Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos)
ACUERDO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
Cross-Border Data Transfer Agreement
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 5 julio 2010), Artículo 36, y su Reglamento, Artículos 68–74
I. PARTES
RESPONSABLE / TRANSFERENTE (México):
Nombre: [Transferor Name]
RFC: [Transferor RFC]
Domicilio fiscal: [Transferor Address]
Contacto de privacidad: [Transferor Privacy Contact]
DESTINATARIO EXTRANJERO:
Nombre: [Recipient Name]
País: [Recipient Country]
Domicilio: [Recipient Address]
Rol bajo LFPDPPP: [Recipient Role]
II. DATOS PERSONALES OBJETO DE LA TRANSFERENCIA
Categorías de datos personales transferidos: [Data Categories].
¿Incluye datos personales sensibles (art. 3 Frac. VI LFPDPPP)?: [Sensitive Data]. En caso afirmativo, la presente transferencia se realiza con consentimiento expreso del titular conforme al Artículo 9 LFPDPPP y el destinatario queda sujeto a estándares de seguridad reforzados.
Finalidad específica de la transferencia: [Transfer Purpose]. El destinatario queda obligado por el principio de limitación de finalidad (art. 12 LFPDPPP) y no podrá utilizar los datos para finalidades incompatibles con la aquí establecida.
Fundamento legal de la transferencia: [Legal Basis].
III. OBLIGACIONES DEL DESTINATARIO EXTRANJERO
El Destinatario Extranjero se obliga a observar, como mínimo, las mismas obligaciones de protección de datos aplicables al Responsable mexicano bajo la LFPDPPP y su Reglamento, incluyendo:
a) Implementar medidas de seguridad técnicas, administrativas y físicas conforme al estándar: [Security Standard].
b) No transferir ni sub-comunicar los datos personales a terceros sin autorización previa y por escrito del Responsable, salvo que sea estrictamente necesario para la finalidad acordada.
c) Cooperar con el Responsable en la atención de solicitudes ARCO (Acceso, Rectificación, Cancelación y Oposición) dentro de los plazos establecidos en los Artículos 22–35 de la LFPDPPP.
d) Notificar al Responsable de cualquier incidente de seguridad que afecte los datos personales transferidos dentro de: [Breach Notification Period].
e) Al término del presente Acuerdo o al cumplirse la finalidad, devolver o eliminar irreversiblemente todos los datos personales transferidos dentro de: [Data Deletion Period], proporcionando al Responsable una constancia de eliminación o devolución.
IV. DERECHOS ARCO Y MECANISMO DE EJERCICIO
El Responsable garantiza que los titulares de los datos personales podrán ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) conforme a la LFPDPPP Artículos 22–35 mediante contacto con: [Transferor Privacy Contact]. El Destinatario Extranjero no obstaculizará el ejercicio de los derechos ARCO y cooperará con el Responsable para dar respuesta dentro de los plazos legales.
V. LEY APLICABLE Y RESOLUCIÓN DE CONTROVERSIAS
El presente Acuerdo se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, y los Lineamientos del Aviso de Privacidad del INAI, todos de los Estados Unidos Mexicanos. El Responsable mexicano queda sujeto a la supervisión y eventual sanción del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Las controversias entre las partes se someterán, en primera instancia, a un proceso de mediación y, en caso de no resolverse, a la jurisdicción de los Tribunales Federales de la Ciudad de México.
FIRMAS
En [Contract City], a [Contract Date].
RESPONSABLE / TRANSFERENTE:
[Transferor Name]
RFC: [Transferor RFC]
Firma: _________________________
DESTINATARIO EXTRANJERO:
[Recipient Name]
País: [Recipient Country]
Firma: _________________________
Mexican Data Controller (Responsable / Transferente)
________________
Signature
Foreign Recipient (Destinatario Extranjero)
________________
Signature
What Is a Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos)?
