Protección de Datos Financieros en LATAM: Residencia y Cifrado

En 2025, México cambió las reglas del dato personal y casi nadie en la banca lo vio venir. La ley se endureció y, al mismo tiempo, el organismo que la vigilaba dejó de ser autónomo. Esa combinación cambia el cálculo de riesgo para tu institución.

No es un ajuste menor. El 21 de marzo de 2025 entró en vigor una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que sustituyó a la de 2010. Y con ella desapareció el INAI: sus funciones de supervisión pasaron a una secretaría que depende directamente del Ejecutivo, según el análisis de KPMG y confirmó EY. Para una institución financiera, eso significa reglas más estrictas vigiladas por un regulador con otra estructura de incentivos. Quien siga gestionando los datos de sus clientes con la arquitectura de hace quince años está acumulando un pasivo que ya no es solo técnico: es legal.

Qué cambió, en concreto

La reforma aprieta en los puntos que más le importan a un banco:

• Consentimiento más estricto. Para datos financieros, el consentimiento debe ser expreso y por escrito, y revocable en cualquier momento. Se elimina la posibilidad de reutilizar datos para "finalidades análogas": cada nuevo uso exige un nuevo permiso, como detalla Greenberg Traurig.

• Derechos ARCO reforzados, con un añadido. Acceso, rectificación, cancelación y oposición siguen, con un plazo de respuesta de 20 días hábiles. Y aparece un derecho nuevo y muy de esta época: oponerse a decisiones automatizadas que afecten al titular. Si tu scoring de crédito es un algoritmo, esto te toca.

• Más obligados. La definición de quién responde por los datos se amplió para alcanzar también a los encargados del tratamiento, según resume Garrigues.

Y la sanción dejó de ser simbólica: las multas llegan hasta cientos de miles de UMAs —del orden de decenas de millones de pesos, que se duplican si hay datos sensibles de por medio—, con penas de prisión de hasta cinco años para los casos de tratamiento doloso, conforme a la nueva ley analizada por UPLAW y el texto publicado en el DOF. El costo de un descuido en datos ya no cabe en una nota al pie.

Residencia de datos: dónde viven tus datos importa

Aquí está el punto que enlaza la ley con tu arquitectura. La Circular Única de Bancos de la CNBV exige que una institución pida autorización previa —con al menos 20 días hábiles de anticipación— antes de contratar servicios en la nube o con terceros que operen total o parcialmente fuera de México, según la guía de la propia CNBV. El proveedor debe residir en una jurisdicción cuyas leyes protejan los datos personales, y hay obligación de mantener una copia local de los registros, como documenta la guía de cumplimiento de AWS para México.

Traducción para quien decide la tecnología: dónde viven físicamente tus datos es una decisión regulada, no un detalle de infraestructura. Un core que nace con residencia de datos configurable —que te deja elegir y demostrar dónde se almacena y procesa cada dato— evita convertir cada contratación de nube en un cuello de botella ante el regulador. Un core que no lo contempla te obliga a resolverlo a parches, proyecto por proyecto.

Cifrado: no es opción, es requisito de arquitectura

La CNBV no deja el cifrado a criterio: exige que las llaves criptográficas y los procesos de cifrado vivan en dispositivos de alta seguridad —los HSM— y que la comunicación garantice integridad y confidencialidad, conforme a la Circular Única de Bancos. A eso se suma el estándar PCI DSS 4.0, que para datos de tarjeta obliga a cifrado TLS 1.2 o superior en tránsito y a almacenar el número de tarjeta cifrado o tokenizado, según la guía de PCI DSS y el análisis de Thoropass. La estrategia más eficaz sigue siendo la misma que ya hemos defendido: sacar el dato sensible de donde no hace falta, mediante tokenización, en lugar de blindar cada rincón.

Todo esto funciona si está en los cimientos. El cifrado y el manejo de llaves añadidos al final, sobre un core que no fue diseñado para ellos, son frágiles y caros de auditar.

No es solo México: la región es un mosaico

Si tu institución opera o aspira a operar en varios países, el reto se multiplica. Brasil tiene la LGPD, con multas de hasta el 2% de la facturación —topadas en 50 millones de reales por infracción—, conforme al texto de la propia ley, y desde octubre de 2025 su autoridad (la ANPD) opera con plena estructura sancionadora, según el sitio oficial gov.br. Chile estrena en diciembre de 2026 una ley al estilo europeo, la 21.719, publicada en el Diario Oficial y disponible en la Biblioteca del Congreso Nacional. Colombia y Argentina tienen las suyas, cada una con sus reglas de transferencia y residencia. No existe un marco único regional; existe un rompecabezas país por país. No sorprende que el 84% de las instituciones financieras ya haya modificado su hoja de ruta de nube por motivos de privacidad, soberanía y riesgo operacional, según el estudio de LSEG reportado por InnovaciónDigital360. La arquitectura que no contempla esa fragmentación se vuelve un freno para crecer en la región.

Cómo lo vemos en WAU

En WAU diseñamos cores donde la protección de datos no es un módulo que se cuelga al final, sino parte de la base: residencia de datos configurable para cumplir la regla de la CNBV sin reingeniería, cifrado y manejo de llaves en HSM de fábrica, y gestión de consentimiento trazable como un dato de primera clase. Cumplir con la ley de 2025 —y con el mosaico regional— deja de ser una carrera contra el regulador y se vuelve una propiedad del sistema.

Si la reforma de datos te tomó con un core que no fue pensado para ella, hablemos. Revisamos dónde estás expuesto y trazamos la ruta para cerrarlo. 👉 Agenda una conversación con nuestro equipo.

Fuentes

• KPMG — Flash: Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (abr 2025)

• EY México — Entrada en vigor de la nueva LFPDPPP (2025)

• Garrigues — La nueva LFPDPPP introduce el aviso de privacidad y elimina el INAI (2025)

• Greenberg Traurig — La nueva Ley de Protección de Datos de México: consideraciones para empresas (mar 2025)

• UPLAW — Nueva Ley de Protección de Datos Personales 2025: sanciones y claves (2025)

• Cámara de Diputados (DOF) — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2025)

• CNBV — Guía para la autorización de contratación de servicios con terceros (2022)

• AWS — Guía del usuario sobre normas aplicables a instituciones de crédito en México (CNBV)

• CNBV — Disposiciones de carácter general aplicables a las instituciones de crédito (Circular Única de Bancos)

• PCI DSS Guide — Securing Card Data in Transit: Requirement 4 (PCI DSS 4.0)

• Thoropass — PCI DSS encryption requirements (v4.0.1, 2025)

• LGPD Brasil — Artículo 52: sanciones administrativas de la ANPD (multa hasta 2% / tope R$50M)

• gov.br / ANPD — La ANPD y la aplicación de sanciones por incumplimiento de la LGPD

• Biblioteca del Congreso Nacional de Chile — Ley 21.719 (vigencia dic 2026)

• InnovaciónDigital360 — Migración a la nube en servicios financieros: 84% modificó su hoja de ruta (estudio LSEG, nov 2025)