Protección de datos personales: ¿a qué institución le corresponde tras la desaparición del INAI?

Con la aprobación del paquete de reformas que implican mayor vigilancia masiva de las autoridades, como el acceso a la geolocalización de dispositivos móviles en tiempo real o el uso de datos biométricos en la CURP, y pocos controles, seguramente te has preguntado qué pasará con la protección de datos personales, es decir, la información que hace a una persona identificable.

Tras la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), las funciones que desempeñaba fueron asumidas por la Secretaría Anticorrupción y Buen Gobierno y otras entidades públicas. 

“Ante la ausencia del INAI, ¿qué va a implicar tener o no la CURP biométrica? ¿Cómo se va a resguardar, qué va a implicar o no la geolocalización de teléfonos celulares? En su momento, cuando la persona considere que hay algo en riesgo y pida su protección, la autoridad vigente al día de hoy, a partir del 20 de marzo de este año, es la Secretaría Anticorrupción y Buen Gobierno”, dice Perla Gómez Gallardo, profesora investigadora de la Universidad Autónoma Metropolitana (UAM) unidad Cuajimalpa. 

Como parte del proceso de la desaparición del INAI, el 20 de febrero de 2025, la presidenta Claudia Sheinbaum presentó ante la Cámara de Senadores una iniciativa en materia de transparencia y de protección de datos personales que fue aprobada por las y los legisladores el 20 de marzo del mismo año.

Dichas leyes establecen ante quién se puede tramitar una solicitud de protección de datos personales si se trata de instituciones de la función pública o particulares. Sin embargo, las nuevas leyes no incluyen actualizaciones en cuanto a datos biométricos, inteligencia artificial o redes sociodigitales, coinciden especialistas. 

“Es muy importante decir que en un contexto en el que acaban de desaparecer la autoridad de protección de datos, acaban de reformar la Ley de Datos Personales para quitarle protecciones”, advierte Luis Fernando García, abogado especializado en derechos humanos y tecnología.

La y los expertos consultados por El Sabueso señalan la importancia de que estos cambios sean operativos para poder conocer cómo actuará la Secretaría Anticorrupción y Buen Gobierno y las demás entidades ante la protección de datos personales, pues aún están pendientes los lineamientos y los reglamentos de las leyes en la materia.

“Estamos en una situación de un vacío legal, un vacío en el marco normativo bastante grave porque no hay reglamento”, indica Miguel Ángel Arévalo, especialista en derecho corporativo, digital y protección de datos personales. Dichos reglamentos tuvieron que publicarse a más tardar 90 días después de la entrada en vigor de las nuevas leyes, es decir, el pasado 19 de junio.

Puedes leer: Mayor vigilancia del gobierno y pocos controles, los riesgos de las reformas avaladas en el Congreso

La protección de datos personales pasa al gobierno

El INAI no fue sustituido por un solo órgano, más bien, sus funciones fueron divididas. Las que desempeñaba en materia de transparencia y acceso a la información fueron asumidas por Transparencia para el Pueblo, un nuevo órgano desconcentrado de la Secretaría Anticorrupción y Buen Gobierno y otras instancias en los Poderes de la Unión y órganos autónomos.

Mientras que las relacionadas con la protección de datos personales quedaron bajo la responsabilidad de dicha dependencia de gobierno, a cargo de Raquel Buenrostro, y otras autoridades garantes como órganos internos de control o contralorías. 

 

Por ejemplo, para el Poder Judicial es el Órgano de control y disciplina; los órganos internos de control de autónomos como el Instituto Nacional Electoral (INE) o el Instituto Nacional de Estadística o Geografía (Inegi); las contralorías internas del Congreso de la Unión; el propio INE en el caso de los partidos políticos.

En el caso de las entidades federativas, los órganos garantes serán los órganos encargados de la contraloría interna u homólogos de los Poderes Ejecutivo, Legislativo y Judicial, así como de los órganos constitucionales autónomos locales.

Además, el INAI contaba con independencia financiera, sin subordinación a ningún otro poder del Estado. Mientras que la nueva autoridad en materia de protección de datos personales, en cambio, sí depende del Ejecutivo y carece de autonomía presupuestaria.

¿Ante quién puedes tramitar la solicitud de protección de datos?

Perla Gómez Gallardo y Miguel Ángel Arévalo explican que en la Secretaría Anticorrupción y Buen Gobierno habrá un área de protección de datos personales que va a tener a su cargo  tanto el sector privado, ya sea empresas de telecomunicaciones, instituciones financieras, como las entidades del gobierno federal, por ejemplo, los datos que posee el Servicio de Administración Tributaria (SAT). 

