INAI Data Protection Complaint Mexico (Queja INAI Datos Personales)
PROCEDIMIENTO DE PROTECCIÓN DE DERECHOS
Queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) Artículos 45–63
I. DATOS DEL TITULAR
Nombre completo: [Subject Name]
CURP: [Subject CURP]
Domicilio para notificaciones: [Subject Address]
Correo electrónico: [Subject Email]
Teléfono: [Subject Phone]
II. DATOS DEL RESPONSABLE QUEJADO
Nombre / Denominación social: [Responsable Name]
RFC: [Responsable RFC]
Domicilio: [Responsable Address]
Sitio web: [Responsable Website]
III. SOLICITUD ARCO PREVIA
Derecho ARCO ejercido: [ARCO Right Invoked]
Fecha de la solicitud ARCO: [ARCO Request Date]
Medio de envío de la solicitud: [Submission Method]
Respuesta del responsable: [Responsable Response]
IV. DESCRIPCIÓN DE LA VIOLACIÓN Y FUNDAMENTO LEGAL
[Violation Description]
La conducta del responsable contraviene la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 5 de julio de 2010) y su Reglamento (DOF 21 de diciembre de 2011), administrados por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuyo incumplimiento está sujeto a sanciones administrativas conforme a los Artículos 63 al 66 LFPDPPP.
V. MEDIDAS SOLICITADAS AL INAI
[Relief From INAI]
FIRMA DEL TITULAR
En [Filing City], a [Filing Date].
[Subject Name]
CURP: [Subject CURP]
Firma: _________________________
Data Subject (Titular de Datos Personales)
________________
Signature
What Is a INAI Data Protection Complaint Mexico (Queja INAI Datos Personales)?
An INAI Data Protection Complaint Mexico (Procedimiento de Protección de Derechos ante el INAI) is a formal administrative complaint filed by a data subject (titular de datos personales) before the Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — Mexico's federal data protection authority — when a private-sector entity (responsable) has denied or inadequately responded to an ARCO rights request, or when the responsable has violated the data subject's rights under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, published in the Diario Oficial de la Federación on 5 July 2010).
The LFPDPPP Articles 45 through 63 establish the procedimiento de protección de derechos — the formal complaint mechanism through which data subjects may invoke INAI's authority to investigate alleged violations of the LFPDPPP and to order remedies including compliance with denied ARCO requests, cessation of unlawful data processing, and administrative sanctions against the responsible party. The Reglamento de la LFPDPPP (DOF 21 December 2011) Articles 101 through 120 further detail the procedural requirements for filing and processing these complaints.
ARCO rights — the four fundamental data subject rights under the LFPDPPP — consist of: Acceso (access) under Article 22, the right to obtain confirmation of whether the responsable holds personal data about the data subject and to receive a copy of that data; Rectificación (rectification) under Article 24, the right to correct inaccurate, incomplete, or outdated personal data; Cancelación (erasure) under Article 25, the right to request deletion of personal data that is excessive, unnecessary, or no longer required for the original processing purpose; and Oposición (objection) under Article 27, the right to object to specific processing activities including direct marketing profiling and automated decision-making.
The INAI was established under the Ley Federal de Transparencia y Acceso a la Información Pública (LFTAIP) and has dual responsibility for: (1) personal data protection in the private sector under the LFPDPPP, with authority over all private entities (personas físicas y morales de carácter privado) established in Mexico that process personal data; and (2) access to public information held by federal government agencies under the LFTAIP, enforced through a separate complaint mechanism (recurso de revisión). The INAI consists of seven commissioners (comisionados) appointed by the Senate (Senado de la República) for staggered seven-year terms, providing institutional independence from executive branch influence.
The INAI's enforcement powers under the LFPDPPP Articles 63 through 66 include imposing administrative fines (multas) ranging from 100 to 320,000 días de salario mínimo general vigente — at 2025 minimum wage rates, fines range from approximately $1,060 to $3,396,800 MXN — with enhanced sanctions for violations involving sensitive personal data (datos sensibles) such as health information, financial data, biometric data, religious beliefs, and sexual orientation. For systematic or deliberate violations, the INAI may refer cases to the Fiscalía General de la República (FGR) for criminal investigation under Articles 220 through 222 of the Código Penal Federal.
Mexico's LFPDPPP framework applies to all private sector entities processing personal data of Mexican residents, including multinational corporations operating in Mexico, e-commerce platforms, financial institutions, healthcare providers, educational institutions, employers, and technology companies — the INAI has specific jurisdiction over the private sector, while personal data held by federal government agencies is governed by the Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO, DOF 26 January 2017).
