,

La CURP Biométrica en México: Un desafío constitucional a la privacidad y los derechos humanos.

Gemini Generated Image 4outvk4outvk4out

La CURP Biométrica en México:

Un Desafío Constitucional a la Privacidad y los Derechos Humanos

Parte I: La Génesis y Arquitectura de un Nuevo Sistema Nacional de Identidad

La reciente reforma para implementar una Clave Única de Registro de Población (CURP) con datos biométricos representa una de las transformaciones más significativas y controvertidas del sistema de identificación ciudadana en la historia moderna de México. Lo que comenzó como una clave administrativa para fines fiscales y de registro poblacional ha sido rediseñado para convertirse en un documento de identidad nacional de carácter obligatorio, sustentado en una base de datos centralizada que albergará los datos biométricos más sensibles de toda la población. Este capítulo detalla la arquitectura de este nuevo sistema y analiza la narrativa oficial con la que el Estado ha justificado su implementación, sentando las bases para el análisis jurídico y de derechos humanos que se desarrollará en las secciones posteriores.

Sección 1.1: De Clave Administrativa a Mandato Biométrico

La evolución de la CURP desde su concepción original hasta su actual encarnación biométrica marca un cambio cualitativo fundamental en la relación entre el ciudadano y el Estado. La reforma, promulgada tras su aprobación en el Congreso en 2025, establece un nuevo paradigma de identidad digital y física que redefine el alcance de la recolección de datos por parte del gobierno.1

La nueva CURP biométrica contendrá, además de los datos personales ya conocidos como nombre completo, fecha y lugar de nacimiento, nacionalidad y género, un conjunto de identificadores biométricos de alta sensibilidad. Estos incluyen una fotografía digital del titular, las huellas dactilares de las dos manos (presumiblemente los diez dedos), y el escaneo del iris de ambos ojos.3 La inclusión del iris, un identificador biométrico extremadamente preciso y estable, junto con el registro dactilar completo, representa una recolección de datos que excede con creces la necesaria para una simple verificación de identidad en la mayoría de los contextos civiles.

Este nuevo documento de identidad se expedirá en dos formatos complementarios: una versión física, similar a una tarjeta de identificación, y una versión digital.3 La gestión de la versión digital ha sido encomendada a la recién creada Agencia de Transformación Digital y Telecomunicaciones, y está diseñada explícitamente para ser el método de validación y autenticación de la identidad de las personas en medios digitales.4 Esto crea un vínculo directo e indisoluble entre la identidad biológica de una persona y su rastro de actividades en el entorno digital, desde transacciones bancarias hasta interacciones con servicios gubernamentales.

El cronograma de implementación es notablemente agresivo. Tras la aprobación de la reforma, se iniciaron pruebas piloto en julio de 2025 en varios municipios, incluyendo localidades en Veracruz, la Ciudad de México y el Estado de México.5 El plan gubernamental establece que para febrero de 2026, todos los módulos de registro del país, principalmente en las oficinas del Registro Civil, deberán estar habilitados para emitir la CURP biométrica.4 A partir de esa fecha, la versión convencional de la CURP dejará de ser aceptada para trámites y servicios que requieran identificación, consolidando la obligatoriedad del nuevo sistema.4

Este último punto revela una de las tensiones centrales del proyecto. Aunque algunos funcionarios gubernamentales han sugerido que el trámite para obtener la CURP biométrica no será “forzoso” 5, la legislación modificada establece inequívocamente su carácter obligatorio en la práctica. La ley estipula que la CURP biométrica será un requisito indispensable para una lista exhaustiva de actividades tanto en el sector público como en el privado. Esto abarca el acceso a programas sociales, la realización de trámites bancarios y migratorios, la inscripción en instituciones educativas de todos los niveles y el acceso a servicios de salud.3 Esta arquitectura legal crea una situación de obligatoriedad de facto: los ciudadanos se verán forzados a entregar sus datos biométricos para poder ejercer derechos fundamentales y participar en la vida económica y social del país. Este diseño de “consentimiento coaccionado” es un punto crítico de conflicto con los principios de protección de datos personales, que exigen que el consentimiento sea, ante todo, libre.

Sección 1.2: La Justificación Declarada: Seguridad, Modernización y la Búsqueda de los Desaparecidos

El gobierno mexicano ha articulado una narrativa pública robusta para justificar la implementación de un sistema de identificación tan invasivo, centrada en tres pilares: la seguridad nacional, la modernización del Estado y, de manera prominente, la crisis humanitaria de las desapariciones forzadas.

El argumento principal es que la CURP biométrica es una herramienta indispensable para fortalecer la seguridad nacional. Se ha promovido como un instrumento para combatir con mayor eficacia al crimen organizado, el tráfico de personas y el robo de identidad.5 Esta narrativa de seguridad busca posicionar el sistema como una respuesta necesaria a los altos índices de criminalidad que aquejan al país.

El pilar más destacado y políticamente potente de la justificación gubernamental es la vinculación de la CURP biométrica con la búsqueda de personas desaparecidas, una de las tragedias más profundas de México. La reforma crea la “Plataforma Única de Identidad”, una base de datos centralizada que permitirá cruzar la información de la CURP con un vasto ecosistema de registros públicos y privados en tiempo real.1 Esta plataforma se interconectará con el Registro Nacional de Personas Desaparecidas, el Banco Nacional de Datos Forenses y otras bases de datos administrativas.2 La lógica operativa es que si una persona reportada como desaparecida utiliza su CURP para cualquier trámite, como recibir atención en una clínica de salud, se generará una alerta inmediata para las autoridades de búsqueda.11

Esta justificación ha logrado un respaldo significativo y controvertido: el de la Comisión Nacional de los Derechos Humanos (CNDH). La CNDH ha celebrado públicamente la reforma, describiéndola como un “paso importante” y una herramienta que permitirá búsquedas en tiempo real, reflejando el trabajo conjunto con familias de víctimas.11 Este aval por parte del ombudsman nacional ha otorgado una poderosa legitimidad al proyecto, enmarcando un sistema de recolección masiva de datos como una medida pro-derechos humanos. Sin embargo, este posicionamiento ha generado una profunda fractura en el frente de los derechos humanos, como se analizará más adelante, ya que otras organizaciones y colectivos de víctimas ven la medida con escepticismo y temor, considerándola un pretexto para la vigilancia masiva que no resolverá los casos de larga data.14 El aprovechamiento de una crisis nacional legítima y dolorosa para impulsar una infraestructura de vigilancia contenciosa es una estrategia que merece un escrutinio crítico, pues sugiere que la solución tecnológica propuesta podría tener fines que van más allá de su justificación humanitaria.

