# 2.5. Cumplimiento normativo

### 2.5.1. Marco legal aplicable en México

**Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP):** \
Regula cómo empresas privadas en México pueden recolectar, usar, almacenar y compartir datos personales.

**NOM-151-SCFI-2016:** Norma oficial mexicana sobre requisitos de conservación de mensajes de datos y digitalización de documentos.

**Otros marcos complementarios:** Código de Comercio, Ley de Firma Electrónica Avanzada, Lineamientos del INAI.

### 2.5.2. Clasificación de datos según sensibilidad

La LFPDPPP clasifica datos personales en 3 categorías:

**Categoría 1:** Datos personales (protección base)

* Nombre, dirección, teléfono, email, RFC, CURP, fecha de nacimiento, fotos, datos laborales.

**Categoría 2:** Datos Personales Patrimoniales o Financieros (protección reforzada)

* Ingresos, cuentas bancarias, tarjetas, historial crediticio.

**Categoría 3:** Datos Personales Sensibles (protección máxima)

* Salud, origen racial, creencias, afiliación sindical, opiniones políticas, preferencias sexuales, datos biométricos.

Cada categoría tiene obligaciones distintas (aviso de privacidad, tipo de consentimiento, etc.).

### 2.5.3. Checklist de cumplimiento para tu caso de uso

**CHECKLIST - 15 puntos obligatorios antes de poner IA en producción:**

* ☐ 1. Identificación de datos procesados
* ☐ 2. Clasificación de sensibilidad
* ☐ 3. Aviso de privacidad existente
* ☐ 4. Actualización de aviso (si necesario)
* ☐ 5. Consentimiento apropiado
* ☐ 6. Finalidad específica y legítima
* ☐ 7. Principio de minimización
* ☐ 8. Calidad de datos
* ☐ 9. Seguridad técnica (en tránsito y en reposo, acceso restringido)
* ☐ 10. Derechos ARCO implementados (Acceso, Rectificación, Cancelación, Oposición)
* ☐ 11. Responsable designado (persona con contacto)
* ☐ 12. Registro de tratamiento (bitácora)
* ☐ 13. Transferencias internacionales (si usas Groq/cloud)
* ☐ 14. Tiempo de conservación definido
* ☐ 15. Auditoría y logs (who-accessed-what, prompts enviados con qué datos)<br>

{% hint style="danger" %}
🚨 **SANCIONES REALES - NO ES SOLO TEORÍA**

El INAI sancionó activamente a empresas que no cumplían la LFPDPPP:

* Pequeñas empresas: $10K-$50K MXN por infracciones menores.
* Empresas medianas: $100K-$500K MXN por infracciones graves.
* Casos extremos: Hasta $20M MXN por violaciones masivas + clausura temporal.

**Infracciones perseguidas:** no tener aviso de privacidad, transferir datos sin consentimiento, no atender solicitudes ARCO en tiempo, no reportar violaciones de seguridad, uso de datos con chatbots sin aviso de IA.

**Conclusión:** El cumplimiento no es opcional.
{% endhint %}

**Recursos oficiales para profundizar:**

* Guía INAI para MiPyMEs: <https://inicio.gob.mx/guias>
* Modelo de aviso de privacidad: <https://inai.org.mx/documentos>
* Lineamientos INAI: <https://dof.gob.mx/lfpdppp>

***

### ¡Felicidades por completar la sesión 2!&#x20;

Has configurado tu stack de Llama  (Ollama local o Groq cloud), construido tu biblioteca de prompts con templates optimizados, implementado tu primer prototipo funcional, conectado Llama a tus datos con RAG, y validado cumplimiento normativo LFPDPPP/NOM-151.

Entregables que debes tener ahora:

* ✅ Ollama instalado y corriendo (o cuenta Groq configurada).
* ✅ Biblioteca de Prompts con 3-10 templates testeados.
* ✅ Sistema RAG con 10-20 documentos core cargados.
* ✅ Open WebUI o LM Studio configurado como interfaz.
* ✅ Checklist de cumplimiento legal completado.
* ✅ Prototipo funcional probado con casos reales.

Próximo paso: En sesión 3 profundizarás en RAG avanzado, personalización de respuestas según usuario, y prepararás tu sistema para producción con monitoreo y mejora continua.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://incmty.gitbook.io/llama/sesion-2/2.5.-cumplimiento-normativo.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.