Sin categoría archivos

Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada en el Diario Oficial de la Federación

by Colomba Rivera | Abr 10, 2025 | Noticias, Sin categoría

El 20 de marzo del año en curso, se publicó en el Diario Oficial de la Federación (DOF) la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025. Queda abrogada la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Destacamos las principales modificaciones que la NLFPDPPP presenta con respecto a la LFPDPPP:

Modificación/precisión en las definiciones de diversos conceptos:

Concepto	Antigua versión LFPDPPP	NLFPDPPP
Aviso de Privacidad	Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.	Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley.
Bases de Datos	El conjunto ordenado de datos personales referentes a una persona identificada o identificable.	Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
Consentimiento	Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.	Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Datos personales	Cualquier información concerniente a una persona física identificada o identificable.	Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
Datos personales sensibles	Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.	Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
Derechos ARCO	No había definición en la LFPDPPP.	Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
Fuente de Acceso Público	Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.	Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables.
Responsable	Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.	Sujetos regulados a que se refiere la fracción XVI de este artículo.
Sujetos regulados	No había definición en la LFPDPPP.	Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;
Tratamiento	La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.	Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
Transferencias	Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.	Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.

2. Consentimiento
La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.

La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.

Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.

Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.

3. Aviso de Privacidad

Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.

Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.

4. Derechos ARCO

Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.

En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.

5. Nueva autoridad de protección de datos

La Secretaría de Anticorrupción y Buen Gobierno asumirá las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.

Además, la reforma elimina a la Secretaría de Economía como autoridad reguladora en esta materia.

6. Procedimientos en la materia.

Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.

Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Es importante mencionar que los particulares deberán revisar y ajustar sus políticas y prácticas internas para adecuarlas a los cambios que conlleva la vigencia de la nueva ley. Asimismo, es recomendable implementar capacitaciones al personal y colaboradores para socializar la NLPDPPP, en su momento la reglamentación y la nueva autoridad. Finalmente, es de suma importancia estar al tanto de la Secretaría para conocer sus nuevas prácticas y criterios.

Cabe destacar que a partir de la vigencia de la NLFPDPPP los procedimientos en materia de protección de datos serán conocidos por la Secretaría; a pesar de ser esencialmente los mismos procedimientos que la LFPDPPP abrogada, es importante tener en cuenta que a diferencia del extinto INAI, la Secretaría no es un cuerpo colegiado, y tanto la estructura como los criterios de la Secretaría serán distintos. Destacando sobre todo que la Secretaría forma parte del Ejecutivo Federal, contrario a la naturaleza independiente, y constitucionalmente autónoma del INAI.

Fuente: Basham, Ringe y Correa

La Delgada Línea entre Transparencia y Privacidad

by Colomba Rivera | Abr 2, 2025 | Opinión, Sin categoría

En el ámbito del compliance y de los procesos de Know Your Customer (KYC), la identificación de los Ultimate Beneficial Owners (UBOs) se ha consolidado como un pilar fundamental para prevenir delitos financieros, como el lavado de dinero y la financiación del terrorismo.

Las entidades, incluidas instituciones financieras, organismos gubernamentales y empresas privadas tienen la obligación de recopilar información detallada sobre los UBOs, con el objetivo de garantizar que no se oculten individuos vinculados a actividades ilícitas. Sin embargo, este requerimiento plantea una cuestión crucial: ¿hasta qué punto es necesario solicitar información sensible y privada, como los domicilios completos de los UBOs?

Aunque la transparencia es un principio esencial en los procesos de compliance, la solicitud de datos tan personales puede considerarse excesiva, exponiendo a los UBOs a riesgos significativos de seguridad, como el robo de identidad o amenazas físicas, especialmente cuando se trata de personas con un perfil público o empresarial destacado.

La recopilación de información como el domicilio completo podría parecer innecesaria para el cumplimiento de la ley, desviando la atención de los objetivos primordiales del sistema financiero hacia prácticas que comprometen la privacidad y seguridad de los individuos.

