Leyes de Privacidad de Datos de México: Guía Completa de la LFPDPPP 2025

México regula la privacidad de datos del sector privado a través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025. La ley preserva los derechos ARCO y traslada la aplicación de la ley del extinto INAI a la Secretaría Anticorrupción y Buen Gobierno (SABG).
México reformuló su marco de protección de datos personales de manera más significativa en 2024 y 2025 que en cualquier otro momento desde que se sancionó la ley original en 2010. Los cambios fueron impulsados por una amplia reforma constitucional que disolvió siete organismos constitucionales autónomos, entre ellos el INAI, la autoridad de protección de datos de larga data. En su lugar, la facultad de aplicación se trasladó al Poder Ejecutivo, tres nuevas leyes entraron en vigor el mismo día de marzo de 2025, y tribunales federales especializados asumieron la revisión judicial que antes correspondía al sistema de tribunales administrativos.
Para las empresas que operan en México o que tratan datos de residentes mexicanos, el marco de 2025 exige nuevas revisiones de cumplimiento. La nueva ley conserva en gran medida la estructura de la norma de 2010, pero introduce cambios importantes en materia de consentimiento, encargados del tratamiento, toma de decisiones automatizada y avisos de privacidad. El cambio institucional de un regulador independiente a una dependencia del Ejecutivo también modifica la dinámica de aplicación de maneras que los especialistas todavía están evaluando.
Esta guía abarca todo el marco: los fundamentos constitucionales, la ley del sector privado de 2025, la ley paralela del sector público, la aplicación a cargo de la SABG, los derechos ARCO, las sanciones, las transferencias transfronterizas, y lo que el estado actual de incertidumbre regulatoria significa para las empresas.
Respuesta Rápida: Lo Que Necesita Saber
El régimen de protección de datos del sector privado en México se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares, o LFPDPPP) de 2025. Se trata de una norma completamente nueva, no de una modificación. Entró en vigor el 21 de marzo de 2025 y derogó la ley de 2010 del mismo nombre.
La aplicación de la ley recae en la Secretaría Anticorrupción y Buen Gobierno (Secretaria de Anticorrupcion y Buen Gobierno, SABG). El antes independiente INAI ya no existe.
Los derechos fundamentales de los titulares, ARCO (Acceso, Rectificación, Cancelación y Oposición), siguen siendo la columna vertebral del marco. Los avisos de privacidad continúan siendo el mecanismo central de cumplimiento. Las reglas de consentimiento se conservan en gran medida, con algunas aclaraciones importantes. Las sanciones ahora se expresan en unidades de UMA (Unidad de Medida y Actualización), reemplazando la antigua fórmula basada en el salario mínimo, y son más elevadas.
México también sancionó una nueva ley de protección de datos del sector público en la misma fecha, junto con legislación de transparencia. Las tres normas son producto de la misma reforma constitucional.
Consulte a un abogado para obtener asesoramiento específico sobre su situación.
Fundamento Constitucional: Los Artículos 6 y 16
El derecho a la protección de datos en México tiene rango constitucional. Dos artículos de la Constitución Política de los Estados Unidos Mexicanos establecen este fundamento.
El artículo 6 de la Constitución aborda el derecho a la información y la libertad de expresión. Su segundo párrafo declara que la información relativa a la vida privada y los datos personales será protegida en los términos que fijen las leyes.
El artículo 16 ofrece la garantía constitucional más detallada. Establece que nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente. De manera crucial, el artículo 16 también garantiza expresamente a toda persona el derecho a la protección de sus datos personales, así como los derechos de acceso, rectificación y cancelación de esos datos, y a oponerse a su divulgación. Estos derechos conforman en conjunto el fundamento constitucional de los derechos ARCO.
La LFPDPPP de 2010 fue la primera ley federal que implementó este mandato constitucional para el sector privado. La ley de reemplazo de 2025 continúa esa línea, a la vez que actualiza el marco institucional y sustantivo.
La Reforma Constitucional de 2024: Por Qué Se Disolvió el INAI
Comprender el marco actual requiere entender por qué cambió de manera tan abrupta.
A fines de 2024, el Congreso mexicano aprobó una reforma constitucional de "simplificación orgánica" orientada a eliminar siete organismos constitucionales autónomos. La reforma se publicó en el Diario Oficial el 28 de noviembre de 2024, y sus disposiciones entraron en vigor el 20 de diciembre de 2024.

El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) se encontraba entre los organismos disueltos. Creado en 2014 como un organismo constitucional autónomo, el INAI cumplía una doble función: el control de la transparencia a nivel nacional y la autoridad de protección de datos tanto para el sector privado como para el público. Operaba con comisionados independientes, presupuesto propio, y una capacidad de decisión resguardada del control del Poder Ejecutivo.
La justificación oficial del gobierno fue la consolidación institucional y la eficiencia. Los críticos, incluidos defensores de la privacidad y organizaciones de la sociedad civil, expresaron preocupación por las implicancias en materia de independencia. Anteriormente, las decisiones del INAI podían impugnarse mediante litigio administrativo ante el Tribunal Federal de Justicia Administrativa. Bajo el nuevo marco, las impugnaciones se tramitan a través de tribunales federales especializados mediante el juicio de amparo, un cambio procesal que modifica los plazos y la previsibilidad de los resultados.
