¿Qué pasa si una ley cambia y no me doy cuenta?

El riesgo silencioso del desconocimiento normativo

En el ámbito regulatorio mexicano, la ignorancia de la ley no exime de su cumplimiento. Este principio, conocido como ignorantia juris non excusat, se encuentra implícito en el artículo 21 del Código Civil Federal, que establece que la ignorancia de las leyes no excusa su observancia. Sin embargo, el problema práctico no es filosófico sino operativo: las reformas normativas en México se publican en el Diario Oficial de la Federación (DOF) —el órgano oficial de difusión del Estado mexicano— y entran en vigor en los plazos que ellas mismas determinan, independientemente de que el particular afectado las haya leído o no.

Esto significa que una empresa o persona física puede estar operando en incumplimiento de una obligación legal sin saberlo, acumulando responsabilidades que se materializarán en el momento de una revisión, auditoría o controversia. El fenómeno se denomina incumplimiento normativo sobrevenido: aquel que surge no por una decisión consciente de infringir la ley, sino por el desfase entre la velocidad de reforma regulatoria y la capacidad de monitoreo del regulado.

Cómo y cuándo entra en vigor una reforma

Toda reforma legislativa en México sigue un ciclo formal: aprobación por el Poder Legislativo (o, en el caso de regulación secundaria, emisión por el Ejecutivo o el organismo regulador competente), publicación en el DOF y entrada en vigor. El artículo transitorio de cada decreto establece la vacatio legis —el período entre publicación y vigencia— que puede ser inmediata ("al día siguiente de su publicación"), diferida a una fecha específica, o condicionada a la emisión de disposiciones complementarias.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el DOF el 5 de julio de 2010, es un ejemplo paradigmático: su reglamento se emitió de forma separada en 2011, y los Lineamientos del Aviso de Privacidad —que precisan obligaciones operativas concretas— se publicaron en 2013. Un responsable que leyó la ley en 2010 pero no rastreó las disposiciones secundarias posteriores quedó en incumplimiento parcial sin advertirlo.

En sectores como comercio exterior, salud, medio ambiente o protección al consumidor, la cadencia de reforma puede ser mensual. El Reglamento de la Ley Aduanera y las Reglas Generales de Comercio Exterior (RGCE), por ejemplo, se modifican varias veces al año mediante resoluciones misceláneas publicadas en el DOF. No monitorearlas equivale, en la práctica, a operar sobre un mapa desactualizado.

Consecuencias jurídicas y operativas del incumplimiento sobrevenido

Las consecuencias de no detectar a tiempo un cambio normativo operan en tres planos simultáneos:

Plano sancionatorio. La autoridad competente puede imponer multas, suspensiones o, en casos graves, la cancelación de permisos o registros. En materia de datos personales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puede sancionar conforme a la LFPDPPP con multas que van, conforme a la legislación vigente, desde miles hasta millones de días de salario mínimo, según la gravedad y reincidencia.

Plano de responsabilidad civil. Un tercero que sufra daños derivados del incumplimiento normativo del responsable puede ejercer acción de daños y perjuicios. El hecho de que el infractor desconociera la reforma no atenúa su responsabilidad frente al afectado.

Plano reputacional y comercial. En contextos de licitaciones públicas, relaciones con socios internacionales o procesos de due diligence, el historial de infracciones normativas —incluso no intencionales— puede descalificar a una empresa de contratos, financiamientos o alianzas estratégicas.

Sectores con mayor densidad regulatoria en México

No todos los mercados presentan el mismo riesgo de incumplimiento sobrevenido. Los sectores con mayor volatilidad normativa son aquellos con regulación técnica o delegada: comercio exterior (SAT, SENASICA, COFEPRIS), protección de datos (INAI), telecomunicaciones (IFT), sector financiero (CNBV, CONDUSEF) y medio ambiente (SEMARNAT). En estos ámbitos, la regulación secundaria —reglamentos, normas oficiales mexicanas (NOM), circulares, reglas de carácter general— puede modificar obligaciones sustantivas sin que exista reforma a la ley primaria, lo que reduce la visibilidad del cambio para quienes solo monitorean el proceso legislativo formal.

