El 20 de marzo de 2025, la Cámara de Diputados aprobó con 321 votos a favor el dictamen que expide nuevas leyes en materia de transparencia y protección de datos personales. Además, reforma el artículo 37 fracción XV de la Ley Orgánica de la Administración Pública Federal para facultar a la Secretaría de Anticorrupción y Buen Gobierno en estos ámbitos.
Las leyes aprobadas representan un retroceso significativo en la protección de los derechos de acceso a la información y la protección de datos personales.
Retrocesos para la transparencia
Las modificaciones a la Ley de Transparencia eliminan garantías para la protección y el ejercicio del derecho de acceso a la información y el principio de transparencia, implicando una regresión en los avances normativos de ambos principios constitucionales que es incompatible con el principio de progresividad establecido en el artículo 1o constitucional.
En primer lugar, se eliminan las facultades de las autoridades de transparencia (federal y locales) de interponer acciones de inconstitucionalidad y controversias constitucionales cuando advirtieran legislaciones o actos ejecutivos que afectaran los principios constitucionales contenidos en la ley.
En segundo lugar, se incluyen figuras legales que podrán usarse para restringir el acceso a la información de interés público que son vagas y ambiguas, que podrán ser usadas para restringir información protegida por el derecho de acceso y que no cumplen con los criterios que toda limitación a derechos debe cumplir (que sean claras y precisas, necesarias y proporcionales). En la nueva ley, el artículo 112 fracción I incorpora la “Paz Social” como criterio para reservar información; la fracción XIV de ese mismo artículo crea la figura de “daños al interés del Estado” para reservar información relacionada a proyectos y estudios realizados por el gobierno.
En tercer lugar, la propuesta de ley elimina criterios que fortalecían la transparencia, la máxima publicidad y el derecho de acceso a la información. Así, la propuesta elimina la obligación de los sujetos obligados de “elaborar y reponer” información que debiera estar en su poder y suma el principio de “Documentación”, que explícitamente limita la obligación de generar información. Además, elimina criterios interpretativos que protegían el derecho de acceso a la información al señalar que las excepciones de acceso debían cumplir con criterios de legitimidad y necesidad en una sociedad democrática.
La propuesta crea un órgano desconcentrado denominado “Transparencia para el Pueblo” que no cuenta con autonomía y elimina requisitos para la integración de las autoridades que afectan la imparcialidad y profesionalización de las autoridades de transparencia. Así, los requisitos del artículo 34 de la ley vigente son eliminados, incluidos: i) el carácter autónomo, independiente, imparcial y especializado de los organismos de transparencia; ii) el criterio de experiencia en materia de acceso a la información y protección de datos para integración; iii) el criterio de igualdad de género para integración; la inamovilidad del cargo salvo por juicio político o proceso del artículo 4o constitucional; y la independencia presupuestaria y suficiencia para realizar sus trabajos.
Además, la reforma suspende procedimientos y trámites por 90 días y los procesos judiciales por 180 días, lo cual cancela el ejercicio de estos derechos durante este periodo.
Desprotección de los datos personales
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
Esta nueva ley contiene cambios y mantiene disposiciones que debilitan la protección de datos frente a sujetos obligados. Según la nueva definición de sujetos obligados, los sindicatos y cualquier persona física o moral que reciba recursos públicos o realice actos de autoridad dejan de estar sometidos a estas disposiciones. Es decir, la ley reduce el número de entidades que deben cumplir con las normas de protección de datos, lo cual debilita este derecho frente a quienes manejan información bajo mandatos de interés público.
Además, existe incertidumbre respecto a la reasignación de facultades. A diferencia de la Ley de Transparencia, la ley no crea un órgano desconcentrado para la protección de datos personales. La ley tampoco deja claro quiénes serán las autoridades garantes a nivel local,. La Secretaría Anticorrupción y las autoridades garantes tendrán nuevas responsabilidades que las ponen en una posición de juez y parte, como resolver recursos de revisión, emitir criterios sobre buenas prácticas, expedir reglas sobre las Evaluaciones de Impacto en Protección de Datos Personales (EIPDP) y decidir sobre dichas evaluaciones, entre otras cuestiones. A pesar de ello, la ley no define mecanismos para asegurar que estas instancias cumplan estas funciones de manera efectiva.
En cuanto a la defensa de derechos, la reforma elimina el recurso de inconformidad y deja el juicio de amparo como la única opción para impugnar decisiones. Esto reduce significativamente el acceso a mecanismos rápidos y accesibles para la protección de datos. Además, la creación de nuevos juzgados especializados en protección de datos plantea interrogantes en un contexto de restricciones presupuestarias y cambios en el poder judicial. Mientras tanto, con el pretexto de estos cambios los procesos judiciales en trámite quedarán suspendidos por 180 días, lo cual cancelará la protección de datos durante ese tiempo.
Adicionalmente, la nueva ley elimina obligaciones fundamentales para la protección de datos. Por ejemplo, elimina la obligación de que los avisos de privacidad simplificados informen sobre los datos que serán tratados, incluyendo los datos sensibles. Esto impide que las personas conozcan a primera vista cómo será utilizada su información y facilita la obtención de consentimiento engañoso para el tratamiento de datos sensibles.
