Entrada en vigor de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Antecedentes

El 20 de diciembre de 2024 se publicó, en el Diario Oficial de la Federación (DOF), el “Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos, en materia de simplificación orgánica”, cuyo objeto principal es extinguir algunos organismos autónomos, entre ellos, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Su extinción tendrá efecto una vez entre en vigor de la legislación secundaria correspondiente[1].

Posteriormente, el 20 de febrero de 2025, la titular del Ejecutivo Federal presentó ante la Cámara de Senadores una iniciativa con proyecto de decreto por la que, además de proponerse reformas a la Ley Orgánica de la Administración Pública Federal para reflejar ciertos cambios derivados de la Reforma Constitucional, se propone expedir las siguientes leyes (el “Decreto Relevante”):

• Ley General de Transparencia y Acceso a la Información Pública.
• Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Finalmente, el 20 de marzo de 2025 se publicó en el DOF el Decreto Relevante y, consecuentemente, conforme al Primer transitorio de dicho decreto, la nueva LFPDPPP entró en vigor el 21 de marzo de 2025.

Con la entrada en vigor de la nueva LFPDPPP, las funciones y competencias del INAI en materia de protección de datos personales en posesión de los particulares se entienden transferidas a la Secretaría de Anticorrupción y Buen Gobierno.

La nueva LFPDPPP

La nueva ley es sustancialmente similar a su antecesora. No obstante, a continuación, mencionamos algunos de los cambios que consideramos más relevantes:

1. Definición de "Tratamiento". Se amplía la definición, sin cambiar sustancialmente su alcance.
2. Recolección de consentimiento adicional. Se establece de manera más rigurosa la obligación de recabar nuevamente el consentimiento cuando se pretenda tratar los datos personales para finalidades distintas de aquellas previstas en el aviso de privacidad original, pues ya no se considera la posibilidad de tratar los datos para finalidades compatibles o análogas.
3. La anterior ley establecía la obligación de que el aviso de privacidad contenga “en su caso, las transferencias de datos que se efectúen”, mientras que en el correlativo de la nueva ley no se exige. No obstante, en el Art. 36 de la Nueva ley se continúan considerando solo algunos casos de excepción en los que no se requerirá el consentimiento del titular para las transferencias de datos, lo cual implica que cualquier otro caso que no esté dentro de las excepciones sí requerirá el consentimiento del titular y, por ende, hacer la mención correspondiente en el aviso de privacidad.
4. Confidencialidad de los datos personales. La obligación de guardar confidencialidad es más clara y exhaustiva en la nueva LFPDPPP, ya que se obliga al responsable y terceros a implementar controles o mecanismos que tengan por objeto que todas las personas que intervengan en el tratamiento de los datos guarden la confidencialidad de estos.
5. Limitaciones al Derecho de Oposición. Se establecen limitaciones adicionales para el ejercicio del derecho de oposición, ya que se prevén más condicionantes para su procedencia, incluyendo la imposibilidad de ejercerlo cuando el tratamiento de los datos sea necesario para el cumplimiento de una obligación legal impuesta al responsable.
6. Reducción del rol de ciertas autoridades. Diversos artículos de la ley anterior, que establecían ciertas funciones de las autoridades reguladoras, han sido eliminados, reduciendo su papel en la supervisión del cumplimiento de la norma.
7. Juicio de amparo. Los particulares podrán promover juicio de amparo contra las resoluciones de la autoridad competente, mismos que serán sustanciados por jueces y tribunales especializados.

Finalmente, cabe destacar que el decimosegundo transitorio del Decreto Relevante establece que el Ejecutivo Federal deberá expedir las adecuaciones correspondientes a los reglamentos y demás disposiciones aplicables, dentro de los 90 días naturales siguientes a la entrada en vigor del referido Decreto Relevante.

Para las empresas y entidades privadas que recaban, almacenan, transfieren, usan y de cualquier otra manera tratan datos personales, será esencial adaptar oportunamente los mecanismos, las políticas y/o los controles previamente implementados conforme a lo establecido por la nueva legislación en materia de protección de datos personales y, en general, continuar monitoreando su cumplimiento para minimizar riesgos económicos y reputacionales.

En caso de requerir información adicional respecto al contenido de este EY Law Flash, favor de contactar a nuestro equipo de profesionales: