Tras la entrada en vigor de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) el 21 de marzo de 2025, se actualizó el marco jurídico aplicable en la materia. Pero ¿qué implicaciones tiene esta reforma para los derechos de los titulares y las obligaciones de los responsables del tratamiento?
Continuando con el análisis de los ajustes introducidos por la nueva ley, en esta nota se detalla cómo se fortalecen los derechos ARCO, y qué implicaciones conlleva esto para quienes gestionan datos personales.
Conservación de datos personales: mayores estándares de calidad
La nueva LFPDPPP introduce requisitos más estrictos respecto a la calidad de los datos. Además de ser pertinentes, correctos y actualizados, ahora también deben ser exactos y completos. Esta modificación impone al responsable la obligación de verificar que la información no esté incompleta, inexacta o desactualizada, reforzando así el deber de diligencia en su tratamiento.
ÚNETE A IDC en nuestro canal de Whatsapp
Cancelación de datos: un procedimiento técnico en dos etapas
La ley abandona el uso ambiguo del término "cancelación" y define con mayor precisión el proceso de eliminación de datos personales. Aunque previamente ya se contemplaban etapas, ahora se establece expresamente un procedimiento técnico en dos fases:
bloqueo: los datos se resguardan de forma segura, quedando inaccesibles y sin posibilidad de uso
supresión: eliminación definitiva que se lleva a cabo una vez cumplido el plazo de conservación previsto en la ley
Transferencias de datos personales: definición precisa y requisitos
La nueva regulación delimita con mayor claridad qué se entiende por transferencia de datos personales, considerándola como la comunicación a cualquier tercero que no sea el titular, el responsable o el encargado del tratamiento. También se especifica que la transferencia puede llevarse a cabo tanto dentro como fuera del territorio nacional, aspecto que la legislación anterior no contemplaba.
Si bien ya no se exige de forma expresa dentro del contenido mínimo del aviso de privacidad incluir una sección sobre transferencias, subsiste la obligación de informar al titular. De acuerdo con el artículo 35 de la LFPDPPP, si se transfieren datos a terceros, el aviso debe contener una cláusula que permita al titular aceptar o rechazar la transferencia.
Confidencialidad en el tratamiento: obligación reforzada
Se mantiene el deber de confidencialidad durante todas las etapas del tratamiento de los datos personales. No obstante, la nueva ley va más allá al exigir medidas formales, específicas y verificables para garantizar dicha confidencialidad. Esta obligación recae tanto en el responsable como en los terceros involucrados.
Rectificación de datos personales: ampliación del derecho
El derecho de rectificación ahora incluye también la posibilidad de actualizar los datos personales, no solo corregir errores o completar información faltante. De esta forma, el titular puede exigir que sus datos estén siempre actualizados, precisos y completos.
Derecho de oposición: nuevos supuestos específicos
Se fortalece el derecho de oposición mediante la incorporación de dos escenarios en los que puede ejercerse:
cuando exista una causa legítima relacionada con la situación particular del titular
cuando el tratamiento automatizado de sus datos genere efectos jurídicos no deseados o impacte de manera significativa sus derechos, libertades o intereses, especialmente si dicho tratamiento evalúa aspectos personales sin intervención humana
La oposición al tratamiento automatizado es uno de los aspectos más relevantes de la nueva normativa ya que este tipo de tratamiento implica decisiones tomadas exclusivamente por algoritmos, sin revisión, validación ni supervisión humana. La LFPDPPP ahora permite oponerse a estos tratamientos y que exista la revisión humana, protegiendo así la información personal del titular.
Ejercicio de derechos ARCO: requisitos más claros
Para ejercer los derechos de acceso, rectificación, cancelación u oposición (ARCO), la solicitud ahora debe especificar claramente qué derecho se desea ejercer. En el caso del derecho de acceso, ya no es necesario describir los datos personales solicitados, dado que el propósito es precisamente conocerlos.
Impugnación de resoluciones: modificación en la vía legal
Las resoluciones emitidas por la autoridad ya no pueden impugnarse mediante juicio de nulidad ante el Tribunal Federal de Justicia Administrativa. La única vía disponible actualmente es el juicio de amparo, que deberá presentarse ante un tribunal especializado en la materia.
La próxima nota estará dedicada a las nuevas facultades de la Secretaría de Anticorrupción y Buen Gobierno en materia de protección de datos personales, así como su papel como organismo sustituto del extinto INAI.
En la nuestra revista digital número 576 de fecha 15 de abril de 2025 se podrá consultar en el tema Adiós al INAI: ¿Qué implica?, el análisis completo de esta legislación y el impacto que tendrá entre los particulares. Recuerde que el acceso al contenido de la revista digital es exclusivo para nuestros suscriptores. Si usted aún no es suscriptor puede suscribirse aquí y ser parte de nuestra comunidad y disfrutar de todos los beneficios que ofrecemos.