When Do You Need a INAI Data Protection Complaint Mexico (Queja INAI Datos Personales)?
An INAI data protection complaint is needed when a private-sector entity operating in Mexico has violated the data subject's rights under the Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP) and the internal ARCO rights procedure has failed to produce a satisfactory resolution within the statutory timeframe established by Article 45 of the LFPDPPP.
The complaint is required when a company denies an acceso (access) request without legal justification. Under LFPDPPP Article 24, the responsable must respond to an access request within 20 business days of receipt. Failure to respond, or denial without an adequate legal basis, entitles the data subject to file a complaint before the INAI under Article 45 LFPDPPP and Reglamento Article 101.
An INAI complaint is needed when a company continues to send marketing communications (comunicaciones de mercadotecnia) after the data subject has exercised their oposicion right under Article 27 LFPDPPP — including email marketing, SMS campaigns, telemarketing calls, and targeted digital advertising based on personal data profiles compiled without ongoing consent.
The complaint is required when an employer, healthcare provider, financial institution, or any private entity discloses personal data to third parties (transferencia de datos personales) without the data subject's consent and without a legal basis under LFPDPPP Article 37 — for example, sharing employee health records with insurance providers without authorisation, or selling customer databases to marketing companies in violation of the original collection purpose.
An INAI complaint is needed when a company suffers a personal data breach (vulneracion de seguridad) involving the data subject's information and fails to notify the affected individuals as required by LFPDPPP Article 20 and Reglamento Articles 57 through 66. Breach notification is mandatory when the incident may significantly affect the data subject's rights, privacy, or financial security — for example, breaches involving financial credentials, medical records, or identity documents.
Under LFPDPPP arts. 45 and 46, the complaint must be filed within 15 business days following the responsable's denial of the ARCO request or the expiration of the 20-business-day response period. This statutory deadline is strictly enforced by the INAI — complaints filed outside the 15-day window will be dismissed as time-barred (prescritos) unless force majeure is demonstrated. The Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales provides guidance through its Unidad de Atencion Ciudadana at www.inai.org.mx.
What to Include in Your INAI Data Protection Complaint Mexico (Queja INAI Datos Personales)
A valid INAI data protection complaint under the LFPDPPP Articles 45 through 63 and Reglamento Articles 101 through 120 must contain the following essential elements to be admitted and processed by the Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI) within the statutory review period.
Data Subject Identification: Full legal name, CURP, RFC (if applicable), official identity document number (credencial INE/IFE, pasaporte, or cedula profesional), domicile for notifications, telephone number, and email address of the titular (data subject). INAI requires verified identity to confirm the complaint is filed by or on behalf of the individual whose personal data rights were violated under the LFPDPPP.
Identification of the Responsible Party: Full legal name (denominacion or razon social) and RFC of the responsable — the private entity that processed the personal data in violation of the LFPDPPP. The responsable's physical address, website, and the name of their designated Encargado de Datos Personales (data protection contact) identified in the aviso de privacidad should be included to assist INAI's notification and investigation under Reglamento Article 105.
ARCO Request Reference: Copy or description of the original ARCO request submitted to the responsable — including the date submitted, the method of submission (email, postal mail, or in-person), the specific right invoked (acceso, rectificacion, cancelacion, or oposicion) under LFPDPPP Articles 22 through 27, and the data or processing activity in question. Under Reglamento LFPDPPP Article 104, the prior ARCO request is a procedural prerequisite — a complaint lacking evidence of a prior ARCO request will be dismissed by INAI as inadmissible (improcedente).
Responsable's Response or Absence: Copy of the responsable's written response denying or inadequately responding to the ARCO request, or documentation demonstrating that the 20-business-day response period under LFPDPPP Article 24 has expired without a response — such as a delivery confirmation (acuse de recibo) or email read receipt showing when the ARCO request was received by the responsable.
Description of the Alleged Violation: A clear and precise statement of the specific LFPDPPP provision(s) violated — whether the denial was without legal basis under Article 26, the response was incomplete, the responsable continued prohibited processing after an oposicion request under Article 27, failed to notify of a data breach under Article 20, or transferred data to third parties without authorisation under Article 36 LFPDPPP.
Relief Requested: The specific remedy sought from INAI — compliance with the ARCO request, cessation of unlawful processing, deletion of personal data, correction of inaccurate data, or breach notification. INAI may impose administrative sanctions under LFPDPPP Articles 63 through 66 independently of the specific relief requested, including fines ranging from 100 to 320,000 dias de salario minimo against the responsible party.
Supporting Evidence: All relevant documents — the original ARCO request with proof of delivery, the responsable's denial letter, any correspondence, marketing communications received after an oposicion request, screenshots of unlawful data processing, or evidence of unauthorised data transfers to third parties under Article 37 LFPDPPP.
Forms-legal.com provides this INAI complaint template as a practical guide for Mexican data subjects asserting rights under the LFPDPPP. Complex cases involving sensitive personal data (datos sensibles) such as health information, financial records, or biometric data, or systemic violations by multinational companies, may benefit from advice from a Licenciado en Derecho specialised in proteccion de datos personales before filing the complaint with the INAI.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). INAI Data Protection Complaint Mexico (Queja INAI Datos Personales) (Mexico) [Legal document template]. Forms Legal. https://forms-legal.com/mexico/government/declarations/inai-data-protection-complaint-mexico
"INAI Data Protection Complaint Mexico (Queja INAI Datos Personales) (Mexico)." Forms Legal, 2026, https://forms-legal.com/mexico/government/declarations/inai-data-protection-complaint-mexico.
@misc{formslegal-inai-data-protection-complaint-mexico,
author = {{Forms Legal}},
title = {INAI Data Protection Complaint Mexico (Queja INAI Datos Personales) (Mexico)},
year = {2026},
howpublished = {\url{https://forms-legal.com/mexico/government/declarations/inai-data-protection-complaint-mexico}},
note = {Free legal document template}
}Frequently Asked Questions
Los derechos ARCO son los cuatro derechos fundamentales sobre los datos personales establecidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): Acceso (artículo 22), el derecho a recibir una copia de todos los datos personales que el responsable tenga sobre ti, las finalidades para las que los trata y los destinatarios de cualquier transferencia; Rectificación (artículo 24), el derecho a que se corrijan los datos personales inexactos, desactualizados o incompletos; Cancelación (artículo 25), el derecho a que se supriman los datos personales cuando ya no sean necesarios para la finalidad original, cuando se revoque el consentimiento o cuando el tratamiento sea ilícito; y Oposición (artículo 27), el derecho a oponerte a determinadas actividades de tratamiento, en particular la mercadotecnia directa, la elaboración de perfiles y las decisiones automatizadas. Para ejercer un derecho ARCO, presenta una solicitud por escrito (solicitud de derechos ARCO) ante el contacto de protección de datos que el responsable designe en su aviso de privacidad, ya sea por correo electrónico, correo postal o cualquier mecanismo que el responsable haya señalado. La solicitud debe incluir la acreditación de tu identidad, la descripción del derecho específico que se invoca y los detalles relevantes sobre los datos en cuestión. El responsable tiene 20 días hábiles para responder conforme al artículo 24 de la LFPDPPP. Si la solicitud se niega sin una justificación legal adecuada o el responsable no responde dentro de los 20 días hábiles, puedes presentar una queja ante el INAI conforme al artículo 45 de la LFPDPPP dentro del plazo legal de 15 días hábiles establecido por el artículo 101 del Reglamento.
Conforme al artículo 45 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y al artículo 101 de su Reglamento, el titular de los datos debe presentar la queja ante el INAI (procedimiento de protección de derechos) dentro de los 15 días hábiles siguientes a cualquiera de estas fechas: (1) la fecha en que el responsable comunica su decisión de negar la solicitud ARCO; o (2) la fecha en que vence el plazo de 20 días hábiles de respuesta previsto en el artículo 24 de la LFPDPPP sin que el responsable haya respondido. Este plazo de 15 días hábiles se aplica de forma estricta: el INAI desechará por prescrita una queja presentada después de este periodo, salvo que el quejoso pueda acreditar que la presentación tardía obedeció a una causa de fuerza mayor o a circunstancias ajenas a su voluntad. Los días hábiles excluyen sábados, domingos y los días festivos oficiales publicados por la Secretaría de Gobernación. El plazo de 15 días empieza a correr a partir del día siguiente a la fecha de notificación de la negativa del responsable o del día siguiente al vencimiento del plazo de 20 días de respuesta. Documentar con prontitud la fecha de presentación de la solicitud ARCO (idealmente con un acuse de recibo confirmado) y la respuesta del responsable (o su ausencia) es esencial para preservar el derecho a presentar la queja ante el INAI.
