La protección de datos personales en México es un derecho joven: su reconocimiento constitucional pleno data apenas de 2009. Esta corta trayectoria explica que las instituciones creadas para tutelarlo aún se encuentren en fase de consolidación, mientras el país experimenta una agenda insistente por centralizar información sensible bajo argumentos de seguridad pública y eficiencia administrativa. Iniciativas como la Cédula de Identidad Ciudadana (2011), el Registro Nacional de Usuarios de Telefonía Móvil (2012) y el Padrón Nacional de Usuarios de Telefonía Móvil (2021) pusieron a prueba los límites del sistema de protección. Hoy la Clave Única de Registro de Población (CURP) biométrica, aprobada hace unos días, somete al sistema de garantías al ácido cuando han suprimido al INAI y el Poder Judicial Federal se encuentra en renovación. ¿Nos quedará algo de lo construido?
De 2009 a 2012 el país pasó de la mera proclamación constitucional del derecho a la privacidad y protección de datos a los primeros mecanismos efectivos frente a iniciativas de vigilancia. El Instituto Federal de Acceso a la Información (IFAI), entonces órgano desconcentrado con autonomía operativa, técnica y presupuestal utilizó los principios de proporcionalidad y la necesidad de existencia previa al proyecto de una Evaluación de Impacto, para detener la Cédula de Identidad Ciudadana porque pretendía capturar biometría de iris sin una evaluación de impacto previa. Poco después, la filtración masiva del RENAUT confirmó que centralizar datos sin salvaguardas erosiona la confianza pública.
Entre 2013 y 2022 se consolidó un andamiaje normativo y jurisdiccional que colocó al ya autónomo INAI en el centro del contrapeso institucional. La reforma de 2014 le otorgó legitimación activa para promover acciones de inconstitucionalidad y, en 2017, la LGPDPPSO convirtió la Evaluación de Impacto en Protección de Datos (EIPD) en requisito obligatorio para cualquier proyecto que implique tratamiento intensivo o relevante. Ese entramado fue decisivo en el caso del Padrón Nacional de Usuarios de Telefonía Móvil: al exigir registros biométricos y geolocalización de cada línea, la reforma de 2021 desbordó los principios de proporcionalidad y minimización. Las acciones de inconstitucionalidad 82/2021 y 86/2021 culminaron en una sentencia del 26 de abril de 2022, en la que la Suprema Corte –por nueve votos– declaró la inconstitucionalidad de la medida y reiteró que la seguridad pública no justifica por sí misma la recolección masiva de datos sensibles.
El equilibrio alcanzado se rompió en diciembre de 2024, cuando el Congreso eliminó al INAI y distribuyó sus funciones entre la Secretaría Anticorrupción y de Buen Gobierno (SABG) y Transparencia para el Pueblo (TPP). En ese contexto, se eligió a una nueva integración del Poder Judicial de la Federación, incluyendo la renovación de cinco ministras y ministros de la Suprema Corte, lo que anticipa posibles virajes jurisprudenciales en materia de proporcionalidad, privacidad y vigilancia estatal.
Como una extraña respuesta a la presión de los colectivos de personas buscadoras, por el desastre en la búsqueda e identificación forense, el Ejecutivo impulsó y el Legislativo aprobó la conversión de la CURP en identificador biométrico obligatorio. El Senado avaló la reforma a la Ley General de Población el 27 de junio de 2025 y la Cámara de Diputados la ratificó tres días después mediante trámite abreviado y lo envió al Ejecutivo.
El punto más polémico es la transformación de la CURP en un identificador biométrico obligatorio, al incorporar huellas dactilares, fotografía facial y otros datos como requisito para realizar todos los trámites públicos y privados. A pesar de la envergadura del cambio, el dictamen omitió por completo la obligación de realizar una Evaluación de Impacto en Protección de Datos (EIPD), violando lo establecido en la LGPDPPSO. Senadores como Néstor Camarillo (PRI) votaron en contra y advirtieron en su voto particular que esta reforma representa una regresión en materia de derechos humanos y coloca al país en incumplimiento de tratados internacionales, pues carece de controles externos e independientes, plazos de conservación definidos, segmentación de finalidades y mecanismos robustos de rendición de cuentas. La rapidez del trámite legislativo, la concentración de funciones en órganos del Ejecutivo y la falta de debate técnico alimentan la percepción de una decisión precipitada que podría facilitar prácticas de vigilancia masiva, discriminación y vulneración del principio de autodeterminación informativa.