Otra preocupación operativa: las estimaciones sugieren que la SABG absorbió aproximadamente el 80% de las responsabilidades funcionales del INAI con apenas un 35% de su estructura de personal. Todos los asuntos pendientes que el INAI no había resuelto se trasladaron a la SABG, lo que los analistas esperaban que produjera tiempos de resolución más prolongados durante el período de transición.
Las Tres Leyes de Marzo de 2025
El 20 de febrero de 2025, la presidenta Claudia Sheinbaum presentó la legislación de implementación ante el Congreso. El Diario Oficial publicó los decretos resultantes el 20 de marzo de 2025, y entraron en vigor el 21 de marzo de 2025. Ese día entraron en vigencia tres leyes distintas:
- Una nueva ley federal de transparencia y acceso a la información pública
- Una nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que regula el sector público
- Una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que regula el sector privado
Las tres leyes formalizaron la disolución del INAI y el traslado de sus funciones a la SABG. Para los especialistas en protección de datos, la segunda y la tercera ley son los instrumentos centrales.
LFPDPPP 2025: El Marco del Sector Privado
La LFPDPPP de 2025 es estructuralmente similar a la ley de 2010, pero introduce cambios significativos en varias áreas. Los especialistas la han descrito como una evolución, más que una revolución, siendo la reestructuración institucional un cambio más drástico que las disposiciones legales sustantivas.
Ámbito de Aplicación y a Quién Cubre
La LFPDPPP se aplica a toda persona física o moral privada que recopile, use, almacene, transfiera o de cualquier otro modo trate datos personales. Esto incluye a empresas, asociaciones civiles, y personas físicas que operen en carácter profesional o comercial.
Una aclaración significativa de la ley de 2025: los encargados del tratamiento ahora están expresamente sujetos a las obligaciones de la ley, y no solo los responsables. Bajo el marco de 2010, los encargados ocupaban un terreno ambiguo. Las organizaciones que actúan como encargados deben contar con definiciones contractuales claras de su estatus, para evitar ser clasificadas como responsables, lo que conlleva obligaciones más pesadas.
La ley se aplica independientemente de dónde esté ubicado el responsable o el encargado, siempre que el tratamiento de datos involucre a personas en México. Las empresas extranjeras que atienden a residentes mexicanos deberían evaluar si quedan comprendidas dentro de su ámbito de aplicación.
Los Ocho Principios Fundamentales
La LFPDPPP de 2025 se construye sobre los mismos principios fundamentales que su predecesora:
Licitud: el tratamiento debe cumplir con la ley mexicana y no puede involucrar medios engañosos o fraudulentos.
Consentimiento: los titulares deben otorgar una autorización informada para el tratamiento, sujeta a excepciones definidas.
Información: los responsables deben informar a los titulares sobre el tratamiento mediante avisos de privacidad entregados en el momento de la recolección de los datos.
Calidad: los datos personales deben ser exactos, completos, pertinentes y estar actualizados en relación con las finalidades declaradas.
Finalidad: los datos solo pueden recopilarse y usarse para las finalidades específicas, explícitas y legítimas declaradas en el aviso de privacidad.
Lealtad: los responsables deben tratar los datos de manera que respete los intereses del titular y sus expectativas razonables de privacidad.
Proporcionalidad: solo pueden tratarse los datos necesarios, adecuados y pertinentes para las finalidades declaradas.
Responsabilidad: los responsables deben mantener políticas, procedimientos y documentación internos que demuestren un cumplimiento continuo.
La ley de 2025 pone un énfasis más explícito en la minimización de datos y la responsabilidad proactiva que la norma de 2010, aunque el reglamento de implementación esperado dentro de los 90 días de la entrada en vigor de la ley no se había publicado al mes de mayo de 2026.
Categorías de Datos Personales
La ley distingue categorías de datos personales, cada una con distintos umbrales de protección:
Los datos personales generales abarcan nombres, domicilios, direcciones de correo electrónico y números de teléfono. El consentimiento tácito (implícito por la inacción tras la notificación) generalmente es suficiente para el tratamiento.
Los datos personales financieros o patrimoniales incluyen cuentas bancarias, números de tarjetas de crédito, información de ingresos, e historial crediticio. Se requiere un consentimiento expreso y afirmativo.
Los datos personales sensibles reciben la protección más alta. La ley de 2025 define expresamente esta categoría, que incluye:
- El estado de salud y los registros médicos
- Los datos genéticos y biométricos
- El origen racial o étnico
- Las creencias religiosas, filosóficas o morales
- Las opiniones y afiliaciones políticas
- La afiliación sindical
- La orientación y preferencias sexuales
- Cualquier dato cuya divulgación pudiera exponer a la persona a discriminación o a un daño grave
El tratamiento de datos sensibles requiere consentimiento expreso y por escrito. Las infracciones que involucren datos sensibles están sujetas a multas duplicadas conforme al régimen sancionatorio.
