Qué pasó, en una frase
El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que entró en vigor al día siguiente y sustituyó a la ley de 2010.
El cambio de fondo no es solo el texto: también se disolvió el INAI y la vigilancia de datos personales pasó a la Secretaría Anticorrupción y Buen Gobierno, un órgano que depende del Ejecutivo. Cambia quién puede sancionar y ante quién responde tu negocio.
Por qué te toca aunque no seas una 'empresa de datos'
La nueva ley amplió quién cuenta como responsable del tratamiento: cualquier persona física o moral que trate datos personales, sin necesidad de que decida sobre ese tratamiento. En la práctica, entran también los que solo procesan datos por encargo.
Traducción para un negocio local: si guardas teléfonos y nombres de clientes en un CRM, si un chatbot de WhatsApp pide datos para agendar, o si mandas la conversación a una herramienta de IA para responder, estás tratando datos personales. La obligación no es solo de las grandes empresas.
Los cuatro cambios que más pegan a un negocio con IA
No es un repaso completo de la ley; son los puntos que más aparecen cuando automatizas atención y ventas:
- Consentimiento libre, específico e informado. El cliente debe saber para qué usas sus datos. La ley mantiene, como regla general, que el consentimiento tácito puede ser válido, pero eso no te exime de informar con claridad.
- Aviso de privacidad más exigente. El aviso simplificado ahora debe incluir identidad y domicilio del responsable, qué datos tratas (marcando los sensibles), para qué, cuáles usos requieren consentimiento y dónde consultar el aviso completo.
- Fuente de acceso público, redefinida. Solo cuentan como públicas las bases que por ley se pueden consultar sin impedimento; queda fuera lo obtenido de forma ilícita. Comprar o raspar listas de contactos es terreno resbaladizo.
- Nueva autoridad. Las quejas y sanciones ya no pasan por el INAI, sino por la Secretaría Anticorrupción y Buen Gobierno.
IA generativa: cinco focos prácticos
Usar IA para atender clientes es válido y útil. El riesgo aparece en cómo fluyen los datos. Estos cinco puntos evitan la mayoría de los problemas:
- No pegues datos personales de clientes en herramientas públicas de IA sin una base legal y sin saber cómo tratan esa información.
- Pon el consentimiento dentro del flujo: que el chatbot avise para qué pide los datos antes de pedirlos.
- Enlaza tu aviso de privacidad donde el cliente entrega datos: WhatsApp, formularios del sitio, landing de contacto.
- Minimiza. Pide solo los datos que de verdad necesitas para responder o agendar, no todo 'por si acaso'.
- Deja por escrito el trato con tus proveedores. Si un tercero procesa datos de tus clientes (CRM, plataforma de mensajería, herramienta de IA), esa relación de encargo debe estar clara.
Checklist rápido antes de automatizar con IA
- ¿Tienes un aviso de privacidad actualizado y accesible?
- ¿El cliente sabe para qué pides sus datos, en el momento en que los pide?
- ¿Guardas solo los datos necesarios y por el tiempo necesario?
- ¿Sabes qué herramientas externas ven los datos de tus clientes?
- ¿Tienes claro cómo atender una solicitud de acceso, rectificación o cancelación?
Este artículo es informativo y no constituye asesoría legal. Para el caso concreto de tu negocio conviene revisar el texto vigente de la ley y, si aplica, consultar a un especialista.