Biometría en México ¿progreso digital o riesgo para la privacidad?
El gobierno impulsa la centralización de datos biométricos en México, pero expertos advierten sobre vulnerabilidades legales, técnicas y éticas.
La huella dactilar para entrar a un edificio, reconocimiento facial para abrir una app bancaria, el iris como requisito para emitir tu CURP, tus datos biométricos únicos e irrepetibles son la próxima llave de acceso para que el gobierno mexicano te identifique de forma más «segura». Sin embargo, el marco legal que debería protegerlos avanza lento dejando a millones de ciudadanos en una zona gris de riesgo, privacidad comprometida y consentimiento forzado.
“Los datos biométricos, a diferencia de otros, no pueden ser modificados si se ven comprometidos. El daño es irreversible”, comentó Guillermo Larrea, Partner Global Regulatory de Hogan Lovells, especialista en privacidad y ciberseguridad.
Las recientes reformas a la Ley General de Población, que hacen obligatorio el registro biométrico para obtener la CURP, representan solo un ejemplo de esta tendencia. El Registro Nacional de Población (RENAPO) se convertirá en una base centralizada de identidad biométrica lo que en teoría permitiría mayor control estatal, pero también implica nuevos y graves riesgos.
La norma exige que todas las dependencias que recopilen datos biométricos los transfieran al RENAPO, esta concentración genera una base centralizada de altísimo valor… también para los ciberatacantes.
“Todos conocemos que las dependencias públicas han sido atacadas en los últimos años. ¿Qué garantías tenemos de que no suceda lo mismo con estos datos tan sensibles?”, cuestiona Larrea. “Convertir la biometría en requisito para pagar impuestos, obtener licencias o identificarse ante autoridades sin alternativas, implica exponer a los ciudadanos a riesgos éticos, legales y de seguridad”.
De acuerdo con la firma de ciberseguridad Surfshark, México fue el cuarto país con más filtraciones de datos a nivel mundial en 2023, con más de 20 millones de registros comprometidos. Por su parte, el Reporte de Amenazas Cibernéticas 2024 de Fortinet reveló que nuestro país enfrentó más de 187 mil millones de intentos de ciberataques solo en el último año.
A esto se suma la inquietud de organizaciones civiles como R3D, que recientemente calificaron al nuevo CURP biométrico como una “vulneración a la privacidad”, aunque desde el gobierno se define como un paso hacia la modernización del sistema de identidad, expertos alertan que el problema no es la tecnología, sino el cómo se implementa.
México cuenta con leyes de protección de datos tanto para el sector público como el privado. Pero ambas están desactualizadas frente a los estándares internacionales. En Europa, por ejemplo, el Reglamento General de Protección de Datos (GDPR) exige evaluaciones de impacto, consentimiento voluntario y alternativas no invasivas.
“Nuestra legislación no entra en ese nivel de detalle”, señala Larrea. “No se desarrollan conceptos clave como la evaluación de impacto para biometría, ni se exige que haya formas alternativas de verificación”.
Esto significa que empresas o instituciones públicas pueden solicitar tu rostro e iris incluso para procesos de bajo riesgo, sin rendir cuentas claras sobre el porqué o el para qué.
Uno de los principios básicos del tratamiento de datos es el consentimiento informado. Pero cuando sólo se puede acceder a un trámite entregando un dato biométrico como tu rostro o huella el consentimiento deja de ser libre.
“Eso puede constituir un consentimiento forzado o viciado, lo cual puede ser ilícito”, advierte Larrea. “Además, muchas veces no existen alternativas para quienes no quieren entregar su biometría. Eso es problemático y puede derivar incluso en discriminación estructural o exclusión social”.
¿Y el futuro de la biometría?
Más allá de los riesgos actuales, también está la pregunta sobre el rumbo que tomará esta tecnología. ¿Se convertirá en el nuevo pasaporte para todo tipo de servicio, desde salud hasta educación?
“Creo que falta ver cómo se dan las implementaciones y cómo eso se traduce en el día a día”, reflexiona Larrea. “Entiendo por qué se busca recurrir a la biometría: vivimos un momento donde cuesta confiar en lo que vemos en línea. Por eso, usar datos físicos únicos puede parecer la solución”.
Sin embargo, advierte que el avance de la biometría debe ir acompañado de una estrategia clara de colaboración entre sector público y privado con el objetivo de proteger la privacidad y educar a los usuarios sobre los riesgos.
Además de la biometría, el país arrastra un rezago importante en regulación de identidad digital, la falta de un marco normativo robusto deja sin rumbo a empresas que buscan cumplir, pero no encuentran leyes claras.
“Definitivamente creo que el tema de la identidad digital seguirá creciendo, impulsado por los cambios tecnológicos y el acceso a herramientas que antes no teníamos, como la criptografía avanzada o, sin entrar en tecnicismos, las pruebas de cero conocimiento.”, aseguró Miguel Rocha, director regional para México, Centroamérica y el Caribe de Tools for Humanity .
El vocero destaca que tecnologías como la criptografía avanzada y las pruebas de cero conocimiento podrían ofrecer soluciones más seguras sin comprometer la privacidad. “Hoy tenemos herramientas que antes no teníamos, y estamos dispuestos a colaborar para que las autoridades las incorporen en futuros desarrollos”.
¿Cómo protegerse como ciudadano?
Frente a un ecosistema vulnerable, ¿qué puede hacer una persona común? Guillermo Larrea, Partner Global Regulatory de Hogan Lovells hay tres niveles de protección:
- Informarse: leer los avisos de privacidad, conocer qué datos se están recabando y con qué fines.
- Ejercer tus derechos: si detectas un uso desproporcionado de tu biometría, puedes presentar una queja por derechos ARCO ante las empresas o ante el INAI.
- Premiar el buen comportamiento digital: usar apps que sean transparentes con el uso de tus datos y evitar aquellas que no lo son.
Y si todo falla, también existen vías legales para reclamar daños morales cuando se vulnera la privacidad.
Para cerrar, Larrea señala que el equilibrio entre la innovación tecnológica y la protección de los derechos fundamentales depende de dos pilares; la privacidad por diseño, que implica incorporar desde el inicio de cualquier desarrollo tecnológico los principios legales y éticos; y las evaluaciones de impacto, que deben realizarse antes del lanzamiento de soluciones que utilicen datos biométricos con el fin de analizar a fondo sus posibles implicaciones y riesgos.
“Estas herramientas no están aún obligadas en México, pero podrían evitar muchos problemas”, concluye Larrea.