La ley de 2025 también amplió la definición de datos personales para incluir a las personas indirectamente identificables, y no solo a aquellas que pueden identificarse directamente.
Requisitos del Aviso de Privacidad
El aviso de privacidad (aviso de privacidad) continúa siendo la piedra angular del marco mexicano de protección de datos. Conforme a la ley de 2025, los responsables deben entregar el aviso en el momento en que se recopilan los datos personales, un requisito de plazo más estricto que el impuesto por la ley de 2010.
Tres Tipos de Aviso de Privacidad
Aviso de privacidad integral: el documento completo que debe ponerse a disposición de los titulares. La ley de 2025 exige que especifique:
- La identidad y los datos de contacto del responsable
- Los datos personales precisos que se recopilarán, con los datos sensibles claramente identificados
- Las finalidades del tratamiento, distinguiendo entre las que requieren consentimiento y las que no
- La base legal para el tratamiento que no requiere consentimiento
- Si algún dato se utilizará para la toma de decisiones automatizada
- Información sobre las transferencias internacionales de datos
- Los mecanismos para ejercer los derechos ARCO
- Cómo puede revocarse el consentimiento
- Los plazos de conservación de los datos
- Los procedimientos para notificar cambios al aviso de privacidad
Un cambio significativo respecto del régimen de 2010: la ley de 2025 exige que el aviso diferencie con claridad entre las finalidades necesarias para el servicio principal y las voluntarias. Si el responsable desea posteriormente tratar los datos para nuevas finalidades, debe obtener un nuevo consentimiento. Bajo la ley de 2010, el tratamiento para finalidades "compatibles o análogas" no requería un nuevo consentimiento. Esa excepción de compatibilidad ya no existe.
Aviso de privacidad simplificado: una versión más breve requerida en el momento de la recolección de datos cuando esta se realiza por medios electrónicos, ópticos, sonoros, visuales u otra tecnología. Debe hacer referencia al aviso integral e incluir, como mínimo, la identidad del responsable, las finalidades del tratamiento, y cómo acceder al aviso completo.
Aviso de privacidad corto: utilizado en espacios físicos donde el aviso completo resulta poco práctico, como formularios o quioscos. Debe incluir la identidad del responsable, las finalidades del tratamiento, y una referencia al aviso integral.

Marco del Consentimiento
La LFPDPPP de 2025 mantiene la estructura escalonada de consentimiento de México y precisa varios requisitos:
Consentimiento Tácito
Para los datos personales generales, si un titular recibe el aviso de privacidad y no se opone expresamente dentro del plazo especificado, se considera otorgado el consentimiento. El aviso debe explicar claramente este mecanismo. El consentimiento tácito sigue siendo la regla por defecto para la información personal rutinaria, lo cual difiere del modelo del GDPR, que exige una aceptación afirmativa.
Consentimiento Expreso
Se exige para los datos financieros, las transferencias internacionales y otras situaciones que designe la ley. El titular debe manifestar afirmativamente su conformidad, ya sea de manera verbal, por escrito o por medios electrónicos.
Consentimiento Expreso por Escrito
Es obligatorio para los datos personales sensibles. Se requiere un documento firmado (físico o electrónico) que autorice específicamente el tratamiento de la información sensible.
En todos los casos, la ley de 2025 especifica que el consentimiento debe ser libre, específico e informado. El consentimiento obtenido mediante prácticas engañosas, casillas premarcadas, o autorizaciones empaquetadas que impidan una elección real, es inválido. El lenguaje estándar del consentimiento se actualizó para ser más explícito respecto de la voluntariedad, en comparación con la formulación de 2010.
Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición
El marco de derechos ARCO de México precede al GDPR y es uno de los sistemas de derechos de los titulares más consolidados de América Latina. La ley de 2025 fortaleció estos derechos de varias maneras específicas.
Derecho de Acceso
Los titulares pueden solicitar confirmación sobre si sus datos personales están siendo tratados y, en su caso, el acceso a los datos junto con información sobre las condiciones del tratamiento. Los responsables deben responder dentro de los 20 días hábiles siguientes a la recepción de una solicitud válida.
Derecho de Rectificación
Las personas pueden solicitar la corrección de datos personales inexactos, incompletos o desactualizados. El responsable debe realizar las correcciones dentro de los 15 días hábiles siguientes a la aprobación de la solicitud. La ley de 2025 extiende este derecho para abarcar las decisiones adoptadas mediante procesos automatizados.
Derecho de Cancelación
La ley de 2025 amplió el alcance de este derecho. La cancelación ahora se aplica explícitamente a todos los archivos, registros, expedientes, bases de datos y sistemas donde se almacenen datos personales. Cuando se aprueba una solicitud de cancelación, los datos entran en un período de bloqueo durante el cual no pueden tratarse de manera activa. Una vez vencido el plazo de conservación aplicable, los datos deben eliminarse de manera definitiva.
