Acceptable Use Policy Mexico (Política de Uso Aceptable)
POLÍTICA DE USO ACEPTABLE DE RECURSOS DE TECNOLOGÍA DE LA INFORMACIÓN
Conforme a la Ley Federal de Telecomunicaciones y Radiodifusión art. 189 y la LFPDPPP art. 3
1. DATOS DE LA ORGANIZACIÓN
Organización: [Organization Name]
RFC: [Organization RFC]
Domicilio Fiscal: [Organization Address]
Responsable de Seguridad / DPO: [Responsible Officer]
2. ALCANCE Y PERSONAS SUJETAS A ESTA POLÍTICA
La presente Política de Uso Aceptable (en adelante 'la Política') aplica a: [Covered Persons] que accedan, utilicen o administren los recursos de tecnología de la información (TI) propiedad o bajo el control de [Organization Name].
Recursos de TI Cubiertos: [IT Resources]
Dispositivos Personales (BYOD): [BYOD Policy]
Todo usuario que acceda a los sistemas de la organización acepta, mediante el uso de dichos sistemas, quedar sujeto a las disposiciones de esta Política, al aviso de privacidad emitido conforme al Artículo 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), y al Reglamento Interior de Trabajo aplicable.
3. USOS AUTORIZADOS
Los recursos de TI de la organización están destinados primordialmente al desempeño de las funciones laborales, la comunicación con clientes y proveedores por razones de negocio, el acceso a sistemas corporativos críticos, y la participación en capacitación y desarrollo profesional autorizados.
Uso Personal Incidental: [Personal Use Policy]
Restricciones Fuera del Horario Laboral: [Off-Hours Restrictions]
4. USOS PROHIBIDOS
Queda expresamente prohibido utilizar los recursos de TI de la organización para las siguientes actividades, las cuales pueden constituir delitos conforme al Código Penal Federal (CPF) y otras leyes aplicables:
a) Acceso no autorizado a sistemas informáticos de terceros, en violación de los Artículos 211 bis 1 al 211 bis 7 del Código Penal Federal.
b) Descarga, distribución o almacenamiento de contenido que infrinja derechos de autor conforme a la Ley Federal del Derecho de Autor (LFDA).
c) Transmisión o almacenamiento de material de abuso sexual infantil (MASAI), sancionado por el Artículo 202 CPF.
d) Distribución de software malicioso (malware, ransomware, spyware) o participación en actividades de phishing o fraude electrónico conforme a los Artículos 386 y 387 CPF.
e) Intercepción de comunicaciones privadas sin autorización legal, sancionada por el Artículo 167 CPF y la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) Artículo 189.
f) Actividades comerciales personales que compitan con la organización o que utilicen información confidencial de la misma.
g) Acceso a sitios de apuestas (sitios de juegos de azar) durante el horario laboral en equipos corporativos.
5. USO DE REDES SOCIALES
[Social Media Rules]
Los usuarios no podrán publicar información confidencial de la organización ni de sus clientes en plataformas de redes sociales. La divulgación de secretos empresariales o industriales a través de redes sociales puede constituir causal de rescisión sin responsabilidad para el patrón conforme al Artículo 47, Fracción IX de la Ley Federal del Trabajo (LFT). Esta política no restringe el derecho de los trabajadores a discutir sus condiciones laborales conforme a los convenios de la Organización Internacional del Trabajo (OIT).
6. MONITOREO Y EXPECTATIVA DE PRIVACIDAD
La organización monitorea el uso de sus recursos de TI conforme al Reglamento de la LFPDPPP, Artículos 63 y 64, que permiten el monitoreo cuando: (a) se declara previamente en el aviso de privacidad o contrato de trabajo; (b) el monitoreo responde a un propósito legítimo empresarial (seguridad, cumplimiento normativo, productividad); y (c) los datos recolectados se protegen con las medidas de seguridad apropiadas bajo la NMX-I-27001-NYCE.
Alcance del Monitoreo: [Monitoring Scope]
Los usuarios de recursos corporativos de TI tienen una expectativa de privacidad reducida (expectativa de privacidad reducida) respecto de su actividad en dichos sistemas. El monitoreo de dispositivos personales queda estrictamente limitado a los datos corporativos, conforme a los lineamientos del INAI sobre segmentación de datos en dispositivos BYOD.