Este debate cobra especial relevancia ante la reciente controversia legal en torno a la Corporate Transparency Act (CTA). Promulgada en 2021, esta ley exige que las empresas reporten información detallada sobre sus UBOs a la Financial Crimes Enforcement Network (FinCEN) con el propósito de combatir el uso de empresas ficticias en actividades ilícitas.

Sin embargo, el 3 de diciembre de 2024, el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Texas emitió una orden judicial preliminar suspendiendo su aplicación, argumentando que la ley podría ser inconstitucional por exceder los límites del poder del Congreso.

Posteriormente, el 23 de diciembre de 2024, el Tribunal de Apelaciones del Quinto Circuito revocó esta suspensión, permitiendo la implementación de la ley. No obstante, el Departamento de Justicia ha solicitado una revisión más amplia del caso, lo que deja abierta la posibilidad de futuras modificaciones en su aplicación.

Es importante subrayar que, según la CTA, la información sobre los UBOs no será de acceso público. FinCEN almacenará estos datos en una base de datos centralizada, compartiéndolos únicamente con autoridades gubernamentales estadounidenses para fines de investigación y aplicación de la ley.

A pesar de estas precauciones, el nivel de detalle exigido por esta normativa ha suscitado preocupación sobre si las medidas de transparencia justifican los posibles riesgos para la privacidad y seguridad de los involucrados.

Este contexto nos invita a reflexionar sobre el equilibrio necesario entre la transparencia y la privacidad en los procesos de KYC. Si bien la transparencia es indispensable para preservar la integridad del sistema financiero global, no debe ser alcanzada a costa de comprometer la seguridad de los individuos. La implementación de leyes como la CTA debe garantizar un balance adecuado entre ambos principios, permitiendo la supervisión efectiva de las actividades ilícitas sin imponer riesgos innecesarios a los UBOs.

En última instancia, este es un tema que requiere una revisión cuidadosa y un debate abierto en el ámbito del compliance global. Transparencia y privacidad no deben ser conceptos opuestos, sino complementarios, para construir un sistema financiero robusto y equitativo que proteja tanto a las instituciones como a los individuos.

Daniel Cheang, Chief Legal and Compliance Officer en Energas.

¿Qué retos en materia de Compliance tiene México este 2025?

by Colomba Rivera | Mar 19, 2025 | Opinión, Sin categoría

El 2025 es un año prometedor para México en materia de Compliance, iniciamos un nuevo sexenio al mando de Claudia Sheinbaum, la primer mujer presidenta en más de 200 años de vida independiente , sin duda alguna esto significa el desarrollo de políticas públicas con razón de género, dónde el papel de la mujer será protagonista y se buscará la modificación a leyes laborales que protejan los derechos de las mujeres.

En materia de comercio exterior y aduanas, la toma de protesta de Donald Trump y la próxima revisión del T- MEC (Tratado de Libre Comercio México, Estados Unidos y Canadá) traerá aparejado el cambio en cuotas arancelarias para ciertos productos y servicios, así como un trabajo detallado para los Compliance Officers en cuanto a la identificación y evaluación de nuevos riesgos al amparo de la legislación aduanera vigente, así mismo es importante monitorear los cambios que se vendrán con la política migratoria entre México y Estados Unidos.

En materia de combate al soborno y la corrupción, a lo que va del 2025 se han modificado leyes secundarias y reglamentos que han reforzado el compromiso de las empresas en la construcción de programas de compliance y han colocado la primera piedra en la formación de una cultura de compliance obligatoria dentro de los entes públicos mexicanos, desde luego un reto importante para el nuevo gobierno y las empresas que deciden invertir en el país.