A Cross-Border Data Transfer Agreement Mexico (Acuerdo de Transferencia Internacional de Datos Personales) is a written contract between a Mexican data controller (responsable) and a foreign data recipient establishing the legal basis, security standards, and compliance obligations for transferring personal data (datos personales) from Mexico to a recipient located in another country. In Mexico, cross-border data transfers are governed primarily by the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), published in the Diario Oficial de la Federación on 5 July 2010, and its Reglamento published on 21 December 2011, with Article 36 LFPDPPP establishing the general framework for international transfers (transferencias internacionales).
The LFPDPPP Article 36 provides that the transfer of personal data to recipients in foreign countries (países extranjeros) or to international or supranational bodies (organismos internacionales o supranacionales) requires that the transferee assume the same obligations as those applicable to the Mexican transferor — specifically, the data protection obligations established in the LFPDPPP and its Reglamento. Article 36 further requires that the foreign recipient be bound by an equivalent or higher level of data protection than that required by Mexican law. The Reglamento LFPDPPP Articles 68 through 74 detail the documentation, consent, and security requirements applicable to international transfers.
The Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), established under the Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) and serving as the data protection authority (autoridad de protección de datos) for private sector entities under the LFPDPPP, has issued Guidelines (Lineamientos del Aviso de Privacidad) and Recommendations specifying the technical and organisational security measures required for international transfers. INAI Recommendation 03/2019 on security measures provides detailed technical requirements applicable to data transferred internationally.
Mexican data protection law under the LFPDPPP distinguishes between two types of cross-border data flows: (a) transferencia — where the data controller (responsable) transfers data to another data controller (responsable) who will use the data for its own purposes, requiring either the data subject's consent (consentimiento del titular) or a recognised legal exception under Article 37 LFPDPPP; and (b) remisión — where the data controller transfers data to a data processor (encargado) who processes data on behalf of and under the instructions of the Mexican data controller, governed by the encargo de datos framework under Article 50 LFPDPPP without requiring data subject consent. Cross-border data transfers subject to this agreement are primarily transferencias under Article 36.
The Norma Mexicana NMX-I-27001-NYCE-2015 (equivalent to ISO/IEC 27001:2013 Information Security Management Systems) is referenced by INAI as the benchmark security standard for data protection in Mexico. Compliance with this norm provides a recognised framework for the security obligations that a foreign data recipient must observe under the cross-border transfer agreement. The Reglamento LFPDPPP Article 71 specifically requires that the transferencia agreement document the security measures applicable to the transferred data.
From a commercial perspective, cross-border data transfers arise frequently in multinational business operations — cloud computing services hosted in the United States (AWS, Microsoft Azure, Google Cloud), shared HR systems for Mexican subsidiaries of foreign corporations, customer analytics platforms operated by US or European entities, cross-border e-commerce payment processing through platforms like PayPal, Stripe, or Mercado Pago, and outsourced call-centre or BPO services involving access to Mexican customer data. Each of these scenarios requires a legally compliant transfer mechanism documented through a written agreement under LFPDPPP art. 36 and INAI Lineamientos.
The Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, DOF 9 March 2018) adds sector-specific data governance obligations for fintech companies (instituciones de tecnología financiera) regulated by the Comisión Nacional Bancaria y de Valores (CNBV) that share customer financial data with foreign payment processors or credit scoring platforms — these companies must comply with both LFPDPPP and Ley Fintech data transfer requirements in their cross-border data agreements.
When Do You Need a Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos)?
A Cross-Border Data Transfer Agreement Mexico is required whenever a Mexican business or individual (the data controller / responsable under the LFPDPPP) transfers personal data of Mexican data subjects (titulares) to a recipient located outside Mexico — whether a corporate affiliate, service provider, or business partner — in compliance with LFPDPPP Article 36 and its Reglamento.
The agreement is required when a Mexican company engages a foreign cloud service provider to process Mexican customer or employee personal data. Under the LFPDPPP and INAI guidelines, using a US, European, or Latin American cloud platform to store or process personal data of Mexican residents constitutes an international data transfer requiring either consent or a compliant transfer mechanism. Companies using AWS (Amazon Web Services), Microsoft Azure, Google Cloud Platform, or Salesforce to process Mexican personal data must document the transfer basis.
