PUI para instituciones con bases de datos de personas — Interconexión obligatoria
El Art. 12 Bis fracción V de la Ley General en Materia de Desaparición Forzada de Personas (LGMDFP) contiene una cláusula general que obliga a toda institución privada que administre registros o bases de datos de personas a conectarse con la Plataforma Única de Identidad (PUI), siempre que dicha información pueda ser necesaria para la investigación, búsqueda, localización e identificación de personas desaparecidas o no localizadas. Esta es la disposición más amplia de la ley y alcanza a un universo extenso de empresas: desde plataformas SaaS y marketplaces de e-commerce hasta empresas de recursos humanos, CRMs, plataformas de eventos, inmobiliarias y coworkings. Si tu empresa almacena datos personales de terceros en cualquier formato digital, esta obligación probablemente te aplica.
¿Qué tipos de empresas están obligadas bajo esta cláusula general?
La cláusula del Art. 12 Bis fracción V es funcional, no sectorial: lo que importa es que la empresa administre datos personales, no su giro comercial. Estos son los principales tipos de instituciones alcanzadas:
| Tipo de institución | Ejemplos |
|---|---|
| Empresas SaaS y software | Plataformas que almacenan datos de usuarios finales, aplicaciones con registro de cuentas, servicios cloud con bases de datos de personas |
| Plataformas de e-commerce y marketplace | Tiendas en línea con registro de compradores, marketplaces con datos de vendedores y clientes, plataformas de delivery |
| Empresas de recursos humanos (HR tech) | Plataformas de reclutamiento, bolsas de trabajo, sistemas de nómina, software de gestión de personal |
| CRMs con datos de clientes | Sistemas de gestión de relaciones con clientes que almacenan nombres, contactos, direcciones y datos de identificación |
| Plataformas de eventos y ticketing | Sistemas de venta de boletos, plataformas de registro para eventos, conferencias y conciertos con datos de asistentes |
| Inmobiliarias con registros de inquilinos | Empresas de administración de propiedades, portales inmobiliarios, plataformas de renta con datos de arrendatarios |
| Coworkings con registro de usuarios | Espacios de trabajo compartido con control de acceso, registro de miembros y visitantes, plataformas de reserva de espacios |
Requisitos técnicos de interconexión para empresas con bases de datos
La interconexión con la PUI requiere habilitar un canal seguro de consulta que permita a la Comisión Nacional de Búsqueda verificar si una persona figura en los registros de la empresa. Esto implica mapear los campos de la base de datos al esquema estandarizado de la PUI, implementar endpoints de consulta con autenticación robusta, configurar los protocolos de cifrado requeridos y garantizar la disponibilidad del servicio. Para empresas con arquitecturas modernas — APIs REST, bases de datos SQL o NoSQL, infraestructura cloud — la integración es directa pero requiere conocimiento específico de los lineamientos de la CNB.
KYC PUI se especializa en esta integración. Trabajamos con cualquier stack tecnológico: conectamos bases de datos PostgreSQL, MySQL, MongoDB, sistemas legacy, hojas de cálculo o cualquier formato donde residan los datos. Nos encargamos de todo el proceso técnico para que el equipo de desarrollo de la empresa no tenga que desviar recursos de su producto principal. La implementación toma minutos.
Preguntas frecuentes — PUI y bases de datos de personas
¿Cómo determino si mi empresa está alcanzada por la cláusula general del Art. 12 Bis fracción V?
La cláusula aplica a toda institución privada que administre registros o bases de datos de personas cuya consulta sea necesaria para la investigación, búsqueda, localización e identificación de personas desaparecidas o no localizadas. En la práctica, si tu empresa almacena datos personales — nombres, direcciones, teléfonos, CURP, fotografías — de clientes, usuarios, empleados o cualquier otra persona, y esos datos podrían ayudar a localizar a alguien, la obligación probablemente aplica. El criterio es funcional, no sectorial: lo que importa es el tipo de datos que administras, no el giro de tu empresa.
¿Las empresas SaaS o proveedores de software en la nube también deben conectarse a la PUI?
Sí. El Art. 12 Bis fracción V no distingue entre datos almacenados en servidores propios o en la nube. Si una empresa SaaS administra bases de datos que contienen información personal de usuarios finales — independientemente de que esos datos residan en infraestructura cloud, servidores compartidos o centros de datos de terceros — la obligación de interconexión aplica. Lo relevante es que la empresa tenga control sobre los datos y la capacidad técnica de consultarlos.
¿Qué significa consulta necesaria en el contexto de la PUI?
El término consulta necesaria se refiere a que la información almacenada en la base de datos pueda ser útil para investigar, buscar, localizar o identificar a una persona desaparecida. No se requiere que la base de datos haya sido consultada previamente en una investigación; basta con que los datos que contiene tengan el potencial de contribuir a la búsqueda. En la práctica, cualquier base de datos con nombres, datos de contacto, direcciones o identificadores personales cumple este criterio.
¿Existe un tamaño mínimo de base de datos o número de registros para que aplique la obligación?
No. La ley no establece un umbral mínimo de registros, usuarios o tamaño de base de datos. La obligación aplica independientemente de si la empresa tiene 100 o 10 millones de registros. Dicho esto, el riesgo regulatorio y la probabilidad de fiscalización son mayores para empresas con volúmenes significativos de datos personales. KYC PUI ofrece planes adaptados al tamaño de cada organización para que el cumplimiento sea accesible sin importar la escala.
Conecta tu institución a la PUI
KYC PUI implementa la integración completa con la Plataforma Única de Identidad en minutos. Sin necesidad de ingenieros propios.
Solicitar demo gratuita →