Finalmente, el gobierno ha presentado la CURP biométrica como un pilar de la modernización administrativa y la lucha contra la corrupción. La digitalización de trámites a través de la CURP como identificador único, argumentan sus defensores, simplificará los procesos burocráticos, reducirá la necesidad de documentos físicos y disminuirá las oportunidades de corrupción que surgen en las interacciones directas entre ciudadanos y funcionarios en las ventanillas gubernamentales.7

Parte II: La Colisión del Poder Estatal y los Derechos Fundamentales

La implementación de la CURP biométrica no ocurre en un vacío legal. Por el contrario, colisiona directamente con un robusto marco jurídico de protección de derechos humanos, tanto a nivel constitucional como en la legislación secundaria y los tratados internacionales suscritos por México. Este capítulo realiza un análisis jurídico riguroso de esta confrontación, evaluando la compatibilidad de la reforma con los principios fundamentales de privacidad, autodeterminación informativa y protección de datos personales. La evidencia sugiere que la CURP biométrica, en su diseño actual, es incompatible con estas normas y desconoce importantes precedentes de la Suprema Corte de Justicia de la Nación.

Sección 2.1: El Desafío Constitucional: Privacidad y Autodeterminación Informativa bajo los Artículos 6 y 16

La Constitución Política de los Estados Unidos Mexicanos establece un escudo de protección para los derechos a la privacidad y a la protección de datos personales, principalmente en sus artículos 6 y 16. La reforma de la CURP biométrica pone a prueba la solidez de estas garantías constitucionales.17

El artículo 16 constitucional protege a toda persona de ser “molestada” en su persona, familia, domicilio, papeles o posesiones, salvo mediante mandamiento escrito de autoridad competente que funde y motive la causa legal del procedimiento.18 La recolección obligatoria de datos biométricos únicos e inmutables, como las huellas dactilares y el iris de toda la población, para almacenarlos en una base de datos centralizada, constituye una “molestia” o una injerencia de una intensidad sin precedentes en la esfera más íntima de la persona. Para ser constitucionalmente válida, esta injerencia debe superar un estricto test de proporcionalidad. Esto significa que el Estado debe demostrar que la medida persigue un fin constitucionalmente legítimo, que es idónea y necesaria para alcanzar dicho fin (es decir, que no existen medidas alternativas menos lesivas para los derechos) y que el grado de afectación al derecho no es desproporcionado en relación con la importancia del fin perseguido. Como se argumentará, el Estado no ha justificado adecuadamente por qué una base de datos biométrica masiva y centralizada es la única o la mejor manera de alcanzar sus objetivos declarados, ignorando alternativas que preservarían mejor la privacidad.

Por su parte, el artículo 6, apartado A, fracción II, de la Constitución reconoce explícitamente el derecho a la protección de los datos personales y garantiza los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).17 La arquitectura de la CURP biométrica plantea serias dudas sobre la viabilidad de ejercer estos derechos. En un sistema centralizado y controlado por el Estado, donde la identidad biométrica es la llave de acceso a todos los servicios, ¿cómo puede un ciudadano ejercer eficazmente su derecho de oposición al tratamiento de sus datos o solicitar su cancelación? La naturaleza permanente de los datos biométricos y la obligatoriedad de facto del sistema vacían de contenido práctico estos derechos constitucionales. El diseño del sistema parece priorizar la capacidad de vigilancia del Estado sobre el derecho del individuo a controlar su propia información.

Sección 2.2: Un Desafío a las Protecciones Legales: La Ley General de Protección de Datos Personales (LGPDPPSO)

Más allá del marco constitucional, la CURP biométrica entra en conflicto directo con las disposiciones específicas de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la legislación que regula cómo las entidades gubernamentales deben tratar la información de los ciudadanos.19

En primer lugar, la LGPDPPSO clasifica explícitamente los datos biométricos como “datos personales sensibles”.20 Esta categoría recibe el más alto nivel de protección bajo la ley, debido a que su uso indebido puede dar origen a discriminación o conllevar un riesgo grave para el titular. La regla general, establecida en el artículo 7 de la ley, es que los datos sensibles no pueden ser tratados “salvo que se cuente con el consentimiento expreso y por escrito del titular”.20 El sistema de la CURP, al condicionar el acceso a derechos y servicios básicos a la entrega de estos datos, pervierte la naturaleza del consentimiento, transformándolo de un acto voluntario a una exigencia ineludible.

En segundo lugar, la LGPDPPSO establece en su artículo 14 que el consentimiento debe ser “libre, específico e informado”.20 Como se ha establecido, el consentimiento para la CURP biométrica no puede considerarse “libre” cuando la alternativa es la exclusión de la vida social y económica.2 Tampoco cumple con el principio de “especificidad”, ya que los datos se recaban para una multiplicidad de fines indeterminados, desde la inscripción escolar hasta la seguridad nacional, lo que abre la puerta a la “deriva de funciones” (function creep), una práctica que la ley busca evitar.

En tercer lugar, la reforma viola flagrantemente los principios de minimización de datos y limitación de la finalidad, consagrados en el artículo 19 de la LGPDPPSO. Este principio exige que el responsable del tratamiento (el gobierno) solo recabe los datos que sean “adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento”.20 La recolección del iris y de las diez huellas dactilares de cada ciudadano, desde la infancia, para fines tan dispares y cotidianos como un trámite bancario o el acceso a un programa social, es manifiestamente excesiva. El sistema no está diseñado para minimizar la recolección de datos, sino para maximizarla, creando un registro exhaustivo de la población.

