El pasado 28 de noviembre de 2024, el Senado mexicano aprobó la reforma constitucional conocida como "Simplificación Orgánica", que disuelve siete organismos constitucionales autónomos, incluido el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. El INAI ha desempeñado un papel clave en garantizar la transparencia gubernamental y la protección de datos personales. Esta reforma constitucional se publicó en el Diario Oficial de la Federación el 20 de diciembre de 2024. Conforme a la reforma, las responsabilidades en materia de acceso a la información, transparencia y protección de datos personales serían transferidas a un organismo dentro de la administración pública federal, que asumiría la responsabilidad de proteger los datos personales en posesión de particulares y sujetos obligados.
En este sentido, el 20 de febrero de 2025, la Presidenta de la República Mexicana presentó ante la Cámara de Senadores Iniciativa con Proyecto de Decreto por el que se expide la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman diversas disposiciones de la Ley Orgánica de la Administración Pública Federal.
Entre algunos aspectos por destacar de la iniciativa de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, se encuentran: que la propuesta de ley es esencialmente igual a la ley aún vigente de 2010; y que los principios, derechos, procedimientos y sanciones en general—salvo algunas especificaciones—se mantienen en los términos de la actual Ley.
La Secretaría de Anticorrupción y Buen Gobierno, como la nueva autoridad única y competente, asumiría la responsabilidad de sancionar el incumplimiento de la LFPDPPP y, por tanto, proteger los datos personales en posesión de los particulares, en lugar del INAI, la autoridad nacional que quedó extinta a raíz de la reforma constitucional aprobada el pasado diciembre 2024. Por ello, las funciones, atribuciones o referencias al INAI en las leyes mexicanas serían asumidas por la Secretaría.
También propone la iniciativa que, en contra de las resoluciones que emita la Secretaría de Anticorrupción y Buen Gobierno, procederá el juicio de amparo que sería substanciado por “jueces y tribunales especializados en la materia, que determine el Poder Judicial de la Federación”. Es relevante mencionar que, antes de esta iniciativa, no existían ni jueces, ni tribunales especializados en esta materia, por lo que se trata de un cambio significativo. En este sentido, el Poder Judicial de la Federación tendrá 180 días naturales para implementar estos cambios a partir de la entrada en vigor de la iniciativa.
Vale la pena recordar que al INAI lo caracterizaron atribuciones significativas a nivel nacional e internacional para la protección de dos derechos humanos; autoridad fundamental en la materia y órgano constitucional autónomo; es decir, su existencia y atribuciones se encontraban dispuestas en la Constitución mexicana, contaba con autonomía e independencia funcional y financiera, sin subordinación a ningún otro poder del Estado, como el Ejecutivo o el Judicial; con la facultad de interponer controversias constitucionales.
La nueva autoridad en materia de protección de datos, la Secretaría de Anticorrupción y Buen Gobierno, es una autoridad dependiente de la estructura orgánica del Ejecutivo, su existencia se fundamenta en la Ley Orgánica de la Administración Pública Federal, carece de autonomía presupuestaria y funcional. Para brindar certeza jurídica a las personas que cuenten con un procedimiento administrativo inconcluso ante el INAI, antes de que entre en vigor la iniciativa de la presidenta, los mismos serían atendidos por la Secretaría de Anticorrupción y Buen Gobierno.
Debido a la reforma constitucional, es probable que los legisladores presenten diversas iniciativas para modificar el marco jurídico de protección de datos aplicable a los particulares. Por ejemplo, recientemente se presentó otra iniciativa que propone nuevas obligaciones, como la notificación obligatoria de vulneraciones de seguridad a la Secretaría y la necesidad de obtener su autorización para el tratamiento de datos personales sensibles, entre otras disposiciones. Sin embargo, todas las iniciativas están sujetas al proceso legislativo y deberán ser discutidas y aprobadas por ambas cámaras del legislativo mexicano antes de entrar en vigor.
Será indispensable seguir de cerca el proceso legislativo de las iniciativas en esta materia. Puede ser el momento para revisar sustancialmente el nivel de protección de datos personales en México, a pesar de que, sin duda, es un retroceso la eliminación de una autoridad nacional en la materia con carácter constitucional y autónomo.
Renata Bueron es Asociada Senior, especialista en privacidad, protección de datos y seguridad en Basham, Ringe y Correa.
Iván García es Asociado en el área de protección de datos y propiedad intelectual en Basham, Ringe y Correa.
