México: La nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares introduce conceptos como el aviso de privacidad y elimina el INAI

El pasado 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que entró en vigor el 21 de marzo de 2025.

La nueva ley retoma, en su mayoría, las disposiciones de la ley anterior, destacándose las siguientes modificaciones:

• Ajustes y adiciones de conceptos
  • Aviso de privacidad: documento disponible para el titular de la información, en formato físico, electrónico o cualquier otro, generado por el responsable desde el momento en que se recaben sus datos personales, con el fin de informar los propósitos del tratamiento de los mismos.
  • Consentimiento: manifestación de la voluntad libre, específica e informada del titular de los datos para el tratamiento de los mismos.
  • Datos personales: información concerniente a una persona identificada o identificable, es decir, cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
  • Datos personales sensibles: datos que afectan la esfera más íntima del titular, cuya utilización indebida puede dar origen a discriminación o conllevar un riesgo grave. De manera enunciativa pero no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
  • Derechos ARCO: derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
  • Sujetos regulados: personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales.
  • Tratamiento: operaciones manuales o automatizadas aplicadas a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
  • Transferencias: comunicación de datos personales dentro o fuera de México, realizada a persona distinta del titular, responsable o encargado del tratamiento.
  • Secretaría: Secretaría de Anticorrupción y Buen Gobierno.
• Consentimiento

El consentimiento podrá manifestarse de forma expresa o tácita.

Será expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o cualquier otra tecnología.

Será tácito cuando, habiéndose puesto a disposición del titular el aviso de privacidad, este no manifieste su voluntad en sentido contrario. Por regla general, será válido el consentimiento tácito, salvo que las disposiciones jurídicas exijan consentimiento expreso.

Se modificaron también las excepciones para no requerir el consentimiento.

• Aviso de privacidad

Se establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el aviso de privacidad, deberá solicitar nuevamente el consentimiento.

El aviso de privacidad debe incluir los datos personales sometidos a tratamiento, identificando aquellos que son sensibles, y las finalidades del tratamiento, distinguiendo aquellas que requieren el consentimiento del titular.

El responsable debe informar al titular sobre la existencia y características del tratamiento para que pueda tomar decisiones informadas. Aunque se elimina el requisito de informar sobre transferencias de datos a terceros, esta obligación continúa en el reglamento, por lo que será necesario incluirlo en el aviso de privacidad a fin de evitar cualquier riesgo.

Se establece que el responsable debe poner a disposición de las personas titulares el aviso de privacidad a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología de la siguiente manera:

(i) cuando los datos personales sean obtenidos personalmente a través de formatos impresos, deberá ser dado a conocer en ese momento, salvo que se hubiera facilitado el aviso con anterioridad, y

(ii) cuando los datos personales sean obtenidos por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, deberá ser proporcionado en su modalidad simplificada y señalar el sitio donde se podrá consultar el aviso de privacidad integral.

• Autorregulación

Se establece que las personas físicas o morales pueden convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia que complementen lo dispuesto por la ley. Estos esquemas deben contener mecanismos para medir su eficacia en la protección de los datos y medidas correctivas en caso de incumplimiento.

• Derechos ARCO

Se precisan disposiciones relacionadas con la cancelación y oposición, definiendo su alcance.

• Nueva autoridad

La Secretaría de Anticorrupción y Buen Gobierno es designada como nueva autoridad en materia de protección de datos personales para particulares, reemplazando al INAI.

• Procedimiento de protección de derechos

Se establece el juicio de amparo ante jueces y tribunales especializados como nuevo medio de defensa, en sustitución del juicio de nulidad ante el Tribunal Federal de Justicia Administrativa. La Secretaría puede ordenar la entrega de los datos personales en caso de omisión del responsable.

• Infracciones y sanciones

Se establece la Unidad de Medida y Actualización para las sanciones, en sustitución del salario mínimo. Se adiciona como infracción el actuar con negligencia o dolo en la sustanciación de las solicitudes para el ejercicio de los derechos ARCO.

Con motivo de los nuevos cambios al marco jurídico en materia de protección de datos, será necesario revisar y, en su caso, actualizar las políticas y avisos de privacidad de las empresas a fin de verificar su cumplimiento con la nueva normativa.