7. OBLIGACIONES DE SEGURIDAD
Todos los usuarios están obligados a cumplir los siguientes requisitos de seguridad:
Política de Contraseñas y Acceso: [Password Policy]
Adicionalmente, todos los usuarios deben: bloquear su estación de trabajo al ausentarse; no compartir credenciales de acceso (credenciales de acceso) bajo ninguna circunstancia; completar la capacitación anual en ciberseguridad; y reportar de inmediato cualquier incidente de seguridad sospechoso al equipo de TI.
Reporte de Incidentes de Seguridad: [Incident Report Contact]
8. CLASIFICACIÓN Y MANEJO DE DATOS
La información corporativa se clasifica en cuatro niveles: (1) Pública — información que puede compartirse libremente; (2) Interna — información de uso interno sin restricción especial; (3) Confidencial — información sujeta a acceso restringido con cifrado obligatorio; (4) Restringida — información de acceso altamente controlado, prohibida en dispositivos personales. Los datos personales de empleados, clientes y proveedores se tratan como mínimo como Confidencial, conforme al Artículo 19 de la LFPDPPP y la Norma NMX-I-27001-NYCE.
9. SOLICITUDES DE INFORMACIÓN POR AUTORIDADES
Toda solicitud de autoridades gubernamentales — incluyendo la Fiscalía General de la República (FGR), la Secretaría de Seguridad y Protección Ciudadana (SSPC), o la Unidad de Inteligencia Financiera (UIF) — para acceder a datos almacenados en los sistemas de la organización debe ser canalizada inmediatamente al área jurídica. Conforme al Artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR), la organización cooperará con solicitudes de intercepción legal debidamente fundadas y motivadas, verificando previamente su validez jurídica y alcance para no divulgar más información que la estrictamente requerida por el ordenamiento legal.
10. SANCIONES POR INCUMPLIMIENTO
El incumplimiento de esta Política podrá dar lugar a las siguientes consecuencias disciplinarias conforme a la Ley Federal del Trabajo:
Marco Disciplinario Aplicable: [Sanction Framework]
Las violaciones graves — incluyendo actividades ilícitas tipificadas en el Código Penal Federal, la divulgación no autorizada de información confidencial, o la comisión de fraude informático — podrán constituir causal de rescisión de la relación laboral sin responsabilidad para el patrón conforme al Artículo 47 LFT. Toda sanción se aplicará respetando la garantía de audiencia del trabajador, con la documentación requerida en el acta administrativa correspondiente, dentro del plazo de 30 días establecido por el Artículo 517 LFT.
ADOPCIÓN Y VIGENCIA
En [Policy City], a [Policy Date].
La presente Política entra en vigor en la fecha indicada y sustituye cualquier política previa sobre el mismo objeto. Los empleados y usuarios deben firmar el acuse de recibo adjunto, cuya copia se incorpora a su expediente personal.
POR LA ORGANIZACIÓN:
[Organization Name]
Responsable: [Responsible Officer]
Firma: _________________________ Fecha: _________________________
ACUSE DE RECIBO DEL USUARIO:
Nombre del Usuario: _________________________
Puesto: _________________________
Declaro haber recibido, leído y comprendido la Política de Uso Aceptable.
Firma: _________________________ Fecha: _________________________
Organization Representative (Representante de la Organización)
________________
Signature
User / Employee (Usuario / Empleado)
________________
Signature
What Is a Acceptable Use Policy Mexico (Política de Uso Aceptable)?
An Acceptable Use Policy Mexico (Política de Uso Aceptable or AUP) is a formal corporate policy document that defines the rules governing how employees, contractors, vendors, and other authorised users may access and use an organisation's information technology (IT) resources — including computers, networks, email systems, cloud services, social media accounts, and internet connections — within the legal framework established by Mexican telecommunications, data protection, and cybersecurity law. The Política de Uso Aceptable establishes what constitutes authorised use (uso autorizado), prohibited behaviour (conductas prohibidas), and the consequences of policy violations, serving as both an internal governance instrument and a legally significant document for enforcement purposes.