Finalmente, la ley exige en su artículo 20 la implementación de medidas de seguridad administrativas, físicas y técnicas robustas para proteger los datos.20 La historia de México está marcada por graves vulneraciones de seguridad y filtraciones de bases de datos gubernamentales, incluyendo la del padrón electoral.24 La creación de una base de datos única y centralizada con la información biométrica de más de 130 millones de personas crea un “panal” (

honeypot) de un valor incalculable para el crimen organizado y actores estatales extranjeros, representando un riesgo de seguridad catastrófico que el Estado no ha abordado de manera convincente.25

A continuación, la Tabla 1 resume el análisis de la (in)compatibilidad de la CURP biométrica con los principios jurídicos clave.

Tabla 1: Análisis de la Conformidad de la CURP Biométrica con Principios Jurídicos Clave

Principio Jurídico Requisito Constitucional y de la LGPDPPSO Estándar del Convenio 108 Disposición de la CURP Biométrica y Análisis de (In)conformidad
Consentimiento Debe ser libre, específico, informado y, para datos sensibles, expreso y por escrito. 20 El tratamiento debe basarse en el consentimiento de la persona afectada o en otro fundamento legítimo previsto por la ley. 27 No Conforme. El uso obligatorio para todos los servicios públicos y privados hace que el consentimiento sea coaccionado, no libre, violando la LGPDPPSO y el espíritu del Convenio 108.
Proporcionalidad Toda injerencia en los derechos debe ser necesaria y proporcional al fin legítimo perseguido. 18 La injerencia debe ser una medida necesaria en una sociedad democrática para un fin legítimo. 27 No Conforme. La recolección masiva de datos biométricos de toda la población es desproporcionada para fines administrativos y no se ha demostrado que sea la medida menos intrusiva.
Limitación de la Finalidad Los datos deben ser tratados para finalidades concretas, explícitas y legítimas. 20 Los datos deben ser recogidos para finalidades determinadas, explícitas y legítimas, y no ser utilizados de manera incompatible. 27 No Conforme. El sistema está diseñado para una multiplicidad de fines (civiles, de seguridad, de salud), lo que contraviene la limitación de la finalidad y fomenta la deriva de funciones.
Minimización de Datos El tratamiento debe limitarse a los datos estrictamente necesarios para la finalidad. 20 Los datos deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se registran. 27 No Conforme. La recolección de diez huellas dactilares y escaneo de iris para todos los ciudadanos es excesiva para la mayoría de los trámites cotidianos.
Seguridad Se deben establecer y mantener medidas de seguridad robustas para proteger los datos contra acceso o tratamiento no autorizado. 20 Se deben tomar medidas de seguridad apropiadas para la protección de los datos. 27 Riesgo Elevado. La creación de una base de datos centralizada (“honeypot”) con datos biométricos inmutables aumenta exponencialmente el riesgo de una vulneración con consecuencias permanentes e irreparables.
Supervisión Independiente El INAI (ahora disuelto) fue el órgano garante autónomo. 28 El Protocolo Adicional exige una autoridad supervisora independiente para garantizar el cumplimiento. 29 No Conforme. La disolución del INAI y el respaldo de la CNDH al proyecto eliminan la supervisión autónoma y efectiva que exige el estándar internacional.

Sección 2.3: Obligaciones Internacionales: Los Compromisos de México bajo el Convenio 108

La inconstitucionalidad de la CURP biométrica se ve reforzada por el incumplimiento de las obligaciones internacionales de México, en particular las derivadas del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, conocido como Convenio 108 del Consejo de Europa, y su Protocolo Adicional. México ratificó estos instrumentos en 2018, por lo que sus disposiciones son legalmente vinculantes para el Estado mexicano.29

El Convenio 108 establece los principios fundamentales que deben regir el tratamiento de datos personales, incluyendo la calidad de los datos, la especificación de la finalidad, la seguridad y la existencia de garantías adecuadas para los individuos.27 Su artículo 9 estipula que las excepciones al derecho a la protección de datos solo son admisibles si están previstas por la ley y constituyen una medida “necesaria en una sociedad democrática” para la protección de la seguridad del Estado, la seguridad pública, los intereses monetarios del Estado o la represión de infracciones penales, o para la protección del interesado o de los derechos y libertades de otras personas. La CURP biométrica, con su alcance universal y su recolección masiva de datos para fines administrativos ordinarios, difícilmente puede justificarse como una medida “necesaria en una sociedad democrática” bajo este estricto estándar.

Además, la práctica y la doctrina europeas en materia de protección de datos, desarrolladas a la luz del Convenio 108 y del Reglamento General de Protección de Datos (RGPD), han mostrado una clara preferencia por modelos de identidad digital descentralizados. Las autoridades de protección de datos europeas han advertido repetidamente contra los peligros de las bases de datos biométricas centralizadas, abogando por soluciones donde el control de los datos permanece en manos del usuario, por ejemplo, almacenados en un chip seguro en una tarjeta inteligente (un enfoque conocido como match-on-card).32 El modelo mexicano, que centraliza toda la información en servidores gubernamentales, es la antítesis de esta buena práctica internacional y maximiza los riesgos para la privacidad y la seguridad.

Quizás la violación más flagrante del marco del Convenio 108 es la ausencia de una supervisión independiente y efectiva. El Protocolo Adicional al Convenio exige que cada Estado Parte establezca una o más autoridades supervisoras independientes encargadas de garantizar el cumplimiento de los principios de protección de datos.29 En México, esta función era desempeñada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Sin embargo, el INAI fue disuelto por el gobierno actual en un acto que eliminó al principal contrapeso institucional en esta materia.34 Que la CNDH, el otro organismo de derechos humanos, haya apoyado activamente la reforma 11, deja al país sin el mecanismo de supervisión autónomo y crítico que sus compromisos internacionales le exigen. Este desmantelamiento institucional no es una coincidencia, sino un prerrequisito para poder implementar un sistema que, de otro modo, enfrentaría una oposición institucional insuperable.

