Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado)
Ley Federal de Protección de Datos Personales en Posesión de los Particulares Art. 17
AVISO DE PRIVACIDAD SIMPLIFICADO
Ley Federal de Protección de Datos Personales en Posesión de los Particulares — Artículo 17
I. IDENTIDAD Y DOMICILIO DEL RESPONSABLE
I. IDENTIDAD Y DOMICILIO DEL RESPONSABLE
[Controller Name]
RFC: [Controller RFC]
Domicilio: [Controller Address]
Responsable de Datos Personales / Departamento de Privacidad: [Privacy Officer]
Correo electrónico para derechos ARCO: [Privacy Email]
II. DATOS PERSONALES RECABADOS Y FINALIDADES
II. DATOS PERSONALES RECABADOS Y FINALIDADES DEL TRATAMIENTO
Categorías de datos personales que se recaban: [Data Categories]
Finalidades Primarias (necesarias para la relación jurídica o de servicio):
[Primary Purposes]
Finalidades Secundarias (no necesarias para la relación principal):
[Secondary Purposes]
Si no desea que sus datos personales sean utilizados para las finalidades secundarias, puede manifestarlo enviando su solicitud a: [Privacy Email]
III. TRANSFERENCIAS DE DATOS PERSONALES
III. TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS
¿Se realizan transferencias a terceros?: [Third Party Transfers]
[Transfer Details]
Las transferencias realizadas por obligación legal (IMSS, INFONAVIT, SAT, autoridades judiciales o administrativas) no requieren su consentimiento conforme al Artículo 37 de la LFPDPPP.
IV. DERECHOS ARCO Y LIMITACIÓN DE USO
IV. DERECHOS ARCO — ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
Como titular de datos personales, usted tiene derecho a: Acceder a sus datos personales en posesión del Responsable; Rectificar sus datos cuando sean inexactos o incompletos; Cancelar sus datos cuando no sean necesarios para las finalidades declaradas o cuando haya concluido la relación jurídica; y Oponerse al tratamiento de sus datos para finalidades específicas.
Mecanismo para ejercer derechos ARCO:
[ARCO Mechanism]
El Responsable responderá a su solicitud dentro de los 20 días hábiles siguientes a su recepción, conforme al Artículo 32 de la LFPDPPP. En caso de inconformidad con la respuesta, podrá interponer recurso de revisión ARCO ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales — www.inai.org.mx).
V. CAMBIOS AL AVISO DE PRIVACIDAD
[Notice Update Procedure]
Fecha de vigencia del presente Aviso de Privacidad: [Notice Date]
Para mayor información sobre el tratamiento de sus datos personales y el ejercicio de sus derechos, puede consultar el Aviso de Privacidad Integral disponible en nuestro domicilio o portal web.
ACUSE DE RECIBO (Opcional — para contextos donde se requiere consentimiento documentado)
He leído y entendido el presente Aviso de Privacidad Simplificado emitido por [Controller Name] conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Nombre y firma del titular / Fecha
Titular de los Datos Personales
________________
Signature
Responsable del Tratamiento
________________
Signature
What Is a Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado)?
The Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado) is a concise data protection disclosure document required under Article 17 of the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), published in the Diario Oficial de la Federación on 5 July 2010 — Mexico's principal federal data privacy statute governing the collection, use, storage, and transfer of personal data by private-sector entities (particulares). The LFPDPPP is regulated by the Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento LFPDPPP), published in the DOF on 21 December 2011, and by the Lineamientos del Aviso de Privacidad issued by the Secretaría de Economía and the Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) in 2013.
Mexican data privacy law recognizes three formats of privacy notice under Articles 15 through 17 LFPDPPP: (1) the aviso de privacidad completo (full notice), which contains all required elements in complete detail; (2) the aviso de privacidad simplificado (simplified notice), which contains the minimum required elements in condensed form and directs the data subject to the full notice for complete information; and (3) the aviso de privacidad corto (short notice), permitted when the medium of personal data collection does not allow the full simplified notice to be displayed — for example, voice data collection over phone, data collected via QR codes, or collection through physical spaces where the full notice cannot be posted. The Aviso de Privacidad Simplificado under Article 17 LFPDPPP is the most commonly used format for business-to-consumer and business-to-employee contexts.