Ahora bien, pese a la desaparición del órgano garante autónomo, persisten mecanismos normativos que, al menos en el papel, permiten a la ciudadanía y a otros actores institucionales ejercer defensa frente a posibles excesos del nuevo sistema de bases biométricas. El artículo 1 constitucional impone a todas las autoridades la obligación de promover, respetar, proteger y garantizar los derechos humanos, lo que habilita acciones legales incluso en ausencia de un órgano garante autónomo. Una tercera parte de cualquiera de las Cámaras o la CNDH pueden promover acciones de inconstitucionalidad ante la Suprema Corte; las personas afectadas conservan la vía del amparo, tanto individual como colectivo; la omisión de la EIPD puede impugnarse como violación directa de la LGPDPPSO; y la propia SABG, aunque parte interesada, está obligada a verificar de oficio que el sistema sea compatible con los principios de minimización, finalidad y proporcionalidad.
Sin embargo, el alcance real de estos mecanismos está condicionado por el nuevo contexto político e institucional. Las mayorías camerales actuales y la ausencia de órganos garantes de derechos humanos efectivos no son prometedores. Adicionalmente, el horizonte de la reconfiguración del Poder Judicial de la Federación, con la elección de las ministras y ministros de la Suprema Corte (entre otros cargos) introduce incertidumbre sobre la continuidad de los criterios jurisprudenciales que en el pasado invalidaron medidas de vigilancia desproporcionadas. Si el nuevo tribunal opta por una lectura deferente hacia el Ejecutivo o por reinterpretaciones menos garantistas del principio de proporcionalidad, estas rutas legales podrían volverse ineficaces en la práctica.
Desde otra perspectiva, México ha asumido compromisos jurídicamente vinculantes y políticamente exigibles que establecen estándares mínimos de protección de datos personales. La Convención 108+ del Consejo de Europa exige la existencia de autoridades independientes y funciones de supervisión autónomas; el T-MEC y el TLCUEM prevén marcos normativos coherentes que garanticen la protección de los datos frente a usos indebidos y requieren que cualquier transferencia internacional esté sujeta a salvaguardas equiparables al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La desaparición del INAI y la concentración funcional en dependencias del Ejecutivo federal contradicen estos estándares, lo que podría ser considerado como una regresión normativa. Las consecuencias incluyen la apertura de paneles de controversia en materia comercial, la suspensión o limitación del flujo transfronterizo de datos personales desde jurisdicciones que consideran insuficiente la protección mexicana, y el inicio de procedimientos ante mecanismos internacionales de derechos humanos, incluyendo el Sistema Interamericano. Frente a esta configuración, el fortalecimiento de los contrapesos internos no sólo es una necesidad constitucional, sino una exigencia derivada del derecho internacional vigente.
La concentración de los biométricos de más de 130 millones de personas en una base única representa un punto único de fallo tanto para la seguridad nacional como para los derechos fundamentales. Para contener los riesgos se requieren, al menos, medidas de minimización y compartimentación, técnicas de seguridad y trazabilidad, plazos de conservación y auditorías de ciberseguridad independientes, así como un ente consultivo con participación de academia y sociedad civil. Como hemos visto existen nuevos sujetos responsables de garantizar el derecho a la protección de datos personales en México —Poder Ejecutivo, Legislativo, Judicial, órganos administrativos e incluso organismos internacionales— y hemos constatado que, al menos en esta etapa inicial de implementación del sistema todos ellos están fallando la prueba del ácido en cuanto a prevención, vigilancia y contención de riesgos. Las leyes permiten rutas institucionales de defensa, pero su eficacia está por probarse. La puerta no está cerrada: estos actores aún pueden corregir el rumbo y reivindicar los principios constitucionales que han jurado proteger. La CURP biométrica es una advertencia y, a la vez, una oportunidad crítica para demostrar si el Estado mexicano puede o no estar a la altura de los estándares que ha suscrito. También puede ser el canario que nos indique si el oxígeno de la garantía del derecho a la protección de datos se ha terminado.
- El día de ayer, 16 de julio de 2025 fue publicada en el Diario Oficial de la Federación en su edición vespertina el Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, así como de la Ley General de Población, en materia de fortalecimiento de búsqueda, localización e identificación de personas desaparecidas.
Malas noticias para el canario.
Jesús Eulises González Mejía
Técnico Académico, Línea de Investigación en Derecho e Inteligencia Artificial, IIJ-UNAM