Multa de $42.8 millones a la FMF por el Fan ID: la lección más cara sobre datos sensibles bajo la LFPDPPP

Un checkbox no basta: la sanción a la Federación Mexicana de Futbol confirma que tratar datos biométricos sin consentimiento expreso y por escrito puede costar millones — y tu organización podría estar cometiendo el mismo error hoy.

El 12 de julio de 2026, la Secretaría Anticorrupción y Buen Gobierno impuso a la Federación Mexicana de Futbol (FMF) una multa de $42,849,095 pesos por violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en la operación del sistema Fan ID. Es una de las primeras sanciones de alto perfil de la autoridad que sustituyó al INAI, y un mensaje directo para cualquier organización mexicana que recaba fotografías, huellas o rostros de sus clientes: los datos biométricos son datos sensibles, y tratarlos mal sale muy caro.


¿Qué pasó? La sanción al Fan ID

El Fan ID es el registro que la FMF implementó en el Clausura 2023 y volvió obligatorio en septiembre de ese año para ingresar a los estadios de la Liga MX. Para obtenerlo, los aficionados debían entregar datos personales, identificación oficial y una fotografía del rostro que el sistema utiliza para verificar la identidad en los accesos.

La Secretaría Anticorrupción y Buen Gobierno —que asumió las funciones del extinto INAI tras la reforma de marzo de 2025— determinó que la FMF violó los principios de licitud y responsabilidad de la LFPDPPP, y encontró dos infracciones concretas:

  1. No informó que las fotografías eran datos sensibles. El aviso de privacidad del Fan ID omitió señalar que las imágenes faciales recabadas constituían datos biométricos, una categoría de datos personales sensibles. Esa omisión impidió que los titulares conocieran el alcance real del tratamiento y decidieran de manera informada.
  2. No obtuvo consentimiento expreso y por escrito. La FMF pedía la autorización mediante una casilla (checkbox) en su plataforma web. Para la autoridad, ese mecanismo no acredita de manera indudable el consentimiento que la ley exige para datos sensibles, que requiere mecanismos de autenticación como firma autógrafa o firma electrónica.

Para fijar el monto, la autoridad consideró la gravedad de las infracciones, la naturaleza biométrica de los datos y la capacidad económica de la federación, con base en su declaración anual de 2024. Cabe recordar que el INAI ya había sancionado a la FMF en ocasiones anteriores por el mismo sistema: no se trató de un descuido aislado, sino de un incumplimiento sostenido.

¿Por qué importa? La nueva autoridad sí sanciona

Tras la desaparición del INAI, muchas organizaciones asumieron que la vigilancia en materia de datos personales entraría en pausa. Esta resolución demuestra lo contrario: la Secretaría Anticorrupción y Buen Gobierno está ejerciendo activamente sus facultades de supervisión y sanción bajo la nueva LFPDPPP, publicada el 20 de marzo de 2025.

El caso también fija un criterio operativo que afecta a miles de empresas: una fotografía del rostro, cuando se procesa para identificar o autenticar a una persona, es un dato biométrico sensible. No importa que “solo sea una foto”. Si tu sistema la usa para reconocimiento o verificación de identidad, el estándar legal se eleva: aviso de privacidad que declare expresamente el carácter sensible del dato, y consentimiento expreso y por escrito del titular.

Y el criterio más incómodo para el mercado: el checkbox genérico de “acepto el aviso de privacidad” no es suficiente para datos sensibles. Ese es exactamente el mecanismo que usan hoy incontables plataformas mexicanas de onboarding digital, control de acceso, tiempo y asistencia, fintech y verificación de identidad.

¿Qué significa para tu organización?

