Nuevo régimen legal de protección de datos personales en México: implicaciones para el sector público 

‍

Un nuevo marco para la gestión de datos personales en el sector público

‍

El 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, como parte de un paquete legislativo que reformula por completo el modelo institucional y normativo en materia de transparencia y privacidad en México. Esta nueva legislación sustituye el marco anterior e impone estándares más estrictos a todas las entidades públicas, órganos autónomos, y organismos que traten datos personales en ejercicio de sus funciones.

Este cambio tiene consecuencias directas para todas las autoridades de los tres poderes, así como para partidos políticos, fideicomisos, fondos públicos y cualquier otro sujeto obligado. A través de nuevas obligaciones, principios rectores y mecanismos de supervisión, la ley busca garantizar de forma más efectiva la protección de datos personales en México.

La eliminación del INAI y la transferencia de funciones a la Secretaría de Anticorrupción y Buen Gobierno marcan un punto de inflexión en el diseño institucional de la protección de derechos fundamentales. Además, se incorporan herramientas novedosas como las evaluaciones de impacto y se amplía el alcance de los derechos ARCO, fortaleciendo el papel activo de los titulares de datos.

Este artículo explora a detalle los elementos clave del nuevo régimen, sus diferencias con la ley anterior, los riesgos legales derivados del incumplimiento y las recomendaciones estratégicas para que los sujetos obligados adapten sus procesos internos a esta nueva etapa regulatoria.

Disposiciones clave: nuevas reglas para los sujetos obligados

‍

La nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establece principios, derechos, obligaciones y procedimientos que redefinen cómo debe garantizarse la protección de datos personales en México, cuando estos son tratados por entes públicos. A diferencia del marco anterior, esta ley incorpora herramientas preventivas y fortalece los mecanismos de supervisión y sanción.

Principios rectores del tratamiento de datos

‍

El tratamiento de datos personales por parte de sujetos obligados deberá regirse por los siguientes principios:

• Licitud: el tratamiento debe basarse en una norma aplicable y contar con una causa justificada.
  
• Finalidad: los datos solo pueden usarse para los fines específicos, explícitos y legítimos para los que fueron recabados.
  
• Lealtad y consentimiento: se debe informar al titular sobre el uso de sus datos y obtener su consentimiento cuando sea necesario.
  
• Calidad y proporcionalidad: los datos deben ser adecuados, relevantes y no excesivos en relación con la finalidad.
  
• Información y responsabilidad: los sujetos obligados deben informar claramente al titular sus derechos y hacerse responsables del cumplimiento del marco legal.
  
  

Estos principios operan como ejes transversales que rigen la recolección, uso, conservación y, en su caso, transferencia de datos personales por parte de cualquier entidad pública.

Ampliación de los derechos ARCO

‍

Uno de los ejes centrales de la ley es la ampliación y fortalecimiento de los derechos ARCO: acceso, rectificación, cancelación y oposición. Además, el nuevo texto legal incorpora:

• Portabilidad de datos: derecho del titular a obtener sus datos en un formato electrónico estructurado y a transferirlos a otro responsable.
  
• Oposición al tratamiento automatizado: derecho a evitar decisiones que se tomen exclusivamente a través de algoritmos o inteligencia artificial, cuando estas generen efectos jurídicos o significativos.
  
  

Estos derechos refuerzan la posición del titular como agente activo en la gestión de su información personal frente al Estado.

Medidas de seguridad obligatorias

‍

Los sujetos obligados deberán implementar medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales frente a accesos no autorizados, alteración, pérdida, daño o destrucción.

Entre estas medidas destacan:

• Controles de acceso y mecanismos de autenticación.
  
• Políticas internas de gestión de datos.
  
• Procedimientos de notificación de incidentes.
  
• Evaluaciones de riesgo y monitoreo continuo de vulnerabilidades.
  
  

El cumplimiento de estas obligaciones es un imperativo legal y una condición indispensable para evitar sanciones, proteger la información de los titulares y mantener la confianza institucional.

Evaluaciones de impacto, sanciones y nueva autoridad de control

‍

Uno de los principales avances en el nuevo marco de protección de datos personales en México es la introducción de herramientas preventivas que obligan a los sujetos obligados a anticipar riesgos y documentar sus decisiones. Paralelamente, se establecen sanciones más robustas y se redefine quién es la autoridad encargada de interpretar y aplicar la ley.

Evaluaciones de impacto: prevención jurídica obligatoria

‍

La ley impone a los sujetos obligados la obligación de realizar evaluaciones de impacto en la protección de datos personales cada vez que implementen sistemas o procesos que puedan implicar riesgos elevados para los derechos de los titulares.

Estas evaluaciones deben incluir:

• Análisis de los flujos de datos personales y su finalidad.
  
• Identificación de riesgos potenciales, incluyendo aquellos derivados de tecnologías automatizadas.
  
• Medidas técnicas y organizativas para mitigar dichos riesgos.
  
• Justificación de la proporcionalidad y legalidad del tratamiento.
  
