Tenant Privacy Notice Mexico
AVISO DE PRIVACIDAD PARA ARRENDATARIOS
Conforme a los Artículos 15–17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
I. IDENTIDAD Y DOMICILIO DEL RESPONSABLE
[Controller Name], RFC: [Controller RFC], con domicilio en [Controller Address], teléfono [Controller Phone], correo electrónico [Controller Email], es el Responsable del tratamiento de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
II. DATOS PERSONALES QUE SE RECABAN
Con motivo de la relación de arrendamiento del inmueble ubicado en [Property Address], recabamos las siguientes categorías de datos personales:
[Data Categories]
¿Se tratan datos personales sensibles?: [Sensitive Data]
III. FINALIDADES DEL TRATAMIENTO
Finalidades Primarias (necesarias para la relación de arrendamiento):
[Primary Purposes]
Finalidades Secundarias (no esenciales — usted puede oponerse):
[Secondary Purposes]
IV. TRANSFERENCIAS DE DATOS A TERCEROS
Sus datos personales pueden ser compartidos con los siguientes terceros para las finalidades indicadas:
[Data Transfers]
V. DERECHOS ARCO (ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN)
Usted tiene derecho a: (i) Acceder a sus datos personales en nuestra posesión; (ii) Rectificar datos inexactos o incompletos; (iii) Cancelar sus datos cuando no sean necesarios para las finalidades del tratamiento; (iv) Oponerse al tratamiento de sus datos para finalidades secundarias.
Para ejercer sus derechos ARCO, envíe su solicitud escrita al correo [Controller Email] con su nombre completo, número de identificación oficial y descripción de su solicitud. Responderemos dentro de 20 días hábiles conforme al Artículo 32 LFPDPPP.
VI. PLAZO DE CONSERVACIÓN DE DATOS
Sus datos personales serán conservados durante la vigencia de la relación de arrendamiento y por un plazo adicional de [Retention Period] una vez concluida, transcurrido el cual serán cancelados y bloqueados conforme al Artículo 11 LFPDPPP.
VII. CAMBIOS AL AVISO DE PRIVACIDAD
Cualquier modificación al presente Aviso de Privacidad será notificada al arrendatario mediante correo electrónico o aviso físico en el inmueble. La versión vigente siempre estará disponible en el domicilio del Responsable.
Fecha del Aviso de Privacidad: [Notice Date]
ACUSE DE RECIBO DEL ARRENDATARIO
Yo, _________________________, declaro haber recibido y leído el presente Aviso de Privacidad antes de proporcionar mis datos personales.
Firma: _________________________ Fecha: _________________________
Controller / Landlord (Responsable)
________________
Signature
Tenant (Arrendatario)
________________
Signature
What Is a Tenant Privacy Notice Mexico?
A Tenant Privacy Notice (Aviso de Privacidad para Arrendatarios) Mexico is a mandatory legal document that landlords (arrendadores) and real estate agencies (agencias inmobiliarias) must provide to prospective and current tenants (arrendatarios) before or at the time of collecting their personal data (datos personales), governed by the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) published in the Diario Oficial de la Federación on 5 July 2010, specifically Articles 15 through 17, and its Reglamento (Reglamento de la LFPDPPP) published on 21 December 2011.
The LFPDPPP establishes that any private individual (persona física) or company (persona moral) — including landlords and property managers — who collects, uses, stores, or transmits personal data of third parties is a responsable (data controller) subject to the Act's obligations. The Aviso de Privacidad is the primary transparency mechanism through which the responsable informs the titular (data subject — in this case, the tenant) of: who is collecting their data; what data is being collected; the purposes (finalidades) for which the data will be used; whether data will be shared with third parties (terceros); the rights of the titular (derechos ARCO — Acceso, Rectificación, Cancelación, Oposición); and how to exercise those rights.