The document is needed when a Mexican subsidiary transfers employee (empleado) or customer (cliente) personal data to its parent company or corporate headquarters abroad for payroll processing, HR management, performance reporting, or consolidated financial reporting purposes. Multinational groups with Mexican operations (filiales mexicanas) must document intra-group international transfers through binding corporate arrangements or individual transfer agreements under LFPDPPP art. 36.
The agreement is necessary when a Mexican data controller engages a foreign marketing analytics or data broker service to process customer behavioural data, purchase history, or contact information collected in Mexico. The LFPDPPP requires that the Mexican business inform data subjects in its aviso de privacidad (privacy notice) of international transfers and obtain consent unless a legal exception under Article 37 LFPDPPP applies.
Under LFPDPPP art. 36, Reglamento arts. 68–74, and INAI Lineamientos del Aviso de Privacidad, any Mexican business that transfers personal data internationally without a documented legal basis and a compliant transfer agreement exposes itself to INAI administrative sanctions ranging from $100 to $160 million MXN and reputational damage — making the cross-border transfer agreement a foundational compliance document for internationally active Mexican enterprises.
The agreement is also required when a Mexican fintech company regulated by the CNBV under the Ley Fintech shares customer financial data with foreign payment processors or credit scoring platforms, given the combined obligations of LFPDPPP and the Ley Fintech's data governance provisions.
For healthcare and telemedicine providers in Mexico regulated by the Secretaría de Salud and COFEPRIS (Comisión Federal para la Protección contra Riesgos Sanitarios), transferring patient health data internationally to foreign diagnostic platforms, telemedicine providers, or pharmaceutical research organisations requires not only LFPDPPP compliance but also adherence to the Norma Oficial Mexicana NOM-004-SSA3-2012 on clinical records — making the cross-border transfer agreement doubly important in the health data context.
What to Include in Your Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos)
A valid Cross-Border Data Transfer Agreement Mexico under the LFPDPPP, its Reglamento, and INAI guidelines must contain the following essential elements to provide a legally compliant basis for international data transfers:
Identification of Parties and Roles: Full legal name, RFC or foreign tax identification, registered address, and data protection contact (contacto de privacidad) of the Mexican data controller (responsable) and the foreign data recipient, with specification of whether the recipient acts as a data controller (responsable) in its own right or as a data processor (encargado) on behalf of the Mexican responsable. This distinction determines whether the transfer is a transferencia (Article 36 LFPDPPP) or a remisión (Article 50 LFPDPPP) and the applicable legal requirements.
Description of Personal Data Transferred: Itemised list of the categories of personal data (categorías de datos personales) being transferred — including ordinary personal data (nombre, RFC, CURP, dirección, correo electrónico, teléfono) and, where applicable, sensitive personal data (datos personales sensibles) under LFPDPPP Article 3 Fraction VI — financial information, health data, biometric data, religious beliefs, sexual orientation. Sensitive personal data transfers require explicit consent (consentimiento expreso) under Article 9 LFPDPPP and higher security standards.
Purpose and Legal Basis for Transfer: Specification of the specific, legitimate purpose (finalidad) for which the transferred data will be processed by the foreign recipient, and the legal basis for the transfer — either data subject consent (consentimiento), legal obligation (obligación legal), contract performance (ejecución de contrato), or other recognised exception under LFPDPPP Article 37. The purpose limitation principle under LFPDPPP Article 12 prohibits the foreign recipient from processing transferred data for purposes incompatible with the stated transfer purpose.
Security Obligations of Foreign Recipient: Detailed obligation for the foreign recipient to implement technical, administrative, and physical security measures (medidas de seguridad técnicas, administrativas y físicas) equivalent to those required under the LFPDPPP Reglamento and INAI recommendations — including data encryption at rest and in transit, access controls, audit logging, incident response procedures, and staff training. Reference to NMX-I-27001-NYCE (ISO 27001) provides the recognised standard.
