Blog/Gestión

Aviso de privacidad para gimnasios: cómo cumplir con la LFPDPPP sin contratar abogado

Klasius·
Aviso de privacidad para gimnasios: cómo cumplir con la LFPDPPP sin contratar abogado

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) lleva en vigor desde 2010. Hoy en día casi ningún dueño de estudio puede decir que no la conoce — pero más del 70% de los gimnasios y estudios fitness en México operan sin un aviso de privacidad real. Tienen uno copiado de internet, o tienen uno que ningún cliente firmó, o creen que con poner el link en el footer ya cumplieron. Ninguna de esas tres cosas es suficiente.

El problema es que el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) tiene autoridad para iniciar procedimientos de oficio o por denuncia. Las multas van desde 100 a 320,000 días de salario mínimo — fácilmente $50,000 a $30,000,000 MXN. La buena noticia: cumplir es relativamente sencillo, y los procedimientos del INAI suelen empezar con un apercibimiento, no con la multa máxima. La mala noticia: si tu plan es "ya cuando llegue el INAI me preocupo", la cuenta empieza el día que llega la denuncia, no el día que llega la inspección.

Esta guía cubre exactamente qué hace falta para que tu estudio quede en regla. No es asesoría legal personalizada — pero sí es lo más cerca a una plantilla operativa que vas a encontrar.

Por qué tu estudio recolecta datos sensibles (aunque no lo sepas)

La LFPDPPP define categorías de datos:

Datos personales generales: nombre, dirección, teléfono, email, fecha de nacimiento. Tu sistema de gestión los pide al alta.

Datos personales financieros: tarjeta, banco, RFC. Tu pasarela de pagos los procesa.

Datos personales sensibles: datos de salud, condiciones médicas, lesiones previas, embarazo. Tu deslinde los recolecta.

Datos biométricos: huella digital, reconocimiento facial. Si usas check-in por QR + cámara o terminal biométrica, los tienes.

Imágenes: fotos en tus redes sociales, videos de clases, fotos de eventos. Cualquier foto donde sea identificable una persona es dato personal.

Cualquier estudio que opere normalmente está tocando las cinco categorías. Eso significa: cumples LFPDPPP o estás expuesto.

Qué debe decir tu aviso de privacidad (formato simplificado)

El INAI distingue dos niveles de aviso: simplificado (corto, para puntos de contacto) e integral (completo, para tener disponible cuando el cliente lo pida).

El aviso simplificado debe contener al mínimo:

  1. Identidad y domicilio del responsable. Tu razón social completa + dirección del estudio.
  2. Finalidades del tratamiento. Para qué usas los datos: alta de membresía, programación de clases, cobro, comunicación, marketing si aplica.
  3. Mecanismos para conocer el aviso integral. Link a tu web donde está el integral.
  4. Mecanismos para ejercer derechos ARCO. Email o dirección donde el cliente puede pedir Acceso, Rectificación, Cancelación, Oposición sobre sus datos.

Eso es lo MÍNIMO que debes tener visible en recepción, en tu sitio web (footer), y en cualquier formulario donde recolectes datos.

El aviso integral: la versión larga

El integral incluye TODO lo del simplificado más:

  1. Datos personales que se tratarán. Lista específica.
  2. Datos sensibles si aplica. Mención expresa de que tratas datos de salud.
  3. Transferencias. Quién más procesa los datos. Procesador de pagos (Stripe, MercadoPago). Email marketing (Mailchimp, Resend). Software de gestión (Klasius, Mindbody, etc.). Análisis (Google Analytics).
  4. Procedimiento para ejercer derechos ARCO con detalle. Pasos exactos.
  5. Opciones para limitar uso o divulgación. Cómo se da de baja del email marketing, cómo retira consentimiento.
  6. Procedimiento para revocar consentimiento. Cómo cancela su cuenta.
  7. Uso de cookies y tecnologías similares en tu sitio.
  8. Cambios al aviso de privacidad. Cómo se notifican.

El aviso integral va publicado en tu sitio web. La URL canónica suele ser /aviso-de-privacidad o /privacidad.

Plantilla base que puedes copiar y adaptar

A continuación una plantilla resumida. Copia, personaliza con los datos de tu estudio, valida con tu abogado de cabecera y publica.

AVISO DE PRIVACIDAD INTEGRAL — [Razón Social del Estudio]

Responsable de la protección de tus datos personales: [Razón Social del Estudio], con domicilio en [Dirección completa] (en adelante "el Estudio"), es responsable del tratamiento de tus datos personales conforme a la LFPDPPP.

Datos personales que recabamos:

  • Identificación: nombre, fecha de nacimiento, género, fotografía.
  • Contacto: teléfono, email, dirección.
  • Salud (sensibles): condiciones médicas, lesiones previas, embarazo, alergias.
  • Financieros: medio de pago, RFC, datos de facturación.
  • Biométricos (si aplica): huella digital o foto facial para check-in.

Finalidades primarias (necesarias para la relación):

  • Alta y administración de tu membresía o paquete.
  • Programación, recordatorio y registro de tus reservaciones.
  • Cobro de tus pagos.
  • Emisión de facturas fiscales.
  • Atención de incidencias y consultas.
  • Cumplimiento de obligaciones contractuales y fiscales.

Finalidades secundarias (opcionales — puedes negarte):

  • Envío de promociones, noticias y newsletter.
  • Invitación a eventos especiales.
  • Estudios de satisfacción y mejora.

Si no deseas que tus datos se usen para finalidades secundarias, envía un email a [privacidad@tuestudio.com] indicándolo.