In the context of residential and commercial leasing in Mexico, landlords collect significant volumes of personal data during the rental process: identification documents (INE or pasaporte); RFC and CURP; proof of income (comprobantes de ingresos); bank statements (estados de cuenta); employment letters (cartas patronales); credit reports (historial crediticio from Buró de Crédito); personal and commercial references; and sometimes biometric data (photographs for building access systems). All of this data collection triggers the LFPDPPP's mandatory Aviso de Privacidad requirement.
The Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — Mexico's federal data protection authority — has issued Guidelines (Lineamientos del Aviso de Privacidad, published in the DOF on 17 January 2013) that specify the minimum required content of a valid Aviso de Privacidad. Failure to provide a compliant Aviso de Privacidad exposes the landlord or property manager to sanctions by the INAI under Articles 63–67 LFPDPPP, including fines ranging from MXN 100 to MXN 320,000 per violation, plus additional sanctions for sensitive data violations.
Sensitive personal data (datos personales sensibles) under Article 3 Section VI LFPDPPP — such as health information, biometric data, or economic/financial information — requires enhanced protection: a specific Aviso de Privacidad mentioning the sensitive data; explicit (expreso) and written consent for its processing under Article 9 LFPDPPP; and heightened security measures. Landlords who collect financial information and credit reports about tenants are processing information that may qualify as datos sensibles in some regulatory interpretations, requiring careful compliance.
Digital property management platforms (plataformas digitales de gestión inmobiliaria) and rental listing services operating in Mexico — including Lamudi, Inmuebles24, Vivanuncios, and similar platforms — must also publish their own Aviso de Privacidad covering data collected through their platforms, in addition to the individual landlord's notice for the specific rental transaction. The INAI's Guía para Responsables del Tratamiento de Datos Personales en el Sector Inmobiliario provides sector-specific guidance on data minimisation, retention periods, and consent mechanisms particularly relevant to landlords, property managers, and real estate agencies operating in Mexico.
When Do You Need a Tenant Privacy Notice Mexico?
A Tenant Privacy Notice Mexico is required by law in every situation where a landlord, property manager, or real estate agency in Mexico collects personal data from a prospective or current tenant.
At the beginning of the rental application process (proceso de solicitud de arrendamiento), before or at the moment the landlord or their agent requests the applicant to complete a rental application form (solicitud de arrendamiento) collecting personal information — name, address, employment, income, references — the Aviso de Privacidad must be provided and the applicant's acknowledgment obtained. Without this prior notice, any data collection that follows is technically non-compliant under Article 15 LFPDPPP.
When conducting tenant credit checks (consulta al Buró de Crédito), the landlord must have the tenant's express written consent authorising both the credit inquiry and the processing of credit report information under Article 9 LFPDPPP, which requires that the Aviso de Privacidad covering that processing purpose was previously provided.
When installing video surveillance systems (CCTV / circuito cerrado de televisión) in common areas of a rental building — corridors, lobbies, parking areas — landlords must display visible notices informing tenants and visitors of the surveillance under INAI Guidelines. These notices are a simplified form of Aviso de Privacidad for the biometric (image) data captured.
Digital property management tools that collect tenant data — maintenance request apps, online rent payment platforms, tenant communication portals — require a digital Aviso de Privacidad compliant with LFPDPPP and with Article 68 of Mexico's Ley de Comercio Electrónico principles. Real estate agencies acting as intermediaries between landlords and tenants must provide their own Aviso de Privacidad covering data they process on behalf of their landlord clients.
In commercial lease situations where the arrendatario is a persona moral (company), the privacy notice covers personal data of the company's legal representatives, officers, and contact persons whose data is collected during the application and lease term. The company as such is not a titular of personal data under LFPDPPP (which covers only natural persons), but its officers' personal data is protected.
