La entrada en vigor de la nueva Ley de Protección de Datos Personales en Posesión de Particulares marca un cambio significativo en el marco regulatorio mexicano. Con el objetivo de acompañar a las empresas en la comprensión de sus nuevas obligaciones, en esta sesión del Comité de Innovación y TICs de AMCHAM Ciudad de México contamos con la participación de Isabel Davara y Alejandro García, especialistas en privacidad, cumplimiento normativo y gobernanza de datos.

La nueva legislación en materia de protección de datos personales marca un cambio importante en la forma en que las empresas deberán gestionar la información. Entre los principales ajustes se encuentran:

• La ampliación del concepto de “datos personales”, que tradicionalmente se refería solo a personas físicas, ahora podría incluir información relacionada con personales morales (como empresas u organizaciones).
• La incorporación del consentimiento tácito como base legal, lo que significa que, en ciertos casos, el silencio del titular podría interpretarse como una autorización válida, siempre que se le haya informado adecuadamente. 
• La redefinición del rol del “responsable del tratamiento”, eliminando el criterio de “quién toma de decisiones” como único factor determinante. Esto obliga a revisar internamente quiénes participan en el manejo de los datos y qué responsabilidades les corresponden, incluso si no tiene la última palabra en el proceso.

Estos cambios, aunque orientados a modernizar el marco legal, podrían generar cierta incertidumbre jurídica. Por ello, será fundamental mantener un diálogo activo con las autoridades para una adecuada interpretación y aplicación de las nuevas reglas.

¿Qué deben hacer las empresas ante este nuevo escenario?

Más allá del cumplimiento formal, este es un momento para fortalecer la cultura de legalidad, basada en la prevención, la transparencia y la rendición de cuentas. Compartimos aquí algunas recomendaciones clave para construir un plan de acción efectivo:

• Mapeo e inventario de datos: Identificar claramente todos los flujos de datos personales dentro de la organización y construir un inventario actualizado, que permita rastrear cada dato desde su origen hasta su eliminación. Esto es esencial para cumplir con tiempos cortos -cinco a diez días hábiles- de respuesta ante auditorías o verificaciones.
• Contratos con terceros: Revisar cláusulas contractuales con proveedores o aliados que manejan datos personales, delimitando las responsabilidades de cada parte. La nueva definición de “responsable” ya no se basa solo en quien decide, por lo que será importante definir estos roles por escrito, de forma clara y específica.
• Bases legales del tratamiento: No siempre se necesita pedir consentimiento. Las empresas deben evaluar si otras bases legales son más adecuadas en ciertos casos, evitando pedir autorizaciones innecesarias.  También es importante integrar mecanismos de consentimiento expreso, incluidos los tecnológicos, para obtener y registrar consentimientos cuando así se requieran. 
• Justificación: Dado que la nueva autoridad podría tener criterios distintos a los del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) para interpretar qué tratamientos son lícitos, se recomienda poner especial atención en cómo se justifica legalmente cada uso de los datos y estar preparados para explicarlo de forma clara y documentada ante cualquier requerimiento.
• Avisos de privacidad actualizados: El aviso de privacidad sigue siendo el “contrato” con el titular, y uno de los documentos más auditables. Es importante actualizarlo, diferenciando entre finalidades primarias (las esenciales para el servicio) y secundarias (con fines comerciales o estadísticos), y asegurar que tanto la versión simplificada como la  integral estén alineadas con la nueva ley.
• Derechos de los titulares (ARCO): Las empresas deben contar con canales eficaces para que las personas puedan ejercer sus derechos: acceder, rectificar, cancelar u oponerse al uso de sus datos. También es importante poder demostrar documentalmente que estos procesos se cumplen.
• Decisiones automatizadas: La nueva ley introduce por primera vez en México el derecho a oponerse a decisiones tomadas exclusivamente por algoritmos. Si una empresa usa sistemas automatizados que afectan significativamente a las personas, deberán habilitar mecanismos de revisión humana y canales de objeción.
• Cambios institucionales: La desaparición del INAI y la creación de la Secretaría de Anticorrupción y Buen Gobierno como nueva autoridad en materia de datos abre un período de ajustes institucionales que, si bien plantea interrogantes sobre su experiencia técnica en la materia, también representa una oportunidad de construir desde el inició una relación colaborativa. Será crucial dar seguimiento a su evolución, criterios técnicos y lineamientos regulatorios, así como construir una relación basada en evidencia y trazabilidad.
• Seguimiento normativo: Estar atentos a la emisión del nuevo Reglamento (previsto en un plazo de 90 días) y adaptar los procesos internos conforme a nuevas disposiciones secundarias. Muchos conceptos aún deben desarrollarse en normas complementarias.
• Auditoría de cumplimiento: Evaluar el nivel de madurez del programa de privacidad y reforzar controles internos, incluyendo simulacros de respuesta ante incidentes y documentación de procesos.
• Programa de privacidad: Implementar políticas específicas sobre temas como inteligencia artificial, retención, minimización de datos y gestión de riesgos. La clave es anticiparse y evitar respuestas reactivas, así como documentar todas las acciones como parte de la evidencia que podría presentarse a las autoridades. 
• Capacitación: Las empresas deberán reforzar la formación de su personal en materia de protección de datos, asegurando que esta no se limite a cumplir con lo que marca la norma, sino que promueva una comprensión profunda de los riesgos legales, operativos y reputacionales asociados con el manejo inadecuado de la información.

Desde AMCHAM, reiteramos nuestro compromiso de facilitar el diálogo entre el sector privado y las autoridades, con el fin de generar espacios de colaboración y acompañamiento. Un entorno regulatorio claro y justo es esencial para la competitividad de las empresas, por ello, seguiremos trabajando para generar las herramientas necesarias que permitan al sector empresarial actuar con responsabilidad, transparencia e integridad ante este nuevo entorno regulatorio.

AMERICAN CHAMBER/MEXICO
Ciudad de México | 19 | mayo | 2025