INAI camino a extinción: lo que ya se sabe y cómo prepararte para 2025
  • ALCA
  • 18 de diciembre, 2024
  • Regulación y Compliance

INAI camino a extinción: lo que ya se sabe y cómo prepararte para 2025

La iniciativa de reforma constitucional para extinguir 7 órganos autónomos, incluyendo al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), avanzó durante noviembre y diciembre. Tras aprobación en la Cámara de Diputados, el dictamen pasó al Senado y se discute en el contexto de un paquete reformista más amplio que el sexenio impulsa desde octubre.

Para empresas mexicanas que operan con datos personales (que es prácticamente cualquier empresa formal con clientes), la pregunta operativa no es si se extingue el INAI, sino qué cambia en su compliance y qué pasa mientras se aterriza la transferencia. En ALCA hemos estado siguiendo el tema desde octubre y este es el estado al cierre de 2024.

Qué dice la iniciativa hoy

La iniciativa establece la desaparición de:

  • INAI (transparencia y datos personales).
  • Cofece (competencia económica).
  • IFT (telecomunicaciones).
  • CRE (regulación energética).
  • CNH (hidrocarburos).
  • Coneval (evaluación política social).
  • MejoreEdu (mejora educativa).

Las funciones se transfieren a secretarías de Estado:

  • Datos personales y transparencia → Secretaría Anticorrupción y Buen Gobierno (Raquel Buenrostro).
  • Competencia económica → Secretaría de Economía.
  • Telecomunicaciones → Agencia de Transformación Digital y Telecomunicaciones (José Antonio Peña Merino).
  • Otras carteras a secretarías sectoriales.

El argumento gubernamental es ahorro fiscal y reducción de duplicidades. La crítica desde la sociedad civil y organismos empresariales se centra en pérdida de autonomía técnica e independencia regulatoria.

Independientemente del juicio político, operativamente importa el cómo y el cuándo.

Lo que NO cambia: la LFPDPPP sigue vigente

Punto crítico que muchos confunden: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) sigue vigente. La reforma toca al regulador, no a la ley sustantiva. Eso significa que las obligaciones de las empresas siguen siendo las mismas:

  • Aviso de privacidad accesible y completo.
  • Bases legales de tratamiento.
  • Atender derechos ARCO (acceso, rectificación, cancelación, oposición) en plazos.
  • Mantener medidas de seguridad físicas, técnicas y administrativas.
  • Notificar vulneraciones de seguridad.
  • Documentar transferencias nacionales e internacionales.

Si estaban en regla con INAI, siguen estando en regla con quien tome el rol regulador. Si tenían huecos, los huecos siguen ahí.

Lo que SÍ cambia: el regulador y, posiblemente, la operación

Las áreas de incertidumbre operativa que vemos:

1. Quién aplica sanciones, en qué tiempos, con qué criterios

Hasta que la transferencia a la Secretaría Anticorrupción se aterrice con reglamento operativo, hay periodo de transición. Esto probablemente desacelera procesos sancionatorios en curso y abre interrogantes sobre cómo se asume el caso load del INAI. La incertidumbre no exime; solo dilata.

2. Procedimientos ARCO

El INAI venía operando un sistema digital para atender quejas y requerimientos ARCO. La transición a un órgano nuevo implica cambios en interfaz, plazos efectivos y interlocutores. Empresas con volumen alto de solicitudes ARCO deben prepararse para meses de adaptación.

3. Transferencias internacionales y cláusulas modelo

Muchas empresas mexicanas firmaron cláusulas modelo o se ampararon en evaluaciones de INAI sobre adequacy de jurisdicciones. La continuidad de esas determinaciones bajo la nueva autoridad es asunto a verificar caso por caso.

4. Acceso a información pública (transparencia)

Las funciones de transparencia pública también pasan al ejecutivo, lo cual para empresas que dependen de información pública (consultoras, periodistas, due diligence) es un cambio estructural mayor. No es nuestro foco directo aquí, pero conviene mencionarlo.

Plan de ajuste 2025 para empresas medianas

Sin esperar a que aterrice el reglamento operativo (probablemente Q2-Q3 2025), hay decisiones que recomendamos ya:

Mes 1 (enero)

Auditoría de avisos de privacidad. Inventario de todos los puntos donde su empresa recolecta datos personales (web, app, formularios físicos, contratos, RH). Para cada uno, validar que el aviso de privacidad está vigente, completo y accesible. Si están firmados con referencia explícita al INAI, prever actualización para incluir la autoridad nueva.

