Por: Rodolfo Guerrero Martínez (México).
La CURP biométrica se configura como una propuesta de innovación tecnológica gubernamental para la identificación en México. Su esencia radica en la incorporación de datos biométricos como huellas dactilares, fotografía facial y escaneo del iris, complementando los datos personales tradicionales como nombre, fecha y lugar de nacimiento, sexo y nacionalidad.
Este documento, que será expedido en formato físico y digital, tiene como propósito central fortalecer la identificación digital, simplificar trámites oficiales y servicios digitales, así también, coadyuvar en la lucha contra el fraude, facilitar la localización de personas desaparecidas y, crucialmente, vincularse con el Sistema Nacional de Salud para garantizar el acceso universal a esta desde el nacimiento.
De acuerdo con la reforma a la Ley General de Población – cuya última reforma publicada en el Diario Oficial de la Federación fue en 2018-, esta CURP biométrica se establecerá como el documento nacional de identificación obligatorio y de aceptación universal en todo el territorio nacional.
En el presente artículo se desarrollará un análisis general más no limitativo que comprende los riesgos inherentes a la centralización de información sensible y biométrica, además de las vulneraciones a derechos fundamentales, como al reconocimiento de posibles medios de defensa.
Riesgos inherentes a la centralización y naturaleza de los datos biométricos
Si bien la iniciativa de la CURP biométrica se presenta como una propuesta de innovación gubernamental, es esencial advertir sobre los riesgos mayúsculos de su implementación. La principal preocupación radica en la concentración de datos biométricos y sensibles en una única base de datos, lo que la convierte en un blanco muy atractivo para los ciberataques y un punto débil para el filtrado masivo de información.
Cabe resaltar el incidente de ciberseguridad protagonizado por el grupo RansomHub, que comprometió a la Consejería Jurídica de la Presidencia bajo la administración de la presidente de la República Claudia Sheinbaum, constituye un precedente relevante en la gestión gubernamental de datos en México.
La publicación, el 25 de noviembre de 2024, de 206 gigabytes de información confidencial –incluyendo datos personales de personas servidoras públicas y contratos sin restricciones– evidenció deficiencias significativas en los mecanismos de protección estatal.
Dicho acontecimiento, sumado a otros ataques cibernéticos que han afectado a instituciones públicas, resalta la apremiante necesidad de fortalecer los protocolos de seguridad digital y revisar la gobernanza de la información dentro del aparato gubernamental para salvaguardar la integridad y confidencialidad de los datos sensibles.
En este sentido, la protección de los datos personales debe integrarse desde el principio del diseño de cualquier sistema de identificación digital a la luz de la propuesta de innovación gubernamental en comento. Según Cavoukian (2022), la privacidad debe ser una función predeterminada y no una consideración posterior. Esto incluye medidas como minimizar los datos, descentralizar la información en lugar de centralizarla y evaluar el impacto en la protección de datos antes de utilizar cualquier tecnología de identificación digital.
La investigación enfatiza que la autenticación multifactor y el uso de algoritmos criptográficos fuertes son esenciales para prevenir el acceso no autorizado y reducir el riesgo de usurpación de identidad.
Conforme Chaudhari, Thakur y Rajan (2023), el uso de módulos de seguridad de hardware (HSM), criptografía homomórfica -que permite realizar cálculos sobre datos cifrados sin necesidad de descifrarlos- y sistemas de autenticación dinámica fortalecen la integridad de los documentos digitales.
Y por supuesto, de acuerdo con el eje rector de gobernanza y control ciudadano, los sistemas de identificación digital deberán estar bajo el control de organismos independientes y ser sujetos a auditorías periódicas.
El Foro Económico Mundial (2021) recomienda la creación de consejos ciudadanos y organismos de supervisión que garanticen la transparencia, el acceso de los propietarios a los datos y su corrección, y el cumplimiento de estándares internacionales como el Reglamento General de Protección de Datos (RGPD) europeo.
Ahora bien, en armonía a lo establecido líneas arriba se detallarán tres aspectos medulares sobre la propuesta de la CURP Biométrica.
1) Un elemento crítico es la inmutabilidad de los datos biométricos. A diferencia de las contraseñas, que pueden ser modificadas en caso de ser comprometidas, la huella digital o el escaneo del iris no pueden cambiarse una vez que han sido vulnerados.
