
El 20 de marzo de 2025 se publicaron en el Diario Oficial de la Federación (DOF) la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Estas reformas introducen nuevas obligaciones, sujetos regulados, cuidados, tratamiento y sancionessobre el manejo de datos personales.
Cambios estructurales
- Se disuelve el INAI como autoridad en la materia.
- La Secretaría de Economía deja de ser competente.
- Se designa a la Secretaría Anticorrupción y Buen Gobierno como nueva autoridad reguladora en protección de datos personales.
Ley Federal de Protección de Datos Personales en Posesión de Particulares
- Se define por primera vez el concepto de “Derechos ARCO”: acceso, rectificación, cancelación y oposición.
- Se introducen los sujetos regulados: personas físicas o morales de carácter privado que tratan datos personales.
- El aviso de privacidad debe especificar el tipo de datos recabados, diferenciando entre necesarios y voluntarios.
- Se mantiene un plazo de 20 días para dictaminar sobre solicitudes ARCO y 15 días para ejecutar lo resuelto.
- Se incorpora la autorregulación vinculante, a través de convenios con organismos externos.
- Se redefine el concepto de datos personales sensibles (origen étnico, salud, genética, creencias, orientación sexual, etc.).
- Consentimiento para tratamiento:
- Expreso: manifestación clara por escrito, verbal, medios electrónicos, etc.
- Tácito: cuando el titular no manifiesta oposición tras ponerse a disposición el aviso de privacidad.
- Para datos patrimoniales o financieros, el consentimiento debe ser expreso.
Ley General de Transparencia y Acceso a la Información Pública
- Se crea el organismo Transparencia para el Pueblo como garante del derecho de acceso a la información.
- Sustituye al Sistema Nacional de Transparencia por el Sistema Nacional de Acceso a la Información.
- Se introducen nuevos conceptos:
- Transparencia con sentido social
- Apertura institucional (participación ciudadana y colaboración)
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
- Se elimina el sistema anterior y se establece uno nuevo.
- Se deben actualizar los avisos de privacidad para incluir nuevas obligaciones.
- Cada Sujeto Obligado debe designar un responsable del tratamiento de datos.
Debe elaborarse un documento de seguridad con:
- Inventario de datos y sistemas
- Funciones de los responsables
- Análisis de riesgos y brechas
- Plan de trabajo
- Mecanismos de monitoreo
- Programa de capacitación
Cada entidad deberá contar con una unidad de transparencia para:
- Atender derechos ARCO
- Impulsar capacitación y buenas prácticas
Otras obligaciones clave:
- Establecer políticas de protección de datos
- Informar a los titulares sobre el tratamiento
- Implementar medidas de seguridad
- Reportar brechas
- Atender solicitudes en tiempo y forma
- En materia de impugnaciones, solo se contempla el recurso de revisión.
- Las sanciones se mantienen: de 150 a 1500 UMAS, dependiendo de la gravedad y reincidencia.
El 20 de marzo de 2025 se publicaron en el Diario Oficial de la Federación (DOF) la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Estas reformas introducen nuevas obligaciones, sujetos regulados, cuidados, tratamiento y sancionessobre el manejo de datos personales.
Cambios estructurales
- Se disuelve el INAI como autoridad en la materia.
- La Secretaría de Economía deja de ser competente.
- Se designa a la Secretaría Anticorrupción y Buen Gobierno como nueva autoridad reguladora en protección de datos personales.
Ley Federal de Protección de Datos Personales en Posesión de Particulares
- Se define por primera vez el concepto de “Derechos ARCO”: acceso, rectificación, cancelación y oposición.
- Se introducen los sujetos regulados: personas físicas o morales de carácter privado que tratan datos personales.
- El aviso de privacidad debe especificar el tipo de datos recabados, diferenciando entre necesarios y voluntarios.
- Se mantiene un plazo de 20 días para dictaminar sobre solicitudes ARCO y 15 días para ejecutar lo resuelto.
- Se incorpora la autorregulación vinculante, a través de convenios con organismos externos.
- Se redefine el concepto de datos personales sensibles (origen étnico, salud, genética, creencias, orientación sexual, etc.).
- Consentimiento para tratamiento:
- Expreso: manifestación clara por escrito, verbal, medios electrónicos, etc.
- Tácito: cuando el titular no manifiesta oposición tras ponerse a disposición el aviso de privacidad.
- Para datos patrimoniales o financieros, el consentimiento debe ser expreso.
Ley General de Transparencia y Acceso a la Información Pública
- Se crea el organismo Transparencia para el Pueblo como garante del derecho de acceso a la información.
- Sustituye al Sistema Nacional de Transparencia por el Sistema Nacional de Acceso a la Información.
- Se introducen nuevos conceptos:
- Transparencia con sentido social
- Apertura institucional (participación ciudadana y colaboración)
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
- Se elimina el sistema anterior y se establece uno nuevo.
- Se deben actualizar los avisos de privacidad para incluir nuevas obligaciones.
- Cada Sujeto Obligado debe designar un responsable del tratamiento de datos.
Debe elaborarse un documento de seguridad con:
- Inventario de datos y sistemas
- Funciones de los responsables
- Análisis de riesgos y brechas
- Plan de trabajo
- Mecanismos de monitoreo
- Programa de capacitación
Cada entidad deberá contar con una unidad de transparencia para:
- Atender derechos ARCO
- Impulsar capacitación y buenas prácticas
Otras obligaciones clave:
- Establecer políticas de protección de datos
- Informar a los titulares sobre el tratamiento
- Implementar medidas de seguridad
- Reportar brechas
- Atender solicitudes en tiempo y forma
- En materia de impugnaciones, solo se contempla el recurso de revisión.
- Las sanciones se mantienen: de 150 a 1500 UMAS, dependiendo de la gravedad y reincidencia.

