El Senado aprobó en lo general el uso de nuestros datos biométricos en la Clave Única de Registro de Población o CURP, bajo la premisa de simplificar trámites mediante la Llave MX.
Esta llave es una herramienta digital que implementará la Agencia de Transformación Digital y Telecomunicaciones, la cual pretende, en el fondo, combatir la corrupción. Ante este panorama, en donde el Estado mexicano recolectará datos biométricos de la población, vale la pena preguntarnos: ¿quién se encargará de vigilar y establecer las medidas de seguridad para proteger estas bases de datos?
La información biométrica es única; no existen dos personas con las mismas características físicas, lo que la convierte en un identificador personal por excelencia. Huellas dactilares, escaneo del iris o reconocimiento facial son algunos ejemplos. No obstante, el hecho de que estos datos sean tan precisos no significa que su incorporación automática a un documento de identidad elimine, por sí sola, la corrupción. Existen otros mecanismos para combatirla.
La posible aprobación de esta reforma ha sido presentada como un avance “anticorrupción”, pero el riesgo de vulneración a la privacidad de millones de personas es inminente. La corrupción es un fenómeno estructural que se combate con controles institucionales, transparencia y rendición de cuentas, no únicamente con bases de datos centralizadas. Entonces, cabe preguntar: ¿quién custodiará esta información?, ¿bajo qué controles y con qué garantías?
A diferencia de una contraseña, que puede ser modificada si se ve comprometida, los datos biométricos no pueden ser reemplazados. Si alguien obtiene tu huella digital o el escaneo de tu rostro, no puedes modificar tu identidad física. Por ello, este tipo de información requiere los más altos estándares de seguridad, supervisión independiente y un marco legal específico que garantice su tratamiento legítimo, proporcional y seguro.
Por lo tanto, es pertinente que se transparente el proceso para salvaguardar estos datos, y conocer cuál será el área o la institución responsable de su protección ante una vulneración o mal uso de los datos biométricos.
En la era digital, los datos personales son tan valiosos como el petróleo: se cotizan como oro. En México hemos sido testigos de filtraciones masivas, uso indebido de información por parte de autoridades o empresas privadas, y un débil esquema de fiscalización tecnológica. En mi paso de más de cuatro años como comisionada del que fuera el organismo garante a nivel nacional de la protección de la privacidad, tuve conocimiento de cientos de casos que resolvimos sobre vulneraciones de datos personales. En aquella época, incluso acudimos varias veces a controversias para evitar el uso de datos biométricos en diferentes iniciativas.
Hoy, ante un nuevo panorama político, es necesario que se tomen en consideración las medidas pertinentes para prevenir y proteger los datos biométricos, además de informar a la población sobre las instituciones que van a intervenir en este proceso. ¿Quién podrá alertar sobre un uso indebido de la información? ¿Quién responderá ante una vulneración o un fallo en la protección de nuestros datos?
De aprobarse esta iniciativa, será necesario actualizar el aviso de privacidad, ya que el aviso actual para tramitar la CURP no contempla las nuevas condiciones ni los datos adicionales que se pretenden incorporar con el cambio normativo. Por lo tanto, su implementación requiere el consentimiento expreso de toda la población.
Centralizar los datos biométricos de toda la población, sin establecer controles claros sobre su acceso, uso y protección, exige no sólo transparencia en su implementación, sino también contar con sistemas sofisticados de protección y personal altamente calificado. La Red en Defensa de los Derechos Digitales (R3D) alertó en las últimas semanas sobre los riesgos que pueden presentarse al tratarse de datos biométricos.
En este contexto, resulta imprescindible recordar instrumentos internacionales como el Convenio 108 del Consejo de Europa, el cual fue adoptado en Estrasburgo el 28 de enero de 1981 y entró en vigor el 1 de octubre de 1985. Este tratado internacional, vigente y vinculante, tiene como objetivo establecer un marco legal para la protección de las personas en lo relativo al tratamiento automatizado de datos de carácter personal. México puede tomarlo como referencia para garantizar que cualquier avance tecnológico se implemente con respeto a la dignidad humana y a los derechos fundamentales.
En los últimos años, en México, en América Latina y prácticamente en todo el mundo, hemos conocido casos donde datos personales, incluyendo los biométricos, han sido sustraídos de bases institucionales. En el mundo digital en el que vivimos, las tecnologías que han facilitado las tareas de nuestras vidas, también se han convertido en instrumentos que pueden vulnerar la privacidad y los derechos humanos de las personas.