“En primer lugar, se tiene que acudir ante las propias autoridades, es decir, ante el propio ente que trata mis datos y presentar ahí mi reclamación. Ese es el famoso ‘juez y parte’. Y ya en una instancia superior, se llega a la unidad de protección de datos personales correspondiente de la Secretaría Anticorrupción y Buen Gobierno”, agrega Arévalo.

Además de la protección de datos personales están los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). A la Secretaría Anticorrupción y Buen Gobierno le corresponde conocer de los procedimientos relativos a su protección, verificación e imposición de sanciones, según el artículo 37 de la Ley Orgánica de la Administración Pública Federal. 

Tras la desaparición del INAI, fueron expedidas las leyes generales de Transparencia y Acceso a la Información Pública y de Protección de Datos Personales en Posesión de Sujetos Obligados; y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el 20 de marzo de 2025.

En el primer caso, los sujetos obligados son cualquier autoridad, entidad, órgano y organismo de los poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, mientras que los particulares no pertenecen a la función pública.

Si se trata de un sujeto obligado, de acuerdo con la ley, podrás interponer una solicitud para el ejercicio de tus derechos ARCO en las áreas previstas en los reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que son responsables o encargadas de los datos personales. 

Para sancionar el incumplimiento de sus obligaciones, la secretaría o las autoridades garantes de estas áreas podrán imponer amonestaciones públicas o multas. Incluso, si la persona titular de los datos personales no está conforme con la resolución, podrá interponer un recurso de revisión ante la secretaría o la autoridad garante, o bien, ante la Unidad de Transparencia que haya conocido de la solicitud para el ejercicio de los derechos ARCO o el órgano garante que corresponda. 

En el caso de los datos en posesión de particulares, la ley establece que la persona titular o su representante legal podrán solicitar al particular responsable el ejercicio de los derechos ARCO. Para esto, la Secretaría resolverá sobre la solicitud de protección de datos presentada, una vez analizadas las pruebas y demás elementos como las audiencias. 

El Reglamento de la Ley, aún pendiente de publicarse, establecerá la forma, términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos. Pero la Secretaría puede establecer infracciones y sanciones como multas, apercibimiento y hasta prisión que va desde los tres meses a los cinco años o más si se trata de una vulneración de datos personales sensibles, es decir, los más íntimos como origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.

Datos personales en posesión de sujetos obligados y particulares: ¿qué falta en el marco legal?

El 21 de marzo, un día después de la aprobación y publicación de las leyes en materia de transparencia y de protección de datos personales, la Secretaría Anticorrupción y Buen Gobierno aseguró estar lista para asumir las funciones del INAI. 

“Históricamente, la protección de datos personales ha sido relegada a un segundo plano. Con esta transformación, se fortalecerá la seguridad de la información personal, asegurando que las dependencias del gobierno y las empresas cumplan con los más altos estándares en el manejo de datos sensibles”, se lee en un comunicado 

Sin embargo, Perla Gómez Gallardo y Miguel Ángel Arévalo recuerdan que si bien crearon dos leyes nuevas en la materia, están pendientes los lineamientos generales para el debido tratamiento de los datos personales y los reglamentos de las leyes en la materia, las cuales, por cierto, no están actualizadas. 

“Abrogaron las dos leyes en protección de datos, tanto en posesión de sujetos obligados como de particulares. Pero no metieron más que la sustitución de la autoridad. Son idénticas a las anteriores, sólo sustituyendo al INAI por la Secretaría Anticorrupción y se les fue la revisión, por ejemplo, en temas de inteligencia artificial, de redes sociodigitales”, señala la profesora investigadora. 

Arévalo lamenta que las leyes hayan sido abrogadas en lugar de, simplemente, hacer reformas. Es decir, las leyes antes existentes fueron eliminadas por completo.

“Al haber abrogado la ley anterior deja sin efectos el reglamento y deja sin efectos los lineamientos del aviso de privacidad y cantidad de resoluciones que se estaban llevando con la ley que ya no existe. Y digamos, no es una ley novedosa o una ley actualizada. Encontramos muchas referencias en la ley que no corresponden y dejan fuera el tema de datos biométricos”, añade el abogado.

Ambos concuerdan en que sobre la marcha podrá evaluarse el desempeño de la Secretaría Anticorrupción y Buen Gobierno en la protección de datos personales para conocer cómo son los procesos.