Article 15 LFPDPPP establishes the minimum content that every privacy notice must contain regardless of format: the identity and domicile of the data controller (responsable), the personal data being collected and the purposes for which it will be processed, the mechanisms for exercising ARCO rights (access, rectification, cancellation, and objection — derechos de acceso, rectificación, cancelación y oposición), the options for limiting the use or disclosure of personal data (opciones para limitar uso o divulgación), the procedure for notifying changes to the privacy notice, and — where applicable — transfers of personal data to third parties (transferencias a terceros) and the purposes thereof.
The INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), established under the Ley General de Transparencia y Acceso a la Información Pública, is the federal supervisory authority (autoridad reguladora) responsible for enforcing LFPDPPP compliance. The INAI may investigate data privacy complaints filed by affected individuals, initiate ex officio investigations, impose administrative sanctions (sanciones administrativas) under Articles 63 through 66 LFPDPPP, and refer cases involving criminal privacy violations to the Ministerio Público for prosecution under Articles 67 through 69 LFPDPPP and the applicable Código Penal Federal provisions.
The short-form privacy notice format is particularly important in Mexico because the LFPDPPP requires privacy notices to be made available at the point of data collection (al momento de la obtención de los datos) under Article 17, creating a practical requirement for concise, accessible disclosure that can be delivered in-person, on websites, in employment contracts, on intake forms, and in commercial transaction documents without overwhelming the data subject with legally dense text.
When Do You Need a Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado)?
The Short-Form Privacy Notice Mexico is required in every context where a private entity (persona física or persona moral) collects, uses, stores, or transfers personal data belonging to another natural person (persona física), regardless of the medium of collection. Article 16 LFPDPPP establishes that the responsable must make the aviso de privacidad available prior to or at the moment of data collection — not after.
The aviso is needed by every business that collects customer data — names, contact information, purchase history, payment data, or behavioral data — through any channel: physical forms, websites, mobile applications, telephone calls, or in-person transactions. E-commerce platforms operating in Mexico are particularly exposed, as collecting payment information, shipping addresses, and browsing behavior without a compliant privacy notice constitutes a direct violation of the LFPDPPP.
The notice is required in all employment contexts: employers collecting worker personal data (RFC, CURP, NSS, bank account, medical records, biometrics, family information) for payroll, IMSS registration, or HR purposes must provide a privacy notice to workers at or before the start of employment, regardless of whether the employment contract already contains a data protection clause. The employment context triggers specific obligations regarding sensitive personal data (datos personales sensibles) under Article 9 LFPDPPP — health records, biometric data, and other sensitive categories require explicit consent (consentimiento expreso y por escrito).
The notice is needed by any professional services provider (lawyer, accountant, doctor, architect, consultant) who maintains client files containing personal data, as professional service providers are explicitly covered by the LFPDPPP as responsables. Professional service firms subject to regulatory oversight — financial institutions under the CNBV, insurance companies under the CNSF, and health providers — must comply with both the LFPDPPP and any sector-specific data protection regulations issued by their respective regulators.
The notice is required whenever personal data is transferred to third parties (terceros) inside or outside Mexico. International transfers (transferencias internacionales) to countries that do not have an adequate level of data protection under the INAI's criteria require additional safeguards — typically contractual clauses (cláusulas contractuales tipo) equivalent to Mexico's LFPDPPP standards or the data subject's express consent under Article 37 LFPDPPP.
What to Include in Your Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado)
A valid Short-Form Privacy Notice Mexico under LFPDPPP Article 17 and the Lineamientos del Aviso de Privacidad must contain the following minimum elements to be compliant with INAI standards and to provide a legally effective basis for personal data processing.
Identity and Domicile of the Data Controller (Responsable): Full legal name (razón social or nombre) and fiscal domicile (domicilio fiscal) of the entity or individual responsible for processing personal data. The domicilio is essential because it establishes the legal jurisdiction governing the notice and provides the data subject with a physical address for exercising ARCO rights. Legal entities must include their RFC and, if applicable, their corporate registration number (folio del Registro Público de Comercio). The identity disclosure requirement under Article 16 Fraction I LFPDPPP is non-negotiable — anonymous or pseudonymous data controllers are not permitted under the LFPDPPP framework.
Personal Data Collected and Processing Purposes: Description of the categories of personal data being collected (datos de identificación, datos de contacto, datos laborales, datos patrimoniales, datos de salud, datos biométricos, etc.) and the specific, explicit purposes (finalidades) for which each category will be processed. The Reglamento LFPDPPP Article 13 requires that purposes be described with sufficient specificity — vague statements like 'for marketing purposes' without further detail are considered insufficient under INAI enforcement practice. Sensitive personal data (datos personales sensibles under Article 3 Fraction VI LFPDPPP) must be explicitly identified, as their processing requires express written consent under Article 9 LFPDPPP.