Data Subject Rights Mechanism: Commitment by the foreign recipient to cooperate with the Mexican data controller in responding to ARCO rights requests (Acceso, Rectificación, Cancelación, Oposición — Access, Rectification, Cancellation, Opposition) within the timeframes required by LFPDPPP Articles 22 through 35 — 20 business days for access and rectification requests, 20 business days for cancellation and opposition. The foreign recipient must not obstruct the exercise of ARCO rights.
Data Breach Notification: Obligation for the foreign recipient to notify the Mexican data controller of any data security incident (incidente de seguridad) involving the transferred data within a defined timeframe (typically 24 to 72 hours), enabling the Mexican responsable to comply with INAI notification obligations under LFPDPPP Article 20 and Reglamento Article 40.
Return and Deletion of Data: Obligation to return or irreversibly delete transferred personal data upon termination of the transfer purpose or the agreement, with certification of deletion (constancia de borrado) provided to the Mexican data controller.
Forms-legal.com provides this Cross-Border Data Transfer Agreement Mexico template as a practical starting point. Complex cross-border transfers involving sensitive personal data, health records, financial data, or large-scale processing for multinational organisations should be reviewed by an abogado specialised in derecho de protección de datos and INAI compliance before execution.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos) (Mexico) [Legal document template]. Forms Legal. https://forms-legal.com/mexico/business/policies/cross-border-data-transfer-agreement-mexico
"Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos) (Mexico)." Forms Legal, 2026, https://forms-legal.com/mexico/business/policies/cross-border-data-transfer-agreement-mexico.
@misc{formslegal-cross-border-data-transfer-agreement-mexico,
author = {{Forms Legal}},
title = {Cross-Border Data Transfer Agreement Mexico (Transferencia Internacional de Datos) (Mexico)},
year = {2026},
howpublished = {\url{https://forms-legal.com/mexico/business/policies/cross-border-data-transfer-agreement-mexico}},
note = {Free legal document template}
}Frequently Asked Questions
Bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la transferencia ocurre cuando el responsable mexicano comunica datos personales a un tercero que los recibe para sus propias finalidades y actúa como responsable independiente. La transferencia requiere, por regla general, el consentimiento del titular o alguna excepción reconocida por el artículo 37 LFPDPPP. La remisión ocurre cuando el responsable transmite datos a un encargado que los trata exclusivamente bajo sus instrucciones — el encargado no puede usar los datos para fines propios. La remisión no exige consentimiento del titular, pero sí un contrato de encargo de datos por escrito conforme al artículo 50 LFPDPPP. Para operaciones transfronterizas, la distinción reviste importancia: emplear un proveedor de nube extranjero que trata datos únicamente bajo tus instrucciones es típicamente una remisión, mientras que compartir datos de clientes con una filial extranjera para sus propias campañas de marketing constituye una transferencia que exige consentimiento o una excepción legal. Los Lineamientos del INAI y el Reglamento LFPDPPP artículos 68 a 74 detallan la documentación requerida para cada tipo de flujo internacional de datos desde México.
México no opera actualmente un sistema formal de decisiones de adecuación idéntico al marco del artículo 45 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, administrado por la Comisión Europea. Bajo el artículo 36 LFPDPPP, el requisito para las transferencias transfronterizas es que el destinatario extranjero quede sujeto a obligaciones equivalentes o superiores a las de la LFPDPPP — lo cual puede lograrse mediante un acuerdo contractual, sin necesidad de una evaluación gubernamental de adecuación. El INAI ha referenciado marcos internacionales de protección de datos como las Directrices de Privacidad de la OCDE, el sistema de Reglas Transfronterizas de Privacidad (CBPR) de la Cooperación Económica Asia-Pacífico (APEC), del que México es economía miembro, y los estándares de la Red Iberoamericana de Protección de Datos. La LFPDPPP es anterior al RGPD (2016) y han existido iniciativas legislativas para modernizarla y acercarla a los principios del RGPD. Hasta que no se promulgue una ley de protección de datos renovada, las transferencias desde México se apoyan en el mecanismo de adecuación contractual, convirtiendo los acuerdos escritos de transferencia en la principal herramienta de cumplimiento bajo el artículo 36 LFPDPPP.
