La nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP de 2025), que entró en vigor el 21 de marzo de 2025, marca una transformación fundamental en el marco de protección de datos en México. Esta legislación abroga la ley de 2010 e introduce una serie de cambios que modernizan las obligaciones en materia de privacidad para abordar los desafíos tecnológicos actuales, como la inteligencia artificial.

El cambio más significativo es la disolución del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) mismo tema que tocamos en la newsletter anterior.

Los cambios en la ley tienen un impacto directo en la forma en que las empresas deben manejar sus avisos de privacidad en línea:

  • Finalidades concretas: Se exige una mayor precisión en la descripción de las finalidades del tratamiento de datos personales, prohibiendo el uso de frases vagas o inexactas como “entre otros” o “de manera enunciativa más no limitativa”. Esto obliga a un mapeo exhaustivo de los datos para justificar cada uso de forma específica.
  • Decisiones automatizadas: La ley ahora obliga a informar de manera explícita si los datos se utilizarán para procesos automatizados, como la elaboración de perfiles o decisiones con inteligencia artificial.
  • Períodos de conservación: Se formaliza el concepto de «periodo de conservación», requiriendo a las empresas establecer y documentar plazos definidos para la retención de los datos, los cuales deben ser bloqueados y suprimidos una vez que dejen de ser necesarios.
  • Transferencias de datos: Aunque el artículo que lista los requisitos del aviso de privacidad ya no menciona las transferencias, la obligación de informar sobre ellas no se ha eliminado. El Artículo 35 de la nueva ley sigue exigiendo que el responsable comunique al tercero el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. Un aviso de privacidad que no cumpla con esta obligación se expone a multas y sanciones.

El incumplimiento de estas nuevas obligaciones conlleva riesgos mayores. Las sanciones económicas, calculadas ahora en Unidades de Medida y Actualización (UMA), pueden ascender a más de $34,000,000 MXN para infracciones graves.

Qué necesitas cubrir para estar en cumplimiento del aviso

Para garantizar el cumplimiento con la nueva legislación, los avisos de privacidad en línea deben ser revisados y, en su caso, reformulados para incluir los siguientes elementos esenciales:

  • Identidad y domicilio del responsable: Identificar claramente la persona física o moral que recaba y trata los datos, junto con su domicilio.
  • Datos personales tratados: Listar de manera precisa todos los datos personales recabados, con una mención expresa de aquellos que sean considerados sensibles .
  • Finalidades del tratamiento: Describir las finalidades de manera específica, concreta y determinada, sin ambigüedades, y distinguir explícitamente entre las finalidades que requieren consentimiento y las que no.
  • Mecanismos de negativa: Proporcionar medios claros para que el titular pueda manifestar su negativa al tratamiento de sus datos para finalidades secundarias.
  • Decisiones automatizadas: Informar si se utilizarán procesos automatizados o sistemas de inteligencia artificial para el tratamiento de los datos, la ley exige que existan mecanismos para una revisión humana de las decisiones tomadas por estos sistemas, especialmente si resultan desfavorables para el titular.
  • Transferencias a terceros: El aviso debe informar si se realizarán transferencias de datos personales a terceros. Si una transferencia no está dentro de las excepciones de la ley, debe incluir una cláusula que permita al titular otorgar o negar su consentimiento.
  • Plazos de conservación: Establecer los plazos de retención de los datos y los criterios para su posterior eliminación.

Las empresas que utilicen sistemas de IA o algoritmos para tomar decisiones de alto impacto, como la aprobación de créditos, la evaluación de solicitantes de empleo o la determinación de precios personalizados, ahora tienen obligaciones adicionales. Deben:

  • Informar expresamente: El aviso de privacidad debe señalar de manera explícita si los datos se utilizarán para decisiones automatizadas.
  • Permitir la oposición: El titular debe tener la opción de oponerse a este tipo de tratamiento, ejerciendo un derecho que antes no existía de forma tan clara.
  • Garantizar intervención humana: La ley exige que existan mecanismos para una revisión humana de las decisiones tomadas por los sistemas automatizados, particularmente si resultan desfavorables para el titular. Esto implica que las empresas no pueden delegar completamente en la tecnología procesos que tengan un impacto directo en los derechos de los individuos; deben construir un «humano en el circuito» (human-in-the-loop) para garantizar la rendición de cuentas.

Con la nueva ley, la reforma protege a los titulares con un derecho de oposición explícito, permitiendo frenar el tratamiento de sus datos en procesos automatizados que generen efectos jurídicos o afecten sus derechos de manera significativa. Este es un derecho diseñado para equilibrar la innovación tecnológica con la protección de la autonomía, asegurando que la tecnología no reemplace por completo el criterio humano en decisiones que afectan a las personas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *