El 21 de marzo de 2025 entró en vigor una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en nuestro país. Esta ley surge tras la reforma constitucional publicada en diciembre del año pasado, enfocada en reducir la estructura institucional del Estado, lo que incluyó la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Las funciones del ahora extinto INAI pasaron a la recién creada Secretaría de Anticorrupción y Buen Gobierno (SABG), un cambio que ha generado tanto expectativas como inquietudes en el sector privado.
Entendiendo la nueva LFPDPPP
Si bien la nueva LFPDPPP conserva la esencia y la estructura de la ley anterior, esta nueva regulación introduce modificaciones relevantes que vale la pena que las organizaciones tengan en el radar. Entre los principales cambios se encuentran:
a) La ampliación del concepto de tratamiento, extendiendo su alcance para incluir un mayor abanico de actividades, fortaleciendo así la claridad sobre las obligaciones de quienes llevan a cabo el tratamiento de datos personales.
b) La desaparición de la posibilidad de tratar datos para fines “compatibles o análogos”. El día de hoy, si una empresa desea tratar datos para fines distintos a los señalados originalmente en el aviso de privacidad, deberá solicitar al titular, nuevamente, su autorización expresa. Esto refuerza el control y empoderamiento de los individuos sobre su información.
c) Aunque ya no es obligatorio listar expresamente las transferencias en el aviso de privacidad, se mantiene la necesidad de contar con el consentimiento del titular en la mayoría de los casos. Esto implica una necesaria revisión de los avisos de privacidad y mecanismos de obtención del consentimiento implementados hoy en día.
d) Se exige la implementación de controles que garanticen que todas las personas involucradas en el tratamiento de datos personales mantengan la confidencialidad de manera efectiva, incluyendo proveedores y aliados externos.
e) El derecho de oposición ya no podrá ejercerse cuando el tratamiento responda al cumplimiento de una obligación legal, brindando mayor certeza y seguridad jurídica a sectores regulados.
f) La desaparición del INAI y el traspaso de funciones a la SABG implicarán cambios en los canales de atención, supervisión y resolución de controversias.
g) Las resoluciones de la autoridad podrán impugnarse vía juicio de amparo ante tribunales especializados, lo que puede dar lugar a una jurisprudencia más técnica y especializada en la materia.
Por otra parte, y pese al contexto de avance tecnológico en el que nos encontramos actualmente, en la nueva LFPDPPP no se incluyen temas cruciales como el derecho a la apertura y a la portabilidad de datos, la aplicación extraterritorial y el uso de inteligencia artificial en el tratamiento de información.
Retos y oportunidades
La entrada en vigor de la nueva LFPDPPP requiere acciones inmediatas por parte de las empresas, tales como la actualización de avisos de privacidad, la revisión de mecanismos de consentimiento, el reforzamiento de contratos con terceros, la capacitación al interior de las organizaciones y, en general, la redefinición del programa integral de cumplimiento en materia de privacidad de la información. También será fundamental analizar la necesidad de rediseñar los flujos internos de datos, las herramientas tecnológicas de gestión de privacidad, así como los procesos de respuesta a titulares, a efecto de evitar riesgos legales y reputacionales.
Adicionalmente, resulta relevante que las organizaciones consideren la adopción voluntaria de estándares internacionales como el Reglamento General de Protección de Datos, GDPR por sus siglas en inglés. Esto, con la finalidad de integrar a sus operaciones mejores prácticas como la minimización de datos, la limitación de finalidades, la ejecución de evaluaciones de impacto —especialmente en el uso de inteligencia artificial y tecnologías emergentes—, la adopción de formatos interoperables y estandarizados para facilitar la portabilidad, la implementación de políticas de gobernanza de inteligencia artificial y el robustecimiento de la ciberseguridad, entre otras.
Hacerlo de manera proactiva no solo es una oportunidad para alinear su marco interno de protección de datos, sino también para operar bajo estándares internacionales más avanzados y robustos.
Enfoque ético y preventivo
La entrada en vigor de la nueva LFPDPPP no es un cambio menor; es una oportunidad para revisitar y rediseñar la forma en que las organizaciones gestionan y protegen la información personal.
En un entorno marcado por la transformación digital y el uso de la inteligencia artificial, adoptar un enfoque más dinámico, ético y preventivo en materia de protección de datos se vuelve imperante. Adaptar los modelos de cumplimiento en la materia se traduce no solo en la adhesión a las disposiciones de esta nueva ley, sino en la protección de la marca institucional, el fortalecimiento de la confianza y el posicionamiento como una empresa responsable en el mercado.
