by Colomba Rivera | May 7, 2025 | Noticias
El 25 de febrero de 2025, la Asamblea Legislativa aprobó la Ley de Fomento de la Inteligencia Artificial y Tecnologías (en adelante, la «Ley IA«). Su objetivo es impulsar el desarrollo, la investigación y la aplicación de la inteligencia artificial (en adelante, «IA«) en El Salvador, fomentando la innovación y asegurando su uso responsable para contribuir al avance tecnológico y el crecimiento económico del país. La Ley IA aplica a todas las personas naturales o jurídicas involucradas en la investigación, desarrollo y aplicación de la inteligencia artificial, así como a quienes recopilen, almacenen y procesen datos para estas actividades.
Principios fundamentales. Los principios claves que rigen la Ley IA son: transparencia y explicabilidad, equidad e inclusión, seguridad y privacidad, responsabilidad y rendición de cuentas, y sostenibilidad ambiental.
Creación de la Agencia Nacional de Inteligencia Artificial (ANIA). Para garantizar la correcta implementación de la Ley IA, se crea la Agencia Nacional de Inteligencia Artificial (“ANIA”), una institución autónoma adscrita a la Presidencia de la República. Sus principales funciones incluyen:
- Supervisar el cumplimiento de la Ley IA y gestionar el Marco Integral de Evaluación de Riesgos para sistemas que manejen datos confidenciales o personales.
- Administrar el Registro Nacional de Desarrollo, Innovación y Aplicación de IA.
- Fomentar alianzas público-privadas para el desarrollo de IA.
- Colaborar con el Ministerio de Educación para integrar la IA en los programas educativos.
- Emitir normativas técnicas de seguridad junto con la Agencia de Ciberseguridad del Estado (ACE).
Libre Participación. Las personas naturales y jurídicas, tanto nacionales como extranjeras, tendrán la libertad de realizar directamente o participar en el desarrollo, investigación, entrenamiento e implementación de la IA y tecnologías similares en El Salvador.
Registro y Salvaguardas. Las personas o entidades que hagan uso exclusivo de datos de dominio abierto o de su propiedad en proyectos que no busquen fines comerciales o de uso público deberán inscribirse en el Registro Nacional de Desarrollo, Innovación y Aplicación de IA para poder acceder a las salvaguardas de la ley, tales como:
- Uso autorizado de datos de dominio abierto para fines de investigación, sin prejuicio de recibir imposición de medidas cautelares o judiciales como limitantes; siempre y cuando, dicho uso respete la legislación aplicable.
- Exoneración de responsabilidad en entornos experimentales, siempre que dichas actividades no sean desplegadas comercialmente ni afecten los derechos de los usuarios.
- No se establecerá responsabilidad por el mal uso de IA por terceros, siempre que se hayan seguido los estándares de seguridad, ética y operatividad establecidos.
- Los modelos de IA (ponderaciones, datos de entrenamiento, resultados, etc.) no estarán sujetos a condiciones de licencia restrictiva que limiten la competencia, innovación o investigación. Ninguna entidad privada podrá imponer condiciones, salvo que dichas restricciones se encuentren expresas en la legislación salvadoreña.
Si las actividades se encuentran relacionadas con funciones públicas o áreas supervisadas, deberán cumplir también con las normativas técnicas de seguridad establecidas por ACE y otras entidades competentes.
Evaluación de riesgo de la IA y tecnologías similares. La ANIA implementará un marco integral de evaluación de riesgos que equilibre la innovación tecnológica con la seguridad pública y el bienestar social. Su cumplimiento será obligatorio únicamente para sistemas que manejen datos confidenciales, reservados o personales según la legislación vigente. Este marco será flexible para adaptarse a nuevos estándares y clasificaciones internacionales de seguridad.
Responsabilidad en el ciclo de vida de la IA o tecnologías similares. Las partes involucradas en el ciclo de vida de la IA, incluyendo desarrolladores, implementadores, proveedores de servicios y usuarios finales, deberán asumir la responsabilidad correspondiente a su rol para garantizar un uso ético y seguro de estos sistemas. Los desarrolladores deberán diseñar soluciones que cumplan con los estándares técnicos y éticos establecidos. Por su parte, los implementadores serán responsables de su correcta aplicación y del cumplimiento de las normas de seguridad. En el caso de los proveedores de servicios, deberán garantizar una infraestructura segura, y los usuarios finales deberán emplear los sistemas de IA de manera responsable, respetando su propósito y alcance.
Decisiones Automatizadas y Derecho a Impugnación. Cuando se utilice la IA comercialmente o para acceder a derechos o servicios dentro de la república, se estará en la obligación de informar al usuario de sí, la decisión fue adoptada directamente por la IA o fue impulsada por esta. Además, se establecerán mecanismos para que los ciudadanos puedan impugnar dichas decisiones ante una persona natural competente, quien podrá confirmar, modificar o revocar la resolución.
Protección de Datos Personales y Seguridad. El uso de datos personales en el desarrollo de IA deberá cumplir con la Ley de Protección de Datos Personales y con las normativas de seguridad emitidas por la ANIA y ACE.
Protección de la propiedad intelectual en el desarrollo de IA. La propiedad intelectual de la IA, incluidas patentes, derechos de autor y secretos industriales, pertenece exclusivamente a su creador. En proyectos colaborativos, los derechos deben definirse mediante acuerdos previos. Los algoritmos, bases de datos y sistemas de IA desarrollados en el país están protegidos por la ley, prohibiéndose su uso o divulgación sin autorización del propietario.
Libre Competencia y Desarrollo de IA de Código Abierto. Se prohíbe la imposición de restricciones arbitrarias en el desarrollo de IA de código abierto; igualmente, se fomentará la participación internacional en proyectos de IA, garantizando la colaboración y el acceso a innovaciones tecnológicas.
Este decreto está sujeto a posibles modificaciones antes de su publicación en el Diario Oficial. La Ley IA entrará en vigencia ocho días después de su publicación en el Diario Oficial.
by Colomba Rivera | Abr 29, 2025 | Noticias
ASPECTOS RELEVANTES:
La Superintendencia de Protección de Datos Personales (“SPDP”), ha dado un paso trascendental al publicar sus primeras cinco resoluciones en respuesta a las consultas del público. Esta iniciativa marca un hito importante en la evolución del sistema de protección de datos personales del país, ya que establece precedentes interpretativos que ayudarán, tanto a ciudadanos como a organizaciones, a comprender mejor sus derechos y obligaciones en esta materia. Los temas tratados en las consultas son los siguientes:
- Reconocimiento de Buenas Prácticas en Protección de Datos.
- Proceso de Verificación de la Designación del Delegado de Protección de Datos (“DPO”).
- Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales.
- Trazabilidad de Tarjetas de Implante y su tratamiento.
- Documentos Notariales y Acceso a Terceros.
RESUMEN DE LAS CONSULTAS DE LA SUPERINTENDENCIA
- Consulta 01: 2024- Reconocimiento de Buenas Prácticas en Protección de Datos:
Consulta: Actualmente, la SPDP no ha establecido procedimientos ni normativa para el reconocimiento de buenas prácticas contemplado en la tercera disposición transitoria de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). No existen criterios definidos, requisitos documentales, cronogramas o ventajas específicas para su obtención. ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas?; ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas?
ronunciamiento: La Superintendencia no puede emitir un pronunciamiento sobre este tema hasta que se publique la regulación correspondiente. Se sugiere presentar una nueva consulta una vez que la normativa haya sido emitida.
- Consulta 02: 2024- Proceso de Verificación de la Designación del Delegado de Protección de Datos:
Consulta: Actualmente, no se ha implementado un sistema formal para validar el nombramiento del DPO. La normativa vigente no especifica los procedimientos, requisitos documentales ni fechas límite para este proceso de verificación. ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación?; ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?