Esta característica única plantea un desafío fundamental para la revocación o modificación de la CURP biométrica en escenarios de suplantación de identidad, haciendo que sea «prácticamente imposible de revocar o cambiarla si no tienes todos los elementos de seguridad para asegurar que la persona que la va a cambiar eres tú».
2) La ausencia de una Ley Federal de Ciberseguridad robusta en México, exacerba las preocupaciones sobre la capacidad de este para blindar adecuadamente dicho sistema masivo. Dado a la incertidumbre sobre el almacenamiento de datos tan sensibles sin los controles idóneos, expone a la población a amenazadas de vigilancia masiva, usurpación de identidad y/o uso indebido -discrecional- por parte del propio gobierno.
3) La tendencia del gobierno a obstaculizar el desarrollo de soluciones biométricas también crea vulnerabilidades, haciendo necesario verificar las credenciales y el cumplimiento de los estándares de seguridad (como ISO/IEC 24745:2011 -protección de información biométrica-) por parte de las empresas contratadas. Así como, la ausencia de una lógica clara, de un análisis caso por caso sobre qué método biométrico utilizar, especialmente para información altamente sensible.
Vulneraciones a derechos fundamentales y mecanismos de defensa
La implementación de la CURP biométrica podría colisionar con derechos fundamentales reconocidos en la Constitución Política de los Estados Unidos Mexicanos (CPEUM) y en la legislación secundaria, a saber:
I) Derecho a la protección de datos personales (artículo 16 CPEUM). Este precepto constitucional establece que: Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley.
Las leyes reglamentarias, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), desarrollan estos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Sin embargo, respecto a la vulneración se sostiene que la naturaleza inmutable de los datos biométricos (como la cara o las huellas dactilares) directamente socava la efectividad de los derechos de rectificación y cancelación. De esta forma, por ejemplo, si una fotografía facial o una huella dactilar se ve comprometida, no se puede cambiar o cancelar en el sentido práctico de los derechos ARCO, a diferencia de una contraseña o un domicilio.
Esto representa un conflicto con el principio de autodeterminación informativa, que implica el control del individuo sobre sus datos personales. Aunque las leyes de protección de datos prevén excepciones al consentimiento o a la obligación de cancelar por razones de interés público o disposición legal, la base misma de la protección de datos (la capacidad de controlar y, de ser necesario, modificar o eliminar la información personal) se ve superada por la permanencia de los datos biométricos.
II) Derecho a la privacidad (artículo 16 CPEUM). En principio, el artículo 16 se enfoca en la inviolabilidad de las comunicaciones privadas y la no molestia en persona, familia, domicilio, papeles o posesiones sin mandamiento judicial, sin embargo, la recolección masiva y centralizada de datos biométricos podría, en ausencia de salvaguardas extremas, ser interpretada como una intromisión desproporcionada en la esfera íntima del individuo.
Por tanto, la preocupación por la vigilancia masiva y el uso indebido de los datos, incluso por parte del propio gobierno, sugiere un posible menoscabo de la expectativa razonable de privacidad.
III) Vulneración al artículo 1, CPEUM. Este precepto en su párrafo segundo establece que las normas de derechos humanos deben interpretarse favoreciendo en todo tiempo a las personas la protección más amplia y que todas las autoridades tienen la obligación de promover, respetar, proteger y garantizar estos derechos.
De tal modo que, un sistema que no permite la revocación efectiva de datos altamente sensibles en caso de compromiso no favorece la protección más amplia y reta la obligación del Estado de garantizar plenamente los derechos humanos ante riesgos irreversibles.
IV) Derecho a la seguridad jurídica y ciberseguridad. Aunque la Constitución no consagra explícitamente un derecho a la ciberseguridad -reconocido como un derecho digital bajo el crisol de documentos declarativos como la Carta de Derechos Digitales de España de 2021-, el Estado tiene la obligación de garantizar la seguridad de las personas.
V) Medios de defensa. En caso de transgresión de derechos relacionados con la protección de datos personales, los ciudadanos tienen a su disposición los Derechos ARCO. Las leyes de protección de datos establecen procedimientos para ejercerlos ante el responsable (en este caso, la Secretaría de Gobernación u otras entidades gubernamentales).
Empero, si el responsable no responde o la respuesta es insatisfactoria, se puede interponer un recurso de revisión ante la Secretaría Anticorrupción y Buen Gobierno o las Autoridades Garantes (en el ámbito de sujetos obligados). Las resoluciones de estas autoridades son vinculantes para los responsables, no obstante, pueden ser impugnadas por los particulares mediante el juicio de amparo ante jueces y tribunales especializados en la materia del Poder Judicial de la Federación.