Para los datos crediticios que reflejen el incumplimiento de obligaciones financieras, el período de bloqueo obligatorio es de 72 meses antes de la eliminación definitiva.
Derecho de Oposición
Los titulares pueden oponerse al tratamiento de sus datos personales para finalidades específicas. La ley de 2025 agrega una dimensión nueva y significativa: los titulares ahora pueden oponerse al tratamiento automatizado que, sin intervención humana, produzca efectos significativos sobre sus intereses, derechos o libertades. Esto abarca la calificación algorítmica, la elaboración de perfiles, y los sistemas de decisión basados en IA.
Ejercicio de los Derechos ARCO
Las solicitudes ARCO deben presentarse directamente ante el responsable del tratamiento. El responsable cuenta con 20 días hábiles para responder y 15 días hábiles adicionales para implementar la acción aprobada. Las solicitudes son gratuitas en la mayoría de las circunstancias.
Si el responsable deniega la solicitud, no responde, o brinda una respuesta insatisfactoria, el titular puede presentar una queja ante la SABG. La revisión judicial está disponible a través de los tribunales federales especializados establecidos bajo el marco de 2025, mediante el juicio de amparo.
Aplicación de la Ley: La SABG Reemplaza al INAI
El cambio estructuralmente más trascendente del marco de 2025 es quién aplica la ley.
El INAI Era Independiente; la SABG No lo Es
El INAI operaba como un organismo constitucional autónomo, con comisionados propios, asignaciones presupuestarias propias, y una capacidad de decisión libre de injerencia del Poder Ejecutivo. Su independencia fue una decisión de diseño deliberada, inspirada en las autoridades de protección de datos de jurisdicciones comparables.
La SABG (Secretaría Anticorrupción y Buen Gobierno) es una dependencia de rango de gabinete dentro del Poder Ejecutivo. Reporta al Presidente. Este cambio estructural coloca la aplicación de la protección de datos dentro del aparato político del gobierno federal, un cambio que los defensores de la privacidad han criticado por ser incompatible con los estándares de independencia establecidos por marcos internacionales como el Convenio 108+ del Consejo de Europa.
Qué Puede Hacer la SABG
La SABG asumió todas las antiguas funciones de protección de datos del INAI:
- Recibir y tramitar las quejas de los titulares sobre los derechos ARCO
- Realizar procedimientos de verificación, tanto de oficio como a raíz de una queja
- Investigar presuntas infracciones a la LFPDPPP
- Emitir resoluciones vinculantes sobre controversias de protección de datos
- Imponer sanciones administrativas, incluidas multas
- Autorizar, supervisar y revocar el estatus de los profesionales de privacidad certificados y de las entidades certificadoras
- Emitir lineamientos e interpretaciones regulatorias
- Participar en la cooperación internacional en materia de protección de datos
Los procedimientos sancionatorios pueden iniciarse ya sea por una queja del titular o de oficio por la propia SABG. El proceso de investigación y verificación permite a la SABG solicitar documentos e información a los responsables y encargados antes de emitir cualquier determinación formal.
El Trigésimo Circuito Judicial
La revisión judicial de las decisiones de la SABG ya no se tramita ante el Tribunal Federal de Justicia Administrativa. En cambio, las impugnaciones se tramitan a través de tribunales federales especializados mediante el sistema de amparo.
Desde el 1 de julio de 2025, todo el litigio pendiente y nuevo en materia de protección de datos y transparencia se tramita ante el recién creado Trigésimo Circuito Judicial, con sede en Aguascalientes. Este circuito conoce de recursos constitucionales, no solo de apelaciones administrativas, lo que modifica la teoría jurídica y el marco procesal para impugnar las decisiones de aplicación de la ley.
Actividad Temprana de Aplicación
La aplicación de la ley no se detuvo durante la transición institucional. A comienzos de 2026, tras varios incidentes cibernéticos de alto perfil que afectaron tanto a organizaciones gubernamentales como privadas, la SABG inició procedimientos formales y los hizo públicos de inmediato. Esto representó un cambio respecto de la práctica anterior del INAI, que permitía etapas de revisión preliminar antes de la divulgación pública.
Al mes de mayo de 2026, no se encontraban públicamente disponibles sanciones formalmente publicadas bajo la nueva LFPDPPP. Los especialistas señalan que el período de transición generó incertidumbre práctica sobre cómo interpretaría la SABG las disposiciones que difieren de la ley de 2010, y que los primeros patrones de aplicación moldearán de manera significativa la estrategia de cumplimiento.
Sanciones
La LFPDPPP de 2025 establece un régimen sancionatorio graduado, denominado en UMA (Unidad de Medida y Actualización), la unidad de referencia económica ajustada por inflación de México. El cambio de las sanciones basadas en el salario mínimo a las sanciones basadas en la UMA ahora está formalizado en la nueva ley.