Pronunciamiento: Si bien aún no se ha emitido la normativa correspondiente, la obligación de designar un DPO según la LOPDP debe cumplirse, independientemente de que no exista aún una normativa específica sobre el proceso de verificación.
- Consulta 03: 2024- Aplicación del uso del Código Dactilar en Nombramientos de Representantes Legales:
Consulta: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?
Pronunciamiento: El código dactilar constituye un dato biométrico sensible según la LOPDP. Su requerimiento es excesivo dado que el número de cédula es suficiente para identificar al representante legal. Esta exigencia contradice los principios de necesidad, proporcionalidad y minimización de datos, por lo que se recomienda eliminar este requisito para proteger adecuadamente los datos personales.
- Consulta 04: 2024- Trazabilidad de Tarjetas de Implante y su tratamiento:
Consulta: ¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios en relación con la trazabilidad de las tarjetas de implante?
Pronunciamiento: El procesamiento de esta información exige el estricto cumplimiento de los principios establecidos en la LOPDP, junto con la obtención del consentimiento informado por parte del titular de los datos. La recopilación y manejo de información debe limitarse exclusivamente a aquellos datos que sean indispensables para asegurar la trazabilidad efectiva de los dispositivos médicos. Este seguimiento tiene como objetivo fundamental permitir la rápida identificación y ubicación de los dispositivos médicos implantados cuando se presenten situaciones adversas que puedan comprometer la salud del paciente.
- Consulta 05: 2024- Documentos Notariales y Acceso a Terceros:
Consulta: ¿Debe un notario entregar copias, testimonios o compulsas de documentos a cualquier persona?
Pronunciamiento: Conforme al artículo 40 de la Ley Notarial, cualquier individuo tiene el derecho de solicitar copias de escrituras públicas. No obstante, para cumplir con lo establecido en la LOPDP, es aconsejable obtener el consentimiento de los titulares para el tratamiento de sus datos personales cuando se presten servicios notariales. Asimismo, las personas externas que deseen acceder a escrituras públicas no están obligadas a formalizar un contrato con el titular ni con el notario, quien, en este contexto, actúa como responsable del tratamiento de los datos.
by Colomba Rivera | Abr 22, 2025 | Noticias
Recientemente, Uruguay presentó su Estrategia Nacional de Ciberseguridad (ENC) para el período 2024-2030, desarrollada por AGESIC, en colaboración con diversos sectores. Tiene como objetivo crear un ciberespacio seguro, abierto y resiliente, a la vez que promover el desarrollo sostenible y proteger los derechos de los ciudadanos.
La ENC se basa en ciertos principios, entre los que destacan la gestión proactiva de riesgos, la colaboración nacional e internacional, y el fortalecimiento de la resiliencia digital. Estos principios se traducen en ocho pilares claves, que abarcan desde la gobernanza y el marco normativo, hasta la ciberdefensa y la cultura de ciberseguridad.
Gobernanza
La estrategia busca establecer mecanismos para la coordinación y supervisión de políticas de ciberseguridad, definiendo roles y responsabilidades claras. Además, apunta a definir un modelo de gobernanza multinivel que distribuya responsabilidades entre niveles estratégicos, tácticos y operativos.
Marco normativo
Se actualizará la normativa para prevenir y reaccionar ante incidentes de ciberseguridad, asegurando que el marco normativo nacional esté en concordancia con los estándares y obligaciones internacionales. La estrategia fomenta un marco legal que promueva la colaboración entre el sector público y privado para fortalecer la ciberseguridad nacional.
Ciberdelitos
La ENC busca fortalecer las capacidades para prevenir y perseguir delitos cibernéticos, promoviendo la cooperación internacional. Uruguay se adherirá al Convenio del Consejo de Europa sobre la Ciberdelincuencia. Además, se fomentará el desarrollo de carreras de especialización vinculadas a la temática de ciberdelitos.
Ciberdefensa
La estrategia apunta a consolidar la ciberdefensa nacional, mejorando la respuesta a incidentes que afecten infraestructuras críticas. Se establecerán protocolos para la coordinación entre organismos vinculados a ciberdefensa y se analizarán las estructuras y mecanismos de ejecución a través de un Comando Conjunto de Ciberdefensa bajo la órbita del Ministerio de Defensa.
Infraestructuras de información crítica
Se identificarán las infraestructuras de información crítica del país y los actores involucrados en su gestión. La estrategia busca incrementar y fortalecer las capacidades de monitoreo y detección de incidentes en las infraestructuras de información crítica. Además, se analizarán las interconexiones y dependencias entre estas infraestructuras para evaluar el alcance e impacto de potenciales incidentes de ciberseguridad.
Cultura de ciberseguridad
Se promoverán buenas prácticas y comportamientos seguros en el uso de tecnologías de la información. Incluye la implementación de campañas masivas y focalizadas de concientización en ciberseguridad dirigidas a toda la población. También se promoverá el uso de identificaciones digitales fuertes y firmas digitales para proteger la identidad en línea.
Ecosistema e industria
La ENC impulsa un ecosistema de ciberseguridad competitivo, fomentando la innovación y la colaboración entre sectores. Se promoverán esfuerzos para la investigación, desarrollo e innovación en ciberseguridad, especialmente en tecnologías emergentes. Además, se prevé crear un catálogo de productos y servicios de ciberseguridad provistos en el país.
Política internacional
Uruguay establecerá un equipo diplomático a cargo de gestionar los temas vinculados a la ciberseguridad del país. La estrategia coordinará con las instituciones nacionales competentes la política exterior de Uruguay para el ciberespacio y reforzará la participación del país en espacios regionales e internacionales relevantes en materia de ciberseguridad.
Esta estrategia representa una oportunidad para que el sector tecnológico se alinee con las mejores prácticas en ciberseguridad, proteja los datos y fomente la confianza de los usuarios, impulsando la resiliencia digital y el crecimiento económico.
by Colomba Rivera | Abr 17, 2025 | Noticias
En la actualidad, los criterios ESG (Environmental, Social, Governance) se han convertido en el epicentro de una revolución en la forma de financiar proyectos. Este enfoque, que integra factores ambientales, sociales y de gobernanza en la evaluación de inversiones, ha cambiado las reglas del juego en el panorama financiero global. Lo que comenzó como una serie de consideraciones éticas se ha transformado en una herramienta estratégica para garantizar la viabilidad, resiliencia y competitividad de las empresas en el largo plazo.
Formalizados en 2004 por el informe “Who Cares Wins” de la ONU, los criterios ESG representan un cambio de paradigma en la gestión de riesgos y oportunidades. Estos principios responden a la creciente demanda de sostenibilidad por parte de consumidores, inversores y reguladores, quienes exigen a las empresas un compromiso real con el medio ambiente, las comunidades y una gobernanza corporativa transparente. La adopción de estos criterios no solo tiene implicaciones éticas, sino que también está vinculada a mejoras en la rentabilidad, reducción de costes y acceso a recursos financieros en condiciones más favorables.
I. Transformación del acceso a la financiación bajo criterios ESG
La financiación empresarial está atravesando una transformación sin precedentes gracias a la integración de los criterios ESG. Instituciones financieras y organismos regulatorios han reconocido que los proyectos alineados con estos principios presentan menores riesgos y mayor capacidad de adaptación a los desafíos globales. En Europa, normativas como el Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo de 18 de junio de 2020 y la SFDR (Sustainable Finance Disclosure Regulation) establecen estándares claros para garantizar que las inversiones contribuyan a objetivos de sostenibilidad.
La implementación de estas regulaciones ha llevado a un aumento exponencial en la emisión de instrumentos financieros vinculados a la sostenibilidad. Los bonos verdes, por ejemplo, son una de las herramientas más destacadas en este ámbito. Estos instrumentos están destinados exclusivamente a financiar proyectos con beneficios ambientales, como energías renovables, eficiencia energética y conservación de recursos naturales. Según la Climate Bonds Initiative, el mercado de bonos verdes superó el billón de dólares en 2022, consolidándose como un pilar fundamental en la transición hacia una economía baja en carbono.