El INAI tiene facultad para imponer sanciones administrativas conforme a los artículos 63 a 66 de la LFPDPPP a los responsables del sector privado que violen la ley. Las sanciones se gradúan según la gravedad de la infracción: para infracciones leves —como no responder a una solicitud ARCO dentro del plazo legal o proporcionar un aviso de privacidad inadecuado— las multas van de 100 a 160,000 días de salario mínimo general vigente (aproximadamente de $1,060 a $1,698,400 MXN a los niveles de 2025); para infracciones graves —como tratar datos personales sin consentimiento, transferir datos personales sin autorización o no implementar medidas de seguridad adecuadas— las multas van de 160,001 a 320,000 días de salario mínimo (aproximadamente de $1,698,411 a $3,396,800 MXN); tratándose de infracciones que involucren datos personales sensibles, como datos de salud, financieros, biométricos o de orientación sexual, las multas máximas pueden duplicarse. Además de las multas, el INAI puede dictar medidas correctivas que ordenen atender la solicitud ARCO dentro de un plazo determinado, cesar determinadas actividades de tratamiento, implementar medidas de seguridad técnicas y organizativas, y hacer pública la sanción. Las violaciones deliberadas o sistemáticas pueden remitirse a la Fiscalía General de la República (FGR) para su persecución penal conforme a los artículos 220 a 222 del Código Penal Federal.
El INAI tiene dos competencias distintas. Respecto de los datos personales en posesión de entes del sector privado (personas físicas y morales de carácter privado), el INAI aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que abarca a empresas, organizaciones de la sociedad civil, colegios profesionales, instituciones educativas, prestadores de servicios de salud y cualquier persona o entidad privada que trate datos personales con fines comerciales. Respecto de los datos personales y la información pública en posesión de dependencias del gobierno federal, el Congreso, el Poder Judicial de la Federación, los órganos constitucionales autónomos, los partidos políticos y demás sujetos obligados federales, el INAI aplica la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO, DOF 26 de enero de 2017) a través de un mecanismo de impugnación distinto (el recurso de inconformidad previsto en el artículo 104 de la LGPDPPSO). Los entes de los gobiernos estatales y municipales están sujetos a las leyes estatales de protección de datos y a sus respectivos órganos garantes: cada estado de México cuenta con su propio instituto de transparencia (órgano garante local) encargado de hacer cumplir las reglas locales de protección de datos para los entes del gobierno estatal. El INAI no tiene competencia directa sobre el tratamiento de datos del gobierno estatal: ello corresponde a los institutos estatales de transparencia (Institutos de Acceso a la Información y Protección de Datos de los estados), que operan bajo el marco de competencias compartidas de la LGPDPPSO.
El procedimiento de protección de derechos ante el INAI, conforme a los artículos 45 a 63 de la LFPDPPP, comprende las siguientes etapas. Presentación: el titular de los datos presenta la queja o denuncia ante el INAI, ya sea de forma electrónica a través del portal del INAI en www.inai.org.mx, por correo postal a las oficinas del INAI en la Ciudad de México, o de manera presencial. La queja debe presentarse dentro de los 15 días hábiles siguientes a la negativa de la solicitud ARCO. Revisión de admisibilidad: el INAI revisa la queja para verificar el cumplimiento de requisitos formales dentro de 5 días hábiles; si se detectan deficiencias formales, el quejoso cuenta con 5 días hábiles para subsanarlas, y de no hacerlo se desecha la queja. Notificación: el INAI notifica la queja al responsable dentro de los 5 días hábiles siguientes a su admisión y le otorga 10 días hábiles para presentar su respuesta y pruebas por escrito. Investigación: la Dirección de Investigación y Verificación del INAI analiza las pruebas aportadas por ambas partes y puede requerir información adicional o realizar una verificación in situ. Resolución: el INAI emite una resolución formal en la que determina que la infracción ocurrió (procedencia), ordenando remedios o sanciones específicas, o bien desecha la queja (improcedencia). La resolución se emite dentro de los 60 días hábiles siguientes a la admisión de la queja. Impugnación: el responsable puede combatir la resolución del INAI mediante un amparo indirecto ante los Juzgados de Distrito, ya que los tribunales federales revisan con regularidad las resoluciones del INAI por motivos de constitucionalidad.
