Un data center en México no solo almacena servidores, también, almacena datos personales. Datos biométricos del personal técnico, registros de acceso de contratistas, información de visitantes y datos de los clientes que operan desde las instalaciones. Por lo tanto, la pregunta no es si aplica la LFPDPPP a tu operación. La pregunta es si estás aplicando correctamente uno de sus principios más exigentes: la proporcionalidad en el tratamiento de datos sensibles.
La proporcionalidad en datos sensibles en un data center significa que solo puedes recopilar los datos que sean estrictamente necesarios para el fin que declaraste, y únicamente durante el tiempo que ese fin lo justifique. No más. Recopilar más datos de los necesarios — aunque sean datos de acceso o biométricos — es una violación directa a este principio, independientemente de si cuentas con consentimiento.
¿Qué son los Datos Sensibles en un Data Center?
Antes de aplicar la proporcionalidad, es fundamental identificar qué datos son considerados sensibles bajo la LFPDPPP.
De acuerdo con la ley, estos datos pueden afectar la esfera más íntima del titular o generar discriminación si se usan de forma indebida.
En un data center, los más comunes son:
- Datos biométricos: huellas, reconocimiento facial, iris o venas
- Datos de salud: registros médicos por temas laborales o seguros
- Datos de origen étnico o migratorio: en procesos de validación de identidad
Su tratamiento desproporcionado tiene las sanciones más altas de la ley: de 100 a 320,000 UMAs, equivalentes a entre USD $565 y $1.8 millones aproximadamente.
Proporcionalidad datos sensibles Data Center: Cómo aplica en la práctica
El principio de proporcionalidad se evalúa en tres dimensiones clave:
- Cantidad de datos
- Tiempo de retención
- Nivel de acceso
A continuación, te explico cada una.
Dimensión 1: Cantidad de Datos Recopilados
La pregunta correcta no es “¿qué datos podemos recopilar?” sino “¿qué datos necesitamos realmente para este fin específico?”
Por ejemplo, si el objetivo es controlar el acceso físico, un solo identificador biométrico debería ser suficiente.
Sin embargo, es común ver prácticas como:
- Uso simultáneo de huella, rostro y voz sin justificación
- Captura de fotos de visitantes almacenadas por años
En estos casos, el exceso de datos rompe el principio de proporcionalidad.
Dimensión 2: Tiempo de Retención
Por otro lado, los datos sensibles no deben almacenarse indefinidamente.
Deben eliminarse cuando el propósito se cumple.
Por ejemplo:
- Los datos de ex empleados deben eliminarse al terminar la relación laboral
- Los datos de visitantes suelen conservarse entre 6 y 12 meses
- Los logs pueden mantenerse más tiempo, pero sin los datos biométricos asociados
Aun así, muchas operaciones almacenan todo sin distinción.
Y esto, claramente, es una violación directa.
Dimensión 3: Nivel de Acceso Interno
Finalmente, la proporcionalidad también aplica al acceso.
Es decir, no todos deberían ver todo.
Por lo tanto:
- Solo quienes necesitan los datos deben acceder a ellos
- Se deben implementar permisos por rol
- Se debe limitar la visibilidad por cliente
Este enfoque se conoce como mínimo privilegio, y es clave para cumplir con la ley.
En la práctica, esto significa implementar controles de acceso diferenciados por rol — exactamente lo que herramientas como DC Platforms hacen mediante su sistema RBAC (Role-Based Access Control), donde cada usuario solo ve y accede a los datos que su rol justifica.
Los 4 errores de proporcionalidad más comunes en Data Centers
Errores que se repiten con más frecuencia en la industria y que representan riesgo legal directo bajo la LFPDPPP:
Error 1 — Recopilar biometría sin justificación de seguridad documentada Instalar lectores biométricos en zonas de baja criticidad — como estacionamientos o comedores — sin que el nivel de riesgo justifique ese dato En este caso, una tarjeta RFID es suficiente y proporcional.
Error 2 — No tener política de retención diferenciada Almacenar datos biométricos, logs de acceso y datos de contacto en el mismo sistema, con la misma regla de retención o sin ninguna. Por el contrario, cada tipo de dato debe tener su propio período documentado y un proceso de eliminación verificable.
Error 3 — Dar acceso masivo a logs de acceso de clientes Permitir que el equipo de ventas, soporte o administración vea los registros de acceso físico de los técnicos de un cliente es una violación de proporcionalidad y de separación de datos. Además, puede constituir una violación de confidencialidad frente al cliente.
Error 4 — No actualizar el aviso de privacidad cuando cambia la tecnología Si tu data center actualiza su sistema de control de acceso de tarjeta RFID a enrolamiento facial, el aviso de privacidad debe actualizarse antes de implementar el cambio, no después.
Proporcionalidad y el control de acceso a racks: Un caso concreto
La seguridad en el acceso a racks es el ejemplo más claro de cómo la proporcionalidad aplica en capas dentro de un data center. No todos los racks requieren el mismo nivel de control biométrico — y exigir biometría donde basta con una tarjeta RFID es una violación al principio de proporcionalidad, no una mejora de seguridad.
La regla práctica es la siguiente: el nivel de dato sensible recopilado debe ser proporcional al nivel de riesgo de la zona que protege. Por lo tanto
| Zona del data center | Nivel de riesgo | Control proporcional |
|---|---|---|
| Estacionamiento y acceso exterior | Bajo | Tarjeta RFID o QR |
| Lobby y recepción | Medio | Tarjeta RFID + foto |
| Sala de servidores (white space) | Alto | Biometría de un factor |
| Rack individual en multi-tenant | Muy alto | Biometría + segundo factor |
| Zonas clasificadas o gubernamentales | Crítico | Biometría multimodal + supervisión |
De esta manera, cada capa de seguridad usa exactamente el nivel de dato sensible que justifica, ni más ni menos.
Cómo DC Platforms ayuda a aplicar la proporcionalidad
Aplicar el principio de proporcionalidad no es solo una decisión jurídica — es una decisión operativa que debe estar reflejada en los sistemas que gestiona tu data center día a día.
DC Platforms es el software de operaciones para data centers en América Latina que centraliza el control de acceso, los logs de actividad y la separación de datos por cliente y por rol. Además, su sistema RBAC garantiza que cada usuario acceda únicamente a los datos que su función justifica — cumpliendo el principio de proporcionalidad de forma automática, sin depender de procesos manuales.
Entre sus funcionalidades directamente relacionadas con la proporcionalidad de datos sensibles se encuentran: control de acceso diferenciado por zona y por nivel de seguridad, logs de actividad con trazabilidad completa, separación estricta de datos por cliente mediante permisos granulares, y generación automática de evidencia auditable para ISO 27001, SOC 2 y LFPDPPP 2025.
La proporcionalidad no es una limitación — es una ventaja operativa
Aplicar correctamente el principio de proporcionalidad en datos sensibles no significa recopilar menos información útil. Por el contrario, significa recopilar exactamente la información correcta, en el lugar correcto y durante el tiempo correcto. En conclusión, eso reduce costos de almacenamiento, simplifica las auditorías y genera más confianza con tus clientes.
Los operadores de data centers en México que documentan y demuestran proporcionalidad en su tratamiento de datos sensibles no solo evitan sanciones — también diferencian su operación en un mercado donde el cumplimiento legal es cada vez más parte del criterio de selección de proveedor.
¿Quieres ver cómo DC Platforms centraliza el cumplimiento de datos sensibles en tu data center?
Solicita una prueba gratuita y te mostramos cómo funciona en 15 minutos
