México tiene una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Publicada el 20 de marzo de 2025 en el Diario Oficial de la Federación y vigente desde el 21 de marzo, esta ley abroga la versión de 2010 e introduce cambios que toda empresa mexicana debe conocer. El más visible: el INAI desapareció. Pero los cambios de fondo son igual de importantes.
Qué pasó con el INAI
Como parte de la reforma constitucional de "simplificación orgánica" publicada en diciembre de 2024, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) fue disuelto. Sus funciones, recursos materiales y financieros fueron transferidos a la Secretaría de Anticorrupción y Buen Gobierno, que ahora es la autoridad encargada de supervisar y regular la protección de datos personales en el sector privado.
Los procedimientos iniciados ante el INAI antes de la nueva ley continúan sustanciándose, pero ahora son atendidos por la Secretaría. Las resoluciones que emita esta nueva autoridad pueden impugnarse mediante amparo ante jueces y tribunales especializados.
Implicación práctica
Si tus avisos de privacidad o documentos internos hacen referencia al INAI como autoridad reguladora, necesitas actualizarlos. La referencia correcta ahora es la Secretaría de Anticorrupción y Buen Gobierno.
Cambios clave de la nueva ley
La nueva LFPDPPP es sustancialmente similar a la anterior en estructura, pero introduce modificaciones relevantes en varios puntos.
Definición ampliada de responsable
La ley modifica la definición de responsable del tratamiento: ahora es cualquier persona física o moral que realice tratamiento de datos personales, sin necesidad de que tome decisiones sobre dicho tratamiento. Esto amplía significativamente el universo de sujetos obligados, incluyendo ahora a los encargados del tratamiento en la misma categoría de responsabilidad.
En la práctica, esto significa que si tu empresa procesa datos por cuenta de otra (por ejemplo, un proveedor de nómina, un call center subcontratado, o una agencia de marketing que maneja bases de datos de clientes), ahora tienes obligaciones directas bajo la ley, no solo las que establezca tu contrato con el responsable original.
Consentimiento más estricto
La nueva ley refuerza las reglas de consentimiento. Se establece de manera más rigurosa la obligación de recabar nuevamente el consentimiento cuando se pretendan tratar los datos personales para finalidades distintas de las previstas en el aviso de privacidad original. Ya no se considera la posibilidad de tratar datos para "finalidades compatibles o análogas" — si la finalidad es diferente, necesitas nuevo consentimiento explícito.
Aviso de privacidad modificado
El aviso de privacidad integral tiene cambios importantes: se elimina la obligación de informar sobre las transferencias de datos que el responsable realiza, pero se incorporan nuevas exigencias como detallar los datos personales específicos que serán tratados (identificando cuáles son sensibles) y distinguir claramente entre finalidades que requieren consentimiento y aquellas que no lo requieren.
Confidencialidad reforzada
La obligación de confidencialidad es más clara y exhaustiva. Los responsables deben implementar controles o mecanismos para que todas las personas que intervengan en el tratamiento de los datos guarden confidencialidad. Esto implica acuerdos firmados con empleados y proveedores, controles de acceso documentados, capacitación continua y auditorías internas.
Políticas de conservación y supresión
La nueva ley exige políticas claras sobre conservación y supresión de datos, con plazos definidos y procesos efectivos de bloqueo. Ya no basta con tener los datos "por si acaso" — necesitas documentar cuánto tiempo conservas cada tipo de dato, por qué, y cómo lo eliminas cuando el plazo vence.
Qué debe hacer tu empresa ahora
Los cambios no son cosméticos. Las empresas deben tomar acción concreta para alinearse con el nuevo marco regulatorio. Las acciones prioritarias son: realizar una auditoría de las fuentes de datos que utiliza la empresa para identificar riesgos, revisar y actualizar los contratos con proveedores y socios comerciales delimitando roles de responsable y encargado, actualizar los avisos de privacidad conforme a los nuevos requisitos, establecer políticas documentadas de conservación y supresión con plazos claros, firmar acuerdos de confidencialidad con todos los involucrados en el tratamiento e implementar mecanismos de control de acceso y auditoría.
El contexto: ¿más o menos protección?
La desaparición del INAI generó preocupación legítima sobre si la protección de datos se debilitaría. Por un lado, la nueva ley mantiene la estructura de derechos ARCO (acceso, rectificación, cancelación y oposición) y eleva ciertas obligaciones. Por otro, la transferencia de funciones a una secretaría dependiente del ejecutivo reduce la independencia del órgano supervisor — el INAI era autónomo por mandato constitucional.
En la práctica, la ley sigue vigente y las obligaciones son claras. Las multas siguen siendo significativas. Lo que cambia es quién supervisa y qué tan activa será la fiscalización bajo la nueva estructura institucional. Las empresas prudentes no esperan a ver qué pasa — cumplen con la ley independientemente de quién la supervise.
Cumplimiento regulatorio
Asegura el cumplimiento de tu empresa con la nueva LFPDPPP
Auditoría de datos, actualización de avisos de privacidad, contratos de confidencialidad y políticas de retención. Te acompañamos en todo el proceso.
