La Constitución te da un derecho. La ventanilla te lo quita.
Así funciona México cuando la ley dice una cosa y la realidad dice otra. Cuando un artículo constitucional protege tu privacidad y un sistema informático en una oficina gubernamental condiciona tu trámite a que entregues los datos más íntimos que tu cuerpo puede producir.
¿Puedes negarte a dar tus datos biométricos para la CURP? La respuesta jurídica es sí. La respuesta práctica es: inténtalo y verás lo que pasa.
Este es el tercer artículo de una serie sobre la CURP biométrica en México. En el primero presenté el argumento oficial del gobierno. En el segundo documenté por qué la filtración de la base de datos es una cuestión de cuándo, no de si. En este voy a abordar algo que afecta directamente al ciudadano que está leyendo esto, que tiene que hacer un trámite la próxima semana, que va a llegar a una ventanilla y que va a enfrentar la pregunta: ¿me doy mis datos biométricos o me niego?
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. Pero este artículo no lo escribo como perito. Lo escribo como ciudadano. Como alguien que entiende la tecnología, que entiende la ley, y que entiende la brecha entre ambas. Porque esa brecha es donde viven millones de mexicanos: en el espacio donde el derecho existe en el papel pero se evapora en la práctica.
Lo que dice la Constitución
Vamos al texto. Sin interpretaciones creativas. Sin torcerle el cuello a la ley. El texto puro.
El artículo 16 de la Constitución Política de los Estados Unidos Mexicanos establece, en su segundo párrafo, el derecho a la protección de datos personales. Dice que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición.
Oposición. Esa es la palabra clave. La Constitución te da el derecho a oponerte al tratamiento de tus datos personales.
Los datos biométricos son datos personales. No hay discusión técnica ni jurídica al respecto. Tu rostro, tus huellas dactilares, tu iris son datos personales sensibles. Son tuyos. Y la Constitución te da el derecho a oponerte a que sean recopilados.
El artículo 6 constitucional establece que la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
Ahí está la trampa: «en los términos y con las excepciones que fijen las leyes.» Porque la Constitución da el derecho, pero las leyes secundarias definen el alcance. Y las leyes secundarias pueden establecer excepciones. Y en esas excepciones es donde el Estado encuentra la puerta para condicionar tus trámites a la entrega de tus datos biométricos.
Abogado constitucionalista que me lee: la tensión entre el derecho constitucional a oponerte y la obligación legal de entregar datos biométricos para acceder a servicios básicos es un caso de ponderación que debería resolverse a favor del ciudadano. Porque el derecho a la privacidad es un derecho fundamental. Y condicionar el acceso a un trámite esencial — tu CURP, que necesitas para todo, desde inscribir a tu hijo en la escuela hasta cobrar tu pensión — a la entrega de datos biométricos es, en la práctica, eliminar el derecho a oponerte. Porque no hay oposición real cuando la alternativa es la exclusión.
Lo que dice la ley secundaria
La Ley General de Población y su reglamento son los instrumentos que regulan el Registro Nacional de Población — RENAPO — y, por extensión, la CURP. Las reformas que incorporan la recolección de datos biométricos a la CURP se fundamentan en el objetivo de crear un registro confiable, único y verificable de cada persona en el territorio nacional.
La ley habla de que el registro de población debe contener los datos que permitan certificar y acreditar fehacientemente la identidad de las personas. Y los datos biométricos, según el argumento legislativo, son necesarios para esa certificación fehaciente.
Aquí es donde la lógica jurídica se encuentra con la lógica técnica. Porque «certificar fehacientemente la identidad» no requiere necesariamente datos biométricos. Existen múltiples mecanismos de verificación de identidad que no requieren la entrega de datos irrevocables. Firmas electrónicas avanzadas. Tokens de autenticación. Verificación en dos pasos. Sistemas de identidad descentralizada. La biometría es un mecanismo. No es el único mecanismo. Y presentarlo como necesario cuando existen alternativas es un argumento de conveniencia, no de necesidad.
Pero la ley no hace esa distinción. La ley dice que los datos biométricos se recopilarán. Y la maquinaria administrativa del Estado opera conforme a la ley secundaria, no conforme al debate académico sobre si la ley secundaria es proporcional al derecho constitucional.