Al valor diario de la UMA de 2026 de MXN 117,31 (aproximadamente USD 5,87 a los tipos de cambio vigentes), los rangos de sanciones son:
| Tipo de Infracción | Rango en UMA | MXN Aproximado | USD Aproximado |
|---|---|---|---|
| Infracciones estándar (por ejemplo, no proporcionar el aviso de privacidad) | 100 a 160.000 UMA | MXN 11.731 a MXN 18.769.600 | ~USD 587 a ~USD 938.000 |
| Infracciones agravadas (por ejemplo, tratamiento ilícito de datos sensibles, transferencias ilegales) | 200 a 320.000 UMA | MXN 23.462 a MXN 37.539.200 | ~USD 1.173 a ~USD 1.877.000 |
| Infracciones con datos sensibles | Duplicadas respecto del tramo aplicable | Hasta MXN 75.078.400 | Hasta ~USD 3.754.000 |
| Reincidentes | Adicional de hasta 320.000 UMA | Adicional MXN 37.539.200 | Adicional ~USD 1.877.000 |
Sanciones Penales
Las infracciones graves pueden dar lugar a un proceso penal:
- De 3 meses a 3 años de prisión por causar intencionalmente brechas de seguridad que afecten bases de datos personales
- De 6 meses a 5 años de prisión por el tratamiento fraudulento de datos personales con la intención de obtener un beneficio económico
- Sanciones agravadas cuando el delito involucre datos personales sensibles
Las sanciones penales operan de manera independiente de las multas administrativas. La SABG puede imponer multas mientras un caso penal avanza en un tribunal penal federal distinto.
Sanciones No Económicas
La SABG puede ordenar la suspensión temporal o permanente de las actividades de tratamiento de datos. Para las empresas cuyas operaciones principales implican el tratamiento de datos personales, una suspensión del tratamiento puede tener consecuencias más graves que cualquier sanción económica.
Transferencias Internacionales de Datos
Las transferencias internacionales de datos bajo la LFPDPPP de 2025 siguen un modelo centrado en el consentimiento, con varias excepciones.
La Regla General
Las transferencias transfronterizas requieren el consentimiento previo e informado del titular. El aviso de privacidad debe divulgar que se realizarán transferencias internacionales, identificar los países de destino y las organizaciones receptoras, y describir los estándares de protección vigentes.
La ley de 2025 exige que el receptor de los datos se comprometa a cumplir con obligaciones equivalentes a las aplicables al responsable que transfiere, lo que refleja un enfoque de responsabilidad proactiva para la protección de las transferencias. Los acuerdos contractuales son el mecanismo principal para implementar estas garantías.
Excepciones al Consentimiento
No se requiere consentimiento cuando la transferencia:
- Esté expresamente permitida por la ley
- Sea exigida en virtud de un tratado del cual México sea parte
- Sea necesaria para el diagnóstico médico, el tratamiento o la atención de urgencia, cuando el titular no pueda otorgar su consentimiento
- Sea necesaria para cumplir una relación jurídica entre el responsable y el titular
- Esté autorizada por legislación específica en el interés público
- Involucre datos provenientes de fuentes de acceso público
- Involucre datos disociados (anonimizados)
Brecha Significativa: Sin Marco de Adecuación
A diferencia del GDPR, la LFPDPPP no establece un mecanismo de determinación de adecuación, cláusulas contractuales tipo como instrumento legal formal, ni normas corporativas vinculantes. Esto deja a las organizaciones multinacionales sin una vía estructurada para demostrar una protección adecuada en el país receptor.
Se esperaba que el reglamento de implementación abordara esta brecha. El plazo de 90 días venció alrededor del 20 de junio de 2025 sin que se publicara. Al mes de mayo de 2026, no había aparecido en el Diario Oficial ningún reglamento de implementación ni lineamiento técnico para las transferencias transfronterizas.
Toma de Decisiones Automatizada y Gobernanza de la IA
La LFPDPPP de 2025 introduce disposiciones que abordan la toma de decisiones automatizada y la inteligencia artificial, posicionando a México como uno de los primeros países de América Latina en abordar directamente las obligaciones de privacidad relacionadas con la IA en su ley de protección de datos.
Requisitos de Transparencia
Las organizaciones que utilicen algoritmos, sistemas de IA u otros procesos automatizados para tomar decisiones que afecten a las personas deben:
- Brindar un aviso claro de que se está utilizando la toma de decisiones automatizada
- Divulgar información sobre la lógica algorítmica involucrada
- Explicar la relevancia del tratamiento automatizado y sus posibles consecuencias para el titular
- Mantener documentación y marcos de explicabilidad que demuestren cómo los sistemas de IA influyen en los resultados
Derecho a Oponerse a las Decisiones Automatizadas
Los titulares pueden ejercer su derecho de oposición específicamente contra el tratamiento automatizado que, sin intervención humana, cause efectos significativos sobre sus intereses, derechos o libertades. Esto abarca la calificación basada en IA, la elaboración de perfiles, y los sistemas de decisión de consecuencias significativas.
Cuando la toma de decisiones automatizada afecte significativamente al titular, el marco contempla la revisión humana, la explicación de la lógica de la decisión, y la posibilidad de impugnar el resultado.
Evaluaciones de Impacto para el Tratamiento de Alto Riesgo
La ley hace referencia a evaluaciones de impacto para los sistemas automatizados de alto riesgo. Las organizaciones que implementen sistemas de IA que traten datos personales sensibles o que tomen decisiones de consecuencias significativas deben evaluar los posibles efectos sobre los derechos individuales e identificar garantías.
Estas disposiciones son menos detalladas que la Ley de IA de la UE, y se espera que el reglamento de implementación complete los requisitos operativos. El diálogo con actores interesados de la SABG de enero de 2026 señaló específicamente las evaluaciones de impacto en la protección de datos (EIPD) como un área prioritaria para los próximos lineamientos regulatorios.
Marco del Sector Público: La Nueva LGPDPPSO
El sector público opera bajo un marco separado, pero paralelo. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) también fue reemplazada por una nueva versión el 20 de marzo de 2025, con vigencia a partir del 21 de marzo de 2025.
La LGPDPPSO se aplica a todos los poderes y niveles de gobierno, incluidos:
- Las dependencias y secretarías del Poder Ejecutivo federal
- Los órganos legislativos y judiciales en todos los niveles
- Los organismos constitucionales autónomos que sobrevivieron a la reforma
- Los partidos políticos
- Los fideicomisos públicos y fondos creados por el gobierno
La SABG supervisa el cumplimiento tanto de la LFPDPPP del sector privado como de la LGPDPPSO del sector público. Las personas cuyos datos obran en poder de entidades gubernamentales pueden ejercer los derechos ARCO frente a los organismos públicos a través del mismo marco básico, con variaciones procesales que reflejan el contexto de transparencia.
Conservación de Datos y el Ciclo de Vida de los Datos
La LFPDPPP de 2025 formaliza los requisitos de gestión del ciclo de vida de los datos. Los responsables deben establecer plazos de conservación claros para todas las categorías de datos personales que tratan, documentados en el aviso de privacidad.
Una vez que los datos dejan de ser necesarios para las finalidades declaradas, los responsables deben iniciar un proceso de dos etapas:
Etapa 1: Bloqueo. Los datos se retiran de los sistemas de tratamiento activo, pero se conservan en un almacenamiento restringido al que no puede accederse para operaciones rutinarias. Durante el período de bloqueo, los datos existen únicamente para el cumplimiento legal o para procedimientos judiciales.
Etapa 2: Eliminación. Una vez vencido el período de bloqueo, los datos deben destruirse de manera definitiva, de forma que se impida su reconstrucción.
Para los datos crediticios que reflejen el incumplimiento contractual, el período mínimo obligatorio de bloqueo antes de la eliminación es de 72 meses. Las organizaciones deben implementar prácticas documentadas de ciclo de vida de los datos.
Requisitos de Cumplimiento para las Empresas
Las organizaciones sujetas a la LFPDPPP deben implementar varias medidas estructurales de cumplimiento.
La Función de Protección de Datos
La ley exige a las organizaciones establecer una función de protección de datos. La guía práctica de Chambers de 2026 confirma que debe identificarse en el aviso de privacidad a una persona o área responsable, con su información de contacto. Las consultas con actores interesados de la SABG de enero de 2026 analizaron la adopción de un requisito formal de DPO como una posible mejora en la legislación secundaria por venir, o en una posible revisión legislativa de 2026.
Requisitos de Documentación
Los responsables deben mantener:
- Avisos de privacidad vigentes en los tres formatos, según corresponda
- Registros de las actividades de tratamiento por finalidad y categoría de datos
- Documentación de los mecanismos de consentimiento y los procedimientos de revocación
- Calendarios de conservación de datos con plazos definidos de bloqueo y eliminación
- Procedimientos de respuesta a incidentes de seguridad
- Registros de las transferencias internacionales de datos y las garantías contractuales
- Evidencia de la capacitación del personal sobre las obligaciones de la LFPDPPP
Medidas de Seguridad
La ley exige medidas de seguridad administrativas, técnicas y físicas adecuadas al nivel de riesgo de los datos tratados. Los estándares técnicos específicos aguardan el reglamento de implementación. Las obligaciones mínimas incluyen evaluaciones de riesgo para las principales actividades de tratamiento, controles de acceso, bitácoras de auditoría, capacidades de detección y respuesta ante brechas, y capacitación del personal.
Respuesta ante Brechas
Cuando un incidente de seguridad comprometa datos personales de manera que afecte significativamente los derechos patrimoniales o morales, los responsables deben notificar a los titulares afectados sin dilaciones indebidas. La notificación debe incluir la naturaleza de la brecha, los datos personales involucrados, las medidas de protección recomendadas para los titulares, y las medidas correctivas que el responsable ha implementado.
No existe una obligación de notificación a la SABG conforme a la ley de 2025. El reporte a la SABG es actualmente voluntario. El diálogo con actores interesados de la SABG de enero de 2026 identificó el reporte obligatorio a la autoridad como una prioridad para el próximo ciclo regulatorio.
