Nueva Ley de Protección de Datos Personales en posesión de Particulares: ajustes en su implementación

Por: Raúl Torres Jiménez

El 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación la nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares, la cual, ante la extinción del INAI, regulará la protección de los datos personales en posesión de los particulares; técnicamente, esta ley debería actualizar la anterior ley de 2010.

De manera general, la nueva ley regula esencialmente de la misma manera el tratamiento y protección de los datos personales, tanto en los principios, los procedimientos y sus respectivos plazos; así como por lo que hace a las infracciones, sanciones, montos de las multas y delitos.

De los cambios que se pueden destacar, están los siguientes:

Los responsables ahora son considerados como sujetos regulados, los cuales son personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales.

Se amplía la parte del tratamiento de los Datos Personales, siendo estas “cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales”.

Por lo que hace al consentimiento, se aclara la validez en el consentimiento tácito para el tratamiento de los datos personales, siendo, por regla general, válido el consentimiento tácito, salvo que las disposiciones jurídicas aplicables exijan que la voluntad de la persona titular se manifieste expresamente, como en el caso de los datos financieros o patrimoniales.

Se amplía la parte de excepción a recabar el consentimiento del titular de datos personales cuando los datos personales sean indispensables para efectuar un tratamiento para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, o la gestión de servicios sanitarios, mientras la persona titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos, se realice por una persona sujeta al secreto profesional u obligación equivalente.

En cuanto al Aviso de Privacidad, el responsable tendrá la obligación de informar a la persona titular la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Por su parte, las características del aviso de privacidad se precisaron de la siguiente forma: 

• La identidad y domicilio del responsable;
• Los datos personales que serán sometidos a tratamiento, identificando aquellos que son sensibles;
• Las finalidades del tratamiento de datos personales, distinguiendo aquellas que requieren el consentimiento de la persona titular;
• Las opciones y medios que el responsable ofrezca a las personas titulares para limitar el uso o divulgación de los datos;
• Los mecanismos, medios y procedimientos para ejercer los derechos ARCO, de conformidad con lo dispuesto en esta Ley, y
• El procedimiento y medio por el cual el responsable comunicará a las personas titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

Referente a los derechos de los titulares de protección de datos personales, es decir, los famosos derechos ARCO, (Acceso, Rectificación, Cancelación y Oposición), destaca la parte de la cancelación de los datos personales, donde la persona titular tendrá en todo momento el derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en posesión del responsable.

Se cambia como autoridad garante del INAI a la Secretaría Anticorrupción y Buen Gobierno.

En cuanto a las resoluciones al procedimiento de protección de derechos ante la Secretaría Anticorrupción, se amplía una causal a que dicha Secretaría podrá ordenar la entrega de los datos personales, en caso de omisión del responsable.

A pesar de ser una “nueva” ley, esta resulta tener varios claroscuros: no quedó muy claro la parte de la transferencia de los datos personales.

1. Se sigue hablando de los derechos ARCO, dejando fuera la Portabilidad de los datos personales.
2. No se mencionan cuestiones como los metadatos.
3. No se amplió la parte de la autorregulación vinculante.
4. Tampoco se amplían los delitos en materia de protección de datos personales.

Conclusiones

A pesar de que, en esencia, el tratamiento y procedimientos quedan igual, se sugiere hacer las adecuaciones a los Avisos de Privacidad y demás documentos de seguridad de datos personales, tanto por lo que hace a la nueva autoridad garante, como a los mecanismos de prevención de riesgos al interior de las organizaciones.

A más de una década de haberse publicado la primera ley de protección de datos personales, hoy en día todavía se cree que un aviso de privacidad es el único mecanismo que se debe tener para el tratamiento de datos personales, por lo que se puede aprovechar este momento para actualizar los instrumentos por parte de los ahora sujetos regulados en cuanto a:

1. Datos personales y sus finalidades.
2. Formas de obtener el consentimiento de parte de los titulares de datos personales.
3. Tener claridad en el aviso o los avisos de privacidad.
4. Mejorar las características en el tratamiento de las transferencias de datos personales.
5. Cuidar los procedimientos de atención de los Derechos ARCOP.

Adicionalmente, ahora que tendremos una Secretaría como sujeto regulador, valdría la pena capacitar correctamente al personal de los responsables del tratamiento de datos personales, realizar los instrumentos de prevención de riesgos en el tratamiento de los mismos y analizar la viabilidad de la autorregulación vinculante.