Nueva Ley Federal: Protección de Datos Personales en Posesión de los Particulares

El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación, la nueva Ley General de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025.

Introduce nuevos conceptos como el aviso de privacidad, consentimiento y datos personales sensibles, además de regular el tratamiento y la transferencia de datos. También se incluyen medidas de autorregulación y se definen sanciones por incumplimiento.

La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.

Dentro de los principales temas a destacar relacionados con el Decreto y la nueva LFPDPPP está la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”), que antes de la publicación del Decreto, se desempeñaba como órgano autónomo regulador y de supervisión en materia de transparencia, acceso a la información y protección de datos personales. A partir del 21 de marzo de 2025, la supervisión, vigilancia y regulación en materia de protección de datos personales será responsabilidad de la Secretaría Anticorrupción y Buen Gobierno (la “Secretaría”), entidad que depende directamente del Poder Ejecutivo.

 

 

  • Consentimiento. La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.

Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.

Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.

  • Aviso de Privacidad. Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.

Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.

  • Derechos ARCO. Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.

En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.

  • Procedimientos en la materia. Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y Tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.

Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

  • Infracciones y sanciones. Se establece la Unidad de Medida y Actualización para las sanciones, en sustitución del salario mínimo. Se adiciona como infracción el actuar con negligencia o dolo en la sustanciación de las solicitudes para el ejercicio de los derechos ARCO.

Si bien esta reforma no introduce cambios sustanciales, las empresas deben priorizar una revisión detallada de su aviso de privacidad y, en su caso, ajustarlo a las disposiciones de la nueva Ley incluyendo, en su caso, la sustitución de referencias al INAI.

 

Compartir