Sección 2.4: La Sombra del Precedente: La Invalidación del PANAUT por la Suprema Corte

El argumento más contundente contra la constitucionalidad de la CURP biométrica proviene del propio Poder Judicial de la Federación. En 2022, el Pleno de la Suprema Corte de Justicia de la Nación (SCJN), al resolver la Acción de Inconstitucionalidad 82/2021, invalidó el Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT).35 El PANAUT era un registro obligatorio que exigía a todos los usuarios de telefonía móvil en México proporcionar sus datos personales y biométricos al gobierno como condición para tener una línea telefónica.

El razonamiento de la SCJN en ese caso es directamente aplicable y aún más pertinente para la CURP biométrica. La Corte determinó que el PANAUT constituía una injerencia “intensa” en el derecho a la privacidad y a la protección de datos personales. Aplicando un test de proporcionalidad, los ministros concluyeron que la medida no era ni idónea ni necesaria para lograr su supuesto fin de combatir la delincuencia, y que el riesgo de que el gobierno utilizara esos datos para vigilar a personas, periodistas y opositores “más allá de cualquier interés legítimo” era inaceptablemente alto.35 La Corte invalidó el padrón por considerarlo una medida desproporcionada que vulneraba los derechos fundamentales.

Las similitudes entre el PANAUT y la CURP biométrica son evidentes, pero las diferencias hacen que esta última sea aún más problemática desde una perspectiva constitucional. La CURP biométrica es un sistema mucho más expansivo:

  1. Alcance: Afecta a toda la población (más de 130 millones de personas), no solo a los usuarios de telefonía móvil.
  2. Datos Recabados: Recopila datos biométricos más sensibles y extensos, incluyendo el escaneo del iris, que no estaba contemplado en el PANAUT.
  3. Vinculación: Está vinculada a una gama mucho más amplia de actividades esenciales, convirtiéndola en una herramienta de control social potencialmente más poderosa.

Si la SCJN consideró que el PANAUT era inconstitucional, resulta jurídicamente insostenible argumentar que la CURP biométrica, un sistema manifiestamente más invasivo y de mayor alcance, pueda ser compatible con la Constitución. La decisión del poder ejecutivo y legislativo de avanzar con esta reforma después del fallo de la Corte sobre el PANAUT demuestra un claro desdén por los precedentes del máximo tribunal y por la doctrina constitucional que protege el derecho a la privacidad en México.34 Cualquier acción de inconstitucionalidad que se presente contra la CURP biométrica tendrá en este precedente su argumento más sólido y difícil de refutar.

Parte III: La Arena Sociopolítica: Un Consenso Fracturado

El debate sobre la CURP biométrica trasciende el ámbito puramente jurídico para adentrarse en una compleja arena sociopolítica. La iniciativa ha provocado una profunda división, no solo entre el gobierno y la oposición, sino también dentro de la propia comunidad de derechos humanos. Este capítulo analiza las posturas de los actores clave, revelando las tensiones institucionales, las contradicciones políticas y la fragmentación de un posible frente común contra lo que muchos consideran una deriva autoritaria.

Sección 3.1: La Voz de la Sociedad Civil: R3D y el Espectro de la Vigilancia Autoritaria

A la vanguardia de la oposición a la CURP biométrica se encuentran las organizaciones de la sociedad civil especializadas en derechos digitales, con la Red en Defensa de los Derechos Digitales (R3D) como su voz más prominente. Su crítica no se limita a aspectos técnicos o legales, sino que apunta a un cambio fundamental en la estructura de poder del Estado.

R3D argumenta que la CURP biométrica y la Plataforma Única de Identidad no deben ser vistas como una simple modernización de un documento de identidad, sino como los cimientos de una “infraestructura de vigilancia masiva con un enorme potencial autoritario”.23 La lógica de su argumento es directa: al hacer obligatoria la autenticación biométrica para prácticamente cualquier transacción pública o privada, el Estado adquiere la capacidad de monitorear las actividades de toda la población en tiempo real.15 Este sistema se agrava por las disposiciones de la reforma que otorgan a las fiscalías, al Centro Nacional de Inteligencia y al Gabinete de Seguridad del Ejecutivo Federal “acceso irrestricto y consulta inmediata” a esta y otras bases de datos que contengan información biométrica, sin necesidad de una orden judicial.23

En un país con un historial documentado de espionaje ilegal por parte de agencias estatales contra periodistas, defensores de derechos humanos y opositores políticos, como lo demostró el escándalo del software Pegasus, la creación de una herramienta de vigilancia tan poderosa sin contrapesos efectivos es vista como una amenaza existencial para la democracia y las libertades civiles.14

Además, R3D y otros críticos, como el Centro Prodh, han alertado sobre el alto riesgo de exclusión social que conlleva el sistema.14 Condicionar el acceso a derechos y servicios a una identificación biométrica puede marginar a poblaciones vulnerables. Las personas mayores, las personas con discapacidad, las personas transgénero (cuyos rasgos pueden cambiar), los trabajadores manuales (cuyas huellas dactilares pueden estar desgastadas) y las comunidades migrantes o rurales sin acceso fácil a los centros de registro, corren el riesgo de ser excluidas del sistema.23 En lugar de ser una herramienta de inclusión, la CURP biométrica podría convertirse en una barrera tecnológica que impida a los más vulnerables ejercer sus derechos a la salud, la educación o los programas sociales.

Sección 3.2: Tensiones Institucionales: Las Preocupaciones del INE sobre el Padrón Electoral y la Credencial para Votar

La reforma también ha generado una notable tensión con el Instituto Nacional Electoral (INE), una de las instituciones autónomas más importantes del país y la entidad que, hasta ahora, ha sido la principal garante de la identidad de los ciudadanos mexicanos a través de la credencial para votar con fotografía.