The legal foundation for Acceptable Use Policies in Mexico rests primarily on the Ley Federal de Telecomunicaciones y Radiodifusión (LFTR, DOF 14 July 2014) Article 189, which imposes obligations on concessionaires and service providers of telecommunications networks regarding the lawful interception of communications, cybersecurity measures, and cooperation with security authorities — establishing a baseline legal framework that organisations must observe when managing their own networks and communications systems. The LFTR Article 189 authorises Mexican security authorities including the Secretaría de Seguridad y Protección Ciudadana (SSPC) and the Centro Nacional de Inteligencia (CNI) to request access to electronic communications data for law enforcement purposes, which means organisations must have AUPs that define how corporate network data will be handled in response to lawful authority requests.
The Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 5 July 2010) Article 3 provides the definitions of personal data, sensitive personal data (datos personales sensibles), and data processing (tratamiento) that determine which data protection obligations apply when an organisation monitors employee use of IT systems. The LFPDPPP Reglamento Articles 63 and 64 address employee monitoring: employers may monitor corporate email, internet browsing, and system activity when: the monitoring policy is disclosed to employees in the aviso de privacidad or the employment contract under Ley Federal del Trabajo (LFT); monitoring is proportionate and necessary for a legitimate business purpose; and personal data collected through monitoring is protected with appropriate technical and organisational security measures under the Norma Mexicana NMX-I-27001-NYCE (ISO/IEC 27001).
Mexican criminal law establishes important boundaries that an Acceptable Use Policy must address. The Código Penal Federal (CPF) Articles 211 bis 1 through 211 bis 7 — introduced by the Decreto por el que se adicionan diversas disposiciones al Código Penal Federal published in the DOF on 17 May 1999 and subsequently reformed — criminalise unauthorised access to computer systems (acceso ilícito a sistemas informáticos), modification or destruction of data (modificación o destrucción de datos), and interception of private communications. An AUP that prohibits these activities and establishes consequences for violations protects the organisation from liability and provides the legal basis for disciplinary action under the Ley Federal del Trabajo.
For organisations subject to the Ley Fintech (DOF 9 March 2018) — financial technology institutions, payment fund institutions, and collective financing institutions — the Comisión Nacional Bancaria y de Valores (CNBV) Circular Única de Instituciones de Tecnología Financiera imposes specific cybersecurity and IT governance requirements including mandatory AUPs, incident response plans, and continuous security monitoring, all of which must be reflected in the organisation's internal policies.
The Instituto Nacional de Ciberseguridad (INCIBE) equivalent in Mexico — the CERT-MX operated by the Agencia de Seguridad, Infraestructura e Información del Estado (formerly the CERT of the Centro de Investigación y Seguridad Nacional, CISEN) — coordinates national cybersecurity incident response and publishes cybersecurity guidelines that inform best-practice AUP development for Mexican organisations across all sectors.
When Do You Need a Acceptable Use Policy Mexico (Política de Uso Aceptable)?
An Acceptable Use Policy Mexico is needed by any organisation — company, government agency, educational institution, or non-profit — that provides employees, contractors, students, or third parties with access to its IT systems, networks, email platforms, cloud services, or internet connectivity, when the organisation wishes to define the rules of permissible use, establish monitoring rights, and create a legal basis for disciplinary action against misuse under the Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) and the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
An AUP is required for companies with remote workers (trabajadores en home office) following the reform to the Ley Federal del Trabajo (LFT) published in the DOF on 11 January 2021 — the reformed LFT Articles 330-A through 330-K require employers to provide remote workers with the equipment and connectivity needed to perform their work, and the AUP defines the permitted uses and security obligations for company-provided equipment and network access used from home.
Organisations subject to LFPDPPP compliance — which covers all private sector entities that process personal data — need an AUP as part of their data protection programme to define how employees must handle personal data accessed through IT systems, what data transfers (transmisiones de datos) are permitted, and how data security incidents must be reported internally. The AUP complements the organisation's aviso de privacidad and data governance framework required by the LFPDPPP and INAI guidelines.
Technology companies, internet service providers, and platform operators need AUPs to govern user behaviour on their platforms — defining prohibited content, prohibited uses of technical infrastructure, and the consequences of violation including account suspension, termination, and referral to law enforcement under the Código Penal Federal Articles 211 bis 1 through 211 bis 7 for cybercrime offences.
Educational institutions (universidades, escuelas técnicas, instituciones de educación superior) that provide students and faculty with network access, institutional email, and cloud computing resources need AUPs to define academic integrity standards, prohibit plagiarism and copyright infringement under the Ley Federal del Derecho de Autor (LFDA), and establish disciplinary procedures for IT misuse.
Under LFPDPPP art. 3 and LFTR art. 189, organisations that operate IT networks in Mexico and process personal data of users or employees should maintain a written Acceptable Use Policy — without a documented AUP, organisations lack the legal and contractual basis to monitor employee systems, respond to security incidents, or take disciplinary action against IT resource misuse.
What to Include in Your Acceptable Use Policy Mexico (Política de Uso Aceptable)
An effective Acceptable Use Policy Mexico compliant with the Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) Article 189 and the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) Article 3 should include the following essential elements:
Scope and Covered Resources: A precise definition of the IT resources covered — corporate computers (equipos de cómputo), laptops (computadoras portátiles), mobile devices (dispositivos móviles), company email accounts (cuentas de correo electrónico corporativo), internal networks (redes internas LAN/WAN), VPN connections, cloud platforms (Microsoft 365, Google Workspace, AWS), video conferencing systems, and any other technology provided or funded by the organisation. The policy should specify whether it applies to personal devices used for work purposes (BYOD — Bring Your Own Device) and any usage outside normal working hours.
Authorised Uses: A clear description of the purposes for which IT resources may legitimately be used — primarily for performing job duties, communicating with clients and suppliers for business purposes, accessing business-critical systems, and participating in authorised training and professional development. Limited incidental personal use (uso personal incidental) may be permitted, subject to conditions and time limits specified in the policy.
Prohibited Uses: A detailed list of activities prohibited on the organisation's IT systems under Mexican law, including: accessing, transmitting, or storing child sexual abuse material (material de abuso sexual infantil or MASAI) — a serious criminal offence under Código Penal Federal Article 202; hacking or attempting unauthorised access to third-party systems in violation of CPF Articles 211 bis 1 through 211 bis 7; distributing malicious software (malware, ransomware, spyware); engaging in phishing, identity theft, or fraud under CPF Articles 386 and 387; downloading or distributing copyrighted content without authorisation in violation of the Ley Federal del Derecho de Autor (LFDA); accessing gambling sites (sitios de apuestas) during working hours; and using corporate systems for personal commercial activities competing with the employer.
Employee Monitoring Clause: A clear disclosure that the organisation monitors the use of its IT resources — including email content, internet browsing history, application usage logs, file access, and remote desktop sessions — as permitted under the LFPDPPP Reglamento Articles 63 and 64 and the LFT, and that users have a reduced expectation of privacy (expectativa de privacidad reducida) when using corporate systems. The monitoring disclosure should reference the organisation's aviso de privacidad and specify the purposes of monitoring: security incident detection, policy compliance, productivity management, and legal compliance.
Data Classification and Handling: Rules for classifying corporate data by sensitivity level — Pública (Public), Interna (Internal), Confidencial (Confidential), and Restringida (Restricted) — and the handling requirements for each level, including encryption requirements for Confidential and Restricted data under NMX-I-27001-NYCE, prohibition on storing Restricted data on personal devices, and requirements for secure transmission using approved encryption protocols.
Security Obligations: Mandatory security practices for all users — including using strong passwords (contraseñas robustas) of at least 12 characters with complexity requirements, enabling multi-factor authentication (MFA) on all supported systems, locking workstations when unattended, not sharing login credentials (credenciales de acceso), reporting suspected security incidents (incidentes de seguridad) immediately to the IT security team, and completing annual cybersecurity training.
