Asunto: Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
I. Antecedentes
1. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Antigua Ley”) fue promulgada en 2010 y no había sido reformada
2. El 20 de diciembre de 2024 se publicó en el Diario Oficial de la Federación el decreto que ordena la extinción del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”), trasladando sus funciones al Ejecutivo Federal una vez que entre en vigor la legislación que el Congreso de la Unión adecuará en un plazo de 90 días naturales siguientes a la publicación de dicho decreto
El INAI era un organismo autónomo, especializado, independiente, imparcial y colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión con capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna.
3. Como parte de este cambio, el 20 de febrero de 2025 se presentó ante el Senado la iniciativa de una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Nueva Ley”).
4. El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación el Decreto por el que se expiden la Ley General de Transparencia y Acceso a la Información Pública; la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados; la Nueva Ley; y se reforma el artículo 37, fracción XV, de la Ley Orgánica de la Administración Pública Federal (el “Decreto”).
II. Principales cambios en la Nueva Ley
1. Se mantiene la base normativa de principios y obligaciones, pero con ajustes de lenguaje incluyente y homologación de reglas.
2. La Secretaría Anticorrupción y Buen Gobierno (la “Secretaría”) será la nueva autoridad encargada de la protección de datos personales en el sector privado.
3. Se modifican diversas definiciones, con pocos cambios de fondo.
4. Se modifican (con pocos cambios de fondo) los supuestos dentro de los cuales el responsable no estará obligado a recabar el consentimiento del titular.
5. Se hacen precisiones en cuanto al costo del medio en el cual se contenga la información proporcionada derivada de la ejecución del ejercicio de derechos de acceso, rectificación, cancelación y oposición (“Derechos Arco”).
6. Se adiciona y reglamenta la figura de la autorregulación (convenios de personas físicas o morales entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras) en la materia que complementen lo dispuesto por la Nueva Ley Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas en caso de incumplimiento, misma que deberá ser notificada a la Secretaría y a las autoridades correspondientes. Asimismo, podrán contenerse códigos deontológicos y otra clase de soportes.
7. Se dota de facultades adicionales a la Secretaría para que con base en sus resoluciones pueda ordenarse la entrega de los datos personales.
8. Se agrega que, en el procedimiento de protección de derechos, el responsable deberá cubrir los gastos de envío.
9. Se establece que, contra las resoluciones de la Secretaría, se podrá interponer juicio de amparo ante jueces y tribunales especializados.
10. Se adiciona como infracción el actuar con negligencia o dolo en la sustanciación de las solicitudes para el ejercicio de los Derechos ARCO.
11. En los Artículos transitorios se establece un plazo de 90 días naturales contados a partir del día siguiente al de la publicación del Decreto para la publicación de las adecuaciones correspondientes a los reglamentos y demás disposiciones aplicables de la Nueva Ley.
V. Conclusión
El nuevo marco legal busca centralizar la protección de datos personales en el Ejecutivo Federal, lo que reduce la independencia que tenía el INAI.
Salvo este cambio, advertimos que hay pocas modificaciones sustanciales. Consideramos que se pudo haber aprovechado la discusión de la Nueva Ley para incorporar conceptos importantes que realmente hubieran contribuido a que se tuviera un valor agregado, tales como los nuevos modelos de negocio y a las nuevas herramientas de tecnologías de la información, con el fin de regular de manera más precisa y brindar mayor seguridad jurídica en relación con (entre otras cuestiones): (i) el tratamiento de datos biométricos; (ii) el tratamiento automatizado de datos personales mediante el uso de mecanismos de inteligencia artificial y sus algoritmos; (iii) el tratamiento de datos al hacer uso de tecnologías como blockchain (sea ésta privada o no), DAG (Directed Acyclic Graph) y similares; (iv) el reconocimiento del derecho a la portabilidad de datos personales; (v) el tratamiento de datos personales de menores de edad (especialmente respecto del tratamiento para efectos de publicidad y mercadotecnia); y; (vi) clarificación sobre el ámbito de aplicación territorial respecto de plataformas digitales que operan en México desde el extranjero y tratan datos personales de titulares ubicados en México.
Cuando se emitan las regulaciones secundarias de la Nueva Ley, veremos si se incorporan algunos de estos conceptos, en el entendido de que no podrán ir más allá de lo dispuesto en la Nueva Ley.
En virtud de lo anterior, se sugiere revisar las políticas y los procedimientos de privacidad vigentes, así como los avisos de privacidad, para asegurarse de cumplir con las disposiciones de la Nueva Ley y evitar sanciones.
Esperamos que la información anterior les resulte de utilidad y quedamos a sus órdenes para cualquier asunto a este respecto.