The Aviso de Privacidad is also required when a landlord shares tenant data with third-party service providers — maintenance contractors, security companies, accounting firms managing rent collection — who will process tenant personal data as encargados (data processors) under Article 52 LFPDPPP. In these cases, the landlord must execute a data processing agreement (contrato de encargado) with each service provider and inform tenants in the Aviso de Privacidad that their data may be shared with these categories of third parties. Property management companies (administradoras de inmuebles) that manage rental properties on behalf of individual landlord owners are themselves responsables del tratamiento de datos and must maintain their own LFPDPPP-compliant Aviso de Privacidad for tenant data they independently control.
What to Include in Your Tenant Privacy Notice Mexico
A valid Aviso de Privacidad para Arrendatarios Mexico under Articles 15–17 of the LFPDPPP and the INAI Lineamientos del Aviso de Privacidad must contain the following mandatory elements:
Identity and Contact of the Data Controller (Identidad y Domicilio del Responsable): Full legal name, address, telephone, and email of the landlord or property management company (responsable) who controls the personal data, under Article 15 Section I LFPDPPP. If the responsable has a website, the Aviso de Privacidad must also be posted there.
Personal Data Collected (Datos Personales Recabados): A clear description of the categories of personal data collected from the tenant — for example: identification data (nombre, domicilio, RFC, CURP, INE); contact data (teléfono, correo electrónico); financial data (comprobantes de ingresos, estados de cuenta, historial crediticio); employment data (carta patronal, nombre del empleador); and reference data (datos de fiador o aval). If sensitive personal data (datos sensibles) is collected, this must be expressly stated with heightened prominence.
Purposes of Processing (Finalidades del Tratamiento): A specific, clear description of all purposes for which the tenant's data will be used — under Article 15 Section II LFPDPPP. Primary purposes (finalidades primarias) necessary for the rental relationship include: tenant credit evaluation; lease agreement execution; building administration and security; receipt collection and rent control; and maintenance coordination. Secondary purposes (finalidades secundarias) not essential to the relationship — such as marketing, property development surveys, or sharing with affiliated agencies — require separate and revocable consent under Article 8 LFPDPPP.
Data Transfers to Third Parties (Transferencias a Terceros): If the landlord shares tenant data with third parties (terceros) — such as credit bureaus (Buró de Crédito), real estate agencies, insurance companies (aseguradoras), maintenance contractors, or collection agencies — Article 36 LFPDPPP requires the Aviso to specify: who the third party is; what data is shared; the purpose of the transfer; and whether the third party is a data processor (encargado) acting on the landlord's instructions or an independent controller. International transfers (to parties outside Mexico) require specific consent under Article 37 LFPDPPP unless the destination country provides equivalent data protection.
ARCO Rights (Derechos de Acceso, Rectificación, Cancelación y Oposición): Article 16 LFPDPPP requires the Aviso to inform tenants of their rights to: Access (Acceso) — request a copy of all personal data held; Rectificación — correct inaccurate or incomplete data; Cancelación — request deletion of data once the processing purpose is fulfilled; and Oposición — object to processing for specific purposes. The Aviso must specify the contact information (email, address) and procedure for submitting ARCO rights requests, and state the landlord's legal obligation to respond within 20 business days under Article 32 LFPDPPP.
Consent Mechanism (Mecanismo de Consentimiento): The Aviso must specify how the tenant's consent is obtained — express written consent for sensitive data processing; tacit consent (through use of the application form) for non-sensitive primary purposes where the Aviso was provided. The tenant's acknowledgment signature on the Aviso or on the rental application form referencing the Aviso constitutes valid consent under Article 8 LFPDPPP.
Data Retention Period (Plazo de Conservación): The Aviso should state how long tenant data will be retained after the rental relationship ends — for example, data from credit checks retained for 5 years (matching Buró de Crédito data retention periods), lease documents retained for 10 years to comply with SAT tax record obligations under the Código Fiscal de la Federación.
