
Hogan Lovells 2024 Election Impact and Congressional Outlook Report
El 20 de marzo de 2025 se publicó la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP de 2025) en el Diario Oficial de la Federación. La LFPDPPP de 2025 entró en vigor el 21 de marzo de 2025 y abroga la ley homónima publicada en 2010.
Como consecuencia de la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la LFPDPPP de 2025 establece que los recursos materiales y financieros del INAI serán transferidos a la Secretaría Anticorrupción y Buen Gobierno, la cual se convierte en la nueva autoridad encargada de la protección de datos personales. Dicha Secretaría tendrá como objetivo difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y vigilar el cumplimiento de las disposiciones aplicables. Los procedimientos iniciados antes de la entrada en vigor de la LFPDPPP de 2025 ante el INAI continuarán sustanciándose conforme a la normativa vigente al momento de su inicio, pero ahora serán atendidos por la Secretaría Anticorrupción y Buen Gobierno.
Authored by Guillermo Larrea, Federico de Noriega, Ana Rumualdo, and Victoria Villagómez.
Las modificaciones incorporadas por la LFPDPPP de 2025 representan una transformación integral en el régimen de protección de datos personales. Estas reformas no solo refuerzan los derechos de los titulares, sino que también elevan considerablemente las obligaciones de los responsables y encargados del tratamiento. La ley impone estándares más altos de legalidad, transparencia, seguridad y responsabilidad proactiva. En este contexto, las empresas deberán adoptar medidas inmediatas para alinear sus operaciones con el nuevo marco normativo.
En primer lugar, es fundamental que cada organización realice una auditoría integral de las fuentes de datos que utiliza, a fin de, identificar aquellas que no cumplen con la nueva definición legal y podrían representar un riesgo legal. Simultáneamente, deberán revisarse y actualizarse los contratos con proveedores y socios comerciales, delimitando con precisión los roles de responsable y encargado conforme a la definición actualizada de la ley.
Adicionalmente, se requiere la revisión y actualización de todos los Avisos de Privacidad, tanto en su versión integral como simplificada, incorporando los nuevos elementos obligatorios y eliminando aquellos que ya no son exigidos. Si bien ya no es obligatorio informar sobre las transferencias de datos, se recomienda mantener dicha información para conservar la transparencia y alinearse con marcos internacionales como el RGPD europeo.
En cuanto al consentimiento, las empresas deberán identificar con claridad qué tratamientos pueden realizarse sin requerir autorización expresa, asegurando que exista respaldo en una disposición jurídica válida. Esto implica mantener un monitoreo activo de nuevas normativas y criterios emitidos por autoridades regulatorias.
Otro aspecto central será el establecimiento de políticas claras sobre conservación y supresión de datos, con plazos definidos y procesos efectivos de bloqueo. Esta exigencia deberá estar debidamente documentada y respaldada con procedimientos técnicos adecuados.
La obligación reforzada de confidencialidad requerirá la firma de acuerdos con todos los involucrados en el tratamiento de datos, así como la implementación de mecanismos de control de acceso, capacitación continua y auditorías internas que garanticen su cumplimiento.
Por último, será necesario adecuar los procedimientos para la atención de solicitudes ARCO, asegurando que se cumplan los requisitos formales exigidos y que las respuestas incluyan información detallada sobre el tratamiento. La empresa debe garantizar que los titulares tengan acceso fácil a sus datos y a los mecanismos de ejercicio de sus derechos, incluyendo medidas específicas para tratar solicitudes relacionadas con decisiones automatizadas o inteligencia artificial.