A raíz de la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), las atribuciones en materia de protección de datos personales han sido asumidas por la Secretaría Anticorrupción y Buen Gobierno, una instancia dependiente del Poder Ejecutivo que no cuenta con autonomía presupuestaria ni operativa.
La transición se concretó el 20 de marzo de 2025, tras la aprobación en el Senado de un nuevo paquete legislativo que también incluye cambios en la vigilancia gubernamental, como el uso de geolocalización en tiempo real y la incorporación de datos biométricos en la Clave Única de Registro de Población (CURP), sin que se establecieran nuevos mecanismos de control o salvaguardas.
Las leyes promulgadas contemplan dos vertientes: una Ley General para los datos personales en posesión de entes públicos, conocidos como “sujetos obligados”, y otra Ley Federal para el manejo de información privada por parte de particulares. No obstante, especialistas advierten que ambas normativas son prácticamente idénticas a las anteriores, con la única diferencia de que sustituyen al INAI por la nueva Secretaría, y sin actualizarse en temas clave como inteligencia artificial o redes sociales.
Pese al anuncio oficial de que la Secretaría estaba lista para asumir las tareas del INAI, los reglamentos y lineamientos generales que deberían normar el tratamiento de los datos personales no fueron publicados en los 90 días posteriores, como establecía la ley. Esta omisión ha provocado un vacío normativo que genera incertidumbre sobre la aplicación efectiva de las nuevas disposiciones.
Además de la Secretaría Anticorrupción y Buen Gobierno, otras instancias ejercerán funciones específicas según el ámbito: los órganos internos de control del Poder Judicial y de instituciones autónomas como el INE o el Inegi; las contralorías del Congreso; y los entes equivalentes en las entidades federativas.
En términos prácticos, las personas deberán presentar sus solicitudes de protección de datos ante la institución que trata su información. Solo si no encuentran respuesta adecuada, podrán acudir a la unidad especializada dentro de la Secretaría Anticorrupción y Buen Gobierno, que también tendrá atribuciones para imponer sanciones, incluidas multas e incluso penas de prisión en casos graves de vulneración de datos sensibles.
A pesar de que el nuevo marco legal ya está vigente, queda pendiente la publicación del reglamento que definirá los procedimientos, plazos y sanciones concretas, lo cual impide, de momento, una aplicación efectiva de los derechos de acceso, rectificación, cancelación y oposición (ARCO) que rigen el tratamiento de datos personales.
La desaparición del INAI ha dejado a México sin una institución autónoma garante en esta materia, lo que representa un retroceso en la tutela de derechos fundamentales vinculados con la privacidad, advirtieron diversos expertos.