La principal preocupación del INE, expresada en documentos internos y por exconsejeros, es la seguridad del Padrón Electoral.10 El Padrón es una de las bases de datos más sensibles y mejor protegidas de México. El INE teme que la nueva Plataforma Única de Identidad, con sus amplias capacidades de interconexión, pueda ser utilizada para consultar o cruzar información con el Padrón Electoral, lo que comprometería su confidencialidad y abriría la puerta a un posible uso político o electoral de los datos de los votantes.

Una segunda preocupación es el previsible desplazamiento de la credencial para votar como el principal documento de identificación en México.10 La ley establece que la CURP biométrica será el “documento nacional de identificación obligatorio”.7 Aunque se afirma que otros documentos como la credencial del INE seguirán siendo válidos, en la práctica, la centralidad de la CURP para todos los trámites erosionará la relevancia de la credencial para fines no electorales.5 Esto es percibido por el INE no solo como un problema técnico, sino como una maniobra política para debilitar su papel institucional histórico como emisor del documento de identidad más confiable y utilizado por los mexicanos.

Finalmente, exconsejeros del INE, como Lorenzo Córdova, han señalado la falta de transparencia en los costos del proyecto y la ausencia de un debate público sobre su viabilidad financiera.25 Córdova estimó que la construcción de un sistema de identidad nacional desde cero podría costar entre 70 y 80 mil millones de pesos, una cifra astronómica que no ha sido presupuestada ni justificada por el gobierno. Esta opacidad financiera, sumada a la falta de controles y auditorías claras sobre el uso de los datos, alimenta la desconfianza institucional.

Sección 3.3: La División Política: Alianzas Cambiantes y Contradicciones Históricas

El debate legislativo sobre la CURP biométrica ha puesto de manifiesto un profundo cinismo político, caracterizado por el intercambio de posturas entre el partido gobernante y la oposición, dependiendo de quién ocupe el poder. Esto ha vaciado el debate de un análisis basado en principios y lo ha convertido en un ejercicio de conveniencia partidista.

El caso más notorio es el del partido gobernante, Morena. Durante los gobiernos de Felipe Calderón y Enrique Peña Nieto, legisladores y figuras clave de Morena y de la izquierda se opusieron vehementemente a iniciativas similares, aunque menos ambiciosas, de creación de cédulas de identidad con datos biométricos y de registros para la vigilancia.34 Argumentaban, correctamente en ese entonces, que tales medidas representaban un grave riesgo para la privacidad y un paso hacia un Estado autoritario. Sin embargo, una vez en el poder, Morena no solo ha revivido estas propuestas, sino que las ha expandido a una escala mucho mayor, utilizando los mismos argumentos de seguridad que antes desacreditaban.34

A la inversa, los partidos de oposición como el PAN y el PRI, que en el pasado votaron a favor de leyes que permitían la geolocalización en tiempo real y apoyaron proyectos de cédulas de identidad, ahora se posicionan como los principales defensores de los derechos a la privacidad y la protección de datos, votando en contra de la reforma de la CURP.34

Este intercambio de roles revela que las posturas de los principales partidos políticos no están guiadas por una convicción sostenida sobre el equilibrio adecuado entre seguridad y libertad, sino por cálculos de poder y oportunidad política. Esta dinámica erosiona la confianza pública en las instituciones legislativas y hace prácticamente imposible un debate nacional serio y honesto sobre un tema de tan profunda trascendencia para el futuro de los derechos y libertades en México.24

La consecuencia de esta arena política fracturada es la incapacidad de formar un frente unificado y coherente. Incluso la comunidad de derechos humanos se encuentra dividida. Como se mencionó, la estrategia gubernamental de enmarcar la CURP biométrica como una herramienta para encontrar a los desaparecidos ha sido notablemente exitosa en obtener el respaldo de la CNDH y algunos colectivos de víctimas.11 Esto ha fragmentado la oposición, enfrentando a organizaciones de derechos digitales y libertades civiles con el ombudsman nacional. Esta división debilita la respuesta de la sociedad civil y facilita al gobierno la tarea de presentar su controvertido proyecto como una medida consensuada y necesaria.

Parte IV: Los Peligros Inherentes de las Bases de Datos Biométricas Centralizadas

La elección de una arquitectura de base de datos centralizada para la CURP biométrica no es una mera decisión técnica; es una elección que conlleva riesgos inherentes y profundos para la seguridad y la libertad de los ciudadanos. Este capítulo explora estos peligros, primero desde una perspectiva técnica y de seguridad, y luego a través de un análisis comparativo con el caso de la India y su sistema Aadhaar, que sirve como una advertencia elocuente de las consecuencias a largo plazo de un proyecto de esta naturaleza.

Sección 4.1: El Efecto “Panal”: Ciberseguridad y la Irreversibilidad de las Vulneraciones de Datos Biométricos

El principal riesgo de seguridad de la CURP biométrica se deriva de dos de sus características fundamentales: la naturaleza permanente de los datos que almacena y su estructura centralizada.

A diferencia de una contraseña, un número de identificación personal (NIP) o una tarjeta física, los identificadores biométricos como las huellas dactilares y el iris son inmutables. Una persona no puede “cambiar” su huella dactilar o su iris si estos son comprometidos.26 Esto significa que una vulneración de una base de datos biométrica tiene consecuencias permanentes e irreparables para las víctimas. Una vez que los datos biométricos de una persona son robados, pueden ser utilizados para suplantar su identidad de por vida, sin que la víctima tenga un recurso efectivo para remediarlo.23

La decisión de almacenar estos datos inmutables de toda la población en una única base de datos centralizada crea lo que en ciberseguridad se conoce como un “panal” (honeypot). Este repositorio se convierte en un objetivo de altísimo valor y una atracción irresistible para una amplia gama de actores maliciosos, incluyendo el crimen organizado, que podría utilizar los datos para extorsión, secuestro y fraudes sofisticados; actores estatales extranjeros, interesados en el espionaje y la desestabilización; y hackers con diversas motivaciones.23 La recompensa potencial por penetrar esta base de datos es tan inmensa que garantiza que será objeto de ataques constantes y sofisticados.