Reglas para Categorías Especiales
Monitoreo de empleados: el monitoreo de las actividades de teletrabajo requiere un acuerdo escrito con una cláusula de consentimiento. No existe una exención general por la sola relación laboral.
Datos de menores: el tratamiento de datos personales de personas menores de 18 años requiere el consentimiento del tutor.
Mercadotecnia: la Ley Federal de Protección al Consumidor aplica un marco separado para las actividades de mercadotecnia directa, con una ventana de cumplimiento de 30 días para las obligaciones del registro de exclusión del consumidor.
Estado Actual y Perspectivas (Mayo de 2026)
Al mes de mayo de 2026, el nuevo marco está operativo, pero varios elementos significativos siguen sin resolverse.
Reglamento de implementación: el plazo de 90 días venció alrededor del 20 de junio de 2025. No se ha publicado un nuevo reglamento. Las organizaciones continúan basándose en el reglamento de 2011, emitido originalmente bajo la ley derogada de 2010, como guía procedimental, a la espera de reglas actualizadas.
Posible revisión de la ley en 2026: el diálogo con actores interesados de la SABG de enero de 2026 señaló que México podría avanzar hacia nueva legislación. Entre las prioridades anunciadas se incluyen las obligaciones de privacidad desde el diseño y por defecto, un requisito formal de DPO, la notificación obligatoria de brechas a la SABG, y las EIPD. Se anticipa una posible nueva revisión de la LFPDPPP o un nuevo reglamento integral en 2026, aunque no se ha confirmado un cronograma oficial.
Precedentes de aplicación: al mes de mayo de 2026, no se encuentran públicamente disponibles decisiones sancionatorias formalmente publicadas bajo la ley de 2025. Los primeros procedimientos de la SABG, tras los incidentes cibernéticos de enero de 2026, establecieron que la autoridad actuará con rapidez y de manera pública, apartándose de la práctica anterior del INAI.
Interpretación judicial: el Trigésimo Circuito Judicial se encuentra operativo desde el 1 de julio de 2025, pero al mes de mayo de 2026 no ha producido precedentes públicamente reportados sobre la nueva ley. La jurisprudencia de amparo en materia de protección de datos se desarrollará de manera gradual.
Para las empresas que operan en México, el camino práctico consiste en cumplir con la ley de 2025 tal como está redactada, monitorear el Diario Oficial en busca del reglamento de implementación y de cualquier novedad legislativa, participar en los procesos de consulta de la SABG cuando corresponda, y mantener documentación que demuestre un cumplimiento proactivo. Para conocer las leyes de grabación en México, se aplican reglas separadas de consentimiento e intervención de comunicaciones conforme al Código Penal Federal. Consulte a un abogado para obtener asesoramiento específico sobre su situación.
Preguntas frecuentes
¿Qué es la LFPDPPP y se aplica a mi empresa?
La LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) es la ley federal de protección de datos de México para el sector privado. Una versión completamente nueva entró en vigor el 21 de marzo de 2025, reemplazando a la norma original de 2010. Se aplica a toda persona física o moral privada que recopile, use, almacene o de cualquier otro modo trate datos personales. La versión de 2025 extiende expresamente su cobertura a los encargados del tratamiento, y no solo a los responsables. Si su organización maneja datos de personas en México, sin importar dónde estén ubicados sus servidores, debería evaluar si la ley se aplica.
¿Qué ocurrió con el INAI y quién aplica ahora las leyes de privacidad de datos de México?
El INAI, la anteriormente independiente autoridad de protección de datos de México, fue disuelto tras una reforma constitucional publicada el 20 de diciembre de 2024, como parte de una medida de simplificación orgánica que eliminó siete organismos autónomos. Sus funciones de aplicación se trasladaron a la Secretaría Anticorrupción y Buen Gobierno (SABG), una dependencia del Poder Ejecutivo con rango de gabinete, a partir del 21 de marzo de 2025. La SABG ahora tramita las quejas sobre los derechos ARCO, realiza auditorías, emite resoluciones vinculantes, e impone sanciones. Los críticos han expresado preocupación por la pérdida de independencia institucional, dado que la SABG reporta al Presidente en lugar de operar como un organismo autónomo.
¿Qué son los derechos ARCO conforme a la ley mexicana?
ARCO significa Acceso, Rectificación, Cancelación y Oposición. Estos derechos permiten a las personas: confirmar si sus datos personales están siendo tratados y acceder a ellos; corregir información inexacta o incompleta; solicitar la eliminación de sus datos una vez que ya no sean necesarios; y oponerse al tratamiento para finalidades específicas. La ley de 2025 extendió el derecho de oposición para abarcar los sistemas de toma de decisiones automatizada que produzcan efectos significativos sin revisión humana. Las solicitudes se dirigen directamente al responsable del tratamiento, quien cuenta con 20 días hábiles para responder. Si el responsable deniega o ignora la solicitud, las personas pueden presentar una queja ante la SABG o buscar la revisión judicial a través del Trigésimo Circuito Judicial mediante amparo.
¿Cuáles son las multas máximas según la ley de protección de datos de México de 2025?
