INAI desaparece: qué pasa AHORA con la protección de datos en México (y qué tienes que hacer)
  • ALCA
  • 16 de abril, 2025
  • Regulación y Compliance

INAI desaparece: qué pasa AHORA con la protección de datos en México (y qué tienes que hacer)

La extinción del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ya es derecho positivo en México. La reforma constitucional se publicó en diciembre de 2024 y la ley reglamentaria que define cómo se transfieren sus facultades fue aprobada en marzo de 2025. Para muchos responsables de compliance y áreas legales en empresas mexicanas, la pregunta hoy no es política: es operativa. ¿Qué obligaciones siguen vigentes? ¿Quién las hace cumplir ahora? ¿Qué cambio práctico tengo que hacer en mis procesos?

En ALCA hemos acompañado en las últimas semanas a varias empresas medianas en este tránsito. Este artículo resume lo que sí cambia, lo que no cambia y los pasos concretos que recomendamos ejecutar antes del cierre del primer semestre.

Cronología corta del cambio

  • Diciembre 2024. Reforma constitucional aprobada: se eliminan siete órganos autónomos, entre ellos el INAI.
  • Marzo 2025. Ley reglamentaria publicada. Se transfieren funciones a distintos órganos del Ejecutivo federal.
  • Abril 2025. Inicia el proceso de transición operativa. El INAI continúa operando con funciones limitadas hasta consolidación.
  • Segundo semestre 2025. Se espera el reglamento operativo y la designación formal de nuevos responsables.

A dónde se van las funciones

La ley reparte facultades. Para protección de datos personales en posesión de particulares (la materia que aplica a empresas), las funciones de regulación y sanción se transfieren a la Secretaría Anticorrupción y Buen Gobierno (SABG). Para acceso a la información gubernamental, hay otros órganos involucrados que no impactan directamente al sector privado.

Lo que esto significa: la autoridad que antes era el INAI ahora es una secretaría dependiente del Ejecutivo, lo que cambia la dinámica de inspecciones, sanciones y resolución de quejas.

Qué obligaciones siguen vigentes (todas)

Este es el mensaje más importante: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) sigue vigente en su totalidad. La reforma no derogó la ley, solo cambió a quién corresponde aplicarla. Eso significa que tu empresa sigue obligada a:

  • Mantener un aviso de privacidad vigente, accesible y completo.
  • Implementar los principios de la LFPDPPP: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
  • Designar un responsable de datos personales dentro de la organización.
  • Mantener medidas de seguridad administrativas, físicas y técnicas documentadas.
  • Atender derechos ARCO (acceso, rectificación, cancelación, oposición) en los plazos establecidos.
  • Cumplir con reglas de transferencia nacionales e internacionales de datos personales.
  • Conservar la documentación de cumplimiento disponible para auditoría.

Si en los últimos años bajaste la guardia con la idea de que el INAI ya no iba a sancionar, la realidad es que las sanciones siguen previstas en la ley y ahora habrá una autoridad nueva con incentivos políticos para mostrar resultados rápidos.

Riesgos que estamos viendo

El periodo de transición trae incertidumbre y oportunidades de error. Los riesgos prácticos:

  • Vacío temporal en quejas y procedimientos. Si recibes una solicitud ARCO o un titular interpone queja, no está 100% claro hoy qué autoridad la resuelve y en qué plazo. Documenta absolutamente todo.
  • Reinterpretación de criterios. El INAI había construido más de una década de criterios y resoluciones. Una nueva autoridad puede reinterpretar zonas grises (transferencias internacionales, tratamiento de datos sensibles, biometría).
  • Sanciones más altas para mostrar trabajo. Es típico que una autoridad nueva busque establecer presencia con sanciones ejemplares en los primeros meses.
  • Confusión con clientes y proveedores internacionales. Empresas extranjeras (sobre todo europeas, sujetas a GDPR) están preguntando cómo se protegen los datos que envían a México. Tener documentación clara es ahora una ventaja competitiva.

Pasos prácticos para los próximos 60 días

Recomendamos a nuestros clientes ejecutar este checklist antes del cierre del segundo trimestre.

1. Actualizar el aviso de privacidad

Revisa que el aviso de privacidad refleje autoridad genérica ("la autoridad competente en materia de protección de datos personales") en lugar de mencionar al INAI por nombre. Mantenerlo en cada punto de contacto: web, formularios, contratos, recibos.

2. Inventario y mapeo de datos

Si no tienes un mapa actualizado de qué datos personales recolectas, dónde viven, quién los procesa y a quién los transfieres, este es el momento. Sin inventario no hay cumplimiento defendible. Recomendamos formato simple: una tabla con sistema, tipo de dato, finalidad, base legal, ubicación, retención y destinatarios.

3. Revisar transferencias internacionales

Las transferencias a Estados Unidos, India o cualquier otro país son zona gris en el nuevo régimen. Revisa contratos con tus procesadores (cloud, CRM, payroll, mailing) y asegúrate de tener cláusulas de transferencia y garantías equivalentes documentadas.

4. Política de retención y borrado

Una de las principales fuentes de sanción es conservar datos más tiempo del necesario. Define plazos por categoría de dato y mecanismos de borrado verificables. Si no sabes por qué guardas algo, bórralo.

5. Capacitación al personal

La autoridad puede exigir evidencia de que el personal que trata datos personales fue capacitado. Una sesión documentada al año, con lista de asistencia y materiales, es un mínimo razonable.

6. Procedimiento de respuesta a derechos ARCO

Define internamente quién recibe la solicitud, en qué plazo se valida la identidad del titular, quién prepara la respuesta y cómo se entrega. 20 días hábiles para responder, 15 para ejecutar, ese plazo no cambió.

7. Plan de respuesta a incidentes

Si ocurre una vulneración (filtración, acceso no autorizado, pérdida), el aviso al titular y a la autoridad sigue siendo obligatorio. Ten el procedimiento por escrito y a la mano.

Qué viene en el segundo semestre

Esperamos:

  • Reglamento operativo de la SABG en materia de datos personales.
  • Designación de titular del área específica de protección de datos dentro de la SABG.
  • Nuevos lineamientos sobre transferencias internacionales (probablemente más estrictos para alinearse con expectativas internacionales).
  • Posibles modificaciones a la LFPDPPP en el Congreso, en línea con tendencias modernas (GDPR, LGPD de Brasil).

Las empresas que tomen este periodo de transición como oportunidad para profesionalizar su programa de protección de datos llegarán al nuevo régimen con ventaja. Las que esperen a ver qué pasa probablemente serán de los primeros casos públicos de la nueva autoridad.

Recomendación final

La extinción del INAI no relaja obligaciones; las traslada a una autoridad nueva con incentivos políticos visibles. La prudencia sugiere actuar ahora, no en septiembre. Un assessment de cumplimiento LFPDPPP bien hecho toma una semana y te da claridad para los próximos 12 meses.

En ALCA acompañamos a empresas mexicanas en su programa de protección de datos. Solicita un assessment de compliance LFPDPPP en 5 días hábiles. Conversemos 30 minutos sin costo.

Artículos relacionados

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

4 de marzo, 2026 La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.