La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026
  • ALCA
  • 4 de marzo, 2026
  • Regulación y Compliance

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

Llevamos casi un año operando bajo la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares. La promesa, cuando se aprobó la reforma que extinguió al INAI, era que la transición iba a ser ordenada y que el nuevo regulador, la Secretaría Anticorrupción y Buen Gobierno, asumiría las funciones sin pausas. La realidad de este Q1 2026 es más matizada: el regulador ya está resolviendo quejas, ya hay sanciones aplicadas y la interpretación de varios artículos sigue afinándose mes a mes.

En ALCA hemos acompañado a varias empresas medianas en su ajuste a la nueva ley desde finales de 2025. Esta es la fotografía operativa, no jurídica, de cómo está funcionando hoy y qué cambios ya tienen impacto medible en la operación.

El nuevo regulador: cómo está estructurado

La Secretaría Anticorrupción y Buen Gobierno absorbió las funciones que tenía el INAI en materia de protección de datos personales. En la práctica, esto se tradujo en una nueva Unidad de Protección de Datos dentro de la Secretaría, con un titular reportando directamente y con presupuesto propio asignado en el ejercicio fiscal 2026.

La diferencia operativa más importante respecto al INAI:

  • No es un órgano autónomo. Las decisiones se toman dentro de la estructura del Ejecutivo. Esto cambia la dinámica de impugnación: lo que antes terminaba con el pleno del INAI, hoy puede escalar al amparo más rápido.
  • Mesa de quejas en línea. El portal de denuncias ciudadanas se modernizó. En el primer trimestre del año recibió un volumen mayor que el INAI promediaba en el mismo periodo, en buena parte por mejor difusión.
  • Coordinación con otras unidades de la Secretaría. Una queja de datos personales puede activar revisión de prácticas anticorrupción si el caso lo amerita. Esto no era posible antes y eleva el riesgo reputacional.

Los cambios sustantivos que ya están aplicando

Cuatro cambios concretos que afectan la operación de cualquier empresa que trate datos personales en México:

1. Consentimiento más estricto

El consentimiento implícito quedó muy acotado. Para finalidades secundarias (marketing, perfilamiento, transferencias a terceros con fines comerciales) se requiere consentimiento expreso, en muchos casos por escrito o por mecanismo equivalente verificable. Las cláusulas genéricas de "acepto los términos" ya no bastan.

Esto golpea fuerte a empresas que armaron sus flujos de captación de leads asumiendo el régimen anterior. Hemos visto formularios que llevaban dos años en producción y que hoy son inválidos para fines de marketing automatizado.

2. Derecho de oposición limitado

La nueva ley restringe el ámbito en el que el titular puede oponerse al tratamiento. La oposición ya no es un comodín general: aplica solo bajo causales específicas (legítimo interés del titular, decisiones automatizadas, fines mercadotécnicos). Para las empresas, esto reduce algo de fricción operativa, pero a cambio sube el listón en cómo se documenta el sustento del tratamiento.

3. Confidencialidad reforzada para encargados

El artículo de confidencialidad para encargados (proveedores que tratan datos a nombre del responsable) se endureció. La obligación se extiende al personal del encargado y subsiste después de terminada la relación. Los contratos que firmamos hace tres años con proveedores de nube, BPO o desarrollo a medida deben revisarse: la cláusula estándar ya no es suficiente.

4. Transferencias internacionales

Las transferencias internacionales tienen requisitos adicionales de notificación cuando el destino no cuenta con un nivel de protección equivalente reconocido. Para empresas que usan SaaS estadounidense (Salesforce, HubSpot, Workday) esto implica revisar las cláusulas modelo y, en algunos casos, sumar adendas específicas.

Qué está pasando con quejas y multas

Las primeras resoluciones del Q1 2026 mostraron tres patrones que vale la pena anticipar:

  • El nuevo regulador prioriza casos con alto volumen de afectados. Filtraciones, brechas de seguridad o tratamientos masivos sin consentimiento son los que más rápido escalan.
  • Las multas se calculan con la nueva tabla, que actualizó los rangos. El piso subió en términos reales y, sobre todo, hay más facilidad para acumular sanciones por concurrencia de infracciones.
  • El aviso de privacidad sigue siendo el primer punto de revisión. Las quejas que llegan a procedimiento casi siempre arrancan con un aviso desactualizado o ambiguo. Si tienes uno solo, escrito antes de mediados de 2025, está prácticamente asegurado que ya no cumple.

Plan de ajuste de 90 días para empresa mediana

Para una empresa mediana mexicana que aún no termina de adaptarse, este es el orden que recomendamos en ALCA. Cabe en 90 días si hay sponsorship ejecutivo y un responsable claro.

Días 1 a 15. Levantamiento. Inventario de tratamientos: qué datos personales captamos, dónde viven, quién los trata, con qué finalidades, a qué terceros transferimos. Esta es la base. Sin ella, todo lo demás es teoría.

Días 16 a 35. Aviso de privacidad y mecanismos de consentimiento. Reescribir el aviso integral y los avisos cortos por punto de captación. Rediseñar formularios, checkboxes y flujos donde se obtiene el consentimiento. Validar que el consentimiento expreso quede registrado de forma verificable (timestamp, IP, versión del aviso aceptado).

Días 36 a 60. Contratos con encargados. Revisar contratos vigentes con proveedores que tratan datos personales por cuenta de la empresa. Renegociar las cláusulas de confidencialidad, subcontratación, ubicación geográfica del tratamiento y devolución o destrucción al término de la relación. En muchos casos basta una adenda; en otros hay que renegociar de fondo.

Días 61 a 75. Procedimientos ARCO y atención a titulares. Verificar que el flujo para atender derechos ARCO (acceso, rectificación, cancelación, oposición) funcione dentro de los plazos legales. Hacer un simulacro: pedir un ejercicio interno y medir cuánto se tarda la organización.

Días 76 a 90. Capacitación y respuesta a incidentes. Capacitar al personal con acceso a datos. Definir el protocolo de respuesta a incidentes de seguridad: cómo se detecta, quién se notifica, qué se reporta al regulador y a los titulares, en qué plazos.

Lo que viene en el Q2

El regulador ya anunció que durante el segundo trimestre publicará lineamientos específicos sobre tratamientos automatizados, decisiones algorítmicas y uso de datos personales para entrenar modelos de IA. Para empresas que están integrando IA generativa en sus operaciones, esto es directamente relevante: si los datos de clientes alimentan un modelo, estamos ante un tratamiento que probablemente requiere consentimiento expreso y avisos específicos.

La recomendación práctica: no esperar a que se publiquen los lineamientos para empezar a documentar internamente qué datos se usan, cómo y con qué finalidad en proyectos de IA. Cuando los lineamientos lleguen, las empresas que ya tengan ese mapa solo tendrán que ajustar; las que no, empezarán desde cero con presión regulatoria encima.

En ALCA acompañamos a empresas mexicanas con este tipo de decisiones. Solicita un assessment de la nueva LFPDPPP en 5 días hábiles. Agenda 30 minutos sin costo.

Artículos relacionados

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

Reforma a la Ley Federal de Protección de Datos: lo que cambia y lo que tu empresa tiene que ajustar

3 de septiembre, 2025 Reforma a la Ley Federal de Protección de Datos: lo que cambia y lo que tu empresa tiene que ajustar