En seguimiento a nuestra más reciente Client Alert en la cual les informamos de la modificación del marco regulatorio de recolección, tratamiento y protección de datos personales, a continuación, les presentamos un análisis más detallado respecto los cambios en la Ley Federal de Protección de Datos Personales (en adelante, la “Ley”) publicada en el Diario Oficial de la Federación el pasado 20 de marzo de 2025, y las consideraciones que deben tomar en cuenta las empresas para el adecuado cumplimiento regulatorio.
- Modificaciones en Definiciones (art. 2). Se amplían diversas definiciones de los términos de la Ley para incluir más supuestos.
- Aviso de Privacidad: Se modifica de tal forma que se entiende que es el documento que se pone a disposición de los particulares al momento que se recaban los datos y el consentimiento. En el anterior texto de la Ley debía ponerse a disposición previamente.
- Bases de Datos: Se agrega que se conforman por datos personales identificables ordenados y condicionados a criterios determinados – independientemente de la modalidad de creación, tipo de soporte, almacenamiento y organización.
- Consentimiento: Se adiciona que la voluntad debe ser libre, específica e informada, entendiéndose una necesidad de mayor claridad y delimitación de la recolección y tratamiento de datos personales por parte del particular en posesión. Esta modificación se encontraba regulada a nivel reglamentario.
- Datos Personales: Se adiciona que se entienden como Datos Personales cualquier información que permita identificar directa o indirectamente a una persona.
- Datos Personales Sensibles: Se adiciona que la definición es enunciativa más no limitativa. Se entiende que un dato personal sensible puede ser cualquiera que pueda dar origen a discriminación, o que conlleve a un riesgo de este. Se remueve la afiliación sindical como Dato Personal Sensible.
- Derechos ARCO: Se añadió a la Ley como tal la definición completa de los derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales con los que cuentan los titulares de Datos Personales.
- Disociación: Se agrega la definición a Ley como proceso mediante el cual los datos personales no pueden asociarse a una persona titular.
- Fuente de Acceso Público: Se adiciona que no se consideran “Fuente de Acceso Público” (siendo estas las Bases de Datos de acceso público) cuando la información contenida en esta se haya obtenido de forma ilícita conforme a las disposiciones de esta Ley, entendiéndose, que no se obtuvo el consentimiento de forma adecuada.
- Responsable: Únicamente dirige a los sujetos regulados.
- Sujetos Regulados: Se adiciona a la Ley completamente para modificar la naturaleza de aquella persona que recaba y trata los datos de “Responsable” a “Sujeto Regulado”
- Tratamiento: Se amplia la definición para incluir: procedimientos manuales y automatizados, entendidos estos como procesos de inteligencia artificial también, así como la inclusión de obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales como acciones que se consideran tratamiento.
- Transferencias: Se amplia la definición para incluir el territorio extranjero y cualquier comunicación distinta al titular, responsable o de la persona encargada del tratamiento.
- Modificaciones a excepciones para obtención de consentimiento (art. 9). Se modifica como excepción a la obtención del consentimiento que su transferencia esté prevista en una “disposición jurídica” de manera amplia, a diferencia de una ley. Consentimiento también podía ser omitido únicamente por resolución por autoridad competente y se amplia para contemplar órdenes judiciales, o mandato fundado y motivado de autoridad competente.
- Obtención de consentimiento cada vez que se vaya a realizar un tratamiento diferente al previsto en el Aviso de Privacidad (art. 14). Se entiende del texto de la Ley que el tratamiento únicamente puede realizarse para los fines que fue informado en el aviso de privacidad únicamente, y, consecuentemente, se requiere obtener el consentimiento cada vez que se vaya a realizar un tratamiento distinto al que fue informado. Importante recordar que el tratamiento debe ser lícito, informado, proporcional y adecuado para los fines comerciales de la empresa.
- Especificación de datos sujetos a tratamientos y finalidades (art. 15). El Aviso de Privacidad debe señalar los Datos Personales que estarán sujetos a tratamiento y las finalidades del tratamiento.
- Obligación de mecanismos de seguridad administrativas, técnicas y físicas para la protección de la información (art. 19). Se robustece la obligación de contar con diversos procedimientos que, considerando la actividad de la empresa, generan una expectativa razonable de protección de la información.
- Limitación al derecho de oposición (art. 26 fr. II). Se adiciona como limitante, que, además de no ser necesario para el cumplimiento de una obligación legal, que esté sujeto a procesos automatizados que de forma automática sin intervención humana afecte los intereses, derechos o libertades de una persona.
- Desaparición de capitulo de autoridades reguladoras. Desaparece el Instituto Nacional de Acceso a la Información como órgano autónomo constitucional y pasa a la Secretaría de Anticorrupción y Buen Gobierno, según decreto publicado el 21 de marzo de 2025 en el Diario Oficial de la Federación.
Impugnación de resoluciones (art.51). La Ley dispone que proceden contra las resoluciones los juicios de amparo, sustanciados por jueces y tribunales especializados.
Cualquier duda o aclaración sobre este tema, nuestro equipo de Propiedad Intelectual e Industrial está a la orden.
