En ExecuTrain vemos todos los días la misma tendencia: más aplicaciones, más datos críticos y más procesos migrando a la nube, mientras el marco regulatorio mexicano se vuelve más específico y menos tolerante al error. La conversación ya no es solo tecnológica; es legal, normativa y de gestión de riesgos. Por eso, cuando hablamos de "nom nube mexico" y "compliance cloud México", en realidad nos referimos a la capacidad de una organización para operar en entornos cloud sin poner en riesgo su continuidad ni la confianza de clientes, socios y reguladores.
A diferencia de otros países, el ecosistema mexicano combina leyes federales, normas oficiales mexicanas (NOM) y regulaciones sectoriales que afectan directamente cómo contratamos, configuramos y administramos servicios en la nube. Además, estamos en un momento de cambio profundo: la desaparición del INAI en diciembre de 2024 y el surgimiento de la Secretaría Anticorrupción y Buen Gobierno (SABG), junto con la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) vigente desde el 21 de marzo de 2025, han redefinido el terreno de juego para cualquier empresa que utilice cloud y han elevado considerablemente la vara del cumplimiento.
Cambio regulatorio en 2025
La nueva LFPDPPP 2025 elimina los fines "compatibles o análogos" y refuerza la obligación de confidencialidad para proveedores cloud, manteniendo la necesidad de consentimiento expreso para transferencias internacionales de datos personales.
Los centros de datos en México han experimentado un crecimiento significativo, con Querétaro concentrando dos tercios de la capacidad nacional.
LFPDPPP 2025: el eje del compliance cloud en México
Desde nuestra experiencia, la LFPDPPP reformada en 2025 es la pieza central del cumplimiento en la nube. Sus principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad tienen que traducirse en decisiones concretas: qué datos subimos a la nube, con qué fines, quién accede, cómo se protegen y cómo se eliminan cuando dejan de ser necesarios. No basta con tener un aviso de privacidad "correcto"; es necesario que la operación cloud refleje exactamente lo que se declara ante las personas titulares.
La eliminación de los llamados fines "compatibles o análogos" obliga a revisar flujos de datos y avisos de privacidad para asegurarse de que no se estén usando datos en cloud para propósitos que las personas nunca autorizaron. Al mismo tiempo, se refuerza la obligación de confidencialidad para todos los proveedores de servicios cloud y se mantiene la necesidad de consentimiento expreso para transferencias internacionales de datos personales, incluso cuando se usan nubes globales muy consolidadas. La transición de funciones hacia la SABG trae procesos más automatizados y un énfasis mayor en la trazabilidad, de modo que cada decisión sobre infraestructura cloud debe poder explicarse y evidenciarse frente a la autoridad.
NOM y teletrabajo: cuando el home office también es un tema de nube
En paralelo, las NOM han adquirido un peso creciente en el diseño de arquitecturas cloud. La NOM-037-STPS-2023 define los criterios de teletrabajo cuando al menos 40 % de la jornada se realiza de forma remota y exclusivamente con tecnologías de la información, y esto impacta de lleno en el uso de plataformas en la nube. La empresa debe garantizar que las herramientas que pone a disposición de las personas trabajadoras protejan la información, respeten el derecho a la desconexión digital y cuiden la confidencialidad de los listados de personal en modalidad remota, lo que implica revisar configuraciones, permisos, respaldos y políticas de acceso en los servicios cloud utilizados.
Algo similar ocurre con normas como la NOM-024-SCFI-2013, centrada en el etiquetado de servicios tecnológicos, y la NOM-035-STPS-2018, orientada a factores de riesgo psicosocial. Los sistemas en la nube que almacenan información laboral, encuestas de clima y datos de salud ocupacional deben diseñarse pensando en estos requisitos, para evitar que un formulario en línea o una base de datos mal configurada se conviertan en un punto de incumplimiento. En la práctica, el cumplimiento de NOM ya no se limita a la planta física; ahora se extiende a los portales, aplicaciones y bases de datos cloud donde vive la información de la organización.
