El pasado 20 de febrero de 2025, el Ejecutivo Federal presentó ante el Congreso de la Unión la “Iniciativa con Proyecto de Decreto por el que se expide la Ley General de Transparencia y Acceso a la Información Pública, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman diversas disposiciones de la Ley Orgánica de la Administración Pública Federal”, para reformar el marco normativo en materia de transparencia, acceso a la información pública y protección de datos personales (el “Decreto”). El Decreto contempla la expedición de tres nuevas leyes y la eliminación del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”), con el objetivo de centralizar sus funciones dentro de la administración pública federal.

De acuerdo con la exposición de motivos del Decreto, estas modificaciones buscan generar mayor eficiencia en la gestión de solicitudes de acceso a la información y en la protección de datos personales, al tiempo que se optimizan recursos y se eliminan duplicidades en la estructura gubernamental. Sin embargo, este Decreto implica un cambio estructural significativo que impactará tanto a sujetos obligados en el sector público como a empresas y particulares que recaben o traten datos personales.

I. Transformación del Sistema de Transparencia y Acceso a la Información Pública

El Decreto es muy similar en cuanto a estructura y contenido de la ley anterior. Algunos de los principios fundamentales de máxima publicidad y las excepciones limitadas con prueba de daño para reservar información se conservan. Igualmente se conservan los procedimientos para solicitar información y presentar recursos de revisión. El cambio más relevante es en la estructura institucional. El Decreto establece la desaparición del INAI y la transferencia de sus funciones a la recientemente creada Secretaría de Anticorrupción y Buen Gobierno (“SABG”). Esta nueva dependencia será responsable de garantizar el acceso a la información pública a nivel federal y de supervisar el cumplimiento de la normativa en materia de protección de datos personales. En el ámbito estatal, estas funciones serán asumidas por los órganos de control interno de cada poder público y por las contralorías estatales. Se elimina la figura colegiada de siete comisionados y ahora las decisiones serán tomadas por una sola persona.

Para armonizar el nuevo esquema de transparencia y protección de datos, el Decreto prevé la fusión y simplificación del marco normativo mediante la promulgación de tres nuevas leyes: (i) la Ley General de Transparencia y Acceso a la Información Pública, (ii) la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y, (iii) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPDPPP”). Estas leyes sustituirán la normatividad vigente y establecerán nuevas reglas y procedimientos para garantizar el acceso a la información y la protección de datos personales en México.

El 27 de febrero de 2025, el Senado aprobó en comisiones el dictamen que expide estas nuevas leyes y reforma diversas disposiciones de la Ley Orgánica de la Administración Pública Federal y el 4 de marzo de 2025, en Sesión Ordinaria de la Cámara de Senadores, quedó aprobado en lo general y en lo particular el dictamen antes mencionado (1) . La votación en las Comisiones Unidas de Gobernación y de Estudios Legislativos Primera concluyó con 20 votos a favor y 7 en contra, estos últimos provenientes de legisladores de oposición y la votación en la Sesión Ordinaria de la Cámara de Senadores fue aprobada con 67 votos a favor y 20 en contra. Lo que procede ahora es que esto se turne a la Cámara de Diputados.

Dentro del nuevo esquema institucional, el dictamen contempla la creación de Transparencia para el Pueblo, un órgano desconcentrado de la SABG que asumirá las atribuciones que anteriormente correspondían al INAI en materia de transparencia. De acuerdo con la argumentación del Ejecutivo Federal, este cambio tiene el propósito de operar “bajo esquemas más funcionales y eficaces y alinearse con los principios de racionalidad y austeridad republicana(2) . Adicionalmente, se otorga a la SABG la facultad de regular y administrar la Plataforma Nacional de Transparencia, consolidando así su control sobre los mecanismos de acceso a la información pública en el país.

II. Nueva Regulación en Protección de Datos Personales

Uno de los cambios más trascendentales en el Decreto es la modificación del régimen de protección de datos personales, pues se establece que la SABG asumirá todas las funciones que anteriormente correspondían al INAI. Esto significa que la supervisión, regulación y sanción en materia de tratamiento de datos personales, tanto en el sector público como en el privado, dependerán de esta nueva dependencia.

Este cambio genera incertidumbre sobre la autonomía y capacidad de supervisión de la autoridad encargada de garantizar el cumplimiento de la legislación en materia de protección de datos. La eliminación de un órgano autónomo como el INAI y su reemplazo por una dependencia del Ejecutivo Federal plantea cuestionamientos sobre la imparcialidad en la resolución de controversias y sobre la posibilidad de que las decisiones en la materia sean influenciadas por intereses gubernamentales.

El proyecto de la nueva LFPDPPP contempla modificaciones generales, incluyendo el uso de lenguaje inclusivo y la homologación de reglas, principios, bases, procedimientos y mecanismos para el ejercicio del derecho a la protección de datos personales en posesión de los particulares.