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) cuenta con amplias facultades sancionatorias bajo los artículos 63 a 67 de la LFPDPPP. Por infracciones relacionadas con transferencias internacionales de datos sin base legal válida o sin las garantías contractuales requeridas, el INAI puede imponer: (a) apercibimientos administrativos; (b) multas de entre 100 y 320,000 días de salario mínimo diario vigente en la Ciudad de México — aproximadamente de $214,000 a $68.5 millones de pesos mexicanos a tasas de 2025 —; (c) denuncias penales por apropiación indebida dolosa de datos sensibles bajo el artículo 67 LFPDPPP, con posible pena de prisión de tres a cinco años; y (d) órdenes de suspensión, bloqueo o eliminación de los datos transferidos. Las acciones de aplicación del INAI han afectado a empresas en los sectores de servicios financieros (casos reportados por Condusef), telecomunicaciones (coordinados con el IFT) y salud. Un acuerdo de transferencia documentado que demuestre buena fe en el cumplimiento es un factor atenuante en los procedimientos de aplicación del INAI.
Los datos personales sensibles bajo la fracción VI del artículo 3 LFPDPPP — que incluyen información de salud y médica, datos biométricos, origen racial o étnico, opiniones políticas, creencias religiosas, orientación sexual y datos de patrimonio financiero — reciben protección reforzada conforme a los artículos 9 y 10 LFPDPPP. Para las transferencias internacionales de datos sensibles: (a) la base legal debe ser el consentimiento expreso del titular — el consentimiento tácito o implícito es insuficiente bajo el artículo 9 LFPDPPP —; (b) las medidas de seguridad impuestas al destinatario extranjero deben responder a un estándar más elevado, que típicamente exige certificación ISO 27001 o equivalente; (c) la transferencia debe ser estrictamente necesaria para la finalidad declarada — el principio de minimización del artículo 68 del Reglamento se aplica con mayor rigor —; y (d) el aviso de privacidad debe revelar expresamente la transferencia de datos sensibles a destinatarios extranjeros. El INAI ha intensificado el escrutinio sobre las transferencias de datos de salud tras la pandemia de COVID-19, especialmente para plataformas de telemedicina e instituciones de seguros de salud autorizadas por la CNSF que transfieran datos de pacientes a proveedores de analítica o empresas matrices en el extranjero.
El consentimiento del titular es una base legal válida para las transferencias internacionales de datos bajo el artículo 36 LFPDPPP, pero no siempre resulta el mecanismo más práctico ni confiable — en particular para datos de empleados, donde el desequilibrio de poder entre empleador y trabajador plantea dudas sobre la voluntariedad del consentimiento según los criterios del INAI. El artículo 37 LFPDPPP establece excepciones específicas que permiten la transferencia sin consentimiento: (a) cuando lo exija la ley o una orden judicial; (b) cuando sea necesaria para la ejecución de un contrato entre el responsable y el titular; (c) cuando sea necesaria para un contrato celebrado en interés del titular entre el responsable y un tercero; (d) cuando sea requerida para diagnóstico médico, prestación de servicios de salud o investigación médica; (e) cuando la exijan tratados internacionales de los que México sea parte; y (f) cuando los datos hayan sido disociados de modo que no pueda identificarse a ningún individuo. Para transferencias intragrupo de empresas multinacionales, el INAI ha reconocido los intereses legítimos de los miembros del grupo en arreglos corporativos vinculantes documentados, aunque México no ha formalizado un sistema de Reglas Corporativas Vinculantes (BCR) equivalente al marco del RGPD de la UE.
