Nueva Ley de Protección de Datos Personales en México
En un contexto global donde la protección de la información personal se convierte en un tema cada vez más relevante, México ha dado un paso decisivo con la entrada en vigor de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“Ley”), publicada en el Diario Oficial de la Federación en marzo de 2025. Aunque la Ley conserva los principios fundamentales del marco jurídico previamente establecido en el 2010, esta introduce una serie de conceptos y procedimientos que amplían las responsabilidades de los sujetos obligados, además de establecer una nueva autoridad competente; todos estos elementos que merecen un análisis detallado.
Reconfiguración de conceptos fundamentales.
Principalmente, la Ley redefine uno de los conceptos fundamentales para el tema: datos personales. La definición de este concepto es ampliada para precisar que una persona, sea física o moral, puede ser identificable por medios directos o indirectos, lo cual es relevante en contextos en donde se utilizan metadatos, identificadores digitales y/o la combinación de información adquirida a través de diferentes fuentes.
Asimismo, el concepto consentimiento se define como un acto de voluntad libre, específico, informado e inequívoco del titular a quien corresponden los datos personales (“Titular”). Esta definición eleva el estándar de legitimidad para el tratamiento de datos, en tanto exige que el consentimiento no pueda presumirse ni obtenerse de manera ambigua o generalizada. En consecuencia, los responsables del tratamiento de tal información (“Sujetos Regulados” según se define en la misma Ley) adquieren una mayor carga probatoria y operativa en términos de documentación y trazabilidad del consentimiento. Esta exigencia no solo incrementa el nivel de protección del Titular, sino que también demanda una mayor atención en los procesos de cumplimiento normativo por parte de los Sujetos Regulados, especialmente en entornos digitales y/o automatizados donde la obtención del consentimiento se realiza mediante plataformas electrónicas. No obstante, la Ley contempla particularidades adicionales sobre el consentimiento que merecen ser estudiadas en la Ley misma.
Por otro lado, otro de los cambios en la Ley es la redefinición del concepto de tratamiento. Aunque la legislación del 2010 cubría las etapas esenciales del ciclo de vida de los datos, esta permitía cierta ambigüedad en la interpretación respecto a procesos intermedios o nuevos métodos derivados del desarrollo tecnológico. A fin de responder a la necesidad de mayor claridad jurídica, la Ley adopta una definición más detallada, técnica y exhaustiva, que incorpora expresamente un conjunto más amplio de operaciones tanto manuales como automatizadas.
Aviso de privacidad y obligaciones correlativas.
El aviso de privacidad podría considerarse la manifestación concreta del deber del Sujeto Regulado de informar al Titular de la recopilación y uso de los datos personales. Bajo la nueva Ley, el contenido de dicho aviso debe ser más preciso y comprensivo, pues debe indicar con claridad quédatos se recaban, señalar de forma expresa cuáles de estos son considerados sensibles, y especificar las finalidades del tratamiento de estos. La nueva Ley mantiene la obligación de que el aviso de privacidad debe contener las opciones y medios que el Titular tiene para limitar el uso o divulgación de los datos, los medios y procedimientos para ejercer los derechos ARCO, y el procedimiento y medio por el cual se comunicará de cambios al aviso de privacidad.
Reforzamiento del deber de confidencialidad.
A fin de garantizar el trato transparente de los datos personales, la Ley introduce un enfoque proactivo en relación con el deber de confidencialidad. Esta conserva el principio de confidencialidad establecido en la ley anterior, sin embargo, ahora añade una exigencia adicional de carácter organizativo, ya que el Sujeto Responsable, o terceros involucrados, deberá implementar medidas o controles específicos que aseguren que todas las personas que intervengan en cualquier fase del tratamiento de los datos personales cumplan efectivamente con dicha obligación.
Es aquí donde la celebración de contratos de confidencialidad con clientes, empleados y/o proveedores cumplen esta función.
Supresión del INAI y reorganización institucional.
Una de las modificaciones más relevantes en la Ley ha sido la extinción de la autoridad reguladora en materia de datos personales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”). Antes de que su existencia fuera derogada de la Constitución Política de los Estados Unidos Mexicanos, el INAI era un organismo constitucional autónomo cuyo objetivo era garantizar el acceso a la información pública y la protección de datos personales. A partir de los recientes cambios en la Constitución y la publicación de la Ley, las atribuciones en materia de supervisión, verificación, sanción y emisión de lineamientos relacionados con la protección de datos personales han sido conferidas a la Secretaría Anticorrupción y Buen Gobierno (la “Secretaria”), creada hace algunos meses. Específicamente la Secretaria contará con el apoyo del órgano administrativo desconcentrado “Transparencia para el Pueblo” para resolver los recursos de inconformidad que sean interpuestos por particulares.
Asimismo, los procedimientos en materia de acceso a la información pública iniciados con anterioridad a la entrada en vigor de la Ley se sustanciarán ante Transparencia para el Pueblo conforme a las disposiciones aplicables vigentes al momento de su respectivo inicio.
Implicaciones para los Sujetos Responsables.
De acuerdo con las nuevas disposiciones legales, los Sujetos Responsables deberán adaptar sus políticas y avisos de privacidad, así como adecuar sus procedimientos y mecanismos de recopilación. Asimismo, debido a la creación de la nueva Secretaría y el organismo Transparencia para el Pueblo se puede esperar una etapa de actividad legislativa para la modificación de normativa secundaria, en la que se podrían emitir lineamientos técnicos, criterios interpretativos y posibles sanciones por parte de la autoridad competente.
Nuestro equipo legal está listo para brindar asesoría personalizada y resolver cualquier duda que se pudiera tener respecto a la Ley. Además, nos encontramos disponibles para apoyar en el análisis, elaboración o mejora de sus políticas de privacidad, asegurando que cumplan con la normativa vigente y protejan adecuadamente la información de sus usuarios.
Limitante de Responsabilidad: Las opiniones expresadas en este artículo no necesariamente representan la opinión de J.A. Treviño Abogados S.A. de C.V. (la “Firma”), y en ese sentido la Firma no será responsable por el contenido de los mismos. Cualquier artículo, comentario, cita o cualesquiera otra información que aparezca bajo la autoría de alguna persona física o moral distinto a la Firma, aún y cuando dicha persona física o moral tenga alguna relación con la Firma, únicamente representa y refleja la opinión, comentario o posición del autor de la misma. La información contenida en este artículo se proporciona únicamente con fines informativos, y no deberá interpretarse o considerarse como asesoría legal. La información contenida en este artículo es propiedad exclusiva de la Firma. Los lectores de este artículo, ya sean clientes o no de la Firma, no deben actuar o dejar de actuar en base al contenido de artículo alguno sin haber recibido la asesoría legal o profesional necesaria sobre los hechos en particular y las circunstancias propias del asunto de parte de algún abogado autorizado a ejercer el derecho en la jurisdicción relevante a cada caso. El contenido de este artículo contiene información general y pudiera no estar actualizado. La Firma no será responsable de forma alguna por actos u omisiones basados en la información y contenido de este artículo.