Inventario de bases de datos personales. Si nunca se hizo formalmente, este es buen momento. Catálogo con: qué datos, para qué finalidad, con qué base legal, dónde se almacenan, quién accede, cuánto tiempo se conservan, a quién se transfieren.

Mes 2-3 (febrero-marzo)

Revisión de transferencias internacionales. Identificar todas las transferencias internacionales de datos (proveedores cloud, herramientas SaaS, casa matriz extranjera). Validar base legal y contratos. Si dependen de determinaciones específicas de INAI, prever escenario de revisión.

Política de retención. Establecer (o revisar) política clara de cuánto tiempo se conserva cada categoría de dato y cómo se elimina. La retención excesiva es de los hallazgos más frecuentes en auditorías y con regulador nuevo conviene quitarse exposición innecesaria.

Plan de respuesta a vulneraciones. Procedimiento documentado para cuando ocurra una brecha: cómo se evalúa, cómo se notifica al titular, cómo se notifica a la autoridad. Plantillas listas. La obligación de notificar no desaparece con la reforma; solo cambia a quién se notifica.

Mes 4-6 (abril-junio)

Capacitación interna. Equipos de RH, ventas, marketing y atención al cliente son los que más manipulan datos personales. Sesión anual de capacitación documentada cubre obligación regulatoria y reduce riesgo operativo.

Cláusulas en contratos con proveedores. Revisar contratos con encargados de tratamiento (cualquier proveedor que procese datos en su nombre). Cláusulas de seguridad, sub-encargados, auditoría, devolución/destrucción de datos al término. Aprovechar renovaciones para fortalecer.

Designación de oficial de protección de datos. Aunque la LFPDPPP no obliga a Data Protection Officer al estilo GDPR, tener una persona designada con responsabilidad clara mejora gobierno y simplifica auditorías. En empresas medianas suele ser un perfil compartido (legal + IT + cumplimiento).

Riesgos a monitorear durante la transición

Tres escenarios que merecen vigilancia activa:

  1. Aceleración de quejas previas a la transición. Algunos titulares y abogados pueden buscar sanciones antes del cambio de autoridad esperando agendamiento. Empresas con casos abiertos deben dar seguimiento puntual.
  2. Vacío temporal. Periodo donde la autoridad nueva aún no opera plenamente y hay confusión sobre dónde acudir. Documentar bien las acciones propias para demostrar buena fe sin importar a quién toque revisar.
  3. Reformas a la LFPDPPP misma. Aún no anunciadas, pero plausibles en el sexenio. Monitorear iniciativas sustantivas, no solo orgánicas.

Lo que recomendamos no hacer

Tres reacciones que vemos y que nos parecen contraproducentes:

  • Bajar la guardia en compliance porque "el INAI ya no va a existir". La obligación sigue. La nueva autoridad puede ser más, igual o menos exigente, pero la ley es la misma y los titulares pueden demandar civilmente.
  • Desmantelar áreas de privacidad. El equipo que conoce sus avisos, sus bases y su flujo es activo, no costo. La transición es momento para consolidarlo, no para reducirlo.
  • Esperar a que "se aclare todo" para actualizar. Si esperan al Q3 2025 para empezar la actualización, llegarán tarde. La actualización ordenada de avisos y políticas conviene hacerla ya, citando "autoridad competente" en lugar de "INAI" donde aplique.

Mirada de mediano plazo

Independientemente del desenlace exacto, la dirección es de mayor concentración del aparato regulatorio en el ejecutivo federal. Para empresas mexicanas, esto cambia la naturaleza de la interlocución regulatoria pero no la obligación de cuidar datos. Las empresas que hayan construido músculo de privacidad propio, no dependiente de orientación específica del regulador, atravesan transiciones como esta sin sobresalto.

En 2025 vamos a ver el aterrizaje real. Mientras tanto, prudencia, documentación y disciplina operativa son los activos que pagan.

Solicita un assessment de compliance LFPDPPP rumbo al nuevo régimen. En ALCA acompañamos a empresas medianas mexicanas con auditoría de avisos de privacidad, inventario de bases, transferencias internacionales y plan de transición. Agenda una conversación.

Artículos relacionados

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

4 de marzo, 2026 La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.