ASAP
México Tiene Nueva Ley en Materia de Protección de Datos Personales
El pasado 20 de marzo de 2025 se publicó la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”) que entró en vigor el 21 de marzo del presente año y que contiene importantes cambios en materia de privacidad, comenzando por la extinción definitiva del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, asumiendo sus atribuciones la Secretaría Anticorrupción y Buen Gobierno.
Otro cambio significativo consiste en la nueva definición de datos personales. Si bien este concepto continúa refiriéndose a aquella “información concerniente a una persona identificada o identificable”, la ley ya no establece que dicha información deba pertenecer a una persona física. De igual forma, la definición de titular de los datos personales deja de lado el requisito de ser persona física para poder tener todos los derechos consagrados en la Constitución y en esta ley respecto de su información personal. Lo anterior abre la posibilidad de que las personas morales puedan solicitar el ejercicio de derechos de acceso, rectificación, cancelación y oposición (“Derechos ARCO”) y que el responsable del tratamiento de los datos personales sea sancionado en caso de incumplir con sus obligaciones ante compañías, tales como otorgarles un aviso de privacidad, recabar su consentimiento para tratar sus datos cuando así lo exija la ley, entre otras.
No obstante lo anterior, es posible que estos conceptos sean aclarados posteriormente en el Reglamento de la ley, mismo que está pendiente de harmonización conforme a la nueva normatividad y para lo cual se ha establecido un término de 90 días naturales a partir de la entrada en vigor de la nueva LFPDPPP.
Entre otras cuestiones, la LFPDPPP ahora establece, dentro de las nuevas obligaciones de los responsables del tratamiento de datos personales, las siguientes:
- Proporcionar un aviso de privacidad simplificado a los titulares de los datos personales cuando estos últimos se obtengan por medios electrónicos o tecnológicos.
- Establecer controles o mecanismos para garantizar que los terceros que intervengan en el tratamiento de los datos personales guarden su confidencialidad, incluso después de terminada la relación del responsable con el tercero.
- Fomentar la protección de datos personales al interior de la organización.
Por cuanto hace a derechos de los titulares, se incorporan en la ley los siguientes:
- Se contempla la actualización de datos dentro del derecho a la rectificación.
- Oponerse al tratamiento automatizado de sus datos personales cuando éste afecte significativamente sus derechos y su información sea analizada sin intervención humana, por ejemplo, para pronosticar el desempeño laboral, fiabilidad, comportamiento del titular, entre otros.
Este nuevo marco legal también prevé esquemas de autorregulación en los que los responsables del tratamiento de datos personales acuerden entre ellos (ej. empresas de un mismo grupo, proveedores y clientes, etc.) o con organizaciones civiles o gubernamentales, nacionales o extranjeras, las métricas para determinar el cumplimiento de la legislación, así como sanciones en caso de no cumplir con las mismas. Lo anterior se puede traducir en códigos, políticas, reglamentos, procesos que adopten los integrantes del acuerdo para garantizar el cumplimiento de la ley y facilitar que los titulares de los datos personales ejerzan sus derechos de conformidad con la misma.
Por último, una cuestión que podría generar un avance en la protección de los datos personales en México es que el decreto en el cual se ordena la publicación de la LFPDPPP también requiere la habilitación de juzgados de distrito y tribunales colegiados de circuito especializados en la materia en los 120 días naturales siguientes a la entrada en vigor del decreto a fin de que resuelvan los amparos que los particulares soliciten.
Aunque las sanciones en caso de incumplimiento a la LFPDPPP no han cambiado, es importante considerar que los infractores podrán hacerse acreedores de multas que van de 100 a 320,000 Unidades de Medida y Actualización (actualmente de USD$565.70 a USD$1,810,240), las cuales pueden duplicarse en caso de verse afectados datos sensibles (aquellos cuyo uso inadecuado podría resultar en discriminación).
Derivado de lo anterior, es importante que los empleadores verifiquen si cuentan con avisos de privacidad para sus empleados, candidatos y demás titulares de datos personales de los que traten información, así como confirmen si están tomando medidas para garantizar un tratamiento de datos que esté ajustado a la legislación actual.