Forms-legal.com provides this Aviso de Privacidad template as a reference. Property managers handling data of multiple tenants across multiple properties should engage a licensed abogado specialised in protección de datos personales or a consultant registered with INAI to implement a full LFPDPPP compliance programme, including a Programa de Privacidad (privacy programme) and data processing agreements (contratos de encargado) with service providers.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Tenant Privacy Notice Mexico (Mexico) [Legal document template]. Forms Legal. https://forms-legal.com/mexico/real-estate/notices/tenant-privacy-notice-mexico
"Tenant Privacy Notice Mexico (Mexico)." Forms Legal, 2026, https://forms-legal.com/mexico/real-estate/notices/tenant-privacy-notice-mexico.
@misc{formslegal-tenant-privacy-notice-mexico,
author = {{Forms Legal}},
title = {Tenant Privacy Notice Mexico (Mexico)},
year = {2026},
howpublished = {\url{https://forms-legal.com/mexico/real-estate/notices/tenant-privacy-notice-mexico}},
note = {Free legal document template}
}Frequently Asked Questions
Sí. Todo arrendador (persona física o persona moral) que recabe datos personales de arrendatarios prospectos o actuales —nombres, documentos de identificación, información de ingresos, reportes de crédito o referencias— está sujeto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) como responsable del tratamiento de datos. El artículo 15 de la LFPDPPP obliga al responsable a proporcionar un Aviso de Privacidad al titular (arrendatario) antes o en el momento de recabar sus datos personales. Esta obligación aplica al arrendador individual que renta un solo departamento, a las empresas de administración de inmuebles que gestionan varias unidades y a las agencias inmobiliarias que actúan como intermediarias. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) tiene competencia para investigar quejas e imponer sanciones por incumplimiento conforme a los artículos 63 a 67 de la LFPDPPP. Si bien la aplicación contra arrendadores individuales pequeños ha sido limitada en la práctica, la obligación legal es clara y el incumplimiento genera exposición legal, en particular para las empresas de administración de inmuebles y las agencias inmobiliarias que manejan datos a gran escala.
Conforme a los artículos 28 a 37 de la LFPDPPP, los arrendatarios (como titulares de datos personales) tienen cuatro derechos ARCO fundamentales respecto de sus datos en posesión de arrendadores y administradores de inmuebles. Acceso — el derecho a recibir, a solicitud, una copia gratuita de todos los datos personales que el arrendador tenga sobre ellos, las finalidades del tratamiento y las fuentes de los datos utilizadas (artículo 28 de la LFPDPPP); el arrendador debe responder dentro de 20 días hábiles. Rectificación — el derecho a solicitar la corrección de datos personales inexactos, desactualizados o incompletos (artículo 29 de la LFPDPPP); el arrendador debe corregir los datos y notificar al arrendatario dentro de 20 días hábiles. Cancelación — el derecho a solicitar la supresión de los datos personales una vez cumplida la finalidad del tratamiento —por ejemplo, después de que termine el arrendamiento y venza el plazo de conservación (artículo 30 de la LFPDPPP)—; el arrendador debe iniciar la supresión dentro de 20 días hábiles, sujeta a un periodo de bloqueo antes de la supresión definitiva. Oposición — el derecho a oponerse al tratamiento de datos para finalidades secundarias específicas, como la mercadotecnia o el intercambio con agencias afiliadas (artículo 31 de la LFPDPPP). Las solicitudes ARCO deben presentarse por escrito al contacto señalado en el Aviso de Privacidad, y el arrendador debe responder de fondo dentro de 20 días hábiles.