Las vulnerabilidades técnicas son múltiples. Incluyen ataques directos a la base de datos central para robar la información en masa, la intercepción de los datos biométricos mientras son transmitidos desde los módulos de registro a los servidores centrales, y ataques al propio hardware de los escáneres.26 Además, existe la posibilidad de crear réplicas de huellas dactilares o iris (conocidos como

artefactos) para engañar a los sistemas de autenticación. El Comité Europeo de Protección de Datos (CEPD) ha advertido explícitamente que las soluciones de almacenamiento centralizado, como la que México está implementando, son inherentemente menos seguras y pueden no ser compatibles con los principios de protección de datos desde el diseño y por defecto, recomendando en su lugar arquitecturas donde el individuo mantiene el control de sus datos.32 La insistencia del gobierno mexicano en un modelo centralizado ignora estas mejores prácticas internacionales y maximiza el riesgo para sus ciudadanos.

Sección 4.2: Una Lección del Extranjero: Las Consecuencias Sociales y Legales del Sistema Aadhaar en la India

Para comprender las posibles consecuencias a largo plazo de la CURP biométrica, no es necesario especular en el vacío. La experiencia de la India con su sistema de identificación biométrica, Aadhaar, ofrece un caso de estudio exhaustivo y profundamente preocupante que sirve como una advertencia directa para México. Aadhaar, la base de datos de identidad más grande del mundo, comparte muchas de las características y justificaciones de la CURP biométrica, y sus resultados han sido, en muchos aspectos, problemáticos.

Uno de los impactos más graves de Aadhaar ha sido la exclusión de millones de personas de servicios esenciales. Aunque se promovió como una herramienta de inclusión para garantizar que los beneficios sociales llegaran a los destinatarios correctos, en la práctica, ha funcionado como una barrera.39 Millones de ciudadanos indios han sido privados de raciones de alimentos, pensiones y acceso a la atención médica debido a fallos en la autenticación biométrica (por ejemplo, huellas dactilares desgastadas de trabajadores manuales o ancianos), errores en la base de datos, o la falta de conectividad a internet en zonas rurales.40 Esto demuestra cómo un sistema tecnológico, presentado como una solución infalible, puede tener consecuencias devastadoras y potencialmente fatales para las poblaciones más vulnerables cuando falla.

Aadhaar también es un ejemplo paradigmático de la “deriva de funciones” (function creep). Inicialmente justificado para la entrega de subsidios, su uso se expandió rápidamente hasta volverse obligatorio para abrir cuentas bancarias, obtener una línea de telefonía móvil, pagar impuestos y casi cualquier otra interacción con el Estado o el sector privado.43 Esto transformó a Aadhaar en una poderosa herramienta de vigilancia estatal, permitiendo al gobierno rastrear una multitud de actividades de sus ciudadanos, precisamente el temor que expresan los críticos de la CURP biométrica en México.

En el frente de la seguridad, el sistema Aadhaar ha sido un desastre. A pesar de las garantías gubernamentales, ha sufrido numerosas y masivas filtraciones de datos, exponiendo la información personal y biométrica de cientos de millones de ciudadanos.43 La respuesta del gobierno indio a estas vulneraciones ha sido a menudo la negación o la minimización del problema, lo que demuestra la enorme dificultad, si no la imposibilidad, de asegurar una base de datos de esta magnitud y la renuencia de los Estados a admitir fallos en sus proyectos emblemáticos.

Finalmente, el sistema ha enfrentado años de litigios. La Corte Suprema de la India, en un fallo complejo, confirmó la constitucionalidad de Aadhaar pero impuso algunas limitaciones a su uso, especialmente por parte de entidades privadas.43 Sin embargo, el debate legal y social continúa, evidenciando la profunda y persistente tensión entre un sistema de identidad digital impuesto por el Estado y el derecho fundamental a la privacidad.

La experiencia de la India ofrece lecciones cruciales para México: la promesa de inclusión puede convertirse en una realidad de exclusión; la justificación inicial de un sistema rara vez limita su expansión futura hacia la vigilancia masiva; la seguridad de una base de datos centralizada es extremadamente frágil; y los costos sociales y para los derechos humanos pueden ser inmensos y duraderos. La trayectoria de Aadhaar es un mapa de los peligros que México enfrenta al seguir un camino similar. La implementación de estos sistemas a menudo se basa en una fe implícita en la infalibilidad de la tecnología, ignorando el error humano, los fallos técnicos y los sesgos inherentes. Cuando el sistema falla, la carga no recae en sus diseñadores, sino en los individuos más vulnerables que no pueden demostrar su identidad a una máquina, perdiendo así el acceso a sus derechos.

Parte V: Síntesis y Recomendaciones

El análisis exhaustivo de la arquitectura, el marco legal y el contexto sociopolítico de la Clave Única de Registro de Población (CURP) biométrica conduce a una conclusión inequívoca. La iniciativa, en su forma actual, representa una amenaza grave y desproporcionada para los derechos fundamentales de los mexicanos y contraviene las obligaciones constitucionales e internacionales del Estado. Este capítulo final sintetiza los hallazgos del informe y propone una serie de recomendaciones urgentes para reconducir el debate hacia un modelo de identidad que sea compatible con una sociedad democrática y respetuosa de los derechos humanos.