  

Este enfoque obliga a las entidades públicas a integrar la privacidad desde el diseño y durante todo el ciclo de vida de los datos, reforzando el principio de responsabilidad proactiva.

Régimen de sanciones: consecuencias legales claras

‍

El incumplimiento de las disposiciones de esta ley puede dar lugar a diversas sanciones, que ahora se aplican con mayor claridad y contundencia. Entre ellas:

• Multas administrativas en función de la gravedad de la infracción y el daño causado.
  
• Órdenes correctivas que incluyen la suspensión del tratamiento, cancelación de datos o medidas de reparación.
  
• Responsabilidad directa del funcionario público que autorice, ejecute o tolere el uso indebido de datos personales.
  
• Procedimientos de revisión e impugnación, ya sea por el titular o por la autoridad de control.
  
  

La existencia de este régimen legal refuerza la importancia de implementar procesos internos sólidos y documentados para evitar riesgos patrimoniales, legales y reputacionales.

La Secretaría de Anticorrupción y Buen Gobierno como nueva autoridad garante

‍

La ley otorga a la Secretaría de Anticorrupción y Buen Gobierno la facultad exclusiva para:

• Interpretar la ley y emitir lineamientos de aplicación.
  
• Resolver recursos de revisión presentados por titulares.
  
• Supervisar el cumplimiento por parte de los sujetos obligados.
  
• Imponer sanciones y ordenar medidas correctivas.
  
• Administrar la Plataforma Nacional de Transparencia.
  
  

Este cambio representa una transformación institucional significativa: se elimina la figura de un órgano autónomo garante (como el INAI) y se consolida el control dentro de una dependencia de la administración pública federal. Para los sujetos obligados, esto implica nuevas formas de coordinación, nuevas rutas de cumplimiento y un marco regulatorio menos colegiado, pero más centralizado y ejecutivo.

Implicaciones estratégicas para sujetos obligados: cumplimiento, prevención y gobernanza

‍

El nuevo régimen de protección de datos personales en México impone a los sujetos obligados un modelo de cumplimiento activo, basado en la anticipación de riesgos y la integración de buenas prácticas desde el diseño de sus procesos institucionales.

Mayor responsabilidad institucional

‍

Los titulares de las unidades administrativas responsables del tratamiento de datos personales deben cumplir con lo dispuesto en la ley y acreditar documentalmente que se han tomado medidas para prevenir infracciones. Esta exigencia eleva el estándar de gobernanza institucional y transforma la privacidad en una función operativa prioritaria, al mismo nivel que el control presupuestal o la normatividad contable.

El principio de responsabilidad proactiva obliga a actuar antes del incumplimiento, no después. Esto implica revisar procesos internos, capacitar al personal, documentar decisiones clave y establecer rutas claras de respuesta ante incidentes.

Coordinación entre áreas jurídicas, tecnológicas y operativas

‍

La naturaleza transversal del tratamiento de datos personales requiere una colaboración efectiva entre áreas legales, tecnológicas y administrativas. Ya no basta con una política aislada o un aviso de privacidad estándar. Los sistemas informáticos, los procesos de archivo, los contratos con terceros y los mecanismos de atención ciudadana deben alinearse con los principios de la ley.

Esta coordinación debe reflejarse en:

• Políticas internas formalmente aprobadas.
  
• Procedimientos de gestión y actualización de bases de datos.
  
• Protocolos de respuesta ante incidentes de seguridad.
  
• Evaluaciones periódicas de cumplimiento.
  
• Reportes documentados y trazables.
  
  

Riesgos por incumplimiento: operativos, legales y reputacionales

‍

No cumplir con la ley conlleva sanciones económicas o administrativas y riesgos reputacionales y operativos. Una filtración de datos, una omisión en el aviso de privacidad o una negativa mal fundamentada pueden generar:

• Procedimientos de responsabilidad administrativa.
  
• Pérdida de confianza pública.
  
• Obstáculos presupuestales o en auditorías externas.
  
• Litigios por violaciones a derechos fundamentales.
  
  

La protección de datos personales en México ya no es un tema técnico secundario. Es parte de la arquitectura legal básica de cualquier entidad pública.

Conclusión: cumplimiento como política pública institucional

‍

La nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados marca un antes y un después en el enfoque legal sobre el manejo de información personal en el sector público. Al integrar principios como la responsabilidad proactiva, ampliar los derechos de los titulares y establecer nuevas herramientas de control como las evaluaciones de impacto, la norma obliga a transformar la manera en que las entidades públicas gestionan su relación con la información.

Este marco legal no debe entenderse únicamente como una obligación jurídica, sino como un componente esencial de gobernanza institucional, alineado con los principios de transparencia, rendición de cuentas y legalidad. Cumplir con la ley ya no es solo evitar sanciones: es garantizar legitimidad operativa y sostenibilidad administrativa.

En EBL Consulting Group, asesoramos a organismos públicos y sujetos obligados en el diseño de estrategias jurídicas y operativas para cumplir con el nuevo marco legal, reducir riesgos y asegurar que la protección de datos personales en México se traduzca en prácticas reales, medibles y sostenibles.

‍