Qué hacer: protocolo mínimo de vigilancia normativa

La gestión del riesgo regulatorio no requiere un departamento jurídico de gran escala, pero sí un protocolo sistemático. Los pasos accionables mínimos son:

• Mapear el universo regulatorio aplicable: identificar todas las leyes, reglamentos y normas que rigen las actividades de la organización, clasificados por autoridad emisora.
• Suscribirse a alertas del DOF: el portal oficial del DOF ofrece suscripción por correo electrónico a publicaciones diarias; configurar filtros por materia o dependencia emisora reduce el ruido.
• Establecer una revisión periódica calendarizada: al menos trimestral para sectores de baja volatilidad; mensual para comercio exterior, datos personales y salud.
• Designar un responsable de cumplimiento normativo (compliance officer): aunque sea una función compartida en organizaciones pequeñas, debe haber un punto de rendición de cuentas claro.
• Documentar el análisis de impacto de cada reforma: cuando se detecte un cambio, registrar por escrito qué procesos internos se ven afectados, qué ajustes se requieren y en qué plazo.
• Actualizar contratos, avisos y políticas internas: en materia de LFPDPPP, el aviso de privacidad debe reflejar en todo momento las prácticas reales de tratamiento de datos; cualquier cambio en la base legal o en las finalidades exige actualización y, en su caso, nueva obtención de consentimiento conforme a la ley vigente.
• Consultar asesoría especializada ante reformas de alto impacto: no toda reforma requiere opinión legal externa, pero las que modifican obligaciones sustantivas, plazos o sanciones sí merecen análisis profesional antes de implementar cambios.

La carga de la prueba en el incumplimiento

Un aspecto frecuentemente subestimado es que, ante un procedimiento sancionatorio, la carga de demostrar el cumplimiento recae sobre el regulado, no sobre la autoridad. Es el particular quien debe acreditar que sus procesos se ajustaban a la norma vigente al momento de los hechos. Sin registros actualizados, bitácoras de revisión normativa y evidencia documental de las adecuaciones realizadas, la defensa resulta estructuralmente débil, incluso cuando el incumplimiento fue involuntario.

El monitoreo normativo no es, por tanto, una buena práctica opcional: es el piso mínimo de diligencia que cualquier organización debe mantener para operar con certeza jurídica en México.

Glosario

• Ignorantia juris non excusat: principio jurídico que establece que el desconocimiento de la ley no exime de su cumplimiento ni de las consecuencias de su violación.
• Vacatio legis: período comprendido entre la publicación de una norma en el DOF y su entrada en vigor; durante este lapso la ley existe pero aún no es exigible.
• Incumplimiento normativo sobrevenido: situación en que una persona física o moral queda en infracción de una obligación legal como consecuencia de una reforma posterior al inicio de su actividad, sin haber modificado su conducta.
• Regulación secundaria: conjunto de reglamentos, normas oficiales, circulares y reglas de carácter general emitidas por el Ejecutivo o por organismos reguladores, que desarrollan y concretan las obligaciones establecidas en la ley primaria.
• Diario Oficial de la Federación (DOF): órgano oficial de difusión del Gobierno de México; la publicación en él otorga carácter oficial y presunción de conocimiento general a las normas.
• Compliance officer: responsable designado dentro de una organización para supervisar el cumplimiento de las obligaciones legales y normativas aplicables a sus operaciones.
• NOM (Norma Oficial Mexicana): disposición técnica de observancia obligatoria emitida por dependencias competentes; regula productos, procesos y servicios en materias de seguridad, salud, medio ambiente y otras.
• Due diligence: proceso de revisión exhaustiva de aspectos legales, financieros y operativos de una organización, típicamente realizado antes de una inversión, adquisición o alianza comercial.

Referencias

• Código Civil Federal. (2021). Artículo 21. Diario Oficial de la Federación. Gobierno de México.
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares [LFPDPPP]. (2010, 5 de julio). Diario Oficial de la Federación. Gobierno de México.
• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2011, 21 de diciembre). Diario Oficial de la Federación. Gobierno de México.
• Lineamientos del Aviso de Privacidad. (2013, 17 de enero). Diario Oficial de la Federación. Instituto Federal de Acceso a la Información y Protección de Datos.
• Ley Aduanera y su Reglamento. Texto vigente consolidado. Diario Oficial de la Federación. Gobierno de México.
• Servicio de Administración Tributaria [SAT]. Resolución Miscelánea Fiscal y Reglas Generales de Comercio Exterior. Publicaciones anuales y sus modificaciones. Diario Oficial de la Federación.