Las multas administrativas se expresan en UMA (Unidad de Medida y Actualización), la unidad de referencia anual ajustada por inflación de México. Al valor diario de la UMA de 2026 de MXN 117,31, la multa máxima estándar para las infracciones agravadas alcanza aproximadamente MXN 37,5 millones (alrededor de USD 1,9 millones). En las infracciones que involucren datos personales sensibles, las multas pueden duplicarse, alcanzando aproximadamente MXN 75 millones (alrededor de USD 3,75 millones). Los reincidentes enfrentan sanciones adicionales de hasta el mismo monto máximo. Las sanciones penales incluyen prisión de 3 meses a 3 años por brechas de seguridad intencionales, o de 6 meses a 5 años por el tratamiento fraudulento con intención de obtener un beneficio económico. La SABG también puede ordenar la suspensión de las actividades de tratamiento de datos.
¿La ley de protección de datos de México aborda la IA y la toma de decisiones automatizada?
Sí. La LFPDPPP de 2025 introduce disposiciones que abordan específicamente la toma de decisiones automatizada y los sistemas de IA. Las organizaciones que utilicen algoritmos o IA para tomar decisiones que afecten a las personas deben notificar a los titulares, divulgar información sobre la lógica algorítmica, y permitir que las personas se opongan a las decisiones automatizadas que afecten significativamente sus derechos sin revisión humana. Los sistemas automatizados de alto riesgo requieren evaluaciones de impacto. Estas disposiciones convierten a México en uno de los primeros países de América Latina en abordar la gobernanza de la IA directamente en su legislación de protección de datos, aunque al mes de mayo de 2026 no se había publicado el reglamento de implementación con el detalle operativo.
¿Cómo funcionan las transferencias transfronterizas de datos según la LFPDPPP de México?
Las transferencias transfronterizas generalmente requieren el consentimiento previo e informado del titular, con el aviso de privacidad divulgando los países de destino y las organizaciones receptoras. Existen excepciones para las transferencias legalmente permitidas, las obligaciones derivadas de tratados, las emergencias médicas, y los datos de acceso público. El receptor debe comprometerse a obligaciones equivalentes de protección de datos. A diferencia del GDPR, la LFPDPPP no establece decisiones de adecuación formales ni cláusulas contractuales tipo como instrumentos legales. El reglamento de implementación que se esperaba aclarara los mecanismos de transferencia no se había publicado al mes de mayo de 2026, dejando al consentimiento y a los compromisos contractuales como las principales herramientas prácticas.
¿Se exige la notificación obligatoria de brechas a la SABG?
Actualmente no. La LFPDPPP de 2025 exige a los responsables notificar a los titulares afectados cuando una brecha de seguridad afecte significativamente sus derechos patrimoniales o morales, pero no existe una obligación de reporte obligatorio a la propia SABG. La notificación a los titulares debe cubrir la naturaleza de la brecha, qué datos se vieron afectados, recomendaciones de protección, y las medidas correctivas adoptadas. Las consultas con actores interesados de la SABG de enero de 2026 identificaron el reporte obligatorio de brechas a la autoridad como una prioridad para el próximo ciclo regulatorio, por lo que este requisito podría aparecer en el reglamento de implementación o en legislación futura.
¿Cuál es el fundamento constitucional de la protección de datos en México?
El derecho a la protección de datos personales está garantizado por dos artículos de la Constitución Política de México. El artículo 6 establece que la información relativa a la vida privada y los datos personales será protegida en los términos que fijen las leyes. El artículo 16 reconoce expresamente el derecho de toda persona a la protección de sus datos personales, y sus derechos de acceso, rectificación y cancelación de esos datos, y a oponerse a su divulgación. Estos derechos constitucionales fijan el piso de protección que la legislación debe cumplir.
Fuentes y referencias
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP 2025): Diputados.gob.mx(diputados.gob.mx).gov
- Diario Oficial de la Federación (DOF): dof.gob.mx(dof.gob.mx).gov
- Biblioteca del Congreso de EE. UU., Global Legal Monitor: México sanciona nuevas leyes de transparencia y protección de datos(loc.gov).gov
- Chambers and Partners: Protección de Datos y Privacidad 2026, México(practiceguides.chambers.com)
- ICLG: Leyes y Reglamentos de Protección de Datos 2025-2026, México(iclg.com)
- IAPP: se establece una nueva autoridad para la protección de datos personales en México(iapp.org)
- Baker McKenzie: México de 2010 a 2025, evolución de la nueva LFPDPPP(connectontech.bakermckenzie.com)
- Hunton Andrews Kurth: México reformula su ley federal de protección de datos(hunton.com)
- BASHAM: nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el Diario Oficial de la Federación(basham.com.mx)
- Global Law Experts: la extinción del INAI, implicancias legales y administrativas para la protección de datos y la transparencia en México(globallawexperts.com)
- Pandectes: México implementa un nuevo marco de protección de datos(pandectes.io)
- Truyo: LFPDPPP 2025, las nuevas reglas de México para la privacidad y la gobernanza de la IA(truyo.com)