| Norma | Ámbito de aplicación | Impacto en entornos cloud |
|---|---|---|
| LFPDPPP 2025 | Protección de datos personales | Gobierno de datos, consentimiento, transferencias internacionales |
| NOM-037-STPS-2023 | Teletrabajo | Configuración segura de herramientas cloud para trabajo remoto |
| NOM-035-STPS-2018 | Factores de riesgo psicosocial | Protección de datos laborales y de salud en sistemas cloud |
| NOM-024-SCFI-2013 | Etiquetado de servicios tecnológicos | Transparencia en servicios cloud contratados |
Sector financiero, CNBV y responsabilidad no delegable
En el sector financiero, el compliance cloud México adquiere otra capa de complejidad. La Comisión Nacional Bancaria y de Valores (CNBV) ha dejado claro que, aunque se contraten servicios cloud con proveedores globales, la responsabilidad final del cumplimiento regulatorio sigue siendo de la institución mexicana. Esto se traduce en autorizaciones previas para ciertos esquemas de nube, evaluaciones formales de riesgo antes de contratar y auditorías periódicas de terceros sobre el proveedor, además de una supervisión interna constante de la operación.
Aquí el modelo de responsabilidad compartida se vuelve muy concreto: el proveedor cloud protege la infraestructura, pero la institución es responsable de la configuración, del gobierno de identidades, de la gestión de accesos y de que todo ello esté alineado con LFPDPPP, NOM y lineamientos de la CNBV. No basta con firmar un contrato estándar o confiar en una certificación global; se requieren cláusulas específicas sobre seguridad, trazabilidad, continuidad del negocio, recuperación ante desastres y supresión de datos al término del servicio, todo ello documentado y respaldado por procesos internos claros.
La seguridad en la nube requiere un enfoque integral que combine tecnología, procesos y capacitación.
Soberanía de datos, residencias locales y el boom de centros de datos
A todo lo anterior se suma una tendencia global que México está adoptando aceleradamente: la soberanía de datos. Diversas estimaciones señalan que más del 60 % de los datos corporativos en el mundo estarán sujetos a regulaciones de residencia local para 2025, y nuestro país ya se está moviendo en esa dirección. El crecimiento de inversión en infraestructura de datos en México, que pasa de 4.6 mil millones de dólares en 2024 a proyecciones cercanas a 6.6 mil millones para 2029, refleja esa realidad y muestra que el cloud "local" dejará de ser la excepción.
Querétaro se ha consolidado como el principal hub de centros de datos, concentrando aproximadamente dos tercios de la capacidad nacional con alrededor de 230 MW operativos. Proveedores como Azure, AWS, Google Cloud y Huawei Cloud ya cuentan con presencia física en territorio mexicano, lo que abre la puerta a arquitecturas que cumplen requisitos de residencia de datos sin renunciar a servicios avanzados de analítica e inteligencia artificial. Sin embargo, la existencia de data centers locales no resuelve por sí sola el reto de compliance: sigue siendo imprescindible mapear qué datos personales se almacenan, en qué jurisdicciones residen, qué terceros intervienen y qué políticas de acceso, respaldo y eliminación se aplican durante todo el ciclo de vida de la información.
Estándares internacionales, SGSDP y el enfoque PHVA
En ExecuTrain consideramos que el camino más sólido hacia el compliance cloud México combina el cumplimiento obligatorio de leyes y NOM con la adopción estratégica de estándares internacionales. ISO 27001 se ha consolidado como el estándar de facto para sistemas de gestión de seguridad de la información, incluso cuando no es legalmente obligatoria. Implementarla permite cubrir gran parte de los requisitos que después exigen marcos como SOC 2, PCI DSS o el NIST Cybersecurity Framework y facilita las conversaciones con clientes, auditores y reguladores.
A nivel local, las autoridades recomiendan construir un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA: planificar, hacer, verificar y actuar. Planificar implica definir alcance, inventariar datos en la nube y realizar un análisis de riesgos específico para entornos cloud. Hacer se relaciona con la implementación de medidas técnicas como cifrado, autenticación multifactor y controles de acceso. Verificar supone ejecutar auditorías internas y monitorear el cumplimiento de forma periódica. Finalmente, actuar implica corregir desviaciones, actualizar políticas frente a cambios regulatorios y mejorar continuamente la postura de seguridad. Complementar este enfoque con normas como ISO 37301, enfocada en sistemas de gestión de compliance, ayuda a integrar el tema de protección de datos dentro de una cultura más amplia de cumplimiento y buen gobierno.
