Las reformas a la Ley General en materia de desapariciones que plantean el acceso inmediato e irrestricto a cualquier base de datos de autoridades y particulares por parte de todas las corporaciones policiacas y de procuración de justicia es una medida desproporcionada, que pone en riesgo la protección de datos personales.

De acuerdo con organizaciones y especialistas, el espectro es sumamente amplio respecto a quiénes serán los sujetos obligados y la información susceptible de ser compartida, pues estipula que “cualquier particular que tenga a su cargo datos biométricos o cualquier otro dato identificativo”, definición en la que puede encuadrarse una cantidad inmensa de información.

Lee | Reforma de Sheinbaum obligaría a particulares a compartir datos biométricos para buscar a desaparecidos

“Nos parece gravísimo, es una absoluta desproporción. Algo distinto sería, por ejemplo, establecer mecanismos de colaboración, en donde una autoridad pueda solicitarle a un particular que si cuenta con información de una persona desaparecida, la entregue. Una cosa es esa colaboración y la entrega de información, y la otra es dar acceso irrestricto y consulta inmediata. Eso es absolutamente desproporcionado y una amenaza gravísima para la privacidad”, sostiene Luis Fernando García, director de la Red en Defensa de los Derechos Digitales R3D.

En particular, en un escenario en el que la organización ha enfatizado de manera sostenida que en México muchas autoridades se encuentran coludidas con la propia delincuencia, por lo cual no solo resulta grave, sino que podría llegar a ser contraproducente, pues la información podría utilizarse potencialmente para cometer incluso los delitos que busca resolver.

Los riesgos de reforma de Sheinbaum: vulneración inintencionada o colusión

Los riesgos que representa el acceso irrestricto e inmediato por parte de las instancias de seguridad y de procuración de justicia a cualquier base de datos en poder de particulares –que serán multados si se niegan– pueden explicarse en dos vías: vulneración por negligencia o colusión deliberada con fines criminales.

De hecho, recientemente el gobierno de ese país expresó al gobierno mexicano su deseo de que le sean compartidos datos biométricos de la población. En su conferencia mañanera la presidenta dijo que el acuerdo no se firmó, porque para empezar no se cuenta con ellos, aunque aclaró que se usarían “principalmente en migración”. Luego dijo que las propuestas de su iniciativa no tienen nada que ver con esta petición.

Lee más | CURP con datos biométricos representa riesgo para la protección de datos personales: especialistas

En “el mejor de los casos”, precisa García, podría hablarse de la vulneración de esos datos por agentes externos para la comisión de delitos como extorsión, fraude, secuestro, desaparición, robo, etcétera, derivada de ataques informáticos por la falta de protección a datos. El otro escenario estaría relacionado con la colusión de las autoridades con la delincuencia organizada.

“Cuando pensamos en los riesgos hay que pensar no en la autoridad honesta, que no sé dónde existe, creo que nadie tiene una imagen de la autoridad responsable, profesional, transparente, sino que debemos pensar en todo lo contrario: en el acceso a esta información por parte de autoridades corruptas, coludidas y sin ningún tipo de control, sin la posibilidad de defendernos, sin saber realmente cómo esos datos están siendo utilizados en nuestro perjuicio”, subraya.

A esto se suma la posibilidad de que incluso sean utilizados con fines electorales u otros de manipulación de la población, lo que es grave para la democracia y los derechos humanos. Por otro lado, destaca, los beneficios son inciertos, pues la crisis de desapariciones no se debe a la ausencia de esa información.

Recuerda que, además, para la identificación de cuerpos los datos biométricos no son los más importantes, sino la identificación genética a partir de las muestras que aportan las familias, y en torno a la que el rezago en el país asciende a más de 72 mil cuerpos o segmentos humanos sin identificar. En la exposición de motivos de la iniciativa, agrega, no se incluye una justificación de cómo esta información prevendrá el fenómeno. 

Quizá en un universo de casos muy pequeño, anticipa, pueda ocurrir el supuesto al que apunta ese aspecto de la reforma, que es la posibilidad de detectar una alerta en el momento en que alguien haga una transacción con el CURP de una persona desaparecida. Sin embargo, ese universo mínimo no justifica la vigilancia masiva de más de 130 millones de personas. 

Lee también | Sheinbaum anuncia acciones para atender crisis de desapariciones, tras hallazgo en Teuchitlán

Riesgos del acceso a datos biométricos

Un riesgo adicional, destaca García, es el hecho de que los datos biométricos en particular conllevan un riesgo más, asociado a que al tratarse de aspectos fisiológicos de una persona, en caso de vulneración pueden generar daños permanentes, a diferencia de cuando se compromete el acceso a una contraseña o una cuenta que se puede cambiar. 

En el caso de los datos biométricos es imposible hacerlo y una vez comprometidos, pueden ser utilizados incluso con fines de suplantación permanente de identidad. Es falso que los sistemas de identificación masiva biométrica no puedan ser eludidos, sobre todo ante el avance tecnológico de sistemas como la inteligencia artificial, el deep fake y otros. No ofrecen una garantía de identificación única, destaca. 

Dados los antecedentes y la impunidad que prevalece –continúa– respecto a, por ejemplo, la vigilancia ilegal que han cometido instituciones de seguridad incluso sobre personas desaparecidas, familiares, organizaciones y funcionarios vinculados al tema, “es peligrosísimo dar todas estas facultades a estas autoridades sin transparencia, sin rendición de cuentas, sin control judicial”.

Te puede interesar | Colectivos reconocen que Sheinbaum aborde, al fin, agenda de desaparecidos, pero señalan que lo central de su propuesta ya es ley

La falta de control judicial, inconstitucional

Además del análisis desde la perspectiva de protección a datos personales, un aspecto de inconstitucionalidad en el que podrían derivar las reformas surge desde el punto de vista penal, pues la Suprema Corte ha desarrollado una serie de parámetros que hablan del control judicial, que implica que cuando la autoridad va a afectar ciertos derechos al investigar la comisión de un crimen, tiene que existir la autorización de un juez. 

“¿Quién debería tutelar que no sea indiscriminado? Un juez. Ese es el principal problema: que la ley no prevé un control previo o posterior”, cuestiona Joseph Olid, abogado constitucionalista de la Universidad de Guadalajara. El artículo 16 de la Constitución establece que nadie puede ser molestado en su persona, papeles, posesiones, etcétera.

Derivado de la necesidad de investigar delitos, la Corte ha interpretado que la información bancaria o fiscal es sensible y no se puede incorporar arbitrariamente en una carpeta de investigación, sino que deben existir ciertos parámetros. En el proceso penal hay restricciones: “No porque exista una investigación, toda la información podrá ser obtenida de cualquier manera”, subraya el especialista. 

Uno de los parámetros puede ser que se cuente con mayor nivel de análisis que el que se utiliza ordinariamente para cualquier otro acto de investigación, como inspecciones, entrevistas o recabación de testimonios. Para actos más invasivos, como la intervención de comunicaciones, el cateo, etcétera, se requiere un control judicial. Sin embargo, las reformas proponen una plataforma con acceso inmediato a bases de datos. 

Si bien de entrada el universo de datos puede ser muy amplio, lo problemático desde el aspecto penal es el artículo que establece que cualquier privado debe permitir el acceso irrestricto a todas las autoridades. La transferencia de datos, concepto previsto por la Ley de Datos Personales, abarca todo el universo posible. 

“La ley en la materia lo único que dice es que se pueden transferir todos los datos que sean necesarios para la procuración de justicia, o sea todo. Al ser una ley especial (la de desaparición), se entendería que esto solo se permitiría en casos que investigue la fiscalía de personas desaparecidas, pero es en todos los casos de personas desaparecidas porque así lo establece la ley en la materia”, explica Olid.

Lee | “Aquí estamos para dialogar y construir”: colectivo propone a Sheinbaum parlamento abierto para atender crisis de desapariciones

Se abre la puerta, además, a toda la información de instancias de salud. Las reformas establecen la obligación pero no la ruta, y dan a entender que el acceso es permanente y en tiempo real, sin mediar siquiera una solicitud. “Aquí prácticamente nos dice que no es necesario que se agote ese control judicial, que los actos que lo requieren son todos aquellos que impliquen afectación a derechos establecidos en la Constitución”, añade.

“Desde la perspectiva penal, puede resultar inconstitucional; hay ciertos actos en los que debes tener siempre control judicial, aunque sea posterior. Aquí ni siquiera dice que antes o después; en la medida que no está esa restricción, el acceso en tiempo real rompe lo que antes era la necesidad de contar con control judicial. ¿En términos llanos qué significa? Que va a haber un acceso indiscriminado a ciertas bases de datos y eso puede generar ciertas violaciones, y el espectro de protección, que es la expectativa razonable de privacidad, se está perdiendo frente a las necesidades de la seguridad pública”.

Lee también | Dos años en un SEMEFO sin ser identificado mientras su familia lo buscaba: el caso de Mauri exhibe crisis forense

Vigilancia y exclusión reforzada por reformas a CURP 

Como lo señaló antes en entrevista para Animal Político, el director de R3D amplia el cuestionamiento a la reforma a la Ley General de Población, que pretende el uso de la Clave Única de Registro de Población (CURP) como fuente única de identidad de las personas mexicanas o extranjeras en estancia regular.

Esto en particular cuando se señala, precisa García, que el documento será obligatorio y estará integrado con una base de datos biométrica. Particularmente importante es que se establece la obligación de que cualquier servicio o producto que ofrezca un particular obligue a exigir la CURP. 

Lee más | Promesas y omisiones: la estrategia de Sheinbaum ante las desapariciones en México

El acceso a esos datos sin ningún tipo de control podría provocar una mala utilización grave para la privacidad y seguridad de las personas, pues se trata de generar prácticamente un sistema de vigilancia masiva de la población a un nivel de detalle que resulta inédito, con la posibilidad de saber e identificar qué hace cada persona todo el tiempo. 

Además del efecto de vigilancia, esto también podría tener consecuencias de exclusión, porque se ata la identificación y se presume que el acceso a servicios públicos y privados va a depender de contar con la CURP y con una identificación biométrica que es falible. 

“En muchas ocasiones comete errores que afectan de manera desproporcionada a ciertas poblaciones como personas de edad adulta que no tienen huellas digitales, personas con discapacidad, personas trans y dependiendo los tipos de identificación biométrica, personas racializadas, mujeres, personas no binarias, en calle, migrantes irregulares, etcétera”, señala García.

Te puede interesar | CURP biométrico: te decimos qué es y si realmente es obligatorio en México

Ante esto, adelanta, probablemente podría esgrimirse la justificación de que no es para todo tipo de servicios, pero mínimamente podrían estar incluidos los de transporte y salud. El activista por los derechos digitales refiere que cuando sistemas similares se han implementado en países como India, Uganda o Kenia, se ha comprobado que generan discriminación, exclusión y que las personas lleguen a perder acceso a servicios de los que depende su vida.