestión de identidades y accesos), incluido el principio de mínimo privilegio (principio de mínimo privilegio); capacitación obligatoria en concienciación de seguridad (capacitación en seguridad) para todo el personal al menos una vez al año; y un plan de respuesta a incidentes (plan de respuesta a incidentes) integrado con la política. Las ITF también deben notificar a la CNBV los incidentes de ciberseguridad dentro de las 24 horas siguientes a su detección —la política debe incluir un procedimiento interno de escalamiento que permita cumplir este plazo de notificación. El incumplimiento de los requisitos de ciberseguridad de la CNBV puede derivar en sanciones administrativas conforme al Artículo 109 de la Ley Fintech, incluidas multas de hasta 1.2 millones de UDIS, la suspensión de operaciones y la revocación de la licencia de operación de la ITF —lo que hace de una Política de Uso Aceptable integral una necesidad regulatoria y no solo una mejor práctica.
El uso de redes sociales por los empleados (uso de redes sociales) plantea cuestiones jurídicas complejas conforme al derecho laboral, el derecho de protección de datos y el derecho de propiedad intelectual mexicanos que una Política de Uso Aceptable debe abordar con precisión. La LFT no aborda específicamente las redes sociales, pero la fracción IX del Artículo 47 de la LFT permite la rescisión sin responsabilidad respecto de los empleados que causan un daño grave al patrón por la revelación de secretos de fabricación o de negocio confidenciales —lo que los tribunales laborales mexicanos han aplicado a los empleados que publican información confidencial de la empresa en plataformas de redes sociales. La política debe distinguir entre tres categorías de uso de redes sociales: el uso de las cuentas de redes sociales propiedad de la empresa (cuentas que pertenecen a la empresa), que es actividad de trabajo sujeta a la plena supervisión del patrón; el uso de cuentas personales de redes sociales durante la jornada en dispositivos o redes de la empresa, que la política puede restringir o prohibir y monitorear dentro de los límites de la LFPDPPP; y el uso de cuentas personales de redes sociales fuera de la jornada en dispositivos personales, que en general está protegido por el derecho constitucional del empleado a la libertad de expresión conforme al Artículo 6 de la Constitución Política y el derecho a la privacidad conforme al Artículo 16. La política no debe prohibir a los empleados discutir las condiciones de trabajo, los salarios o los derechos laborales en redes sociales —tal restricción vulneraría la prohibición de la fracción XXXI del Artículo 132 de la LFT a la injerencia del patrón en los derechos de los trabajadores garantizados por los Convenios de la Organización Internacional del Trabajo (OIT) de los que México es parte. Las prohibiciones claras de revelar información de negocio confidencial, datos de clientes y secretos industriales cubiertos por el marco de acuerdos de confidencialidad de la organización son lícitas y exigibles.
Cuando las autoridades mexicanas —incluidas la Fiscalía General de la República (FGR), la Secretaría de Seguridad y Protección Ciudadana (SSPC) o la Unidad de Inteligencia Financiera (UIF)— solicitan acceso a datos almacenados en los sistemas de TI de una organización, esta debe equilibrar el cumplimiento de sus obligaciones legales conforme al Artículo 189 de la LFTR y el derecho procesal penal con sus obligaciones de protección de datos conforme a la LFPDPPP y sus obligaciones contractuales de confidencialidad hacia clientes y usuarios. El Artículo 189 de la LFTR exige a los concesionarios de telecomunicaciones cooperar con las solicitudes de intervención lícitas de las autoridades facultadas —las empresas privadas que no son operadoras de telecomunicaciones tienen una obligación más acotada pero aún significativa de cumplir con las órdenes judiciales y los requerimientos ministeriales conforme al Código Nacional de Procedimientos Penales (CNPP). Una Política de Uso Aceptable debe incluir un procedimiento de respuesta a solicitudes de datos que especifique: quién dentro de la organización tiene facultad para recibir y responder las solicitudes gubernamentales de datos (típicamente el abogado general o el responsable de protección de datos); el proceso para verificar la validez legal y el alcance de la solicitud —incluido que se presenten las órdenes judiciales antes de revelar los datos; el proceso para notificar a los usuarios afectados cuando esté legalmente permitido; y la documentación que debe conservarse sobre la solicitud, el alcance de los datos revelados y el fundamento legal invocado. El área jurídica de la organización debe revisar cualquier solicitud gubernamental de datos antes de su revelación —el exceso de cumplimiento (revelar más datos de los que exige la orden legal) puede exponer a la organización a responsabilidad conforme a la LFPDPPP frente a los usuarios cuyos datos se revelaron.
Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo
¿Encontró un error? AvísenosDocumentos Relacionados
También puede encontrar útiles estos documentos:
Términos y Condiciones del Sitio Web México
Términos y Condiciones del Sitio Web para México — conforme al Artículo 76 bis de la Ley Federal de Protección al Consumidor (LFPC) y el Artículo 8 de la LFPDPPP, estableciendo el marco legal para el comercio electrónico, los derechos del usuario y las obligaciones de protección de datos bajo la ley mexicana.
Código de Ética Empresarial México (LGSNA art. 1, LGRA art. 25)
Código de Ética Empresarial para México — conforme a la Ley General del Sistema Nacional Anticorrupción (LGSNA) Artículo 1 y la Ley General de Responsabilidades Administrativas (LGRA) Artículo 25. Establece valores, reglas de conducta ética y gobierno corporativo. Habilitador del Programa de Integridad Empresarial de la SFP para licitaciones públicas.
Acuerdo de Confidencialidad México (NDA)
Acuerdo de Confidencialidad (NDA) para México — regido por el Artículo 82 de la Ley Federal de Protección a la Propiedad Industrial (LFPPI) y el Artículo 75 del Código de Comercio, protegiendo secretos industriales, información propietaria y datos comerciales confidenciales bajo el derecho mercantil e industrial mexicano.
Política Anticorrupción Empresarial México
Política Anticorrupción Empresarial para México — conforme a la Ley General del Sistema Nacional Anticorrupción (LGSNA) artículo 1 y el Código Fiscal de la Federación (CFF) artículo 108, establece procedimientos para prevenir el cohecho, la corrupción y el fraude fiscal bajo el Sistema Nacional Anticorrupción.
Política de Prevención de Lavado de Dinero México
Política de Prevención de Lavado de Dinero para México — conforme al artículo 17 de la LFPIORPI, con procedimientos de debida diligencia al cliente, reportes de operaciones sospechosas a la UIF y conservación de registros.