El aviso de privacidad bajo los artículos 15 a 17 LFPDPPP debe informar a los titulares sobre cualquier transferencia internacional de sus datos personales antes de que esta ocurra. El aviso debe identificar: (a) los países u organismos a los que los datos podrán transferirse internacionalmente; (b) la finalidad de la transferencia; (c) si la transferencia es hacia un responsable o un encargado; y (d) si la transferencia requiere consentimiento y, en su caso, el mecanismo para otorgarlo o revocarlo. Los Lineamientos del Aviso de Privacidad del INAI, publicados en el DOF el 17 de enero de 2013, especifican los contenidos mínimos exigibles para un aviso de privacidad válido en México. No revelar una transferencia internacional en el aviso de privacidad — incluso cuando el acuerdo de transferencia subyacente sea válido — constituye una infracción separada a la obligación de aviso bajo el artículo 16 LFPDPPP y puede desencadenar sanciones del INAI con independencia de la legalidad de la transferencia. El aviso de privacidad debe actualizarse antes de iniciar cualquier nueva categoría de transferencia internacional, y los titulares deben ser notificados de los cambios sustanciales conforme al artículo 17 LFPDPPP.
México no figura en la lista de países con protección de datos adecuada de la Comisión Europea (decisiones de adecuación bajo el artículo 45 RGPD), lo que significa que las organizaciones con sede en la UE que transfieran datos personales a México deben emplear una salvaguarda apropiada bajo el artículo 46 RGPD — típicamente las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea. A la inversa, para los flujos de datos de México hacia la UE, el artículo 36 LFPDPPP exige que el destinatario europeo quede sujeto a obligaciones equivalentes — los requisitos del RGPD se consideran generalmente iguales o superiores al estándar de la LFPDPPP. Para las empresas que operan en sentido bilateral entre México y la UE, el acuerdo de transferencia transfronteriza debe abordar tanto el cumplimiento del artículo 36 LFPDPPP (requisito regulatorio mexicano) como el del artículo 46 RGPD (requisito regulatorio europeo), pudiendo incorporar las Cláusulas Contractuales Tipo del RGPD como anexo para satisfacer ambos marcos. La AEPD (España), la CNIL (Francia) y otras autoridades supervisoras de la UE han emitido orientaciones relevantes para los flujos de datos México-UE. Las empresas mexicanas que pretendan recibir datos personales de la UE también deben considerar el alcance extraterritorial del RGPD bajo su artículo 3 cuando ofrezcan bienes o servicios a residentes en la UE o monitoreen el comportamiento de titulares europeos.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Acuerdo de Confidencialidad Empresarial México (LFPPI Arts. 82–84)
Acuerdo de Confidencialidad Empresarial para México — conforme a la Ley Federal de Protección a la Propiedad Industrial (LFPPI) Artículos 82–84 y Código Civil Federal Artículo 1796. Protege secretos industriales e información comercial intercambiada entre empresas. Mutuo o unilateral. Incluye pena convencional, remedio IMPI y jurisdicción federal.
Política de Protección de Datos de Empleados en México (Aviso de Privacidad para Empleados)
Una Política de Protección de Datos de Empleados (Aviso de Privacidad para Empleados) para México — conforme al artículo 15 de la LFPDPPP y al artículo 25 de la Ley Federal del Trabajo, que documenta las prácticas del patrón en el tratamiento de datos para RRHH, nómina, IMSS, INFONAVIT y SAT, y establece los derechos ARCO del trabajador.
Contrato de Desarrollo de Software México (LFDA arts. 83–85; CCF art. 2606)
Contrato de Desarrollo de Software para México — conforme a los artículos 83 a 85 de la Ley Federal del Derecho de Autor y el artículo 2606 del Código Civil Federal. Encarga el desarrollo de software a medida con cesión de derechos de autor al cliente y protección de metodologías confidenciales del desarrollador.
Contrato de Servicios de Consultoría México
Contrato de Prestación de Servicios de Consultoría Gerencial para México — regulado por el Artículo 2606 del Código Civil Federal (CCF) y el Artículo 75 del Código de Comercio (CCom), que establece el alcance, honorarios, entregables, confidencialidad y términos de propiedad intelectual para servicios de consultoría en México.