Lo que pasa en la ventanilla
Y aquí llegamos a la realidad. La realidad que vive el ciudadano que no es abogado, que no es perito, que no es activista de privacidad. El ciudadano que necesita su CURP y que llega a la oficina del registro civil o a la dependencia correspondiente a tramitarla.
La realidad es esta:
Llegas a la ventanilla. Te piden tus datos. Te piden tu acta de nacimiento. Te piden tu identificación. Y en algún punto del proceso, te piden que pongas tu huella en un lector biométrico y que mires a una cámara.
Si preguntas «¿es obligatorio?», la respuesta del funcionario va a ser alguna versión de: «si no da su huella y su foto, el sistema no me deja avanzar.» O: «es requisito del trámite.» O: «todos lo hacen, es normal.» O simplemente: «sí.»
El funcionario no está mintiendo. Desde su perspectiva, el sistema informático que tiene enfrente requiere la captura biométrica para completar el registro. Sin esa captura, el sistema literalmente no le permite avanzar a la siguiente pantalla. El funcionario no diseñó el sistema. No programó el flujo. No decidió que la biometría fuera obligatoria. Solo opera la herramienta que le dieron. Y la herramienta le dice que sin huella y sin foto, no hay CURP.
Esa es la coacción institucional.
No es un funcionario amenazándote. No es un policía deteniéndote. No es violencia física. Es algo más sofisticado que eso: es un sistema diseñado para que la única forma de acceder a un derecho básico — tu identidad oficial — sea entregar datos biométricos. La coacción está en el diseño, no en el funcionario. El funcionario es solo el mensajero de un sistema que alguien más diseñó para que no haya alternativa.
Ciudadano que me lee y que la próxima semana tiene un trámite: entiende que el funcionario de la ventanilla no es tu enemigo. No es él quien decidió que tuvieras que dar tus huellas. Es el sistema el que lo decidió. Y el sistema lo diseñaron personas que nunca van a sentarse frente a ti a explicarte por qué tu derecho constitucional a oponerte se evapora cuando su software te pide la huella.
La desconexión entre la Constitución y el oficinista
Este es el problema estructural que nadie está resolviendo.
La Constitución dice: tienes derecho a oponerte.
La ley secundaria dice: el registro requiere biometría.
El sistema informático dice: sin huella no hay trámite.
El funcionario dice: así funciona.
Y el ciudadano queda atrapado entre cuatro capas de autoridad — constitucional, legislativa, tecnológica y burocrática — que se contradicen entre sí sin que ninguna asuma la responsabilidad de la contradicción.
Porque el legislador que aprobó la ley dirá que no viola la Constitución porque hay «interés público.» El diseñador del sistema dirá que él solo implementó lo que la ley dice. El funcionario dirá que él solo usa el sistema que le dieron. Y la Constitución seguirá ahí, diciendo que tienes derecho a oponerte, sin que nadie te explique cómo ejercer ese derecho sin perder tu trámite.
Periodista que me lee: esta desconexión es una historia. No es una historia técnica ni una historia jurídica. Es una historia humana. Es la historia de lo que pasa cuando un país tiene leyes que se contradicen y ciudadanos que caen en las grietas de esa contradicción. Ve a una oficina del registro civil. Lleva una cámara. Pregunta a las personas que salen si les explicaron que podían negarse a dar sus huellas. La respuesta va a ser siempre la misma: nadie les dijo. Porque nadie les dice.
El amparo: la herramienta jurídica que existe pero que pocos conocen
Activista de privacidad que me lee y que quiere hacer algo concreto: el amparo es tu herramienta.
El juicio de amparo en México es el mecanismo constitucional para proteger derechos fundamentales frente a actos de autoridad que los vulneran. Si el Estado condiciona tu acceso a un trámite esencial a la entrega de datos biométricos, y tú consideras que esa condición viola tu derecho constitucional a la protección de datos personales y a la privacidad, puedes promover un amparo.