Sí, pero solo bajo condiciones específicas exigidas por la LFPDPPP y la Ley para Regular las Sociedades de Información Crediticia (Ley del Buró de Crédito). Para la consulta crediticia inicial —cuando el arrendador revisa el historial crediticio de un arrendatario prospecto en el Buró de Crédito o en Círculo de Crédito—, el arrendador debe obtener el consentimiento expreso y por escrito del arrendatario conforme al artículo 9 de la LFPDPPP y a la fracción II del artículo 40 de la Ley del Buró de Crédito. Este consentimiento suele incluirse en el formato de solicitud de arrendamiento. Para el reporte continuo del comportamiento de pago del arrendatario —si el arrendador reporta los datos de pago de renta al buró de crédito, como hacen algunas plataformas de administración de inmuebles—, esto requiere un acuerdo separado entre el arrendador y la sociedad de información crediticia, y el arrendatario debe ser informado en el Aviso de Privacidad de que sus datos de pago pueden reportarse. El Aviso de Privacidad debe identificar al buró de crédito como tercero receptor de datos conforme al artículo 36 de la LFPDPPP. La información crediticia obtenida del buró debe usarse únicamente para la finalidad declarada (la evaluación del arrendatario) y no puede reutilizarse para otros fines sin un nuevo consentimiento del arrendatario.
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad federal responsable de investigar las violaciones a la protección de datos e imponer sanciones administrativas conforme a los artículos 63 a 67 de la LFPDPPP. Las sanciones del INAI por violaciones a la protección de datos incluyen: multas de $100 a $320,000 pesos mexicanos por violaciones básicas (no proporcionar el Aviso de Privacidad, no responder a las solicitudes ARCO, no implementar medidas de seguridad); multas de $200,000 a $1,000,000 por violaciones graves que involucren datos personales sensibles u obstrucción deliberada de los derechos ARCO; multas de $400,000 a $4,000,000 por violaciones que causen un daño efectivo a los titulares de los datos, que involucren violaciones masivas de datos o que sean dolosas o de incumplimiento sistemático; y penalidades adicionales por violaciones de entidades en sectores regulados o que involucren datos de menores. El INAI también puede emitir órdenes correctivas públicas que exijan al arrendador implementar medidas de cumplimiento dentro de un plazo determinado, y puede remitir las violaciones penales (como el robo de datos o la venta ilícita de datos) a la Fiscalía General de la República conforme a los artículos 199 bis a 199 quáter del Código Penal Federal.
Sí. Las plataformas digitales de anuncios de renta y el software de administración de inmuebles que operan en México —incluidos Lamudi, Inmuebles24, Vivanuncios, Airbnb México y las plataformas de reservación para rentas vacacionales— están sujetos a la LFPDPPP como responsables de datos cuando recaban, tratan o almacenan datos personales de arrendadores, arrendatarios o visitantes de inmuebles a través de sus plataformas. Estas plataformas deben publicar un Aviso de Privacidad conforme a la ley en sus sitios web y aplicaciones móviles conforme a los artículos 15 a 17 de la LFPDPPP. Además, los arrendadores que usan estas plataformas como intermediarias deben entender que el Aviso de Privacidad de la plataforma cubre los datos tratados por la plataforma misma, pero el arrendador sigue siendo responsable, de manera separada, de su propio tratamiento de la información de los arrendatarios que recibe a través de la plataforma. El INAI ha emitido orientación específica sobre las obligaciones de protección de datos para las plataformas digitales en el contexto de sus Criterios Generales de Protección de Datos en la Economía Digital. Las plataformas de renta vacacional que tratan datos de visitantes extranjeros también deben considerar las implicaciones del RGPD si dan servicio a residentes de la UE, lo que crea obligaciones de cumplimiento duales.
