Baker Tilly Mexico
Close
Meet our group of experts from the Baker Tilly Network in Mexico
More information
96 PEOPLE
Opinion

Nuevas disposiciones en materia de datos personales

Adrián Bueno May 7, 2025
Bulletin
Legal

El 20 de marzo de 2025 se publicaron en el Diario Oficial de la Federación (DOF) la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Estas reformas introducen nuevas obligaciones, sujetos regulados, cuidados, tratamiento y sancionessobre el manejo de datos personales.

Cambios estructurales

  • Se disuelve el INAI como autoridad en la materia.
  • La Secretaría de Economía deja de ser competente.
  • Se designa a la Secretaría Anticorrupción y Buen Gobierno como nueva autoridad reguladora en protección de datos personales.

Ley Federal de Protección de Datos Personales en Posesión de Particulares

  • Se define por primera vez el concepto de “Derechos ARCO”: acceso, rectificación, cancelación y oposición.
  • Se introducen los sujetos regulados: personas físicas o morales de carácter privado que tratan datos personales.
  • El aviso de privacidad debe especificar el tipo de datos recabados, diferenciando entre necesarios y voluntarios.
  • Se mantiene un plazo de 20 días para dictaminar sobre solicitudes ARCO y 15 días para ejecutar lo resuelto.
  • Se incorpora la autorregulación vinculante, a través de convenios con organismos externos.
  • Se redefine el concepto de datos personales sensibles (origen étnico, salud, genética, creencias, orientación sexual, etc.).
  • Consentimiento para tratamiento:
    • Expreso: manifestación clara por escrito, verbal, medios electrónicos, etc.
    • Tácito: cuando el titular no manifiesta oposición tras ponerse a disposición el aviso de privacidad.
    • Para datos patrimoniales o financieros, el consentimiento debe ser expreso.

Ley General de Transparencia y Acceso a la Información Pública

  • Se crea el organismo Transparencia para el Pueblo como garante del derecho de acceso a la información.
  • Sustituye al Sistema Nacional de Transparencia por el Sistema Nacional de Acceso a la Información.
  • Se introducen nuevos conceptos:
    • Transparencia con sentido social
    • Apertura institucional (participación ciudadana y colaboración)

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

  • Se elimina el sistema anterior y se establece uno nuevo.
  • Se deben actualizar los avisos de privacidad para incluir nuevas obligaciones.
  • Cada Sujeto Obligado debe designar un responsable del tratamiento de datos.

  • Debe elaborarse un documento de seguridad con:

    • Inventario de datos y sistemas
    • Funciones de los responsables
    • Análisis de riesgos y brechas
    • Plan de trabajo
    • Mecanismos de monitoreo
    • Programa de capacitación

     

  • Cada entidad deberá contar con una unidad de transparencia para:

    • Atender derechos ARCO
    • Impulsar capacitación y buenas prácticas

     

  • Otras obligaciones clave:

    • Establecer políticas de protección de datos
    • Informar a los titulares sobre el tratamiento
    • Implementar medidas de seguridad
    • Reportar brechas
    • Atender solicitudes en tiempo y forma

     

  • En materia de impugnaciones, solo se contempla el recurso de revisión.
  • Las sanciones se mantienen: de 150 a 1500 UMAS, dependiendo de la gravedad y reincidencia.

 

El 20 de marzo de 2025 se publicaron en el Diario Oficial de la Federación (DOF) la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Estas reformas introducen nuevas obligaciones, sujetos regulados, cuidados, tratamiento y sancionessobre el manejo de datos personales.

Cambios estructurales

  • Se disuelve el INAI como autoridad en la materia.
  • La Secretaría de Economía deja de ser competente.
  • Se designa a la Secretaría Anticorrupción y Buen Gobierno como nueva autoridad reguladora en protección de datos personales.

Ley Federal de Protección de Datos Personales en Posesión de Particulares

  • Se define por primera vez el concepto de “Derechos ARCO”: acceso, rectificación, cancelación y oposición.
  • Se introducen los sujetos regulados: personas físicas o morales de carácter privado que tratan datos personales.
  • El aviso de privacidad debe especificar el tipo de datos recabados, diferenciando entre necesarios y voluntarios.
  • Se mantiene un plazo de 20 días para dictaminar sobre solicitudes ARCO y 15 días para ejecutar lo resuelto.
  • Se incorpora la autorregulación vinculante, a través de convenios con organismos externos.
  • Se redefine el concepto de datos personales sensibles (origen étnico, salud, genética, creencias, orientación sexual, etc.).
  • Consentimiento para tratamiento:
    • Expreso: manifestación clara por escrito, verbal, medios electrónicos, etc.
    • Tácito: cuando el titular no manifiesta oposición tras ponerse a disposición el aviso de privacidad.
    • Para datos patrimoniales o financieros, el consentimiento debe ser expreso.

Ley General de Transparencia y Acceso a la Información Pública

  • Se crea el organismo Transparencia para el Pueblo como garante del derecho de acceso a la información.
  • Sustituye al Sistema Nacional de Transparencia por el Sistema Nacional de Acceso a la Información.
  • Se introducen nuevos conceptos:
    • Transparencia con sentido social
    • Apertura institucional (participación ciudadana y colaboración)

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

  • Se elimina el sistema anterior y se establece uno nuevo.
  • Se deben actualizar los avisos de privacidad para incluir nuevas obligaciones.
  • Cada Sujeto Obligado debe designar un responsable del tratamiento de datos.

  • Debe elaborarse un documento de seguridad con:

    • Inventario de datos y sistemas
    • Funciones de los responsables
    • Análisis de riesgos y brechas
    • Plan de trabajo
    • Mecanismos de monitoreo
    • Programa de capacitación

     

  • Cada entidad deberá contar con una unidad de transparencia para:

    • Atender derechos ARCO
    • Impulsar capacitación y buenas prácticas

     

  • Otras obligaciones clave:

    • Establecer políticas de protección de datos
    • Informar a los titulares sobre el tratamiento
    • Implementar medidas de seguridad
    • Reportar brechas
    • Atender solicitudes en tiempo y forma

     

  • En materia de impugnaciones, solo se contempla el recurso de revisión.
  • Las sanciones se mantienen: de 150 a 1500 UMAS, dependiendo de la gravedad y reincidencia.

 

Legal
Photo of Adrián Bueno
Adrián Bueno
Legal Lead Partner
View profile
Legal
Photo of Adrián Bueno
Adrián Bueno
Legal Lead Partner
View profile
Nuevas disposiciones en materia de datos personales
Nuevas disposiciones en materia de datos personales

Related content

Bulletin Consulting
El rol del CEO en la transformación digital
Miguel del Olmo • May 12, 2025
Bulletin Legal
Boletín de Actualización Fiscal – Mayo 2025
Adrián Bueno • May 6, 2025
News flash Foreign trade and customs
Acumulación de Aranceles - Baker Tilly
Eliel Amaya, Socio Director de Comercio Exterior • May 6, 2025
Note Tax
Puntos Finos: Obligaciones Fiscales en Servicios Especializados
Ramiro Ávalos • Apr 8, 2025
Nota Foreign trade and customs
M&A activity in Mexico slows as tariff uncertainty shifts dealmaker strategies
Jessica Bigio, Adriana Curiel, Leonardo Peralta and Izaz Ansari • Apr 3, 2025
News flash Foreign trade and customs
Plan México 2025
Eliel Amaya • Jan 22, 2025
Note Foreign trade and customs
US election could impact trade, FDI and M&A in Mexico
Manuel Aguilar • Nov 6, 2024
Stay informed
Subscribe to our Newsletter
Subscribe