Noticias

Nueva Ley Federal de Protección de Datos de México: implicaciones para las empresas

El 20 de marzo de 2025 se publicó la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP de 2025) en el Diario Oficial de la Federación. La LFPDPPP de 2025 entró en vigor el 21 de marzo de 2025 y abroga la ley homónima publicada en 2010.

Como consecuencia de la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la LFPDPPP de 2025 establece que los recursos materiales y financieros del INAI serán transferidos a la Secretaría Anticorrupción y Buen Gobierno, la cual se convierte en la nueva autoridad encargada de la protección de datos personales. Dicha Secretaría tendrá como objetivo difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y vigilar el cumplimiento de las disposiciones aplicables. Los procedimientos iniciados antes de la entrada en vigor de la LFPDPPP de 2025 ante el INAI continuarán sustanciándose conforme a la normativa vigente al momento de su inicio, pero ahora serán atendidos por la Secretaría Anticorrupción y Buen Gobierno.

Cambios que introduce la LFPDPPP de 2025

  • Modifica la definición de responsable del tratamiento, señalando que este será cualquier persona física o moral que realice tratamiento de datos personales, sin necesidad de que tome decisiones sobre dicho tratamiento, ampliando significativamente el universo de sujetos obligados, incluyendo ahora a encargados igualmente.
  • En relación con el aviso de privacidad integral, elimina la obligación de informar sobre las transferencias de datos personales, e incorpora nuevas exigencias, como detallar los datos personales que serán tratados, identificando los sensibles, y distinguir entre finalidades que requieren consentimiento y aquellas que no lo requieren.
  • Modifica el contenido del aviso de privacidad simplificado, que ahora debe incluir la identidad y domicilio del responsable, los datos personales tratados con mención expresa de los sensibles, las finalidades del tratamiento señalando cuáles requieren consentimiento, y los medios disponibles para limitar el uso o divulgación de los datos, además de indicar el sitio donde puede consultarse el aviso integral.
  • Redefine el concepto de fuente de acceso público, estableciendo que solo serán consideradas como tales aquellas bases de datos, sistemas o archivos que, por disposición legal, puedan ser consultadas públicamente sin que exista impedimento normativo, y excluyendo expresamente aquellas que contengan información obtenida ilícitamente.
  • Amplía las excepciones al consentimiento del titular, permitiendo que no se requiera este cuando una disposición jurídica, no solo legal, así lo disponga, incluyendo reglamentos y circulares administrativas.
  • Introduce formalmente el concepto de 'plazo de conservación' y establece que los datos personales deberán suprimirse solo después de haber cumplido dicho plazo y de haber sido bloqueados previamente, cuando ya no sean necesarios para las finalidades previstas.
  • Refuerza el deber de confidencialidad, obligando al responsable a implementar controles o mecanismos que aseguren que todas las personas involucradas en el tratamiento de datos personales, incluyendo empleados, encargados y terceros, mantengan dicha confidencialidad incluso después de terminada la relación jurídica.
  • Introduce formalmente que el derecho de acceso abarca que los titulares no solo conozcan sus datos personales en posesión del responsable, sino también las condiciones y generalidades del tratamiento, las cuales deben estar disponibles en el aviso de privacidad; así como que el derecho de rectificación, permite a los titulares solicitar la corrección de datos personales que no solo sean inexactos o incompletos, sino también aquellos que no se encuentren actualizados.
  • Incorpora nuevas causas para ejercer el derecho de oposición. Además de la causa legítima, se permite oponerse cuando los datos sean objeto de tratamiento automatizado que produzca efectos jurídicos adversos o afecte significativamente derechos o libertades del titular. También se aclara que este derecho no aplica si el tratamiento es necesario para cumplir una obligación legal.
  • Modifica los requisitos de forma para ejercer derechos ARCO, estableciendo que deberá indicarse el derecho específico que se pretende ejercer o la solicitud concreta, y distinguiendo expresamente entre la identidad del titular y la representación legal de un tercero.
  • Establece lineamientos más detallados para la presentación, atención y validación de solicitudes de derechos ARCO, fortaleciendo la certeza jurídica y la protección efectiva de los titulares.




Authored by Guillermo Larrea, Federico de Noriega, Ana Rumualdo, and Victoria Villagómez.

Implicaciones y Recomendaciones

Las modificaciones incorporadas por la LFPDPPP de 2025 representan una transformación integral en el régimen de protección de datos personales. Estas reformas no solo refuerzan los derechos de los titulares, sino que también elevan considerablemente las obligaciones de los responsables y encargados del tratamiento. La ley impone estándares más altos de legalidad, transparencia, seguridad y responsabilidad proactiva. En este contexto, las empresas deberán adoptar medidas inmediatas para alinear sus operaciones con el nuevo marco normativo.
En primer lugar, es fundamental que cada organización realice una auditoría integral de las fuentes de datos que utiliza, a fin de, identificar aquellas que no cumplen con la nueva definición legal y podrían representar un riesgo legal. Simultáneamente, deberán revisarse y actualizarse los contratos con proveedores y socios comerciales, delimitando con precisión los roles de responsable y encargado conforme a la definición actualizada de la ley.

Adicionalmente, se requiere la revisión y actualización de todos los Avisos de Privacidad, tanto en su versión integral como simplificada, incorporando los nuevos elementos obligatorios y eliminando aquellos que ya no son exigidos. Si bien ya no es obligatorio informar sobre las transferencias de datos, se recomienda mantener dicha información para conservar la transparencia y alinearse con marcos internacionales como el RGPD europeo.

En cuanto al consentimiento, las empresas deberán identificar con claridad qué tratamientos pueden realizarse sin requerir autorización expresa, asegurando que exista respaldo en una disposición jurídica válida. Esto implica mantener un monitoreo activo de nuevas normativas y criterios emitidos por autoridades regulatorias.

Otro aspecto central será el establecimiento de políticas claras sobre conservación y supresión de datos, con plazos definidos y procesos efectivos de bloqueo. Esta exigencia deberá estar debidamente documentada y respaldada con procedimientos técnicos adecuados.

La obligación reforzada de confidencialidad requerirá la firma de acuerdos con todos los involucrados en el tratamiento de datos, así como la implementación de mecanismos de control de acceso, capacitación continua y auditorías internas que garanticen su cumplimiento.

Por último, será necesario adecuar los procedimientos para la atención de solicitudes ARCO, asegurando que se cumplan los requisitos formales exigidos y que las respuestas incluyan información detallada sobre el tratamiento. La empresa debe garantizar que los titulares tengan acceso fácil a sus datos y a los mecanismos de ejercicio de sus derechos, incluyendo medidas específicas para tratar solicitudes relacionadas con decisiones automatizadas o inteligencia artificial.

Búsqueda

Regístrese para recibir contenido personalizado ¡y más!