El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación un decreto que introduce reformas significativas en materia de transparencia y protección de datos personales. Este decreto contempla la promulgación de la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Además, modifica el Artículo 37, Fracción XV, de la Ley Orgánica de la Administración Pública Federal.
Esta ley tiene como propósito garantizar el derecho humano de acceso a la información y fortalecer la transparencia y la rendición de cuentas. Sus disposiciones más relevantes incluyen:
Entre los cambios más relevantes respecto a la ley abrogada, destaca la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y la transferencia de sus funciones a la Secretaría de Anticorrupción y Buen Gobierno. La nueva ley fomenta una transparencia con sentido social, promoviendo la publicación de información relevante sobre temas prioritarios y su reutilización. Además, enfatiza la digitalización y el uso de tecnologías de la información para facilitar el acceso a la información pública. La Plataforma Nacional de Transparencia será administrada por la Secretaría de Anticorrupción y Buen Gobierno, con módulos específicos para la gestión de solicitudes de acceso, medios de impugnación y comunicación entre autoridades garantes y sujetos obligados.
En cuanto a sanciones y medidas de cumplimiento, se detallan nuevas disposiciones para sancionar el incumplimiento de las obligaciones de transparencia, incluyendo multas y la posibilidad de presentar denuncias ante las autoridades competentes en casos de presuntos delitos.
Esta ley busca garantizar el derecho de las personas a la protección de sus datos personales cuando estos sean tratados por entidades gubernamentales. Sus disposiciones clave incluyen:
Las modificaciones más relevantes respecto a la ley anterior incluyen la obligación de realizar evaluaciones de impacto en la protección de datos personales para identificar y mitigar riesgos. Asimismo, se amplían los derechos ARCO, incorporando la portabilidad de datos y el derecho a obtener una copia de los datos en un formato electrónico estructurado. Además, la Secretaría de Anticorrupción y Buen Gobierno asume las funciones del INAI, incluyendo la interpretación de la ley, la resolución de recursos de revisión y la imposición de sanciones.
Esta ley regula el tratamiento legítimo, controlado e informado de los datos personales por parte de empresas y particulares, con el objetivo de proteger la privacidad y el derecho a la autodeterminación informativa. Sus aspectos más relevantes incluyen:
Las modificaciones más importantes incluyen actualizaciones en las definiciones clave relacionadas con el aviso de privacidad, el consentimiento, los datos personales sensibles y el tratamiento de datos. Se amplía la definición de tratamiento para incluir procesos manuales y automatizados, y se establecen criterios específicos para determinar cuándo una persona es identificable. Además, se precisan las fuentes de acceso público, excluyendo información de procedencia ilícita, y se permite la transferencia de datos personales dentro o fuera de México.
En cuanto a los principios fundamentales, se han modificado los escenarios en los que no se requiere el consentimiento del titular de los datos, ampliando las excepciones para incluir cualquier disposición legal aplicable y reconociendo el ejercicio de derechos como una exención válida. La ley también refuerza la obligación de los responsables del tratamiento de datos de proporcionar información clara y accesible sobre las principales características del procesamiento de datos personales, permitiendo a los titulares tomar decisiones informadas. Adicionalmente, los responsables deben implementar controles internos para garantizar la confidencialidad de los datos.
En lo que respecta a los derechos de los titulares, el derecho de acceso se amplía para incluir, además de los datos personales en posesión del responsable, información sobre las condiciones generales de su tratamiento. El derecho de rectificación ahora abarca casos de datos desactualizados, mientras que el derecho de oposición introduce la figura de la "causa legítima" como nueva justificación, aunque su definición sigue siendo imprecisa, lo que podría generar interpretaciones subjetivas. Asimismo, la ley otorga a los titulares el derecho a oponerse al tratamiento automatizado de sus datos sin intervención humana cuando este genere efectos no deseados.
Dentro del nuevo marco de los derechos ARCO, los responsables podrán cobrar una tarifa por la tramitación de solicitudes, salvo que el titular proporcione los medios necesarios. La ley también formaliza la autorregulación, exigiendo que las organizaciones que adopten estos mecanismos los notifiquen a las autoridades. Además, los organismos reguladores han sido reestructurados, y la Secretaría es ahora la responsable de la supervisión y aplicación de la protección de datos, incluyendo la facultad de ordenar la entrega de datos personales cuando sea necesario. La ley también introduce nuevas causales para el desechamiento de solicitudes ARCO, obliga a los responsables a cubrir los costos de entrega de la información solicitada y permite impugnar las resoluciones administrativas mediante juicios de amparo ante tribunales especializados.
Finalmente, en materia de infracciones y sanciones, la nueva ley amplía la lista de conductas sancionables, incluyendo la negligencia o dolo en la tramitación de solicitudes ARCO, lo que podría representar desafíos en su aplicación y cumplimiento legal.
La reforma al Artículo 37, Fracción XV otorga a la Secretaría de Anticorrupción y Buen Gobierno las atribuciones en materia de transparencia, acceso a la información y protección de datos personales, incluyendo la supervisión, verificación y aplicación de sanciones.
Implicaciones para Empresas y Particulares
El nuevo marco normativo impone regulaciones más estrictas en transparencia y protección de datos personales, lo que obliga a las empresas y entidades privadas a fortalecer sus políticas de cumplimiento. Para reducir riesgos y garantizar el cumplimiento, las organizaciones deben:
Para conocer el impacto específico de estas reformas en su organización y recibir asesoría sobre las acciones necesarias para su cumplimiento, no dude en ponerse en contacto con nuestro equipo experto.
Premios