La reforma de inteligencia y vigilancia que impulsa el gobierno mexicano tiene un propósito legítimo: enfrentar al crimen organizado. Pero la forma en que se implementa —sin contrapesos, sin rendición de cuentas, débil presupuestalmente y con sistemas informáticos frágiles— podría poner en riesgo el patrimonio y la operación de empresas si reaccionan con lentitud. Para el sector privado, esto no es un asunto político, sino estratégico. La protección de datos, la gestión de riesgos reputacionales y la preparación ante escenarios de mayor intervención estatal serán claves para la supervivencia y el éxito en los próximos años.
Vamos por partes. ¿En qué consisten estas reformas? Durante el periodo extraordinario que acaba de concluir, el Congreso de la Unión aprobó un paquete de reformas que sientan las bases para un sistema de vigilancia amplio y centralizado en México, impulsado por el Poder Ejecutivo, estas reformas otorgan a autoridades civiles y militares acceso amplio a datos personales, biométricos y de telecomunicaciones sin controles judiciales efectivos. Destacan la Ley del Sistema Nacional de Seguridad Pública, que centraliza bases de datos sensibles y permite su consulta en tiempo real; la Ley del Sistema Nacional de Investigación e Inteligencia, que crea una plataforma de inteligencia sin salvaguardas claras; las reformas a la Ley de la Guardia Nacional, que atiende la seguridad pública y extiende sus facultades para recolectar información y las reformas a la Ley General de Población que fortalece la Clave Única de Registro de Población (CURP) como documento nacional de identificación obligatorio.
La estructura del sistema girará en torno a una red tecnológica que conectará múltiples bases de datos y herramientas de identificación digital. Elementos como la Plataforma Única de Identidad, que centralizará datos biométricos y personales de toda la población; la CURP biométrica, obligatoria para acceder a servicios; y la Llave MX, un sistema de autenticación digital, permitirá al Estado interactuar con los ciudadanos y empresas para el cumplimiento de sus trámites y pago de servicios públicos, según la nueva Ley Nacional para le Eliminación de Trámites Burocráticos.
El acceso en tiempo real a información personal permitirá al gobierno monitorear la vida de cualquier ciudadano mexicano o extranjero con residencia legal en el país, tanto en el ámbito físico como en el digital. Este poder se ve amplificado por el debilitamiento de los controles judiciales, en un contexto donde una parte significativa del Poder Judicial podría alinearse con el gobierno.
A esto se suman la Plataforma Central de Inteligencia, operada por la Secretaría de Seguridad Pública Ciudadana (SSPC), y el Sistema Nacional de Información. Así, el gobierno federal podrá interconectar datos bancarios, fiscales, migratorios, educativos, médicos y de telecomunicaciones. Esto es, el sistema pretende interconectar todas las bases de datos posibles, públicas y privadas.
La centralización de datos sensibles eleva el riesgo de ciberataques, mientras que la falta de supervisión y contrapesos podrían facilitar el abuso del sistema por parte de las autoridades sin que existan mecanismos para limitarlo y obligarlo a rendir cuentas. En otras palabras, aunque el gobierno federal argumenta que estas reformas son necesarias para combatir la delincuencia y modernizar la gestión pública —metas muy necesarias—, la garantía de protección a los derechos digitales se debilita por la propia configuración institucional que se ha diseñado para articular este nuevo sistema de control y vigilancia.
El registro de datos biométricos de los ciudadanos por parte del Estado fue declarado inconstitucional en 2022, al resolver la Suprema Corte de Justicia de la Nación la acción de inconstitucionalidad 82/2021, cuando determinó que la recopilación de datos biométricos —como huella dactilar o registros de reconocimiento facial y de iris— resultaban violatorios de los derechos de los ciudadanos. Con ese argumento se declaró la inconstitucionalidad del Padrón Nacional de Usuarios de Telefonía Móvil que obligaba a los usuarios a entregar sus datos biométricos al contratar líneas de internet o de telefonía móvil sin dar libertad al ciudadano de elegir si quería o no entregar su información personal; tampoco daba opción sobre el uso y destino de los datos entregados. Los ministros determinaron que esto violaba los derechos a la privacidad, intimidad y protección de datos personales.
La aprobación de estas reformas nos debe llevar a asumir esta nueva realidad e implica un cambio de mentalidad empresarial. Ya no se trata únicamente de cumplir con regulaciones preexistentes, sino de anticiparse a un entorno en el que la vigilancia digital, la integración masiva de datos y la intervención directa del Estado en la vida civil serán la norma. La creación de la CURP biométrica, centralizará datos personales, financieros, fiscales, comerciales y biométricos en una identidad digital única.
Ante esta nueva realidad, la respuesta corporativa por parte de las empresas residentes en México tendrá que estructurarse con base en una sólida planeación, adaptación tecnológica y protocolos claros de gobernanza de datos.
Así, las empresas que operan en México deberán considerar que su información, la de sus clientes, empleados y proveedores, formarán parte de este nuevo ecosistema de información gubernamental. Y, en cumplimiento a la ley, es tiempo de diseñar políticas internas para blindar sus activos, garantizar la protección del capital humano y resguardar su patrimonio institucional –pensemos en activos intangibles como marcas, secretos industriales, información sensible sobre clientes, proveedores y empleados.
