El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación (el “DOF”) la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPDPPP”), la cual entró en vigor al día siguiente y sustituye a la ley original de 2010.
La nueva LFPDPPP introduce cambios relevantes al sistema de protección de datos personales en México, con implicaciones para los titulares de datos personales y para los responsables de su tratamiento.
Cambios en Autoridades.
Las funciones en materia de protección de datos personales, que anteriormente eran desempeñadas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), con motivo de su desaparación han sido formalmente asumidas por la Secretaría Anticorrupción y Buen Gobierno, la cual estará encargada de vigilar el cumplimiento de esta ley y promover el buen manejo de los datos personales.
Adicionalmente, se ordena la creación de juzgados de distrito y tribunales colegiados especializados en protección de datos, con un plazo de 120 días naturales para su habilitación.
Principales Cambios Regulatorios.
1. Nuevas definiciones amplian potencialmente el marco de la ley.
Se modifican las definiciones de “datos personales” y de “titular” (de datos personales) para incluir cualquier información relativa a una persona identificada o identificable, sin distinguir entre personas físicas o morales (la ley anterior refería exclusivamente personas físicas). Estos cambios podrían interpretarse en el sentido de concluir que las personas morales ahora podrán ser considerados, para efectos de la regulación mexicana, como titulares de datos personales, lo cual implica un cambio paradigmático en la titularidad de los derechos derivados de esta ley.
2. Reconfiguración del concepto de responsable.
Se considera responsable a toda persona física o moral que realice tratamiento de datos personales, sin que necesariamente tome decisiones sobre dicho tratamiento. Con este cambio, las obligaciones de los responsables también serán aplicables para los encargados del tratamiento.
3. Requisitos de los Avisos de Privacidad.
El Aviso de Privacidad Integral ya no tendrá que informar sobre las transferencias de datos personales, pero deberán informarse con detalle los datos personales tratados, identificando los sensibles, y las finalidades que requieren consentimiento.
El Aviso de Privacidad Simplificado será obligatorio cuando los datos se recaben por medios electrónicos o tecnológicos, y deberá contener la identidad y domicilio del responsable, así como ciertos nuevos requisitos.
4. Obligaciones reforzadas.
Se obliga a los responsables a implementar controles o mecanismos que aseguren que los terceros con acceso a datos personales conserven su confidencialidad incluso después de finalizar la relación contractual, reforzando la necesidad de contar con políticas debidas de cumplimiento. Adicionalmente, se introduce el concepto de “plazo de conservación” de los datos personales.
5. Derechos de los Titulares.
Se establecen lineamientos más detallados para ejercer las solicitudes de derechos ARCO (acceso, rectificación, cancelación y oposición).
Se amplía el derecho de acceso, obligando a los responsables a informar las condiciones y generalidades del tratamiento de los datos personales al titular que ejerza este derecho.
Se amplía el derecho de rectificación para incluir expresamente la actualización de datos personales.
Se refuerza el derecho de oposición de los titulares, incorporando la posibilidad de que pueda realizarse respecto del uso automatizado de sus datos cuando esto afecte significativamente sus derechos, por ejemplo, en evaluaciones algorítmicas sin intervención humana (profiling).
Próximos Pasos
La Secretaría Anticorrupción y Buen Gobierno tiene un plazo de 90 días naturales para emitir el reglamento de la nueva LFPDPPP, instrumento clave para definir con mayor claridad aspectos como: (i) el alcance del concepto de “titular”, que ahora incluye personas morales; (ii) las reglas para transferencias nacionales e internacionales de datos; y (iii) los requisitos formales del aviso de privacidad integral y simplificado.
Aunque esta armonización normativa aún está pendiente, recomendamos que las organizaciones inicien con las tareas de revisión y actualización de sus políticas de protección de datos, incluyendo:
- La adecuación de avisos de privacidad al nuevo marco legal.
- La revisión de contratos con terceros que impliquen tratamiento de datos.
- El fortalecimiento de las políticas internas de cumplimiento.
Anticiparse será clave para asegurar el cumplimiento y minimizar riesgos ante la nueva regulación.
Para ver el decreto, presione aquí.
Nuestro socio a cargo de aconsejarlo y nuestro especialista en la materia (Carlos A. Chávez Pereda cacp@santoselizondo.com) y el resto de nuestro equipo, estarán atentos para definir los nuevos paradigmas que esta decisión representa, así como la manera de afrontarla oportuna y eficientemente.