Sección 5.1: Un Veredicto Legal y Ético

La CURP biométrica, tal como ha sido concebida y legislada, es fundamentalmente inconstitucional e ilegítima. Este veredicto se sustenta en la convergencia de múltiples fallas que han sido documentadas a lo largo de este informe:

  1. Falla el test de proporcionalidad: La recolección masiva y obligatoria de los datos biométricos más sensibles (diez huellas dactilares y escaneo de iris) de toda la población es una medida manifiestamente excesiva y desproporcionada para los fines administrativos y de seguridad declarados. El Estado no ha demostrado que esta sea la medida menos intrusiva disponible, violando así el núcleo del artículo 16 constitucional.
  2. Viola los principios de protección de datos: El sistema contraviene directamente los principios centrales de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO). El “consentimiento” obtenido es coaccionado, no libre; la finalidad es amplia e indeterminada, no específica; y la recolección de datos es máxima, no mínima. Se trata de una reforma que, en la práctica, busca anular la ley de protección de datos sin reformarla directamente.
  3. Incumple con obligaciones internacionales: La arquitectura centralizada del sistema va en contra de las mejores prácticas y recomendaciones derivadas del Convenio 108 del Consejo de Europa, que favorecen modelos descentralizados y centrados en el usuario. La ausencia de una autoridad de supervisión independiente y efectiva, tras la disolución del INAI, constituye un incumplimiento directo del Protocolo Adicional de dicho Convenio.
  4. Desconoce un precedente judicial clave: La iniciativa ignora deliberadamente la doctrina establecida por la Suprema Corte de Justicia de la Nación en el caso del PANAUT, donde un sistema similar pero menos invasivo fue declarado inconstitucional. Si el PANAUT fue considerado una injerencia desproporcionada, la CURP biométrica lo es en un grado aún mayor.
  5. Crea un riesgo de seguridad catastrófico: La creación de una base de datos centralizada con los datos biométricos inmutables de más de 130 millones de personas establece un “panal” que, de ser vulnerado, tendría consecuencias permanentes e irreparables para la seguridad y la vida de los ciudadanos.

La narrativa gubernamental, que enmarca la CURP biométrica como una herramienta indispensable para la modernización y la búsqueda de personas desaparecidas, no resiste un escrutinio serio. Si bien estos son objetivos loables, la solución propuesta es una herramienta de control social y vigilancia masiva cuyo potencial de abuso y daño a los derechos humanos supera con creces sus beneficios teóricos. Las lecciones del sistema Aadhaar de la India son una advertencia clara de los peligros de la exclusión social, la deriva de funciones hacia la vigilancia total y las vulneraciones de seguridad inherentes a este modelo.

En resumen, la CURP biométrica no es una simple actualización tecnológica. Es una reconfiguración radical de la relación entre el ciudadano y el Estado, que inclina la balanza de manera decisiva hacia el poder de vigilancia de este último, en detrimento de la privacidad, la libertad y la seguridad de las personas.

Sección 5.2: Caminos a Seguir: Reconciliar la Identidad con los Derechos

Ante la gravedad de los riesgos y las claras contravenciones legales, es imperativo reorientar la política de identidad digital en México. No se trata de oponerse a la modernización, sino de asegurar que esta se realice de una manera que empodere a los ciudadanos en lugar de someterlos. Se proponen las siguientes recomendaciones:

  1. Suspensión Inmediata de la Implementación: El Poder Ejecutivo debe suspender de inmediato la implementación de la CURP biométrica y la Plataforma Única de Identidad para permitir un período de reflexión y debate nacional informado.
  2. Realización de Evaluaciones de Impacto Independientes: Antes de proceder con cualquier proyecto de identidad nacional, se debe ordenar la realización de evaluaciones de impacto sobre la privacidad y los derechos humanos (PIA y EIDH). Estas evaluaciones deben ser llevadas a cabo por organismos técnicos, independientes y con participación de la sociedad civil, y sus resultados deben ser públicos y vinculantes.
  3. Promulgación de una Ley Específica de Protección de Datos Biométricos: El Congreso de la Unión debe reconocer que la LGPDPPSO es insuficiente para los riesgos únicos que presentan los datos biométricos. Es urgente redactar y aprobar una ley específica y más estricta para la protección de datos biométricos, que establezca límites claros a su recolección, uso y almacenamiento, como lo han solicitado organizaciones como el Grupo Integral de Derechos Humanos (GIDH).45
  4. Exploración de Alternativas que Preserven la Privacidad: Se debe iniciar un diálogo nacional técnico y político para explorar modelos de identidad digital alternativos, descentralizados y centrados en el usuario. Tecnologías como la identidad auto-soberana (self-sovereign identity) o los sistemas de verificación en dispositivo (match-on-card), como el utilizado en Uruguay 46, permiten una identificación segura sin necesidad de crear una base de datos centralizada controlada por el Estado.
  5. Fortalecimiento de la Supervisión Independiente: Es fundamental para la salud de la democracia mexicana reestablecer una autoridad de protección de datos verdaderamente autónoma, con recursos suficientes y con la potestad real de supervisar y sancionar a las entidades gubernamentales. Sin un contrapeso efectivo, cualquier ley de protección de datos es letra muerta.
  6. Activación de la Revisión Judicial: Se debe alentar y apoyar la presentación de recursos legales contra la reforma, incluyendo juicios de amparo por parte de ciudadanos afectados y acciones de inconstitucionalidad por parte de los actores legitimados.24 El precedente del caso PANAUT ofrece una base jurídica sólida para que el Poder Judicial de la Federación actúe como guardián de los derechos fundamentales y declare la inconstitucionalidad de la CURP biométrica.35

El camino hacia una identidad digital segura y respetuosa de los derechos es posible, pero requiere abandonar el paradigma de la vigilancia centralizada y adoptar un enfoque basado en la privacidad desde el diseño, la minimización de datos y el empoderamiento del ciudadano. México se encuentra en una encrucijada crítica; la decisión que se tome definirá el futuro de la privacidad y las libertades civiles para las generaciones venideras.

