01 / 04 / 25

Nueva Ley Federal de Protección de Datos Personales en
Posesión de los Particulares.


CIUDAD DE MÉXICO, MÉXICO, 01 de abril, 2025  – El pasado 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP), misma que entró en vigor el 21 de marzo de 2025, consecuentemente abrogando la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) anterior.

Mediante la publicación de la NLFPDPPP, se pretende principalmente, entre otros, homologar reglas, principios, bases y procedimientos en el ejercicio del derecho a la protección de datos personales en posesión de particulares; establecer que la Secretaría Anticorrupción y Buen Gobierno (la “Secretaría”) sea la autoridad protectora de los datos personales en posesión de particulares, sustituyendo al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI); así como precisar que en contra de las resoluciones que emita la Secretaría procederá el juicio de amparo, substanciado por jueces y tribunales especializados en la materia.

En este orden de ideas, a continuación destacamos las principales modificaciones realizadas en la NLFPDPPP a tomar en cuenta, las cuales son:

  1. En relación con las principales modificaciones a las definiciones contempladas, resaltamos las siguientes:
  1. Titular” y “Datos Personales”: En relación con ambos términos, se elimina la limitación a las personas “físicas” como los titulares a quienes corresponden los datos personales que se ponen a disposición de las empresas, ampliando su alcance a “personas identificables”;
  1. Secretaría”: Derivado de la desaparición del INAI, la autoridad reguladora contemplada en la NLFPDPPP es la Secretaría Anticorrupción y Buen Gobierno, misma que tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en México, promover su ejercicio y vigilar la debida observancia de las disposiciones previstas en la mencionada ley;
  1. Tratamiento”: Se amplió el alcance del tratamiento de datos personales a “cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales”, y 
  1. Consentimiento”: La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Asimismo, establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el aviso de privacidad brindado en el momento en el que se pusieron a disposición de este último los datos personales, el responsable deberá solicitar nuevamente el consentimiento del titular para el uso de sus datos personales de acuerdo con su nueva finalidad.
  1. En relación con las modificaciones a los requisitos con los que deben cumplir los avisos de privacidad, los principales cambios consisten en:
  1. Momento en el que debe ponerse a disposición de los titulares de los datos personales: Según lo contemplado en la nueva ley, el aviso de privacidad ya no se debe poner a disposición de los titulares de los datos personales previamente a que brinden la información a los sujetos responsables, sino hasta el momento en el que se recaban los mismos;  
  1. Obligación del responsable de informar a la persona titular, a través del aviso de privacidad, lo siguiente: 
  1. La existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones;
  1. Dicho aviso de privacidad debe contener los datos personales que serán sometidos a tratamiento, distinguiendo aquellos que son sensibles, así como los que requieren el consentimiento de su titular, y 
  1. El aviso de privacidad deberá contemplar en el mismo los mecanismos, medios y procedimientos para ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO), así como el mecanismo y procedimiento para revocar el consentimiento del titular sobre sus datos personales.
  1. Se incluye una nueva obligación para los responsables de datos personales respecto de establecer controles o mecanismos que tengan por objeto que todas las personas que intervengan en cualquier fase del tratamiento de datos personales guarden confidencialidad respecto de éstos, misma que subsistirá aun después de finalizar la relación entre el titular y el responsable de los datos personales.  

Asimismo, se prevé la posibilidad de establecer controles o mecanismos internos para que todos los colaboradores del responsable, ya sean personas físicas o morales, puedan convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la NLFPDPPP. En caso de adoptar dichos esquemas, estos deberán ser notificados de manera simultánea a las autoridades correspondientes y a la Secretaría.

  1. En relación con el ejercicio de los titulares de sus derechos ARCO, se debe incluir la descripción del derecho ARCO que se pretende ejercer, así como cumplir con ciertas condiciones que no estaban previstas en la anterior LFPDPPP para ejercer su respectivo derecho de oposición;
  1. Adicionalmente, se eliminó la posibilidad de interponer un juicio de nulidad ante el Tribunal Federal de Justicia Administrativa, que se contemplaba contra las resoluciones emitidas por el INAI. Actualmente, el medio de defensa contra las resoluciones que emita la Secretaría, es el juicio de amparo, que deberá de sustanciarse ante Juzgados de Distrito y Tribunales Colegiados de Circuito especializados en materia de acceso a la información pública y protección de datos personales, y
  1. Por último, se establece la Unidad de Medida y Actualización (UMA) como la medida o base para determinar las sanciones que se impondrán a los responsables de datos personales en caso de que estos llegaran a cometer alguna infracción sobre las disposiciones contempladas en la NLFPDPPP, mismas que oscilan de 100 a 320,000 veces la UMA, dependiendo del tipo de infracción cometida. 

Debido a los nuevos cambios en la NLFPDPPP, será necesario revisar y, en su caso, actualizar las políticas y procesos en materia de datos personales, así como los avisos de privacidad de las empresas a fin de verificar su cumplimiento con la nueva legislación. El equipo de SMPS Legal está a su disposición para cualquier duda o comentario referente al presente aviso.

Más Noticias


Práctica Relacionada

Compliance & ESG


Abogado Relacionado

José Gerardo Vázquez

Alejandro Lomelirubi