Ciudad de México.
En resumen
El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación el Decreto por el que se expide la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Según el Decreto, la nueva ley entró en vigor el 21 de marzo de 2025, derogando la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de 2010.
Si bien la nueva ley es similar a la de 2010, el texto actualizado establece a la Secretaría de Anticorrupción y Buen Gobierno como la nueva autoridad, incorpora cambios a las definiciones de la ley de 2010 y fija ciertas obligaciones que requerirán que los avisos de privacidad, las políticas internas y los acuerdos de procesamiento de datos sean más precisos.
Conclusiones clave
Los cambios más relevantes en la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares incluyen:
Las funciones del INAI quedan efectivamente transferidas a la Secretaría de Anticorrupción y Buen Gobierno.
Se modifican las definiciones de “bases de datos”, “fuentes de acceso público”, “responsable del tratamiento de datos”, “tratamiento”, entre otras.
Se elimina la posibilidad de tratar datos personales para finalidades similares o análogas a las informadas en el aviso de privacidad.
La afiliación sindical ya no se considera un dato personal sensible.
Se establecen condiciones específicas para el ejercicio del derecho de oposición, incluido el tratamiento automatizado mediante sistemas de inteligencia artificial.
Se elimina el capítulo sobre autoridades regulatorias, quitando facultades al Ministerio de Economía en materia de protección de datos personales.
El juicio de amparo será el recurso contra las decisiones de la Secretaría Anticorrupción y Buen Gobierno.
Para reflejar un lenguaje inclusivo, los términos “titular de los datos” y “responsable del tratamiento de datos” han sido sustituidos por términos neutrales.
En el siguiente apartado encontrará una descripción más detallada de los cambios introducidos en la nueva ley de protección de datos personales.
A fondo
El 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación (« Decreto ») la nueva Ley de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Esta ley entró en vigor el 21 de marzo de 2025, derogando la ley de 2010.
La publicación de esta nueva ley se deriva del Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos, en materia de simplificación orgánica. Este decreto se publicó en el Diario Oficial de la Federación el 20 de diciembre de 2024, con el objetivo de disolver el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y transferir sus funciones a la Secretaría de Anticorrupción y Buen Gobierno (SABG). Ahora, con la publicación de la nueva LFPDPPP como ley secundaria, el INAI queda efectivamente disuelto.
Los cambios más relevantes en la nueva LFPDPPP son los siguientes:
Definiciones . La nueva ley introduce cambios en varias definiciones, entre ellas:
Bases de datos : La LFPDPPP se aplica a las bases de datos independientemente de su forma o modalidad de creación, tipo de soporte, procesamiento, almacenamiento y organización.
Fuentes de acceso público : No serán consideradas como tales cuando la información contenida sea obtenida ilícitamente o tenga un origen ilícito.
Responsable del tratamiento de datos : El texto actualizado se refiere a la definición de «Sujetos Obligados», es decir, personas físicas o jurídicas que tratan datos personales. Se elimina la referencia al responsable del tratamiento como quien «decide» sobre el tratamiento de datos personales.
Tratamiento : Se ofrece una definición más amplia, que define el tratamiento como cualquier operación o conjunto de operaciones realizadas mediante procedimientos manuales o automatizados sobre datos personales. También define con mayor claridad las actividades que constituyen el tratamiento de datos personales, como el registro, la organización, el almacenamiento, la difusión y la posesión, entre otras.
Datos personales : En particular, la definición de datos personales ya no incluye la referencia a la información perteneciente a una persona física, dejando únicamente el término “persona”.
Facultades de las Autoridades . La nueva LFPDPPP sustituye las referencias al INAI por la SABG, transfiriendo así las funciones del INAI al Poder Ejecutivo. Además, se eliminan las facultades de la Secretaría de Economía en materia de datos personales. La Secretaría de Economía se destacó por emitir los Lineamientos del Aviso de Privacidad.
Asimismo, se establece que las decisiones de la SABG pueden impugnarse mediante amparo. Cabe destacar que el 13 de marzo de 2025 se publicaron modificaciones a la Ley de Amparo , las cuales podrían afectar la procedencia de este recurso.
Obligaciones de los Responsables del Tratamiento . La LFPDPPP de 2025 reafirma la obligación de los responsables del tratamiento de datos de establecer controles o mecanismos para garantizar la confidencialidad de los datos personales de quienes participan en el tratamiento. Esta obligación debe continuar incluso después del cese del responsable y de dichas personas.
Además, la nueva ley elimina la posibilidad de tratar datos personales para fines compatibles o análogos a los establecidos en el aviso de privacidad. En tales casos, el responsable del tratamiento deberá obtener el consentimiento del titular para los nuevos fines.
Derechos de los titulares de datos . La ley actualizada incluye una disposición que permite a los titulares de datos oponerse al tratamiento cuando (i) el tratamiento sea automatizado, (ii) no se realice sin intervención humana, (iii) cause efectos no deseados en el titular de los datos, y (iv) el tratamiento tenga como finalidad evaluar, analizar o predecir el comportamiento, la fiabilidad, el rendimiento profesional, entre otros aspectos.
También establece que el ejercicio de los derechos ARCO podrá tener un costo a menos que el titular de los datos proporcione el medio o mecanismo necesario para reproducir los datos personales.
Sanciones . La ley establece explícitamente que las multas se calcularán en UMAS, reemplazando la referencia al salario mínimo. Cabe destacar que la nueva ley reutilizó los supuestos de sanción establecidos en la ley de 2010, dejando sin sanción la infracción general mencionada en la fracción XIX del artículo 58 de la nueva ley. Esta sección tipifica como infracción sancionable cualquier incumplimiento por parte del responsable del tratamiento de datos de las obligaciones establecidas en la LFPDPPP.
Conclusión
Si bien la nueva LFPDPPP no difiere significativamente de la ley de 2010, el texto actualizado incluye ciertas disposiciones y modificaciones que requerirán que los avisos de privacidad sean más precisos respecto a las finalidades del tratamiento y los datos personales necesarios para lograrlas. Por lo tanto, es importante que los responsables del tratamiento revisen sus avisos de privacidad y políticas internas sobre protección de datos personales y el uso de inteligencia artificial.
Además, debido al cambio en la definición de «responsable del tratamiento de datos», es importante que los encargados del tratamiento de datos cuenten con un contrato que establezca claramente que actúan como tales. De lo contrario, podrían estar comprendidos en la definición de «responsable del tratamiento de datos» y, por lo tanto, estar obligados a cumplir con los requisitos correspondientes.
Para obtener más información, comuníquese con:
Berenice Esquivel, Ejecutiva de Cuentas besquivel@jeffreygroup.com
Acerca de Baker McKenzie
Baker McKenzie ayuda a los clientes a superar los desafíos de competir en la economía global. Resolvemos problemas legales complejos a través de fronteras y áreas de práctica.
Nuestra cultura única, desarrollada a lo largo de 70 años, permite a nuestras 13 000 personas comprender los mercados locales y navegar en Múltiples jurisdicciones, trabajando juntos como colegas y amigos de confianza para infundir confianza en nuestros clientes. ( www.bakermckenzie.com )
Berenice Esquivel Ejecutiva de Cuentas
Más historias
Nacionales solo 11 de 40 productos exportados por México en 2024: Arnulfo R. Gómez
Vender más y mejor con la estrategia que revoluciona el marketing
Videovigilancia inteligente: el primer paso hacia ciudades más seguras y conectadas