En términos generales, la LFPDPPP permanece prácticamente sin cambios, aunque introduce modificaciones al derecho de oposición, estableciendo criterios más específicos para su ejercicio y restringiendo su aplicabilidad en ciertos casos. Anteriormente, este derecho era amplio y permitía a los titulares de datos oponerse al tratamiento por cualquier razón legítima; sin embargo, la nueva disposición exige demostrar una situación específica en la que la continuación del tratamiento pueda causar un daño, incluso si este es legal. Además, regula explícitamente la toma de decisiones automatizada, otorgando a los individuos el derecho a oponerse cuando dicho procesamiento los afecte significativamente en aspectos como su situación económica, salud o comportamiento personal. También se incorpora una nueva excepción, estableciendo que el derecho de oposición no aplicará cuando el tratamiento de datos sea legalmente obligatorio para que el responsable cumpla con una obligación.

Otro de los cambios relevantes es la reducción del papel de las autoridades reguladoras en materia de protección de datos, sustituyendo sus funciones de supervisión por un enfoque de autorregulación más flexible pero menos estructurado. Conforme a la nueva LFPDPPP, la Secretaría de Economía dejaría de tener un rol explícito en la promoción, supervisión y aplicación del cumplimiento en el sector privado, y se eliminarían los mecanismos de co-regulación entre las autoridades regulatorias y el extinto INAI, transfiriendo estas responsabilidades a autoridades aún no especificadas. Aunque la iniciativa mantiene el concepto de autorregulación vinculante voluntaria, elimina el marco institucional más amplio que anteriormente regía su implementación, lo que genera incertidumbre sobre la efectividad de la nueva regulación y el nivel de protección que garantizará a los titulares de datos personales.

Durante la discusión del dictamen en el Senado, senadores de oposición argumentaron que esta reforma centraliza aún más el poder en el Ejecutivo Federal, al eliminar un organismo autónomo que actuaba como contrapeso. Legisladores del PAN y PRI señalaron que, con esta reforma, “el gobierno será juez y parte(3), lo que podría debilitar los mecanismos de acceso a la información y la rendición de cuentas.

III. Proceso de Transición

De ser aprobado por la Cámara de Diputados, el Decreto establece un plazo de 90 días naturales contados a partir de su entrada en vigor para que el Ejecutivo Federal emita las disposiciones reglamentarias necesarias para la implementación de las nuevas leyes. Durante este periodo, será fundamental que los sujetos obligados y los particulares en posesión de datos personales que recaben o traten datos personales realicen un análisis de impacto y adopten las medidas necesarias para ajustarse a la nueva normatividad.

IV. Consideraciones y Recomendaciones para Empresas y Sujetos Obligados

El Decreto representa un cambio fundamental en el acceso a la información pública y en la supervisión del tratamiento de datos personales en México. Para las empresas y entidades privadas que recaban, procesan o custodian datos personales, será esencial anticiparse a estos cambios y adoptar estrategias que les permitan cumplir con la nueva normatividad de manera eficiente.

En primer lugar, los particulares en posesión de datos personales deben comenzar con una revisión integral de sus políticas y procedimientos internos en materia de protección de datos personales. Dado que la supervisión y sanción de la ley ahora estarán a cargo de la SABG, es fundamental asegurarse de que los procesos de obtención, tratamiento, almacenamiento y transferencia de datos personales cumplan con las nuevas disposiciones.

En segundo lugar, será clave la capacitación del personal en materia de transparencia y protección de datos personales. Las nuevas disposiciones pueden introducir cambios en los procedimientos y obligaciones de los particulares en posesión de datos personales, por lo que contar con equipos de trabajo bien capacitados será determinante para asegurar el cumplimiento normativo y minimizar riesgos.

Finalmente, es recomendable que los particulares en posesión de datos personales mantengan un monitoreo constante de las disposiciones reglamentarias que serán emitidas en los próximos meses. La implementación de este Decreto dependerá en gran medida de la reglamentación secundaria que establezca el Ejecutivo Federal, por lo que las organizaciones deben estar preparadas para adaptarse de manera oportuna a los cambios regulatorios.

Dado el impacto de este Decreto, tanto las entidades gubernamentales como los particulares en posesión de datos personales deben analizar cuidadosamente las implicaciones de esta transformación y tomar las medidas necesarias para garantizar el cumplimiento con las nuevas disposiciones en materia de transparencia y protección de datos personales. En un entorno de creciente escrutinio regulatorio, la anticipación y la adaptación serán claves para minimizar riesgos y asegurar la continuidad operativa dentro del nuevo marco normativo.

En Ritch Mueller, contamos con una amplia experiencia en materia de protección de datos personales, con un equipo de profesionales disponibles para brindar asesoría a nuestros clientes y ayudarlos a enfrentar las implicaciones legales de estos cambios, así como adaptarse a este nuevo panorama regulatorio, garantizando el cumplimiento de sus obligaciones, eliminando potenciales contingencias y asegurando la protección de sus derechos.

En caso de requerir información adicional favor de contactar nuestros expertos en Protección de Datos de Ritch Mueller.

(1) Sistema de Información Legislativa – Sesión de la Cámara de Senadores - Sesión Ordinaria del día Martes 04 de Marzo de 2025 - https://sil.gobernacion.gob.mx/Calendario_Sesiones/MxM.php?CveSesion=4845905&Sesion=2&Fecha=2025-03-04&strTipoSesion1=Sesi%F3n%20Ordinaria 
(2) La Jornada, “Aprueban en comisiones transferencia de funciones del INAI a SABG”, disponible en: https://www.jornada.com.mx/noticia/2025/02/27/politica/aprueban-en-comisiones-transferencia-de-funciones-del-inai-a-sabg

(3) Ídem.