Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
El pasado 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación el decreto por el que se expiden la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (conocida como la “Nueva Ley”), siendo de particular interés para este artículo esta última, la cual entró en vigor al día siguiente de su publicación, a saber, el 21 de marzo de 2025, abrogando la ley anterior del mismo nombre.
Al igual que la ley anterior en México, la Nueva Ley tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Su texto no es muy distinto al texto de la anterior ley de 2010, sin embargo, podemos decir que el entorno de la protección de datos personales cambiará significativamente, dado que la autoridad garante dejó de ser un organismo constitucional autónomo y colegiado—el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (también conocido simplemente como el INAI), debido al decreto en materia de simplificación orgánica de 20 de diciembre de 2024. Ahora, pasa a ser una secretaría del ejecutivo, a saber, la Secretaría Anticorrupción y Buen Gobierno. La Secretaría, según el decreto publicado en el Diario Oficial de la Federación el 21 de marzo de 2025, atenderá los asuntos referentes a datos personales del sector privado a través de la Dirección General de Datos Personales en el Sector Privado, la cual se auxiliará en el ejercicio de sus atribuciones por las direcciones de Protección de Derechos del Sector Privado; de Atención a Denuncias y Verificación del Sector Privado y de Procedimientos Administrativos y Sanciones del Sector Privado.
Consta notar que la Nueva Ley no incluye temas como el tratamiento de datos personales de menores de edad, el derecho de portabilidad, la privacidad por diseño y por defecto, y los estudios de impacto en la privacidad, entre muchos otros. [JA1]
En la Nueva Ley se modifican las referencias que se hacían al INAI por referencias a la Secretaría y ya no se hace referencia a la Secretaría de Economía y otras autoridades reguladoras. Algunas de las modificaciones más relevantes al texto de la nueva ley son las que se exponen a continuación:
En el artículo 2, fracciones V y XVIII, se define “datos personales” como “cualquier información concerniente a una persona identificada o identificable […]” y “titular” como la “persona a quien corresponden los datos personales”, es decir, ya no se hace mención expresa a una “persona física”. Veremos si la intención del legislador fue incluir también a las personas morales o si simplemente se trató de una omisión.
En el artículo 9, se excluye el consentimiento del titular cuando el tratamiento de sus datos personales esté previsto en una disposición jurídica, ya no en una norma con rango de Ley como anteriormente se preveía. Asimismo, se incluye expresamente la posibilidad de excluir el consentimiento cuando los datos personales se requieran para ejercer un derecho, anteriormente solo se refería al cumplimiento con obligaciones derivadas de una relación jurídica. Finalmente, la fracción VII del mismo artículo se refería a la existencia de una resolución de autoridad competente y el texto de la Nueva Ley incluye: “orden judicial, resolución o mandato fundado y motivado”, lo cual amplía lalos supuestos en las que una autoridad pudiera solicitar datos personales de un responsable.
Con la ley anterior, se entendía que, si los datos personales se pretendían tratar para una finalidad compatible o análoga a las finalidades informadas y previstas en el aviso de privacidad, no era necesario recabar nuevamente el consentimiento, sin embargo, la Nueva Ley establece que “si el responsable pretende tratar los datos para una finalidad distinta a las establecidas en el aviso de privacidad, se requerirá obtener nuevamente el consentimiento del titular” (artículo 11).
Los requisitos indispensables de un aviso de privacidad se modifican en la Nueva Ley (artículo 15), pues ahora se deberán mencionar los datos sujetos a tratamiento y las finalidades, diferenciando aquellas que requieren el consentimiento del titular. Asimismo, no se menciona como requisito indispensable informar sobre las transferencias que se pretendan llevar a cabo. Cuando no se recaben datos personales de manera directa y pueda utilizarse un aviso de privacidad simplificado o corto, se aumentan los requisitos que debe contener dicho aviso, quitándole un poco el carácter de simplificado ya que se requerirá incluir más información.
El texto anterior de la ley se refería al derecho de acceso como la posibilidad del titular de conocer los datos personales sujetos a tratamiento y el aviso de privacidad, y el texto de la Nueva Ley menciona que el titular tiene derecho de acceder a sus datos personales, así como “conocer la información relacionada con las condiciones y generalidades de su tratamiento, a través del aviso de privacidad”. Esto no quiere decir que anteriormente no se le proporcionara esta información al titular, derivado de una solicitud de acceso, pero hoy el texto está redactado de manera distinta.
En el artículo 26 expresamente se amplía el derecho de oposición cuando en los casos en los que “exista causa legítima y la situación específica del titular así lo requiera” y cuando “los datos personales sean objeto de un tratamiento automatizado, que produzca efectos jurídicos no deseados o afecte de manera significativa los intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales o analizar o predecir, el rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento”.
Como se mencionó más arriba, desaparece el capítulo que se refería a las autoridades reguladoras y que establecía las obligaciones y funciones de éstas, como la creación de lineamientos y parámetros de autorregulación, pero se conservan los artículos referentes a la autorregulación.
Hoy en día la Secretaría Anticorrupción y Buen Gobierno no tiene que rendir un informe anual de actividades al congreso y tampoco se prevé expresamente la atribución de desarrollar, fomentar y difundir análisis, estudios e investigaciones en torno a la protección de datos personales, de acuerdo con las modificaciones en el artículo 39 de la Nueva Ley.
Otro de los cambios importante es que en contra de las resoluciones del INAI procedía el juicio de nulidad, hoy los particulares podrán promover el juicio de amparo contra las resoluciones de la Secretaría, los cuales se presentarán ante juzgados de distrito y tribunales colegiados de circuito especializados en materia de acceso a la información pública y protección de datos personales. Estos últimos se habilitarán después de los siguientes 120 días naturales a la fecha de publicación del decreto, es decir, el 19 de junio de 2025.
A pesar de que nos encontramos frente a una nueva ley, nos atrevemos a decir que los responsables del tratamiento no tienen que hacer grandes adecuaciones al interior, ya que esta nueva ley no impone obligaciones radicalmente distintas a las previstas anteriormente o con las que ya se cumpliera como resultado de una buena práctica. Sin embargo, sí hay que estar muy pendientes de la nueva autoridad, para conocer sus prioridades, criterios, forma de trabajar, etc. para resguardar el derecho fundamental a la protección de datos personales, al cual tenemos derecho todas las personas.
Rosa María Franco, CIPP/US, es directora de la IAPP para América Latina.