Social Media Use: Rules governing employee use of social media (redes sociales) on corporate systems and when representing the organisation — including prohibition on sharing confidential information (información confidencial) of the organisation or its clients on social media, disclosure requirements when posting about the organisation, and the consequences of reputational harm caused by employee social media activity.
Violations and Consequences: A graduated scale of disciplinary consequences for AUP violations under the LFT — ranging from written warning (amonestación escrita) for minor first offences, to suspension without pay (suspensión sin goce de sueldo) under LFT Article 423, to summary termination without liability (rescisión de contrato sin responsabilidad para el patrón) under LFT Article 47 for serious violations including criminal activity using corporate systems. The policy should reference the organisation's internal disciplinary procedure and the employee's right to be heard before disciplinary action.
Incident Reporting: The procedure for users to report suspected security incidents, data breaches, phishing attempts, or policy violations — including the contact details of the IT security team or Chief Information Security Officer (CISO), the expected response time, and the protections available to good-faith reporters (no retaliation policy).
Forms-legal.com provides this Acceptable Use Policy Mexico template as a practical starting point. Organisations in regulated sectors — financial services, healthcare, telecommunications, and critical infrastructure — should have their AUP reviewed by a Licenciado en Derecho specialised in derecho digital, seguridad informática, or derecho laboral to confirm compliance with LFTR, LFPDPPP, LFT, and applicable sector-specific cybersecurity regulations before implementation.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Acceptable Use Policy Mexico (Política de Uso Aceptable) (Mexico) [Legal document template]. Forms Legal. https://forms-legal.com/mexico/business/policies/acceptable-use-policy-mexico
"Acceptable Use Policy Mexico (Política de Uso Aceptable) (Mexico)." Forms Legal, 2026, https://forms-legal.com/mexico/business/policies/acceptable-use-policy-mexico.
@misc{formslegal-acceptable-use-policy-mexico,
author = {{Forms Legal}},
title = {Acceptable Use Policy Mexico (Política de Uso Aceptable) (Mexico)},
year = {2026},
howpublished = {\url{https://forms-legal.com/mexico/business/policies/acceptable-use-policy-mexico}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Sí, pero con limitaciones importantes conforme al derecho mexicano. Los patrones pueden monitorear el uso que los empleados hacen de los sistemas de TI de la empresa —incluidos el correo electrónico, la navegación en internet y la actividad en las aplicaciones— cuando se cumplen requisitos legales específicos conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley Federal del Trabajo (LFT). El monitoreo debe revelarse a los empleados de manera previa —ya sea en el contrato de trabajo (contrato de trabajo), en el contrato colectivo de trabajo (contrato colectivo de trabajo), en el aviso de privacidad de la empresa conforme al Artículo 15 de la LFPDPPP, o en la Política de Uso Aceptable que los empleados reconocen formalmente. Los Artículos 63 y 64 del Reglamento de la LFPDPPP establecen que el monitoreo de los empleados es lícito cuando sirve a un propósito legítimo empresarial (propósito legítimo empresarial), es proporcional a ese propósito y no se extiende a las comunicaciones personales en dispositivos personales. El monitoreo de teléfonos móviles personales o cuentas de correo personales —incluso durante la jornada— sin consentimiento constituye una violación a la intimidad (violación a la intimidad) conforme al Artículo 16 de la Constitución Política y puede ser accionable como una violación al derecho laboral. El INAI ha sostenido que el monitoreo generalizado de todas las comunicaciones de los empleados sin una justificación específica vulnera el principio de proporcionalidad de la LFPDPPP. Una Política de Uso Aceptable que defina con claridad qué se monitorea, con qué propósito y en qué circunstancias proporciona la base legal para el monitoreo lícito y reduce de manera significativa el riesgo de reclamaciones conforme a la LFT y la LFPDPPP.