Transferencias de datos: Compartimos datos con: procesadores de pago (Stripe, Inc.; MercadoPago México S.A.), proveedores de email transaccional (Resend Inc.), software de gestión del estudio ([Klasius]), proveedores de análisis (Google LLC). Todos cuentan con políticas de privacidad propias y son contractualmente responsables del resguardo de tus datos.

Tus derechos ARCO: puedes ejercer en cualquier momento tus derechos de Acceso, Rectificación, Cancelación u Oposición enviando solicitud a [privacidad@tuestudio.com] con copia de identificación oficial. Atenderemos en máximo 20 días hábiles.

Revocación del consentimiento: puedes solicitar la revocación enviando email al mismo correo. La revocación no aplica retroactivamente a procesos contractuales en curso (ej. cobros pendientes).

Cookies: nuestro sitio web utiliza cookies técnicas (sesión, preferencias) y analíticas (Google Analytics). Puedes deshabilitarlas en tu navegador.

Cambios al aviso: cualquier modificación se publicará en [URL de tu sitio]. Te recomendamos revisarlo periódicamente.

Última actualización: [Fecha].

Adapta esto a tu marca, súbelo a tu web en una URL pública, y agrega un link al footer.

Cómo entregarlo correctamente (esto es lo que casi todos saltan)

Publicar el aviso en tu web no es suficiente. Debes obtener el consentimiento expreso del cliente al momento del alta. La forma operativa que recomendamos:

En el alta digital: checkbox NO premarcado que diga "He leído y acepto el aviso de privacidad". Sin esa marca, el alta no se completa.

Para datos sensibles: consentimiento expreso adicional. Cuando preguntas condiciones médicas o lesiones, agrega: "Autorizo expresamente que mis datos de salud sean tratados para los fines de programación segura de mis clases y atención de emergencias."

En recepción física: ten impreso el aviso integral o el simplificado a la vista. Si un cliente lo pide, dáselo. No es opcional.

En todo formulario: si tienes formulario web de contacto o lead magnet, agrega el simplificado debajo.

El criterio mental que recomendamos

Cada vez que pidas un dato — un nombre, un email, una foto — pregúntate si el cliente sabe explícitamente para qué lo vas a usar y si dio su acuerdo. Si la respuesta no es un sí inequívoco, estás en zona de riesgo.

Qué hacer cuando un cliente ejerce un derecho ARCO

Tarde o temprano va a llegar un cliente que pida que borres sus datos. La ley te da 20 días hábiles para responder. La operativa:

  1. Verifica identidad. Pide copia de INE o pasaporte. Sin verificación, no procedes (alguien podría suplantar al cliente real).
  2. Valida la solicitud. Si pidió Acceso, dale copia de qué datos tienes. Si pidió Rectificación, corrige. Si pidió Cancelación, borra. Si pidió Oposición, deja de usar para esa finalidad específica.
  3. Excepciones legítimas. Hay datos que NO puedes borrar aunque te lo pidan: facturas fiscales (5 años de conservación obligatoria), datos contractuales en disputa, datos para cumplimiento legal.
  4. Documenta. Responde por escrito (email) y guarda la respuesta. Si te denuncia ante INAI, esa respuesta es tu prueba.

Para la eliminación efectiva debes asegurarte que el cliente desaparezca de tu base de gestión, de tu newsletter, de tu CRM y de tus respaldos. Si te quedó un email en tu Mailchimp después de "borrar", el INAI no te acepta el cumplimiento.

El error de procesadores de pago

Punto importante: cuando aceptas pagos con Stripe, MercadoPago, Conekta, etc., esos procesadores son lo que la ley llama "encargados" — terceros que tratan datos en tu nombre. Tienes que tenerlos mencionados en tu aviso de privacidad y, técnicamente, firmar con ellos un acuerdo de tratamiento de datos.

Para los grandes (Stripe, MercadoPago) ese acuerdo ya está incluido en sus Términos de Servicio que aceptaste al abrir tu cuenta. Para proveedores más chicos o desarrollos a la medida, lo tienes que firmar aparte.

Multas reales y cómo evitarlas

Casos públicos de multas del INAI a estudios fitness y wellness en México (2023-2025):

  • Cadena boutique en CDMX: $1.2M MXN por no contar con aviso de privacidad publicado y no responder solicitudes ARCO.
  • Estudio de yoga en Monterrey: $180,000 MXN por compartir lista de clientes con empresa de email marketing sin consentimiento.
  • Gimnasio en Guadalajara: apercibimiento por no incluir mención de datos biométricos al usar terminal de huella.

Lo evitable en común: ninguno tenía un proceso documentado. Tener el aviso es 30%. Tener el flujo operativo (consentimiento al alta, registros de solicitudes ARCO atendidas, capacitación del staff) es 70%.

Cómo te ayudamos en Klasius

El sistema de Klasius integra el aviso de privacidad de tu estudio (lo subes una sola vez, queda versionado), recolecta consentimiento expreso al alta del cliente con timestamp inmutable, separa consentimiento de finalidades primarias y secundarias, y genera un registro auditable de cada solicitud ARCO recibida y atendida.

Si llega el INAI, en menos de 5 minutos puedes exportar el registro de cómo cada cliente dio su consentimiento, qué versión del aviso firmaron, y qué solicitudes te han hecho. Eso es lo que diferencia un apercibimiento de una multa de seis cifras.

Para el resto del marco legal, te puede interesar:

Cumplir LFPDPPP es la diferencia entre dormir tranquilo y estar siempre con un pie atrás. Tres horas de trabajo bien hecho hoy te ahorran años de problemas mañana.

Moderniza tu estudio con Klasius

14 días gratis. Sin tarjeta.

Empieza Gratis