La adopción de estándares internacionales como ISO/IEC 27001, que consiste en certificar los sistemas de control y gestión internos para mayor seguridad de la información, o los marcos de ciberseguridad desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, proporcionan enfoques flexibles y rentables para la gestión de riesgos de ciberseguridad, aplicable a empresas de todos los tamaños y sectores. Asimismo, aplicar auditorías internas periódicas será esencial para asegurar con un enfoque de cumplimiento y prevención esta nueva etapa.
Algunas industrias —como las fintech, los operadores logísticos, las tecnológicas, las empresas de movilidad, las de telecomunicaciones y las cadenas de servicios— deberán ser aún más ágiles. La sofisticación de la vigilancia implica que muchos de sus servicios y plataformas serán parte de los nodos que alimentarán el sistema nacional de inteligencia interoperable. Por ello, integrar arquitecturas seguras de nube, segmentar redes, actualizar contratos de confidencialidad y establecer controles de acceso automatizados serán pronto acciones necesarias.
En esta nueva etapa, es recomendable que los consejos de administración de las empresas abran un diálogo estratégico sobre su relación con el gobierno. De la mano de sus áreas de asuntos públicos o vinculación institucional, conviene revisar los mapas de actores clave (stakeholders) para anticipar escenarios y definir estrategias en un entorno donde el modelo de gobernanza se vuelve cada vez más vertical.
En este contexto, resulta fundamental precisar si la empresa cuenta con estrategias actualizadas de cumplimiento normativo y gestión proactiva del entorno regulatorio. También será clave verificar si se dispone de personal legal capacitado para, en coordinación con los equipos de tecnologías de la información, evaluar las solicitudes gubernamentales que pudieran recibirse. Finalmente, es indispensable fortalecer los protocolos y procesos internos que permitan registrar, atender y documentar adecuadamente esta nueva dinámica de interacción con las autoridades.
Ahora bien, ante un nuevo entorno también habrá nuevas oportunidades. Empresas que inviertan en ciberseguridad avanzada, en innovación tecnológica y en modelos de trazabilidad transparente podrán diferenciarse en sectores donde la confianza se vuelve un activo. Quienes adopten marcos voluntarios de gobernanza algorítmica, transparenten sus políticas de tratamiento de datos y colaboren activamente con iniciativas internacionales de integridad digital, estarán mejor posicionados para construir una ventaja competitiva en un entorno marcado por la incertidumbre regulatoria y el escrutinio social.
En paralelo, será clave el fortalecimiento de la cultura organizacional. Desde los comités de dirección hasta los equipos operativos, se debe fomentar una visión preventiva, ética y adaptativa. La ciberseguridad ya no es solo tarea del área técnica, sino un asunto transversal de liderazgo, reputación, continuidad operativa y sostenibilidad empresarial.
Asimismo, el capital humano debe protegerse. Las empresas deben diseñar protocolos para cuidar la privacidad y seguridad de sus trabajadores, especialmente en funciones críticas, desarrollando prácticas responsables sobre el uso de información personal, geolocalización o métricas biométricas. Un enfoque responsable en este ámbito no solo reducirá riesgos, también contribuirá a atraer y retener talento en un contexto de creciente escrutinio.
Adicionalmente, las compañías que operan a nivel internacional deben considerar los marcos regulatorios extraterritoriales. El cumplimiento de normativas como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley de Privacidad del Consumidor de California (CCPA) pueden ser un referente.
A la ciudadanía nos corresponde asumir un papel activo como vigilantes del uso que las autoridades hagan de nuestra información personal, incluso cuando ésta se encuentre en manos de actores privados. Ante el cambio de paradigma en las instituciones de seguridad pública, debemos estar preparados para exigir transparencia, rendición de cuentas y proponer ajustes normativos que garanticen la protección de nuestros derechos. Solo mediante una participación informada y constante podremos asegurar que este nuevo modelo se construya sobre principios de legalidad, proporcionalidad y confianza.
En paralelo, el sector privado tiene la oportunidad —y la responsabilidad— de participar de forma proactiva en el diseño de mecanismos de supervisión que refuercen ese equilibrio. Aunque el entorno actual presenta características restrictivas, aún hay espacio para que las empresas impulsen, financien o acompañen iniciativas de sociedad civil, como consejos u observatorios ciudadanos, que promuevan el ajuste de las políticas públicas conforme a estándares internacionales en materia de derechos digitales. Una acción concreta sería la creación de una comisión ciudadana de supervisión digital, respaldada por universidades, centros de pensamiento independientes y con el acompañamiento técnico y ético del sector empresarial. Esta comisión podría establecer métricas objetivas, estándares técnicos y auditorías independientes que funcionen como contrapesos efectivos para proponer cambios al modelo vigente y avanzar hacia una gobernanza más democrática, responsable y transparente.
*La autora es Directora de Inteligencia Más y maestra en Gobierno y Políticas Públicas en la Universidad Panamericana.
Cortesía de El Economista
Dejanos un comentario: