Reforma a la Ley Federal de Protección de Datos: lo que cambia y lo que tu empresa tiene que ajustar
La reforma a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) cierra el ciclo de cambios que arrancó con la extinción del INAI. No es un ajuste menor: cambia quién regula, cómo se sancionan las infracciones, qué obligaciones suben en transferencias internacionales y qué empresas tienen que designar oficial de privacidad. Para los equipos de compliance, legal y tecnología, hay trabajo concreto que arrancar antes de cierre de año.
Hicimos el resumen ejecutivo orientado a empresas medianas mexicanas. Sin tecnicismos innecesarios, con foco en lo que hay que ajustar y en qué orden.
El cambio de regulador
El INAI desapareció y sus facultades en materia de protección de datos se trasladaron a la Secretaría Anticorrupción y Buen Gobierno, con un órgano interno especializado. En la práctica esto implica tres cosas que importan al sector privado:
- Nuevo procedimiento sancionador. Los criterios y plazos de los procedimientos cambiaron. Las defensas que servían bajo el INAI no necesariamente sirven igual.
- Coordinación con otras autoridades. La nueva estructura permite mayor coordinación con SAT, CNBV, COFECE y otras dependencias en investigaciones cruzadas.
- Curva de aprendizaje del regulador. En el corto plazo veremos criterios todavía en formación, lo que aumenta la incertidumbre interpretativa.
Lo que cambia para la empresa
1. Sanciones actualizadas
Los topes y criterios de sanciones se actualizaron, con énfasis en infracciones que involucran datos sensibles, transferencias indebidas y omisiones reiteradas. La lógica nueva premia la autodenuncia oportuna y castiga la opacidad.
Para empresas medianas la sanción ya no es teórica: se vuelve un riesgo financiero medible que conviene reflejar en el mapa de riesgos corporativo.
2. Transferencias internacionales con más requisitos
La reforma endurece los requisitos para transferir datos personales fuera de México. En particular:
- Documentar la base legitimadora de cada transferencia (consentimiento, contrato, interés legítimo).
- Cláusulas modelo o contratos de transferencia firmados con el receptor extranjero.
- Evaluación del nivel de protección del país destino.
- Registro interno de transferencias.
Si tu empresa usa SaaS de Estados Unidos (que son la mayoría), esto te aplica. Salesforce, HubSpot, Notion, Slack, AWS, GCP, Azure y cualquier herramienta similar implican transferencia internacional.
3. Derechos ARCO actualizados
Los derechos de Acceso, Rectificación, Cancelación y Oposición se reforzaron, con plazos más estrictos para responder y nuevos derechos vinculados a decisiones automatizadas. Si usas IA o algoritmos para tomar decisiones que afectan a personas (scoring, contratación, pricing), tienes que poder explicar la decisión y permitir oposición.
4. Oficial de privacidad obligatorio
Para empresas que cumplen ciertos umbrales (volumen de datos tratados, datos sensibles, sectores específicos), la designación de un oficial de privacidad o DPO pasa de recomendación a obligación. La función no necesariamente es de tiempo completo, pero sí debe tener independencia funcional, presupuesto y reporte directo a alta dirección.
Plan de ajuste a 90 días
Si tu empresa todavía no arranca, este es el orden que recomendamos.
Días 1-30: diagnóstico
- Inventario de tratamientos. Qué datos personales recolectas, dónde residen, quién accede, para qué se usan.
- Mapa de transferencias internacionales. Lista de todos los proveedores SaaS y dónde están alojados.
- Auditoría de avisos de privacidad vigentes contra los nuevos requisitos.
- Revisión de contratos con encargados (proveedores que tratan datos por cuenta de tu empresa).
- Gap analysis contra la nueva ley.
Días 30-60: ajustes documentales
- Actualizar avisos de privacidad (corto, simplificado e integral) con los nuevos requisitos.
- Renegociar o adendar contratos con encargados para incluir cláusulas alineadas a la reforma.
- Implementar cláusulas modelo para transferencias internacionales.
- Política interna de protección de datos actualizada y aprobada por dirección.
- Procedimientos de respuesta a derechos ARCO con plazos auditables.
Días 60-90: implementación operativa
- Capacitación obligatoria al equipo, especialmente áreas que manejan datos personales (RH, ventas, soporte, marketing).
- Designación formal de oficial de privacidad y comunicación interna.
- Tableros de control para medir solicitudes ARCO, incidentes, transferencias.
- Plan de respuesta a incidentes alineado a los nuevos plazos de notificación.
- Auditoría interna piloto para validar que la documentación se traduce en práctica real.
Riesgos de no actuar
El costo de no ajustarse no se reduce a la multa. Vemos cuatro frentes que pesan más:
- Pérdida de contratos B2B. Cada vez más clientes corporativos exigen due diligence de protección de datos como parte del onboarding. Si no puedes demostrar compliance, no entras.
- Bloqueos en exportación de servicios. Si trabajas con clientes en Estados Unidos o la Unión Europea, la equivalencia con GDPR y otras regulaciones depende de tu compliance local.
- Daño reputacional ante un incidente. Una brecha sin protocolos previos se convierte en crisis de comunicación.
- Inhabilitación para licitar en sector público o regulado.
Lo que recomendamos en ALCA
En empresas que acompañamos vemos que el factor decisivo no es el tamaño del equipo legal, sino la integración entre legal, compliance y tecnología. La protección de datos pasó de ser un PDF que firma RH a ser una función transversal con implicaciones técnicas concretas: cómo se almacenan los datos, dónde, con qué cifrado, con qué controles de acceso, cómo se eliminan al término del tratamiento.
La empresa mexicana que separa "lo legal" de "lo técnico" en este tema va a quedar expuesta. La que integra las dos áreas con un proyecto único a 90 días llega bien parada al cierre de año.
Solicita un assessment de la nueva LFPDPPP. En ALCA hacemos diagnóstico, gap analysis y plan de ajuste a 90 días con foco en empresas medianas mexicanas. Agenda 30 minutos con nuestro equipo.