ARCO Rights and Exercise Mechanism: A clear description of the ARCO rights available to the data subject — the right of Access (to obtain information about what personal data is held and for what purposes), Rectification (to correct inaccurate or incomplete data), Cancellation (to request deletion of data), and Objection (to object to specific uses of data) — and the mechanism for exercising them. The notice must specify the designated contact (departamento o persona encargada de datos personales), the physical or electronic address for ARCO requests, and the general timeframe for response. Under LFPDPPP Article 32, the responsable must respond to ARCO requests within 20 business days of receipt.
Transfers of Personal Data: Where the responsable shares, discloses, or transmits personal data to third parties (encargados — processors acting on behalf of the responsable, or terceros — independent recipients), the notice must identify the categories of recipients, the purposes of the transfers, and whether transfers are made to international recipients. Transfers within the same corporate group are treated as transfers to third parties under the LFPDPPP. Transfers for the primary purposes stated in the notice do not require separate consent if clearly disclosed in the notice, but transfers for secondary (secondary purposes — finalidades secundarias) require an opt-out opportunity under LFPDPPP Article 8.
Notice Change Procedure: The procedure by which the responsable will notify data subjects of material changes to the privacy notice — typically by posting the updated notice on the same website or medium where the original notice appeared, or by direct notification to data subjects via email or SMS where feasible. Under LFPDPPP Article 17, the responsable must keep the privacy notice updated and accessible.
Forms-legal.com provides this Short-Form Privacy Notice Mexico template as a practical starting point for LFPDPPP compliance. Every privacy notice should be reviewed by an abogado specializing in protección de datos personales to confirm alignment with the current INAI Lineamientos del Aviso de Privacidad, any sector-specific regulations, and the technical requirements for electronic privacy notices under the Lineamientos para el Tratamiento de Datos Personales en las Nuevas Tecnologías. The INAI's published resolutions (resoluciones de procedimientos de investigación y verificación) provide important guidance on how the authority interprets compliance standards in practice.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado) (Mexico) [Legal document template]. Forms Legal. https://forms-legal.com/mexico/business/policies/short-form-privacy-notice-mexico
"Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado) (Mexico)." Forms Legal, 2026, https://forms-legal.com/mexico/business/policies/short-form-privacy-notice-mexico.
@misc{formslegal-short-form-privacy-notice-mexico,
author = {{Forms Legal}},
title = {Short-Form Privacy Notice Mexico (Aviso de Privacidad Simplificado) (Mexico)},
year = {2026},
howpublished = {\url{https://forms-legal.com/mexico/business/policies/short-form-privacy-notice-mexico}},
note = {Free legal document template}
}Frequently Asked Questions
Bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y los Lineamientos del Aviso de Privacidad emitidos por el INAI, México reconoce tres niveles de aviso de privacidad. El aviso de privacidad completo contiene todos los elementos requeridos por los artículos 15 y 16 LFPDPPP en forma completa y detallada, y sirve como documento maestro de divulgación. El aviso de privacidad simplificado (también llamado aviso corto) contiene los elementos mínimos requeridos bajo el artículo 17 LFPDPPP — identidad del responsable, finalidades del tratamiento, mecanismo de derechos ARCO y referencia al lugar donde puede consultarse el aviso completo completo — en formato condensado diseñado para entregarse al momento de la recopilación de datos sin abrumar al titular. El aviso corto está permitido cuando las limitaciones técnicas del medio de recopilación impiden mostrar incluso el aviso simplificado, como datos recopilados por llamadas de voz o espacios físicos con área limitada de publicación. En la práctica, la mayoría de las empresas mexicanas utilizan el aviso simplificado como documento para el cliente y mantienen el aviso completo en su sitio web y en políticas internas.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares aplica a todas las entidades del sector privado (particulares) — tanto personas morales como personas físicas — que recopilan, usan, almacenan o transfieren datos personales de personas físicas en relación con actividades comerciales, profesionales o laborales. Esto abarca: empresas mexicanas, empresas extranjeras con operaciones o titulares de datos en México, profesionistas independientes (médicos, abogados, contadores), plataformas en línea, operadores de comercio electrónico, departamentos de recursos humanos y cualquier entidad que mantenga una base de datos de clientes, pacientes, empleados o proveedores con información personal. Están exentos de la LFPDPPP: las entidades gubernamentales federales, estatales y municipales (cubiertas por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados); las sociedades de información crediticia reguladas por la Ley para Regular las Sociedades de Información Crediticia; y las personas que recopilan datos personales exclusivamente para uso personal, doméstico o familiar sin elemento comercial.