Este cambio contradice lo que ya estableció la Suprema Corte en las acciones de inconstitucionalidad 82/2021 y 86/2021 sobre la invalidez del PANAUT. La Corte dejó claro que cuando la entrega de datos personales es obligatoria, el consentimiento no es un elemento relevante porque la persona no tiene opción de negarse ni de decidir qué sucede con su información. Sin embargo, la reforma mantiene y amplía disposiciones que facilitan el acceso a datos personales por parte de entidades gubernamentales y terceros sin justificación, consentimiento ni información clara. Esto abre la puerta a tratamientos de datos sin controles ni garantías efectivas para las personas.
La nueva ley desperdicia la oportunidad de fortalecer la protección de datos. No mejora las obligaciones de los sujetos obligados, no regula de manera efectiva las transferencias y comparticiones de datos ni limita las excepciones que pueden ser instrumentalizadas para tratamientos arbitrarios. Tampoco actualiza definiciones clave, como la de datos sensibles, ni reconoce la protección especial de datos biométricos, genéticos y de geolocalización.
En un contexto en que el Estado despliega tecnologías en áreas como inteligencia, seguridad pública, aplicación de la ley, control migratorio y provisión de servicios públicos, es urgente contar con una legislación que garantice una protección efectiva de datos de las personas. Sin embargo, esta reforma conserva y refuerza disposiciones que facilitan la vigilancia masiva, la explotación de datos, las transferencias ilegítimas de información y prácticas discriminatorias.
Ley Federal de Protección de Datos Personales en Posesión de Particulares
La nueva normativa de protección de datos en posesión de particulares replica muchas disposiciones de la ley aplicable a sujetos obligados. Esta situación genera irregularidades y deja pasar oportunidades para fortalecer la protección de datos personales en manos de empresas y otros entes privados.
Una de las deficiencias más preocupantes es el debilitamiento de la figura del consentimiento. La ley establece el consentimiento tácito como regla general, lo cual amplía la forma en la que las empresas pueden obtenerlo. Esto refuerza una práctica que deja a las personas en una posición de vulnerabilidad en donde el “consentimiento tácito” se instrumentaliza para procesar datos personales, aún cuando no haya prueba fehaciente de que existió autorización por parte de la persona a quien pertenecen estos datos.
Además, amplían las excepciones para la obtención del consentimiento. Ahora, basta con que una simple disposición jurídica lo permita —sin necesidad de que sea una ley— o con que una empresa argumente que está “ejerciendo un derecho” o un “mandato” sin que este provenga de una resolución formal. Esto representa un retroceso frente a la versión anterior de la ley y contradice el precedente de la SCJN sobre el PANAUT y el rol que debe jugar el consentimiento en el tratamiento de datos, el cual debe materializarse de manera real.
También se debilitan disposiciones respecto a la información que debe incluirse en los avisos de privacidad. Por ejemplo, se elimina la obligación de informar en los avisos simplificados cuáles serán los datos utilizados y no informa sobre los derechos ARCO o la forma en la que las personas pueden conocer cambios en los avisos de privacidad. Aunque pudiera parecer que la ley fortalece mecanismos para que las personas se opongan al tratamiento de sus datos o exijan su cese (al adoptar disposiciones de la ley de sujetos obligados), estas disposiciones son anuladas con excepciones que establecen que dicha oposición no procederá si el tratamiento es necesario para el cumplimiento de una obligación legal impuesta al responsable.
Si bien era alarmante la centralización de las funciones del INAI en una Secretaría, la ley confirma que ésta no se proyecta como un órgano que rinda cuentas en este ámbito, ya que elimina su obligación de presentar informes al Congreso. Esto significa que no habrá una supervisión clara sobre sus acciones, lo que puede fomentar la opacidad. Además, establece que los particulares deberán entregar a la Secretaría la información que requiera para sus investigaciones, lo cual crea un entorno que facilita el abuso de poder.
Se pierden oportunidades para establecer obligaciones claras para los entes privados para la protección de datos. Por ejemplo, en torno a la cancelación de datos y los periodos de almacenamiento que las empresas establecen unilateralmente para evitar la supresión de datos, o exigir evaluaciones de impacto en la privacidad como una obligación para los particulares.
Por ejemplo, al resolver sobre la Evaluación de Impacto en la Protección de Datos Personales (EIPDP) del FAN ID utilizado por la Federación Mexicana de Futbol,, se aplicaron disposiciones diseñadas para sujetos obligados porque no existían regulaciones específicas para el sector privado. Esto reflejó la falta de previsión en la legislación anterior; omisión que se mantiene en esta nueva ley y demuestra la falta de mecanismos efectivos de control y rendición de cuentas.
Además, la ley no solo entorpece la accesibilidad de los procedimientos para las personas —al mantener plazos y prevenciones que en muchos casos requieren representación legal—, sino que también desaprovecha la oportunidad de fortalecer el derecho de las personas a promover acciones legales en materia civil para la reparación del daño en casos de mal uso de sus datos.
Estas reformas son insuficientes y aumentan la incertidumbre sobre la protección de datos personales por parte del sector privado, el cual desarrolla y despliega tecnología que requiere el procesamiento masivo de datos y funge como proveedor de tecnologías para el sector público. Es necesario que el poder legislativo actualice los marcos normativos para enfrentar riesgos como el perfilamiento, el tratamiento automatizado de datos y la transferencia ilegítima de información personal, y no establecer ordenamientos que favorezcan su explotación.
Desde R3D, lamentamos la aprobación de estas leyes y hacemos un llamado a las personas legisladoras para que impulsen reformas profundas que garanticen una verdadera protección de los derechos humanos y reviertan la tendencia legislativa que pretende generar mayor opacidad de los actos de gobierno y menor protección de la privacidad frente al Estado y empresas privadas, cuando debería ser lo contrario.
