Reformas en Transparencia y Protección de Datos en México: Nuevas Obligaciones Legales para Empresas y Riesgos por Incumplimiento

Introducción: un nuevo escenario normativo para el sector público y privado

‍

El 20 de marzo de 2025 se publicaron en el Diario Oficial de la Federación tres nuevas leyes que reforman de manera profunda el marco jurídico en materia de transparencia y protección de datos personales en México. A esto se suma una modificación al artículo 37 de la Ley Orgánica de la Administración Pública Federal.

Estas normas implican una reconfiguración institucional —con la desaparición del INAI y el surgimiento de la Secretaría de Anticorrupción y Buen Gobierno como nueva autoridad supervisora—, e imponen nuevas obligaciones legales para empresas, tanto públicas como privadas.

Principales cambios legislativos

‍

Tres nuevas leyes y una reestructura institucional

Las reformas se componen de:

• Ley General de Transparencia y Acceso a la Información Pública
  
• Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
  
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares
• Reforma al artículo 37, fracción XV, de la Ley Orgánica de la Administración Pública Federal
  
  

Estas normas sustituyen y amplían el marco legal previo. La desaparición del INAI y el traslado de sus funciones a una Secretaría de nueva creación implican un cambio estructural relevante, tanto en materia de supervisión como en la interpretación normativa.

Ley General de Transparencia y Acceso a la Información Pública

‍Principios rectores y procedimientos uniformes

‍

Esta ley refuerza el derecho humano de acceso a la información. Establece principios como:

• Máxima publicidad: toda la información en poder de las autoridades es pública por regla general.
  
• Gratuidad: el acceso a la información no debe implicar costos excesivos.
  
• Accesibilidad: la información debe estar disponible en formatos comprensibles y abiertos.
  
  

Los procedimientos se homologan para todos los niveles y poderes de gobierno, partidos políticos, fideicomisos y organismos con recursos públicos. No se exige justificar el interés del solicitante, y se definen plazos claros para responder y mecanismos para impugnar negativas.

Datos abiertos como estándar

‍

Uno de los ejes de la ley es la promoción de los datos abiertos, definidos como información pública digitalizada, accesible en línea, estructurada, reutilizable y gratuita. Esto fomenta:

• Transparencia proactiva
  
• Participación ciudadana informada
  
• Desarrollo tecnológico basado en información pública
  
  

Sistema Nacional de Acceso a la Información

‍

Este sistema coordina a las entidades obligadas a nivel nacional. Su reorganización incluye:

• Integración de autoridades federales, estatales y municipales
  
• Uso obligatorio de la Plataforma Nacional de Transparencia
  
• Módulos para solicitudes, recursos e interacciones institucionales
  
• Supervisión directa por parte de la nueva Secretaría
  

‍

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

‍Nuevas responsabilidades para instituciones públicas

‍

Esta ley regula el tratamiento de datos personales en manos de entidades gubernamentales, y establece una serie de principios:

• Licitud y finalidad
  
• Lealtad, consentimiento e información
  
• Calidad y proporcionalidad
  
• Responsabilidad institucional

‍

Evaluaciones de impacto y medidas de seguridad

‍

Se introduce la obligación de realizar evaluaciones de impacto en protección de datos personales, especialmente cuando el tratamiento implique un alto riesgo.

Además, los sujetos obligados deben implementar medidas de seguridad administrativas, técnicas y físicas, proporcionales al nivel de sensibilidad de los datos.

Derechos ARCO ampliados

‍

Los titulares conservan sus derechos de Acceso, Rectificación, Cancelación y Oposición, y se incorporan:

• Derecho a obtener copia de sus datos en formato electrónico estructurado
  
• Derecho a la portabilidad de datos

‍

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Nuevas obligaciones legales para empresas

‍

Esta ley establece los criterios que deben seguir las empresas privadas para el tratamiento legítimo, controlado e informado de datos personales.

Entre las nuevas obligaciones legales para empresas destacan:

• Actualización del aviso de privacidad
• Justificación más rigurosa para el tratamiento sin consentimiento
  
• Implementación de controles internos sobre el uso de datos
  

‍

Tratamiento automatizado y consentimiento

‍

La ley reconoce el derecho de los titulares a oponerse al tratamiento automatizado sin intervención humana, especialmente cuando éste genere efectos jurídicos o económicos no deseados.

También se refuerza la figura del consentimiento explícito, reduciendo los casos en que puede omitirse.

Derechos ARCO y ampliaciones prácticas

‍

Se actualiza el contenido de los derechos ARCO con nuevas obligaciones para los responsables:

• El acceso debe incluir información sobre las condiciones del tratamiento
  
• La rectificación se amplía a datos desactualizados
  
• La oposición puede fundamentarse en "causa legítima", aunque su definición es aún ambigua
  
  

Sanciones y controversias

‍

Entre los riesgos por incumplimiento en transparencia y protección de datos personales en México se encuentran:

• Multas administrativas
  
• Órdenes de entrega de datos
  
• Juicios de amparo ante tribunales especializados
  
• Sanciones por dolo o negligencia en la tramitación de solicitudes
  
  

Implicaciones legales de las nuevas leyes para el sector privado

Revisión de políticas y procedimientos

‍

Las organizaciones deberán realizar una revisión exhaustiva de:

• Políticas de privacidad y manejo de datos
  
• Protocolos de atención a titulares
  
• Avisos de privacidad y bases legales de tratamiento
  
  

Capacitación y gobernanza interna

‍

El cumplimiento no puede recaer solo en el área legal. Las reformas exigen:

• Capacitación continua del personal
  
• Designación de responsables internos del tratamiento de datos
  
• Coordinación entre áreas jurídicas, tecnológicas y operativas
  
  

Evaluación de riesgos operativos y reputacionales

‍

Los riesgos por incumplimiento en transparencia no son solo legales. Incluyen:

• Pérdida de confianza por parte de clientes o usuarios
  
• Filtraciones de información confidencial
  
• Investigaciones y sanciones de autoridades
  

‍

Conclusión: cumplimiento como estrategia de protección

‍

Las nuevas leyes de protección de datos personales en México obligan a replantear el papel del cumplimiento legal dentro de las organizaciones.

El entorno regulatorio actual requiere adecuarse formalmente, anticipar riesgos, institucionalizar procesos y demostrar diligencia en el tratamiento de datos y la transparencia pública.

En este contexto, la lectura estratégica de las reformas es una herramienta de defensa y también una oportunidad para fortalecer estructuras internas, ganar legitimidad y evitar escenarios de sanción, conflicto o exposición pública.

En EBL Consulting Group brindamos asesoría preventiva para reducir riesgos y evitar sanciones.

‍