En las últimas semanas ha tomado fuerza una propuesta para transformar la CURP en un documento con fotografía y datos biométricos, como huellas dactilares o escaneo de iris. Suena bien: una identidad digital más moderna, segura y útil para acceder a servicios. El problema es que estamos en México.

Aunque todavía no se ha publicado ningún decreto oficial, y por ahora se habla sólo de pruebas piloto en algunos estados, vale la pena detenernos a reflexionar antes de avanzar. Porque sí, la idea suena moderna y hasta necesaria, pero si no se cuenta con un marco legal claro, instituciones sólidas y medidas estrictas de protección, el riesgo supera por mucho a los beneficios.

Vivimos en un país con altos niveles de inseguridad y donde el uso indebido de información personal no es un escenario hipotético, sino una preocupación constante. En ese contexto, construir una base de datos centralizada con información tan delicada, sin garantías sólidas de protección, representa un riesgo considerable. A diferencia de una contraseña, los datos biométricos no pueden cambiarse si son expuestos. Eso vuelve cualquier filtración un problema serio y duradero.

Además, este tipo de medidas no son nuevas. En 2009, el gobierno puso en marcha el Registro Nacional de Usuarios de Telefonía Móvil (RENAUT), que obligaba a registrar las líneas telefónicas con la CURP, bajo el argumento de mejorar la seguridad. Sin embargo, la falta de garantías para proteger esa información llevó a su cancelación en 2011. Desde entonces, se han propuesto otras iniciativas similares, pero han sido detenidas, incluso por la Suprema Corte de Justicia de la Nación, al considerar que no ofrecían certezas sobre la protección de los datos personales ni sobre los riesgos de su posible mal uso.​

Otros ejemplos refuerzan esta preocupación. En 2016 se filtró una base de datos del Instituto Nacional Electoral con información de más de 90 millones de mexicanos. A pesar del nivel de sensibilidad de esos datos no hubo consecuencias claras ni responsables sancionados. Esto demuestra que no basta con tener leyes, si no existen las capacidades técnicas y la voluntad política para hacerlas cumplir.

Y justamente ahí está el vacío más grave de la propuesta: no se ha explicado quién será el responsable del resguardo de la base de datos de la nueva CURP, cómo se administrará ni bajo qué condiciones operará. ¿Será una dependencia del gobierno federal, una institución autónoma, una empresa contratada? Tampoco se conocen los estándares tecnológicos que regirán su operación, los mecanismos de cifrado, ni las vías de fiscalización ciudadana o auditoría técnica. Sin respuestas claras, todo se queda en el terreno de la buena intención.

El problema no es la digitalización en sí. Varios países lo han hecho con éxito. El problema es hacerlo sin reglas, sin supervisión independiente y en un entorno donde los derechos digitales no están suficientemente garantizados. En México, donde los organismos encargados de proteger los datos personales están debilitados, pensar en una CURP biométrica sin una legislación sólida y sin control ciudadano es, como mínimo, temerario.

Antes de avanzar, hace falta una discusión pública amplia, técnica y honesta. De lo contrario, podríamos estar a punto de repetir los errores del pasado, pero con consecuencias mucho más graves.

-Gonzalo Rojon, The CIU