El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación un decreto de reforma que introduce diversas modificaciones, así como nuevas leyes en materia de transparencia y protección de datos personales (el “Decreto”), incluyendo la expedición de una nueva Ley General de Transparencia y Acceso a la Información Pública, una nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”).

Al tratarse de la ley más relevante para el sector privado, el presente análisis se centra exclusivamente en la nueva LFPDPPP, comparando su contenido con la versión anterior de la ley. Si bien la mayoría de las modificaciones a la LFPDPPP corresponden a ajustes de forma y estilo, así como a ciertas aclaraciones o precisiones técnicas, como lo fue la sustitución de la referencia de días de salario mínimo por Unidades de Medida y Actualización (“UMA”) para el cálculo de multas, la reforma también modifica e introduce nuevos conceptos y aspectos que es importante considerar.

Principales Cambios en la LFPDPPP

1. Desaparición del INAI.- El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”) desaparece, y sus funciones en materia de protección de datos personales serán asumidas por la Secretaría de Anticorrupción y Buen Gobierno (“Secretaría”).

Los recursos humanos y materiales, así como los registros, padrones y sistemas con los que cuenta el INAI, serán transferidos a la Secretaría.

2. Actualización del Reglamento de la LFPDPPP.- Todas las referencias al INAI en el Reglamento de la LFPDPPP se entenderán hechas a la Secretaría.

Asimismo, de conformidad con el Artículo Décimo Segundo transitorio del Decreto, el Ejecutivo Federal tendrá 90 días naturales a partir de la entrada en vigor de la reforma para expedir las adecuaciones reglamentarias correspondientes, y con lo cual esperamos que se aclaren alguna imprecisiones de la reforma.  

3. Cambios en definiciones y conceptos.- Derivado de la reforma se modificaron diversas definiciones y conceptos clave de la LFPDPPP. Entre los más relevantes, se encuentra la ampliación de la definición de “Tratamiento” para incluir ahora el registro, organización, conservación, elaboración, utilización, comunicación, difusión y posesión de datos personales, y la eliminación de la referencia a “afiliación sindical” en la definición de “Datos Personales Sensibles”.

Si bien algunos cambios mejoran la claridad y compresión de la ley, otros pueden generar confusión y se apartan de mejores prácticas o recomendaciones internaciones en cuanto al manejo de datos personales.

4. Eliminación de fines análogos.- El responsable ya no podrá tratar los datos personales para fines distintos a los previstos en el aviso de privacidad, aunque sean compatibles o análogos. Por ello, dicho aviso deberá ser más claro y preciso en cuanto a las finalidades específicas para las cuales se recaban y tratan los datos personales.

5. Requisitos del aviso de privacidad.- La reforma concentra en el artículo 15 la información que debe contener el aviso de privacidad, la cual anteriormente estaba dispersa en diversos artículos, con lo que se facilita su consulta y aplicación.

Sin embargo, es importante señalar que, aunque en el artículo 15 ya no se menciona expresamente la obligación de incluir las transferencias de datos, el artículo 35 de la LFPDPPP sigue exigiendo que esta información esté presente en el aviso de privacidad, en caso de resultar aplicable.

6. Aviso de privacidad simplificado.-  Se establecen nuevos requisitos para los avisos de privacidad en su modalidad simplificada. Antes de la reforma, solo era obligatorio incluir el nombre y domicilio del responsable, así como las finalidades del tratamiento.

Ahora, con motivo de la reforma, además de estos elementos, el aviso simplificado deberá incorporar los datos personales que serán tratados, identificando aquellos que sean sensibles, así como las opciones y medios para limitar el uso o divulgación de los datos.

7. Mecanismos de confidencialidad.- Se impone al responsable la obligación de establecer controles y mecanismos para garantizar que todas las personas involucradas en el tratamiento de datos personales mantengan la confidencialidad de los mismos, incluso después de finalizar su relación con el responsable, lo que incluye la terminación de la relación laboral con sus empleados.

8. Tratamiento automatizado.- Se introduce el concepto de tratamiento automatizado de datos personales, lo que cobra especial relevancia en el uso de cookies y web beacons, y el uso de tecnologías de inteligencia artificial.

No obstante lo anterior, las opciones para oponerse a este tipo de tratamiento se encuentran limitadas, ya que según el texto de la reforma, el titular solo podrá hacerlo cuando existan causas legítimas, el tratamiento produzca efectos jurídicos adversos o afecte de manera significativa sus derechos, libertades o intereses, y el tratamiento se realice sin intervención humana.

9. Impugnación.- Se elimina la posibilidad de impugnar las resoluciones a través de un juicio de nulidad. En su lugar, las resoluciones de la Secretaría solo podrán ser impugnadas mediante juicio de amparo, que deberá presentarse ante jueces y tribunales especializados.

De conformidad con el Artículo Vigésimo Transitorio del Decreto, el Poder Judicial de la Federación deberá habilitar jueces especializados en acceso a la información y protección de datos personales en un plazo de 120 días naturales a partir de la entrada en vigor del Decreto.

CCN está listo para brindar asesoría en el cumplimiento de la nueva LFPDPPP y ofrecer apoyo integral en todas las áreas relacionadas con privacidad y protección de datos personales en México.