A raíz de la publicación de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), el pasado 20 de marzo, han surgido diversas inquietudes respecto al aviso de privacidad y las obligaciones que impone a quienes manejan datos personales.
En seguimiento al análisis de esta reforma, esta nota detalla los principales ajustes en su definición, contenido, forma de entrega y su función para garantizar la protección de la información personal.
¿Cómo cambia la definición del aviso de privacidad con la nueva LFPDPPP?
La LFPDPPP vigente redefine el concepto y función del aviso de privacidad, dotándolo de un papel más claro y específico. A partir de ahora, se establece que dicho instrumento debe estar disponible desde el momento en que se recaben los datos personales, sin importar el formato en que se utilice (físico, electrónico o cualquier otro medio). Además, se precisa que su objetivo es informar al titular sobre las finalidades del tratamiento, conforme a lo previsto en la legislación.
LEE: Cómo hacer un aviso de privacidad
¿Cuál es el objetivo del aviso de privacidad bajo la nueva ley?
Otro aspecto es la finalidad del aviso. La ley abrogada no establecía con claridad cuál era el propósito del aviso de privacidad ni lo vinculaba directamente con los derechos del titular. La nueva normativa corrige esta omisión al señalar que el aviso debe permitir al titular tomar decisiones informadas, tales como aceptar o rechazar el uso de sus datos, revocar su consentimiento y ejercer sus derechos ARCO (acceso, rectificación, cancelación u oposición).
¿Cuándo y cómo debe entregarse este documento?
Otro de los cambios es el momento en que el aviso debe estar disponible. Mientras que la ley abrogada requería su entrega previa al tratamiento, la nueva normativa exige que esté disponible desde el instante en que se recaban los datos del titular, lo que prohíbe su entrega posterior o diferida.
En cuanto a su contenido, antes bastaba con indicar una descripción general sobre los datos recolectados y sus fines. No obstante, la nueva LFPDPPP, exige mayor precisión: el documento debe especificar las características del tratamiento y distinguir claramente entre los fines que requieren consentimiento y los que no, otorgando así mayor transparencia y control al titular.
ÚNETE A IDC en nuestro canal de Whatsapp
¿Se deben incluir las transferencias de datos personales en el aviso de privacidad?
Un aspecto que ha generado cierta confusión es que, en el artículo 15 de la LFPDPPP, ya no incluye expresamente entre el contenido mínimo del aviso de privacidad la obligación de señalar las transferencias de datos personales. Sin embargo, esto no significa que dicha obligación haya desaparecido.
El artículo 35 de la nueva ley prevé que, si el sujeto obligado desea transferirlos, ya sea dentro o fuera del país, el aviso de privacidad debe incluir una cláusula que indique si el titular acepta o no dicha transferencia. Además, el receptor de los datos deberá asumir las mismas obligaciones que el responsable original.
Por lo tanto, la obligación de informar sobre transferencias sigue vigente, aunque ahora se encuentra regulada de forma separada respecto al listado de contenidos mínimos del aviso.
¿Cómo entregar el aviso de privacidad según el medio de recolección?
La legislación anterior requería la entrega del documento de forma inmediata al momento de recabar los datos personales, sin distinción del medio. En contraste, la nueva ley introduce una diferenciación según el canal de recolección.
Cuando los datos se recaben mediante formatos impresos, como formularios en papel, el aviso de privacidad debe proporcionarse en ese mismo momento. En cambio, si la recolección se realiza de forma personal, pero a través de medios electrónicos, verbales o mediante grabaciones, el responsable podrá entregar una versión simplificada del aviso de privacidad, cumpliendo con criterios específicos.
Medidas compensatorias ante la imposibilidad de entrega del aviso
En la ley anterior, si el responsable no podía entregar el aviso de privacidad por una imposibilidad material o por esfuerzos desproporcionados (como el gran número de titulares o la antigüedad de los datos), debía solicitar autorización previa al INAI para aplicar medidas compensatorias en su lugar.
Con la nueva ley, ya no se requiere autorización previa de la autoridad. El responsable puede aplicar directamente las medidas compensatorias, siempre que exista la imposibilidad material o el esfuerzo desproporcionado para entregar el aviso de forma directa.
¿Qué implican estos ajustes?
Las modificaciones introducidas por la nueva LFPDPPP traerán consecuencias en la protección de datos personales en México. Si bien el aviso de privacidad adquiere un papel más definido y se reconoce como una herramienta para informar, obtener el consentimiento y facilitar el ejercicio de derechos, también surgen nuevos retos en materia de transparencia y rendición de cuentas.
Particularmente, la eliminación de la autorización previa del INAI (ahora Secretaría de Anticorrupción y Buen Gobierno) para aplicar medidas compensatorias plantea riesgos potenciales para los titulares de datos, al permitir que el responsable determine unilateralmente cuándo no entregar el aviso de forma directa. Esta medida puede afectar el acceso oportuno a la información sobre la gestión de los datos, lo que exige una mayor vigilancia por parte de la autoridad.
¿Si deseas conocer cómo adaptar correctamente tus políticas de privacidad? En la siguiente entrega te explicamos los ajustes clave en los derechos de los titulares y las obligaciones de quienes tratan información personal.
En la nuestra revista digital número 576 de fecha 15 de abril de 2025 se podrá consultar en el tema Adiós al INAI: ¿Qué implica?, el análisis completo de esta legislación y el impacto que tendrá entre los particulares. Recuerde que el acceso al contenido de la revista digital es exclusivo para nuestros suscriptores. Si usted aún no es suscriptor puede suscribirse aquí y ser parte de nuestra comunidad y disfrutar de todos los beneficios que ofrecemos.
¿Quieres saber más? ¡Sigue a IDC en Google News!