El Código Penal Federal (CPF) contiene varias disposiciones clave que definen los delitos informáticos (delitos informáticos) en México, que una Política de Uso Aceptable eficaz debe referenciar para disuadir la conducta prohibida y establecer las consecuencias legales de las violaciones. Los Artículos 211 Bis 1 a 211 Bis 7 —comúnmente referidos como el capítulo de delitos informáticos— tipifican: el acceso no autorizado a sistemas informáticos protegidos por medidas de seguridad (acceso ilícito a sistemas informáticos), sancionable con prisión de seis meses a dos años; la modificación, destrucción o pérdida de información (modificación o destrucción de información), sancionable con prisión de uno a cuatro años; y la copia o el uso no autorizado de información protegida, sancionable con prisión de tres meses a un año. Cuando los sistemas informáticos pertenecen a una institución financiera, una dependencia del gobierno federal o infraestructura crítica, las penas conforme a los Artículos 211 Bis 5 a 211 Bis 7 aumentan hasta en un 50%. El Artículo 167 del CPF tipifica la interferencia en las redes de telecomunicaciones. El Artículo 202 tipifica el material de explotación sexual infantil. Los Artículos 386 y 387 cubren el fraude cometido por medios electrónicos (fraude informático). Una Política de Uso Aceptable que prohíba expresamente las actividades que caen bajo estas disposiciones del CPF y haga referencia a las penas que implican sirve como un disuasivo importante —los usuarios que firman o reconocen la política no pueden alegar desconocimiento de las consecuencias penales del delito cibernético cometido usando los recursos de TI de la organización.
Las políticas de BYOD (uso de dispositivos personales) en México requieren un equilibrio cuidadoso conforme a la Ley Federal del Trabajo (LFT), la LFPDPPP y el derecho constitucional del empleado a la privacidad conforme al Artículo 16 de la Constitución Política. Cuando una organización permite o exige a los empleados usar dispositivos personales para el trabajo —práctica que se expandió de manera significativa con las reformas de la oficina en casa a la LFT en enero de 2021— la Política de Uso Aceptable debe atender varios aspectos distintos. Primero, qué datos y sistemas de la empresa pueden accederse desde los dispositivos personales —lo que típicamente requiere la instalación de una solución de Gestión de Dispositivos Móviles (MDM) que pueda segmentar los datos de la empresa de los datos personales en el dispositivo. Segundo, qué requisitos de seguridad aplican a los dispositivos personales usados para el trabajo —versiones mínimas del sistema operativo, cifrado obligatorio, uso obligatorio de VPN, prohibición de almacenar datos de la empresa en cuentas personales en la nube. Tercero, qué sucede cuando un dispositivo personal usado para el trabajo se pierde, es robado o se ve comprometido —incluido el derecho de la organización a borrar de forma remota los datos de la empresa del dispositivo, y el procedimiento para hacerlo de una manera que no destruya los datos personales del empleado. El Artículo 330-E de la LFT exige a los patrones que proporcionan equipo a los trabajadores remotos mantenerlo en buen estado de funcionamiento —para los escenarios de BYOD, es esencial un acuerdo claro sobre las responsabilidades de mantenimiento. Los lineamientos del INAI advierten que las soluciones de MDM deben configurarse técnicamente para acceder únicamente a la partición de trabajo de un dispositivo BYOD, no a las fotos, mensajes o aplicaciones personales —acceder a datos personales en el dispositivo personal de un empleado sin consentimiento vulnera el Artículo 8 de la LFPDPPP.
La Ley Federal del Trabajo (LFT) prevé un marco disciplinario escalonado para las violaciones de los empleados a las políticas internas, incluida la Política de Uso Aceptable. Para las violaciones menores o por primera vez, el patrón puede emitir una amonestación escrita (amonestación escrita) conforme a la fracción X del Artículo 423 de la LFT, que exige al patrón llevar un registro de las amonestaciones y presentarlas en cualquier procedimiento disciplinario posterior. Para las violaciones reiteradas o la conducta que causa un daño al patrón pero que no llega al nivel de causa justificada de terminación, el patrón puede imponer una suspensión sin goce de sueldo (suspensión sin goce de sueldo) de hasta ocho días, sujeta a la aprobación de la STPS (Secretaría del Trabajo y Previsión Social). Para las violaciones graves —incluida la actividad delictiva usando los sistemas de TI de la empresa, la revelación no autorizada de información confidencial (violación de secretos industriales) conforme a la Ley Federal de Protección a la Propiedad Industrial (LFPPI), o la insubordinación grave— el patrón puede rescindir la relación de trabajo sin responsabilidad (rescisión sin responsabilidad patronal) conforme al Artículo 47 de la LFT, eliminando la obligación de pagar la liquidación (liquidación). Para que la rescisión sea válida conforme al Artículo 47 de la LFT, el patrón debe notificar al empleado por escrito dentro de los 30 días siguientes a tener conocimiento de la violación, precisando la conducta exacta y la cláusula de la política violada. No seguir este procedimiento convierte la rescisión en un despido injustificado (despido injustificado) que exige el pago de tres meses de salario más 20 días por cada año de servicio más las partes constitucionales —lo que hace que una Política de Uso Aceptable bien documentada y debidamente firmada sea esencial para la capacidad del patrón de tomar acciones disciplinarias lícitas.
Sí. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, DOF 9 de marzo de 2018) y sus disposiciones de aplicación emitidas por la Comisión Nacional Bancaria y de Valores (CNBV) y el Banco de México (Banxico) imponen obligaciones específicas de gobierno de TI y ciberseguridad a las instituciones de tecnología financiera reguladas (Instituciones de Tecnología Financiera o ITF) —incluidas las Instituciones de Fondos de Pago Electrónico (IFPE) y las Instituciones de Financiamiento Colectivo (IFC). La Circular Única de Instituciones de Tecnología Financiera (CUFintech) de la CNBV exige a las ITF mantener: políticas escritas de seguridad de TI, incluida una Política de Uso Aceptable que cubra a todo el personal con acceso a los sistemas de producción; un sistema de gestión de seguridad de la información (sistema de gestión de seguridad de la información) alineado con la ISO 27001 o equivalente; procedimientos documentados de gestión de identidades y accesos (gestión de identidades y accesos), incluido el principio de mínimo privilegio (principio de mínimo privilegio); capacitación obligatoria en concienciación de seguridad (capacitación en seguridad) para todo el personal al menos una vez al año; y un plan de respuesta a incidentes (plan de respuesta a incidentes) integrado con la política. Las ITF también deben notificar a la CNBV los incidentes de ciberseguridad dentro de las 24 horas siguientes a su detección —la política debe incluir un procedimiento interno de escalamiento que permita cumplir este plazo de notificación. El incumplimiento de los requisitos de ciberseguridad de la CNBV puede derivar en sanciones administrativas conforme al Artículo 109 de la Ley Fintech, incluidas multas de hasta 1.2 millones de UDIS, la suspensión de operaciones y la revocación de la licencia de operación de la ITF —lo que hace de una Política de Uso Aceptable integral una necesidad regulatoria y no solo una mejor práctica.
El uso de redes sociales por los empleados (uso de redes sociales) plantea cuestiones jurídicas complejas conforme al derecho laboral, el derecho de protección de datos y el derecho de propiedad intelectual mexicanos que una Política de Uso Aceptable debe abordar con precisión. La LFT no aborda específicamente las redes sociales, pero la fracción IX del Artículo 47 de la LFT permite la rescisión sin responsabilidad respecto de los empleados que causan un daño grave al patrón por la revelación de secretos de fabricación o de negocio confidenciales —lo que los tribunales laborales mexicanos han aplicado a los empleados que publican información confidencial de la empresa en plataformas de redes sociales. La política debe distinguir entre tres categorías de uso de redes sociales: el uso de las cuentas de redes sociales propiedad de la empresa (cuentas que pertenecen a la empresa), que es actividad de trabajo sujeta a la plena supervisión del patrón; el uso de cuentas personales de redes sociales durante la jornada en dispositivos o redes de la empresa, que la política puede restringir o prohibir y monitorear dentro de los límites de la LFPDPPP; y el uso de cuentas personales de redes sociales fuera de la jornada en dispositivos personales, que en general está protegido por el derecho constitucional del empleado a la libertad de expresión conforme al Artículo 6 de la Constitución Política y el derecho a la privacidad conforme al Artículo 16. La política no debe prohibir a los empleados discutir las condiciones de trabajo, los salarios o los derechos laborales en redes sociales —tal restricción vulneraría la prohibición de la fracción XXXI del Artículo 132 de la LFT a la injerencia del patrón en los derechos de los trabajadores garantizados por los Convenios de la Organización Internacional del Trabajo (OIT) de los que México es parte. Las prohibiciones claras de revelar información de negocio confidencial, datos de clientes y secretos industriales cubiertos por el marco de acuerdos de confidencialidad de la organización son lícitas y exigibles.
