México: la reforma a LFPDPPP y el futuro de la protección de datos

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, en vigor desde 2010, lleva años necesitando una modernización. La reforma constitucional de 2024 que afectó al INAI aceleró la discusión: 2026 traerá una nueva arquitectura institucional y obligaciones renovadas para las empresas.

Lo que se espera de la reforma

• Nueva autoridad fiscalizadora: tras la desaparición del INAI, las funciones se redistribuyen entre la Secretaría Anticorrupción y otros organismos. La continuidad de los criterios es incierta pero el cumplimiento sigue siendo obligatorio.
• Datos biométricos y de IA: nuevas categorías de datos sensibles, especialmente los generados por sistemas de IA y reconocimiento facial, recibirán protección especial.
• Multas más altas: el régimen sancionatorio se actualizaría con multas en UMAs significativamente superiores, en línea con tendencias LATAM.
• Notificación de brechas: obligación expresa de notificar incidentes en plazos breves.
• Transferencias internacionales: alineación parcial con principios GDPR para transferencias hacia países sin nivel adecuado.

El presente sigue siendo obligatorio

Mientras la reforma se concreta, las obligaciones actuales siguen vigentes: aviso de privacidad, ARCO, designación de responsable, medidas de seguridad. Las empresas que no cumplen hoy estarán en peor posición cuando entre la reforma.

Cómo prepararse desde ya

Implementar governance de datos personales con criterios GDPR/Ley 21.719 desde ya, porque toda la región converge hacia ese estándar. GOBERNANZA.IO mapea LFPDPPP actual + reforma esperada en un solo control set, evitando re-trabajos cuando la nueva norma entre en vigencia.