Vender una laptop con datos: cuándo el riesgo se vuelve una brecha de datos del equipo retirado.
Una empresa vende, dona o entrega a trade-in una laptop vieja y supone que ahí terminó la historia. Pero si ese disco salió con información recuperable, la baja del equipo puede convertirse en una vulneración de seguridad notificable bajo la nueva Ley de Datos. Acá te explicamos qué dice el artículo 19, hasta dónde llega el riesgo real, y por qué la forma de evitarlo es prevenir, no improvisar.
Hay una escena que se repite en muchas empresas. Llega el cambio de flota, las laptops viejas se amontonan en una bodega, y un día alguien decide moverlas: se venden a un proveedor de usados, se rifan entre el personal, se donan a una escuela o se entregan a cuenta de los equipos nuevos. Tarea cerrada, espacio liberado. Salvo que, en muchos de esos discos, siguen vivos los correos, las nóminas, los contratos y los expedientes de clientes. Y ahí, sin que nadie lo note, la empresa acaba de abrir un punto ciego de cumplimiento.
El cambio que pone esto sobre la mesa.
En marzo de 2025 entró en vigor una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): se publicó en el DOF el 20 de marzo y rige desde el 21. El cambio más visible es institucional — desaparece el INAI y la autoridad pasa a la Secretaría Anticorrupción y Buen Gobierno —, pero el deber de fondo no se movió: tu empresa sigue siendo responsable de cuidar los datos personales que trata. Te contamos el panorama completo en nuestra guía de qué obliga la nueva Ley de Datos al dar de baja o vender computadoras; aquí nos metemos en un ángulo más filoso: cuándo esa baja mal hecha se convierte en una brecha que tienes que notificar.
Una aclaración honesta de entrada, igual que en el otro artículo: el reglamento de esta nueva ley todavía está pendiente. Por eso hablamos de los deberes desde la ley, no desde un reglamento que aún no existe.
La venta o donación del equipo no te saca del tratamiento.
El primer error de lógica es pensar que, cuando el equipo sale de la empresa, el tema de datos sale con él. Es al revés. Dar de baja, vender, donar o entregar a trade-in un equipo es una fase más del tratamiento de datos personales: la información sigue siendo tuya, en términos de responsabilidad, hasta que la suprimes. Si entregas el disco con los datos adentro, lo que hiciste fue mover datos personales a un tercero sin haberlos protegido — y eso es exactamente el tipo de descuido que la ley te pide evitar a lo largo de todo el ciclo.
"El equipo se va de tu bodega; la responsabilidad sobre los datos, no. Esa solo se va cuando puedes demostrar que el disco salió sin información recuperable."
Qué dice el artículo 19, sin adornos.
Aquí está el corazón del asunto. La nueva ley, en su artículo 19, obliga al responsable a informar de inmediato al titular cuando ocurre una vulneración de seguridad que afecte de forma significativa sus derechos patrimoniales o morales, para que esa persona pueda tomar medidas y protegerse. En cristiano: si se filtran datos de alguien de una manera que de verdad lo puede perjudicar, tienes que avisarle — y avisarle pronto.
Dos cosas importan de esa redacción. La primera: ese deber no distingue la fase del tratamiento. Aplica igual si la fuga fue por un ataque a tu servidor que si fue porque vendiste una laptop con los datos puestos. La disposición del equipo es una fase como cualquier otra. La segunda, y conviene subrayarla para no confundir marcos: la ley mexicana no fija para los particulares un plazo en horas. No existe el "24 o 72 horas" que se oye del marco europeo. El criterio mexicano es otro — la inmediatez y la afectación significativa al titular —, así que no traslades cifras de otra legislación a este deber.
Cómo se conecta con tu laptop vendida.
Junta las dos piezas y el cuadro queda claro. Si vendiste, donaste o entregaste un equipo y el comprador —o cualquiera después de él— puede recuperar de ese disco datos personales de tus empleados o clientes, estás frente a una posible vulneración de seguridad de datos personales. Y si esa información es de las que pueden afectar de forma significativa a esas personas (datos de identificación, financieros, de salud, accesos), entra en juego el deber del artículo 19 de notificar al titular. Lo que parecía un trámite de bodega se convirtió en un incidente que tienes que gestionar y comunicar.
No se trata de pintar un escenario catastrófico ni de hablar de cárcel — sería deshonesto exagerar las consecuencias. El punto, mucho más práctico, es este: una baja sin borrado certificado deja a tu empresa expuesta a un riesgo real y evitable. El costo no es solo una eventual sanción; es tener que avisarle a tus clientes o a tu personal que su información salió por la puerta de atrás, con el golpe de confianza y reputación que eso trae. Esa conversación es la que de verdad no quieres tener.
"Formatear" no te protege de esto.
El reflejo común es decir "pero sí lo formateamos antes de venderlo". No alcanza. Reinstalar Windows o formatear el disco deja buena parte de los datos recuperable con herramientas accesibles, muchas gratuitas. Es decir: un equipo "formateado" que vendiste puede seguir siendo una fuente de fuga, y por lo tanto seguir cayendo en el supuesto del artículo 19. Es la misma trampa que explicamos en qué pasa con los datos del dueño anterior en una laptop reacondicionada: el formateo da una falsa sensación de limpieza, no una garantía.
La salida es prevenir, no reaccionar.
La buena noticia es que este riesgo se administra del lado fácil: prevenirlo en el origen es mucho más barato y simple que gestionar una notificación de brecha después. Y prevenirlo tiene un nombre concreto. Antes de que cualquier equipo salga de tu control, los datos se suprimen con un método verificable y queda un certificado por número de serie que documenta qué equipo se borró, con qué método, en qué fecha y con qué verificación.
Conviene una precisión, la misma que cuidamos en todo el sitio: la ley no usa la frase "borrado certificado" ni cita la norma NIST 800-88. La ley pide proteger y suprimir los datos. El borrado certificado bajo el estándar de industria NIST 800-88 es el cómo lo demuestras — la evidencia auditable de que el equipo salió sin datos recuperables, y por lo tanto de que no había nada que pudiera convertirse en una vulneración notificable. Si quieres ver a fondo qué es ese estándar y cómo se ve un certificado, lo tienes en nuestra guía de borrado certificado NIST 800-88.
Qué hacemos nosotros.
En Rematech, cuando renovamos o retiramos tu flota anterior —como retiro directo o tomándola a cuenta vía Trade-in— el equipo viejo sale con borrado certificado de datos y constancia por equipo, y tú recibes computadoras corporativas reacondicionadas listas para trabajar. Así la pregunta incómoda —"¿y qué pasó con los datos de las laptops que vendimos?"— deja de existir: el disco salió sin información recuperable y tienes el papel que lo prueba. La baja deja de ser un riesgo latente y se vuelve un punto cerrado.
Lo que más nos preguntan sobre vender equipo con datos.
Artículos que te pueden interesar
Cierra el punto ciego antes de vender una sola laptop.
Renovamos y retiramos tu flota anterior con borrado certificado de datos y constancia por equipo. Cotiza el reemplazo — y deja que el equipo viejo salga sin datos recuperables y con su papel que lo prueba.