Cuando las autoridades mexicanas —incluidas la Fiscalía General de la República (FGR), la Secretaría de Seguridad y Protección Ciudadana (SSPC) o la Unidad de Inteligencia Financiera (UIF)— solicitan acceso a datos almacenados en los sistemas de TI de una organización, esta debe equilibrar el cumplimiento de sus obligaciones legales conforme al Artículo 189 de la LFTR y el derecho procesal penal con sus obligaciones de protección de datos conforme a la LFPDPPP y sus obligaciones contractuales de confidencialidad hacia clientes y usuarios. El Artículo 189 de la LFTR exige a los concesionarios de telecomunicaciones cooperar con las solicitudes de intervención lícitas de las autoridades facultadas —las empresas privadas que no son operadoras de telecomunicaciones tienen una obligación más acotada pero aún significativa de cumplir con las órdenes judiciales y los requerimientos ministeriales conforme al Código Nacional de Procedimientos Penales (CNPP). Una Política de Uso Aceptable debe incluir un procedimiento de respuesta a solicitudes de datos que especifique: quién dentro de la organización tiene facultad para recibir y responder las solicitudes gubernamentales de datos (típicamente el abogado general o el responsable de protección de datos); el proceso para verificar la validez legal y el alcance de la solicitud —incluido que se presenten las órdenes judiciales antes de revelar los datos; el proceso para notificar a los usuarios afectados cuando esté legalmente permitido; y la documentación que debe conservarse sobre la solicitud, el alcance de los datos revelados y el fundamento legal invocado. El área jurídica de la organización debe revisar cualquier solicitud gubernamental de datos antes de su revelación —el exceso de cumplimiento (revelar más datos de los que exige la orden legal) puede exponer a la organización a responsabilidad conforme a la LFPDPPP frente a los usuarios cuyos datos se revelaron.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Términos y Condiciones del Sitio Web México
Términos y Condiciones del Sitio Web para México — conforme al Artículo 76 bis de la Ley Federal de Protección al Consumidor (LFPC) y el Artículo 8 de la LFPDPPP, estableciendo el marco legal para el comercio electrónico, los derechos del usuario y las obligaciones de protección de datos bajo la ley mexicana.
Código de Ética Empresarial México (LGSNA art. 1, LGRA art. 25)
Código de Ética Empresarial para México — conforme a la Ley General del Sistema Nacional Anticorrupción (LGSNA) Artículo 1 y la Ley General de Responsabilidades Administrativas (LGRA) Artículo 25. Establece valores, reglas de conducta ética y gobierno corporativo. Habilitador del Programa de Integridad Empresarial de la SFP para licitaciones públicas.
Acuerdo de Confidencialidad México (NDA)
Acuerdo de Confidencialidad (NDA) para México — regido por el Artículo 82 de la Ley Federal de Protección a la Propiedad Industrial (LFPPI) y el Artículo 75 del Código de Comercio, protegiendo secretos industriales, información propietaria y datos comerciales confidenciales bajo el derecho mercantil e industrial mexicano.
Política Anticorrupción Empresarial México
Política Anticorrupción Empresarial para México — conforme a la Ley General del Sistema Nacional Anticorrupción (LGSNA) artículo 1 y el Código Fiscal de la Federación (CFF) artículo 108, establece procedimientos para prevenir el cohecho, la corrupción y el fraude fiscal bajo el Sistema Nacional Anticorrupción.
Política de Prevención de Lavado de Dinero México
Política de Prevención de Lavado de Dinero para México — conforme al artículo 17 de la LFPIORPI, con procedimientos de debida diligencia al cliente, reportes de operaciones sospechosas a la UIF y conservación de registros.