Además de los bonos verdes, los préstamos vinculados a la sostenibilidad y los créditos verdes están ganando terreno como opciones viables para financiar proyectos responsables. Los préstamos vinculados a la sostenibilidad permiten ajustar las condiciones financieras, como las tasas de interés, en función del desempeño del prestatario en indicadores ESG específicos. Por su parte, los créditos verdes facilitan el acceso al capital para pequeñas y medianas empresas que buscan implementar prácticas sostenibles, superando así las barreras económicas iniciales.
Estos instrumentos no solo benefician a las empresas emisoras, sino también a los inversores, quienes ven en ellos una oportunidad para diversificar sus carteras y reducir la volatilidad en periodos de incertidumbre económica. Este cambio está impulsado, en gran parte, por la creciente preferencia de los inversores por proyectos que no solo generen retornos financieros, sino que también contribuyan al bienestar social y ambiental.
II. Impacto de los criterios ESG en la rentabilidad empresarial
Una de las preguntas más recurrentes sobre los criterios ESG es su relación con la rentabilidad. Durante años, se asumió que las iniciativas sostenibles eran incompatibles con la búsqueda de beneficios económicos. Sin embargo, investigaciones recientes han desmentido esta idea, demostrando que las empresas con altos índices ESG tienden a ser más rentables y resilientes.
Según un informe de Morgan Stanley Capital International (2023), las empresas con estándares ESG sólidos mostraron una menor volatilidad en sus acciones y un mejor desempeño ajustado al riesgo durante crisis globales, como la pandemia de COVID-19. Este comportamiento se atribuye a la capacidad de estas empresas para gestionar riesgos sistémicos, adaptarse a cambios regulatorios y mantener relaciones sólidas con sus grupos de interés.
Un análisis de Morningstar (2022) reveló que los fondos sostenibles superaron a los tradicionales en un 58% durante los últimos cinco años. Esto no solo refuerza la idea de que las inversiones ESG son rentables, sino que también destaca su capacidad para atraer a inversores institucionales que buscan mitigar riesgos y garantizar retornos estables. Además, la adopción de prácticas sostenibles, como la transición a energías renovables y la digitalización de procesos, puede reducir significativamente los costes operativos, aumentando la eficiencia y rentabilidad a largo plazo.
III. Instrumentos financieros alineados con los criterios ESG
La integración de los criterios ESG ha impulsado el desarrollo de instrumentos financieros innovadores diseñados específicamente para financiar proyectos sostenibles. Estos incluyen bonos verdes, bonos sociales, préstamos vinculados a la sostenibilidad y créditos verdes. Cada uno de estos instrumentos desempeña un papel crucial en la canalización de recursos hacia iniciativas con impacto positivo.
Los bonos sociales, por ejemplo, están diseñados para financiar proyectos que abordan problemáticas como la inclusión financiera, el acceso a servicios básicos y la construcción de infraestructura en comunidades vulnerables. Estos bonos complementan a los bonos verdes al centrarse en los aspectos sociales de los criterios ESG, ampliando así el alcance de las inversiones sostenibles.
Por otro lado, los bonos de transición están destinados a empresas de sectores intensivos en carbono que buscan reducir gradualmente su impacto ambiental. Este instrumento ha sido particularmente relevante en industrias como la energía, el transporte y la construcción, donde la transformación hacia modelos sostenibles requiere inversiones significativas.
Además, las instituciones financieras están desarrollando metodologías avanzadas para medir y reportar el impacto de los proyectos financiados bajo criterios ESG. Esto incluye el uso de métricas estandarizadas como IRIS+ (sistema de métricas desarrollado por el Global Impact Investing para estandarizar la medición y gestión del impacto social, ambiental y financiero de las inversiones) y los Objetivos de Desarrollo Sostenible (marco que comprende 17 objetivos principales para abordar los desafíos globales más urgentes) de la ONU, que proporcionan un marco para evaluar el impacto social y ambiental de las inversiones.