Voy a ser claro sobre lo que el amparo puede y no puede hacer:
Lo que puede hacer: un juez de amparo puede ordenar que la autoridad te proporcione el trámite sin requerir tus datos biométricos. Puede declarar inconstitucional — en tu caso particular — la obligación de entregar datos biométricos como condición para obtener tu CURP. Puede establecer que la coacción biométrica viola tus derechos fundamentales.
Lo que no puede hacer: un amparo individual no cambia la ley para todos. Te protege a ti. Si quieres que la protección sea general, necesitas un amparo con efectos generales o, mejor aún, una acción de inconstitucionalidad promovida por los órganos legitimados para ello.
Lo que necesitas saber sobre el proceso: el amparo requiere un abogado. Tiene plazos. Tiene formalidades. Tiene un costo — no necesariamente alto, pero tiene un costo. Y tiene una duración: puede tomar meses en resolverse. Durante ese tiempo, si necesitas tu CURP con urgencia, el amparo no es una solución inmediata a menos que obtengas una suspensión provisional que ordene a la autoridad no condicionarte.
Abogado constitucionalista que me lee y que quiere litigar esto: el argumento central del amparo debería ser el principio de proporcionalidad. La recolección de datos biométricos es una medida que restringe un derecho fundamental — la privacidad. Para que esa restricción sea constitucional, debe superar un test de proporcionalidad:
Finalidad legítima. ¿El Estado tiene una finalidad legítima al querer un registro confiable de identidad? Sí. Eso se concede.
Idoneidad. ¿La biometría es un medio idóneo para lograr esa finalidad? Discutible. Existen alternativas menos invasivas. Pero supongamos que sí.
Necesidad. ¿La biometría es necesaria, o existen medios alternativos que logran la misma finalidad con una restricción menor de derechos? Aquí es donde el argumento se fortalece. Porque existen sistemas de verificación de identidad que no requieren datos irrevocables. La biometría no es el único mecanismo. No es necesaria en sentido estricto.
Proporcionalidad en sentido estricto. ¿El beneficio obtenido por la recolección biométrica es proporcional al daño potencial que causa? Aquí es donde el argumento se vuelve devastador. Porque el beneficio es eficiencia administrativa. Y el daño potencial — documentado en el artículo anterior de esta serie — es la filtración irrevocable de los datos más sensibles de 130 millones de personas. Un beneficio operativo no justifica un riesgo existencial.
Si un juez aplica el test de proporcionalidad con rigor, la obligación de entregar datos biométricos como condición para acceder a la CURP no debería sobrevivir.
Pero eso requiere que alguien lo litigue. Que alguien se plante. Que alguien diga: no. No voy a dar mis huellas. Y que tenga un abogado que sepa convertir ese «no» en un argumento constitucional.
Alternativas legales que existen hoy
No todo es amparo. Hay acciones más inmediatas que el ciudadano y sus representantes pueden tomar.
Solicitud de tratamiento alternativo
Antes de litigar, puedes solicitar por escrito a la dependencia que te permita completar tu trámite sin datos biométricos. La solicitud debe fundamentarse en tu derecho constitucional a oponerte al tratamiento de tus datos personales. La dependencia está obligada a responder por escrito. Si la respuesta es negativa, esa respuesta escrita se convierte en el acto de autoridad que puedes impugnar vía amparo.
El acto de pedir por escrito — y de exigir respuesta por escrito — es importante. Porque la negativa verbal en la ventanilla no se puede impugnar. La negativa documentada, sí.
Queja ante el INAI
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales — el INAI — es la autoridad garante de protección de datos personales en México. Si consideras que una dependencia gubernamental está violando tus derechos de protección de datos al condicionar un trámite a la entrega de biometría, puedes presentar una queja.
El INAI tiene limitaciones. No puede declarar inconstitucional una ley. No puede ordenar a una dependencia que cambie su sistema informático. Pero puede emitir recomendaciones. Puede documentar el patrón de quejas. Puede generar presión institucional. Y puede alimentar el argumento de que la coacción biométrica es un problema sistemático que requiere atención legislativa.
Acción colectiva
Si un grupo de ciudadanos se organiza para impugnar la obligatoriedad de la biometría, una acción colectiva tiene mayor peso que un amparo individual. No solo por los efectos jurídicos sino por la visibilidad pública. Un ciudadano diciendo «no quiero dar mis huellas» es una anécdota. Mil ciudadanos diciendo «no queremos dar nuestras huellas» es un movimiento.
