CDMX va por ley de ciberseguridad y protección de datos

La Ciudad de México (CDMX) está a punto de implementar nuevas reglas estrictas para garantizar la ciberseguridad y proteger los datos personales, marcando un paso significativo en la lucha contra el creciente número de amenazas digitales en el país.

El objetivo principal de esta iniciativa es establecer una regulación clara y contundente que obligue a las empresas y entidades públicas a tomar medidas proactivas para proteger la información sensible. La propuesta incluye requisitos específicos, como la designación de responsables de ciberseguridad, la implementación de estrategias de protección de datos robustas y el reporte obligatorio de incidentes.

Además, se contempla capacitación obligatoria para todos los empleados en materia de ciberseguridad. Ello porque

México enfrenta un panorama de ciberseguridad complejo y cada vez más urgente.

El aumento exponencial de ataques cibernéticos, desde el ransomware contra instituciones públicas hasta robos masivos de datos personales, ha expuesto vulnerabilidades críticas en el sistema.

Un informe del Global Cybersecurity Outlook 2025 revela que casi la mitad de las entidades públicas en México no cuentan con el talento técnico necesario para contrarrestar estas amenazas. Esta brecha preocupante entre los avances tecnológicos y las capacidades institucionales pone en riesgo la seguridad de la información en todo el país.

Aunque se han dado pasos importantes, como la reforma al Código Penal para tipificar delitos cibernéticos y la creación de la Estrategia Nacional de Ciberseguridad en 2017, México todavía carece de una ley integral que unifique estándares y responsabilidades en materia de ciberseguridad. La falta de una regulación clara ha dificultado la coordinación entre las diferentes instancias gubernamentales y el sector privado.

La iniciativa de Ley de Ciberseguridad para la CDMX

Ante esta situación, la iniciativa de Ley de Ciberseguridad y protección de datos personales de la Ciudad de México busca llenar estos vacíos al exigir la designación de responsables de ciberseguridad, estrategias de protección de datos y sanciones económicas por incumplimiento. Esta propuesta tiene el objetivo de convertirse en un modelo para otras entidades a nivel nacional.

La iniciativa representa un esfuerzo local por abordar las deficiencias en materia de ciberseguridad. Al establecer requisitos claros y sancionar el incumplimiento, busca proteger los datos personales de los ciudadanos y garantizar una ciberinfraestructura más segura.

Sin embargo, el desafío persiste a nivel nacional. La falta de una coordinación federal clara y la inversión sostenida en capacidades técnicas mantienen a México rezagado frente a países como Brasil o Colombia, que ya cuentan con marcos legales robustos y sistemas de respuesta ágiles.

La futura ley, aún en discusión, podría ser la pieza faltante para construir una defensa coherente en el ciberespacio. Sin embargo, su éxito dependerá de la voluntad política y la colaboración multisectorial a nivel nacional.

En este sentido, la iniciativa de la ciudad no solo busca proteger los datos personales de sus ciudadanos, sino también servir como un ejemplo para el resto del país, impulsando una mayor conciencia sobre la importancia de la ciberseguridad en todos los ámbitos.

Requisitos para las empresas

La iniciativa de key establece que las empresas que operen en la capital del país deberán notificar al Instituto de Información (Info CDMX) cualquier incidente en sus sistemas o infraestructuras que pueda potencialmente llevar a una vulneración de datos personales. Esta medida busca promover la transparencia y permitir una respuesta rápida ante cualquier amenaza.

Asimismo, se definen sanciones para las empresas que no cumplan con los requisitos establecidos, como la falta de un sistema de gestión de seguridad de la información, el incumplimiento en el reporte de incidentes de ciberseguridad y la negligencia en la implementación de las medidas recomendadas por el instituto. El organismo autónomo tendrá la responsabilidad de vigilar el cumplimiento de esta normativa.

La propuesta de busca integrar el manejo de la protección de datos personales y transparentar los casos de ciberataques de las empresas que operan en la capital. Esto permitirá crear un ecosistema más seguro y confiable para los ciudadanos, al tiempo que promueve una cultura de responsabilidad en el uso y protección de la información.

Xóchitl Ramo Espinosa, diputada de la Ciudad de México y coordinadora parlamentaria del Congreso, resaltó la urgencia de esta regulación al señalar que se han reportado aproximadamente 200,000 incidentes en solo un año. Esta cifra pone en evidencia la necesidad de actuar con rapidez para proteger los datos personales y garantizar la seguridad de las actividades digitales en el país.