Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Análisis de los principales cambios derivados del Decreto publicado el 20 de marzo de 2025, con énfasis en la nueva autoridad competente, definiciones, tratamiento de datos personales, consentimiento, avisos de privacidad y medios de impugnación.
Nota editorial: Este texto se incorpora al archivo histórico de MGK Observatorio. Su contenido corresponde al contexto normativo vigente a la fecha de elaboración indicada, por lo que debe leerse considerando posibles reformas, criterios o disposiciones posteriores.
El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación el Decreto de expedición de las siguientes normas:
- Ley General de Transparencia y Acceso a la Información Pública.
- Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
- Reforma al artículo 37, fracción XV, de la Ley Orgánica de la Administración Pública Federal.
Por su importancia y trascendencia para las empresas, en esta ocasión se hace referencia a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que abrogó la ley expedida el 5 de julio de 2010, destacando los siguientes puntos:
1. Nueva autoridad competente
La Secretaría Anticorrupción y Buen Gobierno será la nueva autoridad en materia de protección de datos personales para particulares; es decir, tendrá a su cargo las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
Además, dicha Secretaría será la encargada de ordenar la entrega de los datos personales en caso de omisión del responsable al resolver un procedimiento de protección de derechos.
2. Definición de “Secretaría”
Se modifica la definición de “Secretaría” que en la ley abrogada se refería a la Secretaría de Economía y que, en la nueva ley, corresponde a la Secretaría Anticorrupción y Buen Gobierno.
3. Supuestos exceptuados de aplicación
Se establece que las sociedades de información crediticia que se encuentren en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y las personas que lleven a cabo la recolección y almacenamiento de datos personales para uso personal y sin fin de divulgación o utilización comercial quedarán exceptuadas de la aplicación de la ley.
4. Nuevas definiciones
Se adicionan las definiciones de “Derechos ARCO” y “Sujetos regulados”, mismas que no se encontraban contempladas en la ley abrogada. Es importante enfatizar que la definición de “Sujetos regulados” corresponde a la misma definición de “Responsable” de la ley abrogada.
5. Base de datos
Se determina que, independientemente de su forma de creación, soporte, procesamiento, almacenamiento u organización, será considerada “Base de Datos” todo conjunto ordenado que contenga datos personales.
6. Datos personales sensibles
Se elimina la “afiliación sindical” como dato personal sensible.
7. Fuentes de acceso público
En la definición de fuentes de acceso público, se establece que no se considerará como tal cuando la información tenga una procedencia ilícita.
8. Ampliación del concepto de tratamiento
Se amplía la definición de “tratamiento”, que anteriormente se consideraba como tal únicamente a las acciones de obtención, uso, divulgación o almacenamiento de datos personales, y ahora incluye las acciones de registro, organización, conservación, elaboración, utilización, comunicación, difusión, posesión, acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Además, se especifica que el tratamiento de los datos personales puede ser efectuado mediante procedimientos manuales o automatizados.
9. Supuestos en los que no se requiere consentimiento
Se redefinen los supuestos en los que no se requerirá consentimiento del titular para el tratamiento de los datos personales, en los siguientes términos:
| Ley abrogada | Ley actual |
|---|---|
| Esté previsto en una ley. | Una disposición jurídica así lo disponga. |
| Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable. | Los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el responsable. |
| Se dicte resolución de autoridad competente. | Exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente. |
Como se observa, en realidad se amplían los supuestos, al ya no requerirse: (i) que se prevea en una ley formalmente hablando; (ii) puede ser para el ejercicio de un derecho y no nada más para el cumplimiento de obligaciones; y (iii) no debe tratarse de una resolución formalmente hablando, sino que puede establecerse en una orden judicial o mandato.
10. Aviso de privacidad simplificado
Se establece que cuando los datos personales sean obtenidos por cualquier medio electrónico, óptico, sonoro, visual o a través de cualquier tecnología, se debe proporcionar el aviso de privacidad en su modalidad simplificada, señalando el sitio donde se podrá consultar el aviso de privacidad integral.
Dicha obligación se encontraba prevista en el Reglamento de la ley, así como en los Lineamientos del Aviso de Privacidad, elevándose ahora a la ley.
11. Ejercicio del derecho de acceso
Cuando la persona titular ejerza su derecho de acceso a sus datos, podrá hacerlo de manera general; es decir, no debe -como antes se exigía- indicar exactamente qué derecho quiere ejercer, bastando indicar qué se solicita.
12. Medio de impugnación
Se prevé como medio de impugnación el juicio de amparo, el cual será sustanciado por juzgados y tribunales especializados en materia de acceso a la información pública y protección de datos personales. Dichos órganos deberán ser habilitados por el Poder Judicial de la Federación en un plazo que no exceda los 120 días naturales a partir de la entrada en vigor de la ley, es decir, a más tardar el 18 de julio de 2025.
Conclusión
Como se observa, hay cambios relevantes, por lo que es necesario actualizar los avisos de privacidad con los que actualmente se cuenta, a fin de reflejar los cambios en la normatividad aplicable.
Fuente
- Decreto publicado en el Diario Oficial de la Federación el 20 de marzo de 2025, por el que se expiden la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforma el artículo 37, fracción XV, de la Ley Orgánica de la Administración Pública Federal.