IV. Desafíos en la integración de los criterios ESG
A pesar de sus beneficios, la integración de los criterios ESG no está exenta de desafíos. Uno de los problemas más destacados es el fenómeno conocido como greenwashing. Este ocurre cuando las empresas exageran o incluso falsean sus logros en sostenibilidad, socavando la confianza de los inversores y los consumidores.
Además, la falta de estándares globales homogéneos para medir y reportar el desempeño ESG dificulta la comparación entre empresas y proyectos. Aunque iniciativas como el Impact Management Project (IMP) y la Global Reporting Initiative (GRI) han avanzado en la creación de marcos de referencia, todavía queda mucho por hacer para garantizar la transparencia y la credibilidad en este ámbito.
El coste inicial de implementar prácticas ESG también representa un obstáculo, especialmente para pequeñas y medianas empresas. Sin embargo, los beneficios a largo plazo, como el acceso a nuevos mercados, la reducción de costes operativos y la mejora de la reputación corporativa, superan con creces estas barreras.
V. Auge de la inversión de impacto
La inversión de impacto ha surgido como una evolución de los criterios ESG, centrando su enfoque en generar beneficios sociales y ambientales medibles junto con retornos financieros competitivos. Este modelo, popularizado por la Fundación Rockefeller en 2007, busca abordar desafíos globales específicos, como el cambio climático, la desigualdad y la exclusión social.
En España, este enfoque ha crecido significativamente en los últimos años. Según el informe de SpainNAB (2022), la inversión de impacto alcanzó los 2.400 millones de euros, con un crecimiento interanual del 33%. Este fenómeno refleja un cambio en la mentalidad de los inversores hacia estrategias que priorizan tanto la rentabilidad como el propósito social.
VI. Conclusiones
Los criterios ESG y la inversión de impacto no son una moda pasajera ni una estrategia secundaria; son pilares fundamentales de una transformación económica que prioriza la sostenibilidad, la justicia social y la buena gobernanza. Su integración en la financiación de proyectos no solo responde a las crecientes demandas de consumidores, reguladores e inversores, sino que también genera ventajas competitivas significativas para las empresas que los adoptan.
La evidencia empírica muestra que las empresas y proyectos alineados con estos principios son más resilientes, menos volátiles y más rentables a largo plazo. Además, los instrumentos financieros vinculados a la sostenibilidad, como los bonos verdes y los préstamos vinculados a objetivos ESG, están facilitando la canalización de recursos hacia iniciativas que generan un impacto positivo tangible en la sociedad y el medio ambiente.
Sin embargo, para maximizar el potencial de los criterios ESG, es fundamental abordar los desafíos existentes, como el greenwashing y la falta de estándares globales homogéneos. La transparencia, la rendición de cuentas y la medición rigurosa del impacto son esenciales para consolidar la confianza en este modelo y garantizar que cumpla con sus promesas.
En última instancia, los criterios ESG representan una oportunidad única para empresas, inversores e instituciones financieras de liderar el cambio hacia un modelo económico más inclusivo, resiliente y sostenible. Aquellos que adopten estos principios no solo estarán mejor posicionados para enfrentar los retos del siglo XXI, sino que también contribuirán activamente a la construcción de un futuro más justo y próspero para las próximas generaciones.
JOSEP ENRICH, Socio en Bartolome & Briones
by Colomba Rivera | Abr 15, 2025 | Noticias
El Congreso Nacional de Honduras ha aprobado importantes reformas a la Ley de Protección al Consumidor, fortaleciendo los derechos de los usuarios en diversos servicios esenciales. Entre las principales disposiciones de esta modificación se incluyen:
- Contratos Limitados y en Lempiras: Los contratos de telefonía, internet y televisión por cable ahora están limitados a un máximo de seis meses y deben cobrarse exclusivamente en lempiras.
