Volver a página de inicio

En junio de 2010, México marcó un hito significativo hacia una nueva etapa en la cultura del cumplimiento normativo en materia de protección de datos personales en el ámbito privado; poco después se promulgaron leyes enfocadas en el ámbito público, aunque, siendo francos, estas han tenido un impacto más limitado.

En aquel entonces, quienes apostábamos por el auge y la consolidación de la protección de datos personales en el país éramos una minoría percibida con escepticismo y, admitámoslo, con un toque de condescendencia.

Por mi parte, recuerdo que en aquellos primeros años hablé la importante influencia europea en nuestra nueva legislación, una influencia que se ha fortalecido desde la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPDPPP» o «LFPD») como resultado de la adhesión de México al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108) y la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016) (el «RGPD» o «GDPR (LA LEY 6637/2016)»).

La LFPD trajo consigo una decisión importante y a la larga muy transcendental: se encargó al entonces llamado «Instituto Federal de Acceso a la Información» (el «IFAI») la aplicación de la nueva ley sobre protección de datos personales; la autoridad a cargo de garantizar el acceso a la información pública, sería la misma encargada de velar por que los datos personales de las personas fuesen tratados en cumplimiento de los principios y deberes introducidos por esa nueva normativa.

Sin ánimo de ignorar o simplificar los antecedentes correspondientes, subrayemos que en febrero de 2014 se elevó a rango constitucional la autonomía del órgano garante de la transparencia y de la protección de datos personales, dando lugar al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (el «INAI» que todos conocemos). Este cambio supuso una nueva etapa, pues la autonomía del INAI marcaría el ascenso de su intervención en un número mayor de asuntos y en la importancia y relevancia de sus resoluciones.

Y es que, durante casi 15 años, el INAI ha sido un actor principal en la evolución de la cultura de protección de datos personales en México, a través de, al menos, las siguientes actuaciones o iniciativas:

• — Resoluciones,
• — Opiniones,
• — Estudios,
• — Guías y recomendaciones para titulares y para responsables del sector privado y público,
• — Asesorías gratuitas,
• — Talleres de capacitación y sensibilización,
• — Premios de innovación,
• — Herramientas de autoevaluación,
• — Canales de denuncias,
• — Micrositios de difusión de información,
• — Registro de Esquemas de Autorregulación,
• — «Rutas de la Privacidad»,
• — Esquemas de certificación, etc.,

Así pues, en 2025 es casi imposible que ninguna empresa, profesional independiente y los propios ciudadanos objeto de protección no hayan oído hablar de los datos personales, de «los derechos ARCO» o de los avisos de privacidad, lo cual, por supuesto no significa que todos los responsables o encargados del tratamiento de datos personales cumplan con la normativa aplicable, pero estamos lejos estamos de aquel 2010 marcado por el escepticismo inicial.

Sin embargo, 2025 también es un año aciago, pues es el mismo año en que el INAI dejará de existir, como resultado de la reforma constitucional publicada el 20 de diciembre de 2024 con el objeto de llevar a cabo una «simplificación orgánica» en todo el país.

Al respecto, y en contra de diversos malentendidos, debemos aclarar que esta reforma no constituye ni trae aparejada la derogación/abrogación de ninguna de las leyes de protección de datos personales vigentes en México, aunque éstas deberán sufrir modificaciones para definir cuál será la nueva autoridad administrativa que estará a cargo de su aplicación y sanción en sus respectivos ámbitos.

Al momento de escribir estas líneas, las adecuaciones de las leyes secundarias que definirán las competencias de las nuevas autoridades a cargo de la protección de datos personales aún no han sido publicadas; de hecho, la reforma constitucional prevé que «El Congreso de la Unión tendrá un plazo de noventa días naturales a partir de la entrada en vigor del presente Decreto para realizar las adecuaciones necesarias a las leyes que correspondan para dar cumplimiento a éste…».

Mientras ello ocurre, el INAI continúa operando y todos los procedimientos abiertos siguen en marcha; se prevé que la continuidad de todos ellos pasará directamente a la autoridad que tomará las riendas de la protección de datos personales en México.

Queda por resolver cuáles serán los efectos que la extinción del INAI traerá consigo; evaluar con tiempo y objetividad si México «bajará la guardia» en la defensa del derecho humano a la protección de datos personales o si, por el contrario, nuestros avances en la materia serán un incentivo para continuar y mejorar en todas las medidas de cumplimiento para la protección de las personas y sus datos personales.

Confiamos, eso sí, que los responsables y los encargados asumirán y continuarán con sus modelos de cumplimiento proactivo, con independencia de la autoridad que en el futuro asuma la aplicación de la LFPDPPP, y confiamos, además, que los ciudadanos continuaremos con el ejercicio de nuestros derechos, asumiendo la parte de responsabilidad que nos toca en el cuidado de nuestra información personal.

Finalmente, y no por ello menos importante, anticipamos que el ámbito internacional seguirá siendo un factor determinante en el nivel de cumplimiento de determinados grupos económicos; la decisiva influencia del RGPD en los modelos de gobernanza de empresas con matrices en países de la Unión Europea, la adopción del propio estándar europeo por diversas empresas de los Estados Unidos, así como el «boom» de leyes latinoamericanas que replican dicho estándar europeo, serán decisivos en la continuidad del nivel de cumplimiento que México ya alcanzó en esta materia; lucharemos por mantenerlo y mejorarlo, a la espera de la nueva era de protección de datos personales de este país.