Los derechos ARCO son los cuatro derechos fundamentales del titular de los datos establecidos en los artículos 22 a 29 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares: Acceso — el derecho a solicitar información sobre qué datos personales mantiene el responsable, de dónde los obtuvo, para qué finalidades los usa y con quién los ha compartido; Rectificación — el derecho a solicitar la corrección de datos personales inexactos, desactualizados, incompletos o falsos; Cancelación — el derecho a solicitar la eliminación o bloqueo de datos personales cuando ya no son necesarios para la finalidad para la que fueron recopilados, cuando el período legal de retención ha vencido, o cuando los datos fueron obtenidos sin consentimiento válido; y Oposición — el derecho a oponerse a actividades específicas de tratamiento por razones personales legítimas, particularmente para comunicaciones comerciales, perfilamiento o finalidades secundarias. Los responsables deben responder a las solicitudes ARCO dentro de los 20 días hábiles siguientes a su recepción y resolverlas dentro de los 15 días hábiles adicionales. Las solicitudes ARCO no resueltas pueden escalarse al INAI mediante un recurso de revisión ARCO, que el INAI debe resolver dentro de los 50 días hábiles.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece sanciones administrativas bajo los artículos 63 a 66, ejecutadas por el INAI. Las multas por violaciones a la LFPDPPP van de 100 a 320,000 veces el valor diario de la UMA (Unidad de Medida y Actualización) dependiendo de la gravedad de la violación. Dejar de proporcionar un aviso de privacidad al momento de la recopilación de datos, usar datos personales para finalidades no declaradas en el aviso, no responder a las solicitudes ARCO y transferir datos personales a terceros sin base jurídica son todas violaciones sancionables. Las violaciones agravadas — tratar datos personales sensibles sin consentimiento expreso, uso comercial de datos en violación a una solicitud de cancelación, y brechas de seguridad derivadas de no implementar medidas técnicas y organizativas adecuadas — conllevan sanciones en los rangos superiores. Las sanciones penales bajo los artículos 210 y 211 bis del Código Penal Federal aplican a la divulgación no autorizada de datos personales confidenciales que causen daño patrimonial o moral. El historial de sanciones del INAI se ha incrementado sustancialmente desde 2018, con sanciones significativas impuestas a instituciones financieras, proveedores de salud y empresas de telecomunicaciones.
Sí. Las prácticas recomendadas de privacidad de datos en México y la orientación del INAI requieren avisos de privacidad separados para diferentes categorías de titulares, porque los datos personales recopilados, las finalidades del tratamiento, los períodos de retención de datos, la base jurídica del tratamiento y los derechos aplicables difieren materialmente entre los contextos laboral y comercial. El aviso de privacidad laboral (aviso de privacidad para empleados) cubre datos de recursos humanos (RFC, CURP, NSS, cuenta bancaria, evaluaciones de desempeño, registros disciplinarios), procesamiento de nómina, registro ante el IMSS e INFONAVIT, datos de salud ocupacional, control de acceso biométrico y acceso al portal de nómina. Debe abordar separadamente el tratamiento de categorías de datos personales sensibles — expedientes de salud para efectos del IMSS, datos biométricos para control de asistencia — bajo el artículo 9 LFPDPPP con consentimiento expreso y por escrito. El aviso al cliente cubre datos transaccionales, comunicaciones de mercadotecnia y comportamiento en el sitio web. Usar un único aviso genérico para ambas poblaciones arriesga no revelar adecuadamente las finalidades específicas aplicables a cada grupo.
Bajo los artículos 29 a 34 LFPDPPP y los artículos 94 a 106 del Reglamento LFPDPPP, el responsable debe implementar un proceso accesible de solicitudes de derechos ARCO. El proceso debe aceptar solicitudes presentadas por escrito (físicamente o electrónicamente) y debe requerir que el titular proporcione: prueba de identidad (copia de identificación oficial); descripción clara del derecho solicitado y los datos específicos involucrados; cualquier información que ayude al responsable a localizar los datos relevantes; y para solicitudes de rectificación, documentación de respaldo que demuestre la inexactitud. El responsable tiene 20 días hábiles para acusar recibo, determinar si la solicitud es completa y admisible, y notificar al titular la decisión. La implementación efectiva de la acción debe completarse dentro de los 15 días hábiles adicionales. Los costos sólo pueden cobrarse por solicitudes de Acceso en montos que no excedan el costo directo de reproducción. La negativa a una solicitud ARCO debe explicarse por escrito con justificación legal. Los titulares pueden escalar solicitudes denegadas o sin respuesta al INAI mediante el proceso de recurso de revisión ARCO.