Los criterios ESG tendrán un papel importante en este sexenio y prueba de ello es la creación de impuestos y contribuciones a nivel local y federal destinados a contener y disminuir el impacto ambiental generado por la industria en México, ejemplo de ello es el nuevo impuesto a emisiones de CO₂ a fabricas situadas en la Ciudad de México o la implementación de la Taxonomía Sostenible de México, eso sin mencionar la basta modificación y creación de leyes y normativas con enfoque a la protección de los derechos de comunidades indígenas, personas de la comunidad LGBT+ y a personas con discapacidad que se han venido aprobando desde el año pasado.

Por otro lado, aún existe un cierto sentimiento de incertidumbre por parte de los empresarios nacionales y extranjeros en cuanto temas como la reforma a la Ley de Amparo, la desaparición de los Órganos Constitucionales Autónomos, como son el INAI, COFECE, CRE entre otros, quienes son garantes de las políticas en materia de protección de datos personales, competencia económica y energía en México, sin mencionar la tan polémica reforma al Poder Judicial de la Federación que permitirá a los mexicanos por primera vez en la historia del país, votar por jueces, magistrados y ministros de la Suprema Corte.

Será tarea de los departamentos de compliance y/o Compliance Officers seguir a detalle estos cambios y buscar oportunidades de mitigación que permitan a los empresarios seguir participando en un mercado comercial tan grande, atractivo y competitivo como lo es el mercado mexicano.

Independientemente de los cambios antes señalados es importante mencionar que ciertas industrias se verán directamente beneficiadas, tal es el caso de la industria farmacéutica y de dispositivos médicos, la ferroviaria, transporte, el turismo y servicios así como la tecnológica en dónde ya se encuentra en discusión del Congreso de la Unión la expedición de una ley en materia de ciberseguridad que regule fenómenos como la Inteligencia Artificial, el combate a la ciberdelincuencia y el uso de plataformas digitales y redes sociales.

El fenómeno del “nearshoring” , el cada vez más cercano Mundial de Fútbol de la FIFA a celebrarse en México, junto a Estados Unidos y Canadá, en 2026 y las políticas tendientes a mejorar los derechos de los trabajadores han impulsado cambios relevantes en materia de compliance, siendo esta una gran oportunidad para que los profesionales que se dedican al cumplimiento demuestren la importancia y trascendencia estrategia que tiene esta ciencia de los riesgos.

Zurisadai Alberto Duarte Navarrete, Legal & Compliance Specialist en Medartis México

Rule the Rules – Episodio 10: Ana Gómez, Ethics and Compliance Counsel en Synopsys.

by Colomba Rivera | Feb 14, 2025 | Noticias, Sin categoría

En este último episodio del primer ciclo de “Rule The Rules” tuvimos como invitada Ana Gómez, Ethics and Compliance Counsel en Synopsys.

Ana se refirió a las diferencias culturales, las distintas regulaciones y los riesgos según cada industria a la hora de elaborar programas de cumplimiento, en base a sus experiencias tanto en Latinoamérica como en Europa.

Rule The Rules – Episodio 9: Andrés Cuevas, Compliance Director para Latinoamérica en Emergent Cold

by Colomba Rivera | Feb 7, 2025 | Noticias, Sin categoría

En esta novena versión de Rule The Rules, tuvimos como invitado a Andrés Cuevas Cardenas, Compliance Director para Latinoamérica en Emergent Cold.

Andrés destacó la importancia de que cada organización realice su propio análisis de riesgos y aborde el compliance según las necesidades específicas de cada industria.

Actualización de la Ley de Protección al Consumidor en Honduras

by Colomba Rivera | Ene 27, 2025 | Noticias, Sin categoría

José Villela, asociado en BLP Honduras, nos explica las recientes reformas a la Ley de Protección al Consumidor y detalla las 5 nuevas prácticas abusivas que se han incorporado al artículo 68.

Estas actualizaciones buscan regular las relaciones de consumo y garantizar el cumplimiento de los derechos de los consumidores.

« Older Entries