El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación un Decreto que establece un nuevo marco normativo en materia de protección de datos personales en México. En virtud de este Decreto, entran en vigor las siguientes leyes: la nueva Ley General de Protección de Datos Personales en Posesión de los Particulares, aplicable al sector privado; la nueva Ley General de Transparencia y Acceso a la Información Pública; y la nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, aplicable a autoridades y organismos públicos. Asimismo, se publica una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que refuerza y actualiza las disposiciones anteriores en esta materia.
Antecedentes
Estas nuevas disposiciones abrogan expresamente la Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada en 2010, así como las versiones anteriores de la Ley General de Transparencia y Acceso a la Información Pública y de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Adicionalmente, el Decreto contempla la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuyas funciones de supervisión, vigilancia y regulación serán asumidas por la Secretaría Anticorrupción y Buen Gobierno, órgano dependiente del Poder Ejecutivo Federal.
Nuevos Conceptos Clave
- Se redefine “Datos Personales” como cualquier información que permita identificar a una persona, física o moral, directa o indirectamente.
- El consentimiento debe ser otorgado de forma libre, específica e informada. Se flexibiliza su obtención, permitiendo también medios digitales.
- Se formaliza el “plazo de conservación” de los datos, exigiendo periodos justificados según el tratamiento y estableciendo lineamientos claros para su eliminación.
Avisos de Privacidad
- Se modifican los requisitos del Aviso Integral y Simplificado: se deberá especificar qué datos se recaban, los sensibles, las finalidades que requieren consentimiento, opciones para limitar uso, y elementos antes no requeridos.
- Aunque ya no es obligatorio mencionar transferencias de datos, se recomienda mantener esa práctica para reforzar la confianza de los titulares.
Nuevas Obligaciones y Roles
- Se redefine el concepto de Responsable del Tratamiento: ahora también lo serán quienes tomen decisiones sobre el tratamiento, sin importar si son personas físicas o morales.
- Las empresas deben establecer procedimientos internos claros para la gestión del ciclo de vida de los datos y sus medidas de bloqueo y eliminación.
Derechos ARCO Reforzados
- Se refuerzan los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), ampliando la protección para que los titulares puedan oponerse sin causa legítima frente a ciertos tratamientos automatizados o discriminatorios.
Implicaciones Prácticas
- Las empresas deben revisar y ajustar su aviso de privacidad, procedimientos internos, medidas de seguridad y capacitación del personal involucrado en el tratamiento de datos.
¿Necesita Asesoría Legal?
Nuestro equipo está listo para apoyarle en la implementación de las nuevas disposiciones, mitigando riesgos regulatorios mediante auditorías, redacción de políticas y asesoría personalizada.