Las transferencias internacionales de datos personales desde México hacia destinatarios extranjeros se rigen por los artículos 36 y 37 LFPDPPP y los artículos 74 a 82 del Reglamento LFPDPPP. La regla general es que las transferencias internacionales sólo están permitidas cuando: (1) el país receptor cuenta con un nivel de protección de datos reconocido como adecuado por el INAI; (2) la transferencia está cubierta por cláusulas contractuales tipo vinculantes que imponen obligaciones equivalentes a la LFPDPPP al destinatario extranjero; (3) el titular ha dado consentimiento expreso a la transferencia internacional habiéndosele informado del país destino y el marco jurídico aplicable; o (4) la transferencia cae dentro de las excepciones estatutarias del artículo 37 LFPDPPP (por ejemplo, transferencias necesarias para la ejecución de un contrato con el titular). Los proveedores de servicios en la nube, las empresas del grupo con matrices en el extranjero y los operadores de comercio electrónico transfronterizo se ven particularmente afectados. El aviso de privacidad debe revelar las transferencias internacionales, identificar los países o regiones de destino y establecer el mecanismo en que se basa la base jurídica de la transferencia.
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el órgano constitucional autónomo responsable de hacer cumplir la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en el sector privado y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados en el sector público. Establecido mediante reforma constitucional al artículo 6 de la Constitución Política y la Ley General de Transparencia y Acceso a la Información Pública, el INAI opera con independencia técnica, operativa, presupuestaria y de decisión del ejecutivo federal. Sus facultades de ejecución bajo los artículos 38 a 66 LFPDPPP incluyen: recibir e investigar quejas de titulares afectados; conducir procedimientos de verificación de oficio por iniciativa propia; exigir la producción de documentos, acceso a sistemas y testimonios de empresas bajo investigación; emitir resoluciones vinculantes que requieran a las empresas tomar acciones correctivas; e imponer multas administrativas. Los Comisionados del INAI son nombrados por el Senado de México para mandatos escalonados de siete años y no pueden ser removidos por el ejecutivo federal.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Política de Protección de Datos de Empleados en México (Aviso de Privacidad para Empleados)
Una Política de Protección de Datos de Empleados (Aviso de Privacidad para Empleados) para México — conforme al artículo 15 de la LFPDPPP y al artículo 25 de la Ley Federal del Trabajo, que documenta las prácticas del patrón en el tratamiento de datos para RRHH, nómina, IMSS, INFONAVIT y SAT, y establece los derechos ARCO del trabajador.
Acuerdo de Confidencialidad para Empleados México (LFT Art. 134-XIII)
Acuerdo de Confidencialidad para Empleados en México — conforme al Artículo 134 Fracción XIII de la Ley Federal del Trabajo y la Ley Federal de Protección a la Propiedad Industrial (LFPPI). Establece el deber de secreto profesional del trabajador, protege secretos industriales ante el IMPI y regula la propiedad intelectual generada durante el empleo conforme a los Artículos 163–165 LFPPI.
Términos y Condiciones del Sitio Web México
Términos y Condiciones del Sitio Web para México — conforme al Artículo 76 bis de la Ley Federal de Protección al Consumidor (LFPC) y el Artículo 8 de la LFPDPPP, estableciendo el marco legal para el comercio electrónico, los derechos del usuario y las obligaciones de protección de datos bajo la ley mexicana.
Contrato de Servicios de Consultoría México
Contrato de Prestación de Servicios de Consultoría Gerencial para México — regulado por el Artículo 2606 del Código Civil Federal (CCF) y el Artículo 75 del Código de Comercio (CCom), que establece el alcance, honorarios, entregables, confidencialidad y términos de propiedad intelectual para servicios de consultoría en México.
Aviso de Privacidad para Arrendatarios México (LFPDPPP arts. 15–17)
Aviso de Privacidad para Arrendatarios México — conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) arts. 15–17 y los Lineamientos del INAI (DOF 17-01-2013). Informa al inquilino sobre la recolección, uso, almacenamiento y transferencia de sus datos personales durante el proceso de arrendamiento.