Entrada en vigor y su proceso de tramitación
La reforma a la Ley General de Población que hace obligatoria la CURP biométrica ya fue aprobada por la Cámara de Diputados. Sin embargo, el decreto aún debe ser publicado por el Ejecutivo Federal en el Diario Oficial de la Federación (DOF) para su entrada en vigor.
Con esto, se anticipa una implementación progresiva en todo el país durante el segundo semestre del año en curso 2025, con pruebas piloto siendo ejecutadas en algunos municipios de Veracruz (Poza Rica, Xalapa y Coatzacoalcos).
Y, también se ha referido en un inicio, el documento será de aceptación universal y obligatorio en todo el territorio nacional. El incumplimiento de esta disposición podría generar multas de hasta 20,000 UMA (Unidad de medida y actualización).
En cuanto al proceso de tramitación, está proyectándose con duración de 20 minutos en las oficinas del Registro Civil. Los requisitos incluyen:
- Acta de nacimiento certificada (original y copia).
- Identificación oficial vigente (INE o pasaporte).
- CURP tradicional.
- Comprobante de domicilio reciente.
- Correo electrónico activo (para recibir notificaciones y la versión digital).
- En caso de menores de edad, el tutor legal deberá acompañarlos.
La Secretaría de Gobernación coordinará la recolección de los datos biométricos y establecerá los pasos a seguir una vez publicado el decreto. La versión digital de la CURP biométrica se vinculará a la plataforma Llave MX, lo que permitirá su descarga y uso para trámites en línea.
Finalmente, es menester reconocer que, si bien la CURP biométrica promete eficiencias significativas en la gestión de la identidad y el acceso a servicios, su implementación exige un marco legal y tecnológico excepcionalmente fino, claro y equilibrado para mitigar los elevados riesgos a la privacidad, la protección de datos personales y la seguridad digital.
La inmutabilidad de los datos biométricos representa un reto conceptual a los derechos ARCO, lo que requerirá una cuidadosa atención en la práctica y, potencialmente, nuevas interpretaciones jurisprudenciales.
Fuentes de consulta
(I) Doctrina
Cavoukian, A. (2022). Privacy by Design: The 7 Foundational Principles. Information and Privacy Commissioner of Ontario. https://privacy.ucsc.edu/resources/privacy-by-design—foundational-principles.pdf
Chaudhari, S., Thakur, A., & Rajan, A. (2023). Securing Digital Information Using Cryptography Techniques to Enhance IT Security. Research Reports on Computer Science, 2(3), 13–22. https://doi.org/10.37256/rrcs.2320232635
Espíndola, J. P. (2025). CURP biométrica: cuándo inicia, cómo tramitarla y qué pasa si no lo haces. UnoTV. Recuperado de https://www.unotv.com/nacional/curp-biometrica-cuando-inicia-como-tramitarla-y-que-pasa-si-no-lo-haces/
Soutar, C. (2021). 4 principles for securing the digital identity ecosystem. World Economic Forum. https://www.weforum.org/stories/2021/03/digital-identity-id-principles/
(II) Leyes
Constitución Política de los Estados Unidos Mexicanos (Última Reforma DOF 15-04-2025).
Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Publicada en el Diario Oficial de la Federación el 20 de marzo de 2025.
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, Publicada en el Diario Oficial de la Federación el 20 de marzo de 2025.
***
Rodolfo Guerrero es abogado por la Benemérita Universidad de Guadalajara y maestro en derecho con orientación en materia Constitucional y administrativo por la misma casa de estudios. Es Socio Fundador y Representante Legal de la Sociedad Civil Coffee Law “Dr. Jorge Fernández Ruiz”. Socio fundador de la Academia Mexicana de Derecho “Juan Velásquez” A.C. Titular de la Comisión de Legaltech del Ilustre y Nacional Colegio de Abogados de México A.C. Capítulo Occidente. Vicepresidente de la Academia Mexicana
- Colombia, un paraíso que destaca en turismo sostenible - julio 18, 2025
- Plumas NCC | El nuevo paradigma de la mediación online bajo una conversación crítica - julio 15, 2025
- Ampliación del plazo de recepción de obras – CRE@tei 2025 - julio 15, 2025
