Ciudad de México, a 21 de Marzo 2025
El 20 de marzo del año en curso, se publicó en el Diario Oficial de la Federación (DOF) la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025. Queda abrogada la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Destacamos las principales modificaciones que la NLFPDPPP presenta con respecto a la LFPDPPP:
- Modificación/precisión en las definiciones de diversos conceptos:
| Concepto | Antigua versión LFPDPPP | NLFPDPPP |
| Aviso de Privacidad | Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. | Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley. |
| Bases de Datos | El conjunto ordenado de datos personales referentes a una persona identificada o identificable. | Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización. |
| Consentimiento | Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. | Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos. |
| Datos personales | Cualquier información concerniente a una persona física identificada o identificable. | Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. |
| Datos personales sensibles | Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. | Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual. |
| Derechos ARCO | No había definición en la LFPDPPP. | Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. |
| Fuente de Acceso Público | Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley. | Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables. |
| Responsable | Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. | Sujetos regulados a que se refiere la fracción XVI de este artículo. |
| Sujetos regulados | No había definición en la LFPDPPP. | Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales; |
| Tratamiento | La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. | Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales. |
| Transferencias | Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. | Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento. |
2. Consentimiento
La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.
La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.
Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.
Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.
3. Aviso de Privacidad
Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.
Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.
4. Derechos ARCO
Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.
En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.
5. Nueva autoridad de protección de datos
La Secretaría de Anticorrupción y Buen Gobierno asumirá las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.
Además, la reforma elimina a la Secretaría de Economía como autoridad reguladora en esta materia.
6. Procedimientos en la materia.
Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.
Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Es importante mencionar que los particulares deberán revisar y ajustar sus políticas y prácticas internas para adecuarlas a los cambios que conlleva la vigencia de la nueva ley. Asimismo, es recomendable implementar capacitaciones al personal y colaboradores para socializar la NLPDPPP, en su momento la reglamentación y la nueva autoridad. Finalmente, es de suma importancia estar al tanto de la Secretaría para conocer sus nuevas prácticas y criterios.
Cabe destacar que a partir de la vigencia de la NLFPDPPP los procedimientos en materia de protección de datos serán conocidos por la Secretaría; a pesar de ser esencialmente los mismos procedimientos que la LFPDPPP abrogada, es importante tener en cuenta que a diferencia del extinto INAI, la Secretaría no es un cuerpo colegiado, y tanto la estructura como los criterios de la Secretaría serán distintos. Destacando sobre todo que la Secretaría forma parte del Ejecutivo Federal, contrario a la naturaleza independiente, y constitucionalmente autónoma del INAI.
El área de tecnologías de la información y protección de datos de nuestra firma queda a sus órdenes.
Atentamente,
Adolfo Athié Cervantes
Renata Denisse Buerón Valenzuela
Erika Itzel Rodríguez Kushelevich
Ivan García Argueta
