Por Ana Lilia Moreno Programa de Regulación y Competencia En México, eliminar trámites duplicados y filas interminables es una meta deseable. Pero el problema no es la digitalización en sí, sino cómo se implementa y qué datos exige. También es importante en qué condiciones se resguarda la información personal con claves como la CURP biométrica y la Llave Mx. En este sentido, hay un detalle que puede llegar a ser un inconveniente: ninguna de las nuevas leyes y reformas reconocen la existencia de las personas morales en su programa de simplificación de trámites. Pero vamos por partes… El Gobierno federal formalizó el uso obligatorio de la “Llave MX” por medio de la Clave Única de Registro de la Población (CURP) biométrica. Con esta dupla, habilita el acceso de los ciudadanos a una plataforma digital que será el único mecanismo para cumplir con trámites gubernamentales y pago de servicios públicos. Aunque tales medidas prometen eficiencia, también plantean riesgos técnicos, legales y éticos que afectarán de forma desigual a los distintos actores económicos. Esto se ha puesto en marcha tras la aprobación de la nueva Ley Nacional para la Eliminación de Trámites Burocráticos, el 24 de junio de este año, y de la reforma a la Ley General de Población, el 1 de julio. Según esta nueva ley, la CURP es “la fuente única de identidad de las personas de nacionalidad mexicana o extranjera en condición de estancia regular”. Además, establece que todo ente público o privado estará obligado a solicitarla para la prestación de trámites y servicios. A partir de las nuevas leyes y otras reformas que están por aprobarse, toda empresa que desee interactuar con el Estado —pagar impuestos, registrar contratos o solicitar permisos y licencias, pagar servicios públicos— deberá hacerlo mediante la CURP biométrica de su representante legal. En otras palabras, para que una empresa —que ante el fisco es una persona moral— cumpla con sus trámites y pagos de servicios públicos, tendrá que realizar estas obligaciones a través de la CURP biométrica de la persona física que sea su representante legal. Si por cualquier circunstancia —o por alguna desgracia— ese individuo ya no pudiera proporcionar sus claves digitales, la empresa estará impedida de hacer trámites, al menos de momento. Riesgos para pequeñas, medianas y grandes empresas Las PyMEs, en especial, enfrentan otras desventajas estructurales que podrían traducirse en exclusión. Para empezar, muchas no cuentan con los recursos técnicos ni humanos para adaptar sus sistemas al nuevo modelo. La necesidad de contratar proveedores especializados, cumplir con requisitos de ciberseguridad y capacitar personal, podría suponer una carga financiera insostenible, sobre todo en regiones donde el acceso a internet sigue siendo limitado. Según datos del Censo Económico 2024 del Instituto de Estadística y Geografía (Inegi), de las 5.5 millones de empresas privadas y establecimientos que operan en México, sólo 26.2 por ciento emplearon internet ese año, lo que equivale a 1.4 millones de empresas. Estos datos reflejan una brecha preocupante si estamos ante la obligación de usar plataformas digitales para interactuar con el gobierno para cumplir con obligaciones. Por su parte, las empresas multinacionales ahora enfrentan un conflicto normativo. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea exige que el tratamiento de información biométrica se base en el consentimiento libre, explícito y consciente. Además, obliga a diversos requisitos, entre ellos, realizar evaluaciones de impacto (DPIA), limitar la recolección de datos a lo estrictamente necesario y establecer mecanismos de supervisión independientes. El modelo mexicano, en cambio, impone la entrega de datos biométricos como requisito obligatorio, sin opción a métodos alternativos ni evaluación previa de riesgos, lo que podría poner a filiales europeas en una situación legal comprometida. Según el RGPD (art. 83.5), incumplir estas disposiciones puede derivar en multas de hasta el 4% del volumen global de facturación anual de una empresa. Esto significa que una compañía con operaciones en México podría enfrentar sanciones en Europa si se considera que el tratamiento obligatorio de la data biométrica de sus empleados en territorio mexicano viola sus principios regulatorios. El desafío de la ciberseguridad Algo similar podría ocurrir con empresas estadounidenses o canadienses. El tratado comercial que vincula a los tres países de norteamérica, el T-MEC, establece principios mínimos de protección de datos en su capítulo de Comercio Digital (artículos 19.8 a 19.12). Entre ellos están la transparencia, el consentimiento y la limitación de la recopilación de datos. El fundamento legal proviene del Marco de Privacidad del Foro de Cooperación Económica Asia–Pacífico (APEC) y de las directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) relativas a la protección de la privacidad y los flujos transfronterizos de datos personales (del año 2013). Dicho de manera más clara: obligar a ciudadanos extranjeros residentes en México a ceder su información biométrica sin salvaguardas claras puede interpretarse como una violación a estos compromisos, especialmente si se utiliza esa data para fines como la geolocalización o el monitoreo en tiempo real. Estamos, con estos cambios legales, ante un problema sobre la sensibilidad y propiedad de los datos biométricos. Tras una filtración y robo de datos, un rostro o una huella hurtada para fines maliciosos implica un daño irreversible para la persona. Por ello, dada la débil infraestructura de ciberseguridad del país, esto es especialmente riesgoso. En la primera mitad de 2022, México registró 85 mil millones de intentos de ciberataques, según la empresa especialista en este tema Fortinet. Con ello, México se encuentra entre los países con más ataques informáticos de América Latina. Relacionado a ello, se proyecta un crecimiento del mercado de protección cibernética del 7.4 % anual hasta 2029. De acuerdo con un análisis de Silikin, organización especialista en certificación de seguridad digital, al tercer trimestre de 2023, México presentó un incremento del 220% en brechas de datos, y confirmó que gran parte de esta información filtrada pertenece a organismos del gobierno mexicano. ¿Qué se debe de hacer? Frente a este contexto, las empresas no pueden quedarse inmóviles. Deben tomar medidas preventivas y correctivas para adaptarse al nuevo entorno informático y proteger sus operaciones. Esto incluye: revisar y actualizar sus avisos de privacidad conforme a la Ley Federal de Protección de Datos Personales y, en el caso de empresas con operaciones internacionales, armonizarlos con regulaciones como el RGPD. Será fundamental que destinen inversión a infraestructura de ciberseguridad, implementen protocolos de encriptación, monitoreen el tráfico en sus redes y vigilen su interacción con Llave MX para detectar anomalías. Las empresas también pueden realizar evaluaciones de impacto que documenten los riesgos específicos del uso de biometría obligatoria y establezcan planes de mitigación de ciberriesgos. Capacitar al personal directivo y técnico en temas de derechos digitales, gestión de incidentes y suplantación biométrica será clave para reducir vulnerabilidades. Además, será necesario que el sector privado, junto con la sociedad civil, nos organicemos colectivamente para exigir garantías legales, transparencia en el uso de la data biometrica y la restitución de un organismo autónomo de supervisión. La digitalización gubernamental es una herramienta poderosa cuando se construye sobre principios de inclusión, proporcionalidad y protección de derechos. Es posible lograr modelos digitales eficientes sin imponer coercitivamente la recolección de datos biométricos, tal como ya sucede en Canadá o los miembros de la Unión Europea.