El papel del talento: cómo acompañamos el compliance cloud desde ExecuTrain
Todo este panorama normativo, tecnológico y organizacional tiene un punto en común: sin talento capacitado, el compliance cloud se queda en intención. En ExecuTrain hemos estructurado nuestra oferta precisamente para ayudar a las organizaciones a cerrar la brecha entre la teoría regulatoria y la práctica diaria en la nube, conectando la estrategia de cumplimiento con las competencias técnicas de los equipos.
Nuestros programas de Microsoft Azure permiten que los equipos entiendan no solo cómo desplegar servicios, sino cómo configurarlos con criterios de seguridad, gobierno e identidad alineados a LFPDPPP y NOM. Los cursos de Security, Compliance and Identity de Microsoft ayudan a construir arquitecturas donde el control de accesos, el etiquetado de información y la gestión de riesgos estén sincronizados con las exigencias mexicanas. A esto sumamos formaciones en Microsoft 365, Power Platform, SQL Server, Windows Server y soluciones de productividad, que fortalecen el ecosistema completo donde viven los datos, desde el endpoint hasta la base de datos en la nube, y que permiten orquestar políticas de seguridad de manera consistente.
Además, el enfoque de certificaciones oficiales de Microsoft que ofrecemos permite a las personas profesionales validar sus habilidades ante áreas de TI, auditoría y compliance, generando un lenguaje común entre quienes diseñan la estrategia y quienes operan la infraestructura. Nuestro objetivo no es solo enseñar a usar una tecnología, sino enseñar a usarla de forma que resista una auditoría, un requerimiento de la SABG o una visita del regulador sectorial, ayudando a que el cumplimiento se convierta en un hábito operativo y no en una reacción de última hora.
La capacitación especializada es fundamental para cerrar la brecha entre la teoría regulatoria y la práctica en la nube.
Recomendaciones prácticas y siguientes pasos para las empresas mexicanas
Con este contexto, sugerimos que cualquier organización que hoy opere en la nube o esté migrando hacia ella considere una ruta progresiva. En el corto plazo, resulta clave realizar una auditoría de conformidad para identificar brechas frente a la nueva LFPDPPP, a la NOM-037 en esquemas de teletrabajo y a las regulaciones sectoriales que le apliquen. Sobre esa base, es recomendable revisar contratos con proveedores cloud, actualizar avisos de privacidad y mapear qué datos personales residen en qué plataformas y países, documentando responsables y controles asociados.
En el mediano y largo plazo, la prioridad debería estar en formalizar un SGSDP para entornos cloud, seleccionar proveedores con certificaciones robustas, aprovechar la creciente oferta de centros de datos en México y automatizar tareas de cumplimiento mediante soluciones tecnológicas, incluidas herramientas RegTech e inteligencia artificial aplicada al monitoreo. En cada una de estas etapas, la formación juega un papel decisivo: un equipo que comprende la relación entre LFPDPPP, NOM, CNBV, estándares internacionales y arquitecturas cloud tendrá mucha más capacidad para diseñar soluciones seguras, eficientes y alineadas a la realidad mexicana.
En resumen, el cumplimiento regulatorio en entornos cloud en México ha dejado de ser un simple checklist para convertirse en un elemento estratégico de competitividad. Las empresas que se adelanten a los requerimientos de LFPDPPP 2025, se alineen con NOM como la 037, 024 y 035, adopten buenas prácticas de sectores como el financiero y aprovechen la infraestructura local de centros de datos estarán mejor posicionadas para generar confianza, atraer inversión y crecer de forma sostenible.
Desde ExecuTrain creemos que el futuro de la nube empresarial en México lo definirán aquellas organizaciones que entiendan que tecnología, normatividad y talento son tres piezas del mismo rompecabezas. Si logramos que estos tres componentes trabajen de manera integrada, el compliance deja de ser un costo y se convierte en una prueba tangible de seriedad, transparencia e innovación de cada empresa mexicana que apuesta por la nube.
Artículos relacionados
Ciberseguridad en México: Retos y Oportunidades para 2025
Análisis del panorama actual de ciberseguridad en México y las tendencias que marcarán el próximo año.
Leer más
Migrar a Microsoft Fabric: Guía Práctica para Empresas
Descubre cómo implementar Microsoft Fabric en tu organización y aprovechar sus ventajas para el análisis de datos.
Leer más
Innovación Sin Código: 5 Historias Reales con Power Apps y Power Automate
Casos de éxito de empresas que han transformado sus procesos mediante soluciones low-code de Microsoft.
Leer más