Tanto el INAI como la CONDUSEF tienen competencia sobre los datos personales en posesión de las instituciones financieras, pero sus mandatos difieren de forma significativa. El INAI aplica la LFPDPPP, específicamente los derechos sobre los datos personales (derechos ARCO), las obligaciones de seguridad de los datos, los requisitos de consentimiento y la suficiencia del aviso de privacidad. Una queja ante el INAI es procedente cuando un banco, una aseguradora o una empresa fintech niega una solicitud ARCO, trata datos personales sin consentimiento, no implementa medidas de seguridad adecuadas o sufre una vulneración de datos que afecta los datos personales del quejoso. La CONDUSEF aplica la Ley de Protección y Defensa al Usuario de Servicios Financieros (LPDUSEF), específicamente los derechos del usuario de servicios financieros, incluyendo cargos no autorizados, reclamaciones de seguros rechazadas, mala gestión de la AFORE, prácticas de cobranza abusiva y ventas fraudulentas de productos financieros. Una queja ante la CONDUSEF es procedente cuando la controversia versa sobre un perjuicio económico (montos adeudados, reclamaciones rechazadas, operaciones no autorizadas) y no sobre los derechos en materia de datos personales. En casos que involucran tanto un perjuicio económico como violaciones a los datos personales —por ejemplo, cuando una aseguradora rechaza una reclamación con base en información médica incorrecta y además comparte esos datos médicos con terceros sin consentimiento— pueden presentarse de forma simultánea una queja ante el INAI y una queja ante la CONDUSEF. El INAI y la CONDUSEF mantienen mecanismos de coordinación interinstitucional (convenios de colaboración) para los casos de vulneraciones de datos financieros que derivan tanto en violaciones a los datos personales como en perjuicios al usuario de servicios financieros.
Tanto el INAI como la CONDUSEF tienen competencia sobre los datos personales en posesión de las instituciones financieras, pero sus mandatos difieren de forma significativa. El INAI aplica la LFPDPPP, específicamente los derechos sobre los datos personales (derechos ARCO), las obligaciones de seguridad de los datos, los requisitos de consentimiento y la suficiencia del aviso de privacidad. Una queja ante el INAI es procedente cuando un banco, una aseguradora o una empresa fintech niega una solicitud ARCO, trata datos personales sin consentimiento, no implementa medidas de seguridad adecuadas o sufre una vulneración que afecta los datos personales del quejoso. La CONDUSEF aplica la Ley de Protección y Defensa al Usuario de Servicios Financieros (LPDUSEF), específicamente los derechos del usuario de servicios financieros, incluyendo cargos no autorizados, reclamaciones de seguros rechazadas, mala gestión de la AFORE, prácticas de cobranza abusiva y ventas fraudulentas de productos financieros. Una queja ante la CONDUSEF es procedente cuando la controversia versa sobre un perjuicio económico y no sobre los derechos en materia de datos personales. En casos que involucran tanto un perjuicio económico como violaciones a los datos personales —por ejemplo, cuando una aseguradora rechaza una reclamación con base en información médica incorrecta y además comparte esos datos con terceros sin consentimiento— pueden presentarse de forma simultánea una queja ante el INAI (por la violación a la LFPDPPP) y una queja ante la CONDUSEF (por la reclamación de seguro rechazada). El INAI y la CONDUSEF mantienen mecanismos de coordinación interinstitucional (convenios de colaboración) para los casos de vulneraciones de datos financieros que ocasionan tanto violaciones a los datos personales como perjuicios al usuario de servicios financieros.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Política de Cookies Sitio Web México (LFPDPPP)
Política de Cookies para sitios web operados en México — conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) Artículos 8 y 15 y el Reglamento LFPDPPP Artículo 41. Divulga categorías de cookies, mecanismo de consentimiento y derechos ARCO ante el INAI.
Acuerdo de Confidencialidad Empresarial México (LFPPI Arts. 82–84)
Acuerdo de Confidencialidad Empresarial para México — conforme a la Ley Federal de Protección a la Propiedad Industrial (LFPPI) Artículos 82–84 y Código Civil Federal Artículo 1796. Protege secretos industriales e información comercial intercambiada entre empresas. Mutuo o unilateral. Incluye pena convencional, remedio IMPI y jurisdicción federal.
Política de Protección de Datos de Empleados en México (Aviso de Privacidad para Empleados)
Una Política de Protección de Datos de Empleados (Aviso de Privacidad para Empleados) para México — conforme al artículo 15 de la LFPDPPP y al artículo 25 de la Ley Federal del Trabajo, que documenta las prácticas del patrón en el tratamiento de datos para RRHH, nómina, IMSS, INFONAVIT y SAT, y establece los derechos ARCO del trabajador.
Queja ante la CONDUSEF por Servicios Financieros en México (LPDUSEF art. 50)
Un Formulario de Queja ante la CONDUSEF para México — conforme al artículo 50 de la Ley de Protección y Defensa al Usuario de Servicios Financieros (LPDUSEF), que permite a los usuarios presentar quejas formales contra bancos, aseguradoras y otras instituciones financieras reguladas por la CNBV y la CNSF.