Conforme a los principios de licitud, consentimiento, calidad, finalidad, lealtad, proporcionalidad y responsabilidad de la LFPDPPP (artículos 6 y 12), los arrendadores pueden recabar de los arrendatarios prospectos los datos personales que sean necesarios y proporcionales a la finalidad legítima de evaluar una solicitud de arrendamiento y administrar el arrendamiento. Entre los datos recabados legítimamente están: datos de identificación (nombre completo, copia del INE o pasaporte, CURP, fecha de nacimiento); datos de contacto (domicilio actual, teléfono, correo electrónico); datos económicos y financieros (comprobantes de ingresos, estados de cuenta bancarios, carta patronal, referencias de arrendadores anteriores); historial crediticio con el consentimiento expreso y por escrito del arrendatario; y el RFC para la emisión de comprobantes fiscales. El principio de proporcionalidad prohíbe recabar datos que excedan lo necesario para las finalidades declaradas; por ejemplo, un arrendador no puede exigir información médica, afiliación política, orientación sexual o creencias religiosas conforme al artículo 9 de la LFPDPPP (estos son datos sensibles que requieren justificación excepcional). La recolección discriminatoria de datos —por ejemplo, negarse a tramitar solicitudes a menos que el solicitante proporcione datos relacionados con una característica protegida— viola tanto la LFPDPPP como los artículos 1 y 4 de la Ley Federal para Prevenir y Eliminar la Discriminación (LFPED).
El principio de cancelación de la LFPDPPP (artículo 11) exige que los datos personales se supriman una vez cumplida la finalidad del tratamiento y vencidos los plazos legales de conservación aplicables. Para los datos del arrendatario, los plazos legales de conservación relevantes conforme al derecho mexicano incluyen: la documentación fiscal del SAT (comprobantes fiscales, contratos de arrendamiento, recibos) debe conservarse durante 5 años conforme al artículo 30 del Código Fiscal de la Federación; la documentación de derecho civil relativa al arrendamiento puede ser relevante para el plazo de prescripción de 10 años de las acciones civiles ordinarias conforme al artículo 1159 del CCF; los datos del reporte de crédito del Buró de Crédito los conserva el buró durante 6 años (registros positivos) y de 6 a 7 años (registros negativos) conforme a la Ley para Regular las Sociedades de Información Crediticia. En la práctica, los arrendadores deben establecer un calendario de conservación de datos: datos de identificación y contacto — suprimir 5 años después de la terminación del arrendamiento; documentos financieros y de ingresos — suprimir 5 años después de la terminación; reportes de crédito — suprimir una vez cumplida la finalidad de verificación; documentación del depósito de garantía — suprimir tras su devolución o la resolución de la reclamación. Vencido el plazo de conservación, los datos deben suprimirse de manera segura (cancelados y bloqueados) conforme al artículo 11 de la LFPDPPP para impedir su tratamiento ulterior.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Contrato de Arrendamiento de Casa Habitación México (CCF art. 2398)
Contrato de Arrendamiento de Casa Habitación para México — conforme al Código Civil Federal Artículo 2398 y códigos civiles estatales aplicables. Cubre renta, depósito en garantía, obligaciones del arrendatario y arrendador, fiador y causas de rescisión bajo el derecho inmobiliario mexicano.
Contrato de Arrendamiento con Opción de Compra México (CCF arts. 2398 y 2243)
Contrato de Arrendamiento con Opción de Compra para México — conforme al Código Civil Federal artículos 2398 y 2243. Combina un arrendamiento residencial o comercial con una opción irrevocable de compra a precio fijo, crédito de rentas acumulado, mecanismo de ejercicio ante Notario Público e inscripción en el Registro Público de la Propiedad.
Contrato de Comodato de Inmueble México (CCF arts. 2497–2515)
Contrato de Comodato de Inmueble para México conforme al Código Civil Federal Artículos 2497 a 2515. Transfiere el uso temporal gratuito de un bien inmueble sin transmitir la propiedad, con obligaciones de devolución, distribución de gastos ordinarios y extraordinarios, y reglas de responsabilidad del comodatario.
Acuerdo de Copropiedad de Inmueble México
Acuerdo de Copropiedad de Inmueble para México — regido por los Artículos 938–979 del Código Civil Federal, que regula los derechos y obligaciones de los copropietarios sobre un bien inmueble en copropiedad, incluyendo distribución de gastos, derechos de uso, toma de decisiones y procedimientos de partición.