Fuentes usadas en el informe:

mexico.justia.com
CURP Biométrica: ¿Es Obligatoria? ¿Dónde se Tramita? ¡Aquí las Respuestas a Tus Preguntas! Se abrirá en una ventana nueva
edpb.europa.eu
Reconocimiento facial en aeropuertos: las personas deben tener el máximo control sobre los datos biométricos Se abrirá en una ventana nueva
directoresdeseguridad.es
Biometría y seguridad: principales vulnerabilidades Se abrirá en una ventana nueva
ec.europa.eu
Grupo del artículo 29 sobre protección de datos Se abrirá en una ventana nueva
youtube.com
Biometric CURP in Mexico: Learn what data and body parts are scanned. – YouTube Se abrirá en una ventana nueva
excelsior.com.mx
CNDH reconoce ley de desapariciones – Excélsior Se abrirá en una ventana nueva
youtube.com
¿Cuáles son los riesgos de la aprobación del CURP biométrico? Especialista explica Se abrirá en una ventana nueva
es-us.noticias.yahoo.com
Todo lo que debes saber sobre la nueva CURP biométrica en México – Yahoo Se abrirá en una ventana nueva
youtube.com
CURP biométrica, así será la nueva identificación oficial en México – YouTube Se abrirá en una ventana nueva
coparmex.org.mx
Padrón de datos biométricos, es inconstitucional porque vulnera tu seguridad. – Coparmex Se abrirá en una ventana nueva
r3d.mx
R3D: Red en Defensa de los Derechos Digitales: Home Se abrirá en una ventana nueva
aristeguinoticias.com
CURP biométrica será un instrumento de control y antesala de reforma electoral: Jorge Alcocer | Aristegui Noticias Se abrirá en una ventana nueva
eleconomista.com.mx
Advierten sobre graves riesgos a derechos con la implementación de la CURP biométrica Se abrirá en una ventana nueva
elfinanciero.com.mx
CURP biométrica, con riesgo para el padrón: Lorenzo Córdova – El Financiero Se abrirá en una ventana nueva
gob.mx
Ley General de Protección de Datos Personales en Posesión de sujetos Obligados Se abrirá en una ventana nueva
reddit.com
QUE OPINAN DE LA NUEVA CURP BIOMETRICA ? : r/AskMexico – Reddit Se abrirá en una ventana nueva
youtube.com
¿Hay riesgos al recopilar datos biométricos en México? – YouTube Se abrirá en una ventana nueva
sectur.guanajuato.gob.mx
Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el Estado de Guanajuato Se abrirá en una ventana nueva
merca20.com
¿Qué riesgos ve el INE en la CURP biométrica? Esto dice … Se abrirá en una ventana nueva
milenio.com
CURP biométrica ayudará a buscar desaparecidos en tiempo real … Se abrirá en una ventana nueva
elpais.com
CURP biométrica: qué es, cuándo entra en vigor y lo que hay que … Se abrirá en una ventana nueva
biometriaaplicada.com
Estos países han adoptado el uso de datos biométricos Biometría … Se abrirá en una ventana nueva
infobae.com
Diputados aprueban CURP con datos biométricos y la creación de … Se abrirá en una ventana nueva
r3d.mx
La CURP biométrica obligatoria y la Plataforma Única de Identidad … Se abrirá en una ventana nueva
diputados.gob.mx
Ley General de Protección de Datos Personales en Posesión de … Se abrirá en una ventana nueva
infobae.com
Cómo impactará la CURP Biométrica en el acceso a la salud en México – Infobae Se abrirá en una ventana nueva
animalpolitico.com
Congreso aprueba ley para hacer trámites digitales con CURP que puede tener datos biométricos – Animal Politico Se abrirá en una ventana nueva
comunicacionsocial.diputados.gob.mx
Aprueba Cámara de Diputados crear Clave Única de Registro de Población (CURP) con datos biométricos Se abrirá en una ventana nueva
politica.expansion.mx
¿A partir de cuándo se podrá tramitar la CURP biométrica? – Expansión Política Se abrirá en una ventana nueva
educaoaxaca.org
Promulgan reformas sobre militarización, geolocalización y CURP biométrica; ni Calderón ni EPN se atrevieron a tanto – Educa Oaxaca Se abrirá en una ventana nueva
infoem.org.mx
Convenio 108 permite a México el intercambio efectivo y seguro de información – Infoem Se abrirá en una ventana nueva
rm.coe.int
CONVENIO PARA LA PROTECCION DE LAS PERSONAS CON RESPECTO AL TRATAMIENTO AUTOMATIZADO DE DATOS DE CARACTER PERSONAL Estrasburgo, 28.I.1981 Se abrirá en una ventana nueva
iapp.org
Protección de datos personales y periodismo a la luz del Convenio 108+ del Consejo de Europa | IAPP Se abrirá en una ventana nueva
fmreview.org
Experiencias de la población refugiada con los documentos de identificación y la digitalización en India y Myanmar – Forced Migration Review Se abrirá en una ventana nueva
jsis.washington.edu
The Aadhaar Card: Cybersecurity Issues with India’s Biometric Experiment Se abrirá en una ventana nueva
apolitical.co
India ha creado la mayor base de datos de identidades de residentes en el planeta Se abrirá en una ventana nueva
pmc.ncbi.nlm.nih.gov
Ethical challenges of digital health technologies: Aadhaar, India – PMC Se abrirá en una ventana nueva
infotec.repositorioinstitucional.mx
“LA CONSTITUCIÓN Y LA PROTECCIÓN DE DATOS PERSONALES EN MÉXICO: LAS INCONSISTENCIAS EN EL ESQUEMA DE EXCEPCIONES” – Repositorio INFOTEC Se abrirá en una ventana nueva
congresocdmx.gob.mx
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO Se abrirá en una ventana nueva
asianews.it
Aadhaar, el sistema de identificación biométrica de la India y los problemas en las zonas rurales – AsiaNews Se abrirá en una ventana nueva
gob.mx
ANEXO 1 Marco jurídico que regula la protección de datos personales: Constitución Política de los Estados Unidos Mexicanos A – Gob MX Se abrirá en una ventana nueva
es.globalvoices.org
¿Es Aadhaar, sistema de identificación digital de India, una solución tecnológica para un problema socioeconómico? – Global Voices en Español Se abrirá en una ventana nueva
transparencia-ciudadana.scjn.gob.mx
Acción de Inconstitucionalidad 82/2021 | Transparencia ciudadana Se abrirá en una ventana nueva
inicio.inai.org.mx
EL CONVENIO 10 Y EL COMITÉ CONSULTIVO – INAI Se abrirá en una ventana nueva
eleconomista.com.mx
CURP biométrico: 9 claves sobre la reforma aprobada en  Senado Se abrirá en una ventana nueva
animalpolitico.com
CURP biométrica, militarización y geolocalización: Morena … Se abrirá en una ventana nueva
/0 Comments/by