- Terminación de Contratos de Telefonía, internet y televisión sin Penalidad: Los usuarios pueden cancelar los contratos por deficiencia en el servicio, cambios no autorizados o aumentos sin previo aviso, sin penalidad
- Prohibición de Cobros Indebidos: Se prohíbe el cobro de reconexión y cualquier tarifa adicional por suspensión del servicio atribuible al proveedor de estos servicios de telefonía, internet y televisión.
- Descuentos para Adultos Mayores: Se establece un descuento de 25% para adultos mayores y 30% para la cuarta edad en servicios de telecomunicaciones hasta 30 GB de consumo.
Si bien la reciente reforma a la Ley de Protección al Consumidor en Honduras fortalece los derechos de los consumidores, también plantea desafíos significativos para los proveedores de servicios de telecomunicaciones, internet y televisión por cable. La implementación de límites en los contratos, la prohibición de ciertos cobros, y los nuevos requisitos para la gestión de reclamaciones podrían incrementar los costos operativos y limitar la flexibilidad comercial de estas empresas. Esto sugiere un escenario en el que los proveedores deberán adaptarse rápidamente a un marco regulatorio más estricto, lo cual podría impactar su rentabilidad y la oferta de servicios a los consumidores.
Fuente: BLP Legal
by Colomba Rivera | Abr 10, 2025 | Noticias, Sin categoría
El 20 de marzo del año en curso, se publicó en el Diario Oficial de la Federación (DOF) la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025. Queda abrogada la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Destacamos las principales modificaciones que la NLFPDPPP presenta con respecto a la LFPDPPP:
- Modificación/precisión en las definiciones de diversos conceptos:
|
Concepto |
Antigua versión LFPDPPP |
NLFPDPPP |
| Aviso de Privacidad |
Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. |
Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley.
|
| Bases de Datos |
El conjunto ordenado de datos personales referentes a una persona identificada o identificable. |
Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
|
| Consentimiento |
Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. |
Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
|
| Datos personales |
Cualquier información concerniente a una persona física identificada o identificable. |
Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
|
| Datos personales sensibles |
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. |
Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
|
| Derechos ARCO |
No había definición en la LFPDPPP. |
Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
|
| Fuente de Acceso Público |
Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley. |
Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables.
|
| Responsable |
Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. |
Sujetos regulados a que se refiere la fracción XVI de este artículo.
|
| Sujetos regulados |
No había definición en la LFPDPPP. |
Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;
|
| Tratamiento |
La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. |
Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
|
|
Transferencias |
Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. |
Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento. |
2. Consentimiento
La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.
La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.
Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.
Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.
3. Aviso de Privacidad
Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.
Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.
4. Derechos ARCO
Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.
En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.
5. Nueva autoridad de protección de datos
La Secretaría de Anticorrupción y Buen Gobierno asumirá las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.
Además, la reforma elimina a la Secretaría de Economía como autoridad reguladora en esta materia.
6. Procedimientos en la materia.
Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.
Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Es importante mencionar que los particulares deberán revisar y ajustar sus políticas y prácticas internas para adecuarlas a los cambios que conlleva la vigencia de la nueva ley. Asimismo, es recomendable implementar capacitaciones al personal y colaboradores para socializar la NLPDPPP, en su momento la reglamentación y la nueva autoridad. Finalmente, es de suma importancia estar al tanto de la Secretaría para conocer sus nuevas prácticas y criterios.
Cabe destacar que a partir de la vigencia de la NLFPDPPP los procedimientos en materia de protección de datos serán conocidos por la Secretaría; a pesar de ser esencialmente los mismos procedimientos que la LFPDPPP abrogada, es importante tener en cuenta que a diferencia del extinto INAI, la Secretaría no es un cuerpo colegiado, y tanto la estructura como los criterios de la Secretaría serán distintos. Destacando sobre todo que la Secretaría forma parte del Ejecutivo Federal, contrario a la naturaleza independiente, y constitucionalmente autónoma del INAI.
Fuente: Basham, Ringe y Correa