  1. Si recabas biometría, estás en la categoría de mayor riesgo regulatorio. Reconocimiento facial en accesos, huella digital en checadores, verificación de identidad con selfie, videovigilancia con analítica de rostros: todos son tratamientos de datos sensibles que exigen el estándar reforzado de consentimiento. La multa a la FMF es el precedente de lo que cuesta ignorarlo.
  2. Tu aviso de privacidad puede ser tu principal vulnerabilidad legal. La primera infracción de la FMF no fue técnica: fue documental. Un aviso que no declara expresamente qué datos sensibles tratas y con qué finalidad es, por sí solo, una infracción sancionable — aunque tu seguridad técnica sea impecable.
  3. El mecanismo de consentimiento importa tanto como el consentimiento mismo. La autoridad exige poder acreditar de manera indudable que el titular autorizó el tratamiento de sus datos sensibles. Un checkbox no deja esa evidencia; una firma electrónica con trazabilidad, sí.
  4. La reincidencia agrava el escenario. La FMF ya había sido multada por el INAI por el mismo sistema. Las sanciones previas no atendidas se convierten en agravantes cuando llega la siguiente resolución.

¿Qué debe hacer tu organización ahora?

  1. Inventaría tus tratamientos de datos sensibles. Identifica todos los puntos donde recabas biometría, datos de salud u otra información sensible: RH, control de acceso, onboarding de clientes, videovigilancia, apps móviles.
  2. Audita tus avisos de privacidad. Verifica que declaren expresamente el carácter sensible de los datos, las finalidades del tratamiento y las transferencias. Actualízalos al marco de la nueva LFPDPPP de 2025.
  3. Refuerza el mecanismo de consentimiento. Para datos sensibles, sustituye el checkbox genérico por consentimiento expreso y por escrito: firma electrónica avanzada, firma autógrafa digitalizada o mecanismos equivalentes que generen evidencia auditable.
  4. Evalúa la seguridad técnica del tratamiento. Los datos biométricos no se pueden “cambiar” como una contraseña: una fuga es irreversible. Cifrado, control de accesos, pruebas de penetración a las plataformas que los almacenan y planes de respuesta a incidentes son indispensables.
  5. Integra privacidad y seguridad en un solo programa. Un sistema de gestión alineado a ISO 27001 permite documentar controles, demostrar el principio de responsabilidad ante la autoridad y reducir tanto el riesgo de sanción como el de brecha.

Conclusión

La multa de $42.8 millones a la FMF no es una nota deportiva: es el precedente regulatorio más importante en materia de datos personales desde la entrada en vigor de la nueva LFPDPPP. Confirma que la autoridad sucesora del INAI está activa, que los datos biométricos se tratan con el estándar más alto de la ley, y que las prácticas de consentimiento que la mayoría de las plataformas consideran “normales” — un checkbox y un aviso genérico — pueden no resistir una inspección.

La buena noticia es que el cumplimiento es alcanzable: avisos de privacidad bien redactados, mecanismos de consentimiento con evidencia, y controles de seguridad verificables sobre los sistemas que almacenan datos sensibles.

En Cyberseg Solutions acompañamos a organizaciones mexicanas en la protección de datos sensibles y cumplimiento de LFPDPPP: desde la implementación de sistemas de gestión ISO 27001 hasta la evealuación y fortalecimiento de las plataformas que almacenan información biométrica. Si quieres evaluar el nivel de riesgo de tus tratamientos de datos bajo LFPDPPP antes de que lo haga la autoridad, escríbenos.


Fuentes: Infobae — Las dos infracciones que cometió la FMF con el FAN IDEl Financiero — Multan a la FMF con 42 mdp por el Fan IDAristegui Noticias — Anticorrupción multa a FMF

Related Post

El mercado de la ciberseguridad alcanzará 2 trillones de dólares

Un estudio de mercado realizado por McKinsey & Company revela que se espera que la…

Lo que sabemos del ataque de Hafnium a Microsoft Exchange

El pasado 2 de marzo Microsoft advirtió sobre cuatro vulnerabilidades zero-day en Exchange Server 2013,…

5 consejos de ciberseguridad para pequeñas empresas

Muchas pequeñas empresas (Small Businesses) son presa fácil de los ciberataques. Si bien es más…