La Nueva Ley Federal de Protección de Datos Personales

En el panorama legal mexicano, la protección de datos personales ha sido un tema de creciente relevancia. La reforma a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2025, publicada el 20 de marzo de 2025 en la edición vespertina del Diario Oficial de la Federación, trae consigo cambios significativos que afectan a individuos y empresas. A continuación, se presentan los aspectos más relevantes de esta reforma, así como los próximos pasos en su implementación.


Principales Cambios
Los cambios principales se describen a continuación.
1. Cambios en definiciones y conceptos

    • Se amplía la definición de datos personales identificables, incluyendo información que permite la identificación directa o indirecta de una persona.
    • Se introducen explícitamente los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) como categoría específica dentro de la ley.
    • Se redefinen las funciones del responsable y el encargado, estableciendo obligaciones más claras.
    • Se cambia la autoridad reguladora: el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es reemplazado por la Secretaría de Anticorrupción y Buen Gobierno.


  1. Ampliación de derechos de los titulares
    • Se refuerza el derecho a oponerse al tratamiento de datos cuando pueda afectar derechos fundamentales.
    • Se establece que los datos inexactos, incompletos o desactualizados pueden ser rectificados a solicitud del titular.
    • La cancelación de datos implica un período de bloqueo antes de su eliminación definitiva.


  1. Nuevas obligaciones para responsables y encargados


    • Se exige implementar medidas de seguridad administrativas, técnicas y físicas adecuadas al nivel de riesgo.
    • Se obliga a notificar inmediatamente vulneraciones de seguridad que puedan afectar a los titulares.
    • Se refuerzan los requisitos del aviso de privacidad, incluyendo más detalles sobre la finalidad del tratamiento de datos y mecanismos de oposición.


  1. Cambios en la transferencia de datos


    • Las transferencias internacionales requieren garantías de protección equivalentes a las de la ley mexicana.
    • Se establecen nuevos casos en los que no se requiere consentimiento, como cumplimiento de obligaciones legales o interés público.


  1. Transformación de la autoridad de supervisión


    • La Secretaría de Anticorrupción y Buen Gobierno sustituye al INAI como ente regulador.
    • Se amplían las facultades de supervisión y sanción, con un enfoque en buenas prácticas comerciales y protección digital.


Transitorios y proceso de implementación
En lo que respecta a los transitorios y al proceso de implementación, los obligados deben atender lo siguiente.
1. Entrada en Vigor y Derogaciones

    • La ley entrará en vigor el 21 de marzo de 2025.
    • Se derogan varias leyes vigentes, incluyendo:
      • La LFPDPPP 2010.
      • Leyes de Transparencia y Acceso a la Información (2015 y 2016).
      • Ley General de Protección de Datos en Posesión de Sujetos Obligados (2017).


  1. Reorganización Institucional
    • El INAI desaparece y sus atribuciones se trasladan a la Secretaría Anticorrupción y Buen Gobierno y Transparencia para el Pueblo.
    • Se transfieren:
      • Recursos humanos: El personal del INAI será absorbido por la nueva Secretaría.
      • Recursos materiales y financieros: Infraestructura y fondos pasarán a la Secretaría de Hacienda y Crédito Público (SHCP).
      • Bases de datos y sistemas informáticos: La Plataforma Nacional de Transparencia será administrada por la nueva Secretaría.


  1. Impacto en Procedimientos en Curso
    • Asuntos de acceso a la información: Se transferirán a Transparencia para el Pueblo.
    • Asuntos de protección de datos: Pasarán a la Secretaría Anticorrupción y Buen Gobierno.
    • Litigios pendientes: Continuarán bajo las nuevas autoridades.


  1. Armonización Normativa y Ajustes


    • Se expedirán nuevos reglamentos en un plazo de 90 días.
    • Gobiernos estatales y municipales deben armonizar sus leyes.
    • El Poder Judicial habilitará juzgados especializados en protección de datos y acceso a la información en 120 días.
    • Suspensión temporal de juicios de amparo en estas materias por 180 días.