Activista que me lee: organiza. Documenta. Conecta a las personas que han sido coaccionadas en ventanillas con abogados que entiendan la dimensión constitucional del problema. Cada caso documentado es un precedente potencial. Cada negativa escrita es munición jurídica.
La realidad del consentimiento en un entorno de coacción
Hay un concepto en derecho que es fundamental para esta discusión y que nadie está aplicando: el consentimiento libre.
Para que la entrega de datos personales sea válida jurídicamente, el consentimiento debe ser libre, específico, informado e inequívoco. Libre significa que la persona tiene la opción real de no consentir sin sufrir consecuencias desproporcionadas.
Pregunta: si la alternativa a dar tus huellas es no tener CURP — y sin CURP no puedes inscribir a tus hijos en la escuela, no puedes acceder a servicios de salud, no puedes abrir una cuenta bancaria, no puedes cobrar una pensión, no puedes hacer prácticamente ningún trámite en México –, ¿el consentimiento que das cuando pones tu huella en el lector biométrico es libre?
La respuesta es no. Es consentimiento bajo coacción institucional. Es un «sí» que dice tu boca mientras tu voluntad dice «no tengo alternativa.»
Y un consentimiento que no es libre no es consentimiento. Es formalidad vacía. Es el Estado simulando que te preguntó mientras te quitaba la capacidad de responder que no.
Legislador que me lee: si la biometría va a ser obligatoria, al menos ten la honestidad institucional de decir que es obligatoria. No disfraces la obligación de consentimiento. No pongas un formato que diga «autorizo la recolección de mis datos biométricos» cuando la alternativa a no firmar es perder tu identidad oficial. Eso no es consentimiento. Es teatro jurídico.
Y si quieres que sea realmente voluntario, crea una alternativa real. Un mecanismo de verificación de identidad que no requiera biometría y que dé acceso a los mismos servicios. Si la persona puede elegir entre biometría y una alternativa equivalente, el consentimiento es libre. Si la única opción es biometría o exclusión, el consentimiento es forzado.
Cómo proteger tu privacidad en un entorno hostil
Ciudadano que me lee y que quiere hacer algo pero no sabe por dónde empezar: esto es lo que puedes hacer hoy, sin abogado, sin amparo, sin activismo.
Primero: infórmate. Lo estás haciendo ahora. Saber que tienes derechos es el primer paso para ejercerlos. Saber que la Constitución te protege es el primer paso para invocar esa protección.
Segundo: pregunta. Cuando llegues a la ventanilla y te pidan tus datos biométricos, pregunta: «¿es obligatorio?» No de forma confrontativa. De forma informada. Pregunta si hay una alternativa. Pregunta qué pasa si no consientes. Pregunta qué fundamento legal tiene la obligatoriedad. Las respuestas — o la ausencia de respuestas — te van a decir mucho sobre el sistema en el que estás.
Tercero: documenta. Si te dicen que es obligatorio, pide que te lo pongan por escrito. Pide el fundamento legal. Pide el nombre del funcionario. Pide el número de oficio. No para pelear. Para documentar. Porque la documentación es lo que convierte una anécdota en evidencia.
Cuarto: exige información sobre la seguridad de tus datos. La Ley General de Protección de Datos en posesión de sujetos obligados te da derechos ARCO — acceso, rectificación, cancelación y oposición. Puedes ejercerlos. Puedes preguntar a la dependencia: ¿dónde se almacenan mis datos biométricos? ¿Quién tiene acceso? ¿Qué medidas de seguridad se aplican? ¿Cuánto tiempo los conservan? ¿Están cifrados? ¿Existen auditorías de seguridad?
Las respuestas — si es que las obtienes — van a ser reveladoras.
Quinto: conecta. Busca organizaciones de la sociedad civil que estén trabajando el tema de privacidad y datos biométricos en México. No estás solo en esto. Hay grupos organizados, hay abogados especializados, hay investigadores, hay periodistas que están documentando la misma problemática. Encontrarlos multiplica tu capacidad de acción.
Lo que debería existir y no existe
Un sistema de identidad nacional que respete los derechos fundamentales debería tener, como mínimo, una alternativa no biométrica para todo trámite esencial. Debería tener información clara, visible y accesible en cada punto de recolección sobre el derecho del ciudadano a oponerse. Debería tener un mecanismo formal de oposición que no requiera abogado ni amparo — un formulario, un procedimiento administrativo, algo que el ciudadano pueda ejercer en la misma ventanilla sin tener que litigar.
Debería existir transparencia absoluta sobre la infraestructura de seguridad que protege los datos recolectados. Debería existir un compromiso público, vinculante y auditable del Estado sobre los estándares de protección. Debería existir un protocolo de respuesta a incidentes que el ciudadano pueda conocer antes de entregar sus datos, no después de que se filtren.
Nada de esto existe.
Lo que existe es un sistema que recolecta datos biométricos de forma masiva, sin alternativa real, sin información clara sobre la seguridad de esos datos, sin mecanismo de oposición accesible, y sin plan público para cuando — no si, cuándo — esos datos se comprometan.
Y frente a ese sistema, el ciudadano está solo con su huella y su pregunta: ¿qué hago?
La responsabilidad no es del ciudadano — es del Estado
Quiero cerrar con algo que necesita decirse con claridad.
La responsabilidad de proteger los datos biométricos no es del ciudadano que los entrega. Es del Estado que los recolecta.
El ciudadano no eligió que sus datos biométricos fueran necesarios para tener identidad oficial. El ciudadano no diseñó el sistema que lo obliga a entregar sus huellas. El ciudadano no programó el software que no avanza sin la captura biométrica. El ciudadano no decidió que la alternativa a entregar sus datos fuera la exclusión de los servicios básicos.
Todo eso lo decidió el Estado. Y si el Estado decide recolectar los datos más sensibles e irrevocables que una persona puede tener, el Estado asume la responsabilidad total — no parcial, total — de protegerlos, de usarlos solo para el fin declarado, de no compartirlos sin consentimiento, de no perderlos por negligencia, y de responder con consecuencias reales cuando algo falle.
Esa responsabilidad no se delega. No se diluye. No se evade con un aviso de privacidad que nadie lee. Es del Estado. Íntegra. Sin matices.
Empresario que me lee y que piensa que este debate no le afecta: si el Estado normaliza la recolección biométrica sin consentimiento libre, el precedente se extiende al sector privado. Hoy es la CURP. Mañana es tu proveedor de internet pidiéndote huella para contratarte. Tu gimnasio pidiéndote reconocimiento facial para entrar. Tu empleador registrando tu iris para el control de asistencia. La normalización de la coacción biométrica gubernamental abre la puerta para la coacción biométrica privada. Y esa puerta, una vez abierta, no se cierra.
La ley dice que puedes negarte. La realidad dice que si te niegas, te quedas sin trámite.
Esa brecha entre la ley y la realidad es donde se pierde la privacidad de millones de mexicanos. No en un hackeo. No en una filtración. En una ventanilla. En un «ponga su huella aquí, por favor.» En un sistema que no te pregunta si quieres, sino que asume que vas a aceptar porque no tienes opción.
Y la única forma de cerrar esa brecha es que alguien — muchos alguienes — empiecen a decir que no. A documentar el no. A litigar el no. A organizar el no. A convertir el no individual en un no colectivo que obligue al Estado a crear la alternativa que debería haber existido desde el principio.
Comparte este artículo. Que llegue al ciudadano que no sabe que puede decir que no. Que llegue al abogado que puede convertir ese no en un amparo. Que llegue al legislador que debería haber creado la alternativa antes de aprobar la obligación. Que llegue a donde tiene que llegar.
Porque tu cara es tuya. Tus huellas son tuyas. Tu iris es tuyo. Y la decisión de entregarlos debería ser tuya también. No de un sistema informático que no te da otra opción.
En el siguiente y último artículo de esta serie voy a llegar al punto más importante de todos. El punto que debería ser el centro de toda la discusión y que nadie está poniendo ahí. El punto que hace que la CURP biométrica no sea solo un problema de privacidad, sino un problema existencial de ciberseguridad: si tu CURP se filtra, no puedes cambiar tu cara.