El pasado 16 de abril de 2021, sin que hubiera discusión previa alguna, se aprobó una reforma a la Ley Federal de Telecomunicaciones y Radiodifusión que impone la creación de un Padrón Nacional de Usuarios de Telefonía Móvil (Panaut, por su acrónimo), el cual estará a cargo del Instituto Federal de Telecomunicaciones (IFT). Dicho padrón contendrá información sobre la identidad, datos biométricos y domicilio de la persona usuaria, entre otra información, con la finalidad de colaborar con las autoridades competentes en materia de seguridad y justicia en asuntos relacionados con la comisión de delitos.

Esta reforma ha provocado la interposición de una lluvia de amparos, puesto que sus alcances violan derechos a la privacidad y de protección de datos personales. Incluso, el Instituto Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (INAI) interpondrá en los próximos días una acción de inconstitucionalidad ante la Suprema Corte de Justicia de la Nación. Este artículo hace referencia a algunas de las violaciones en materia de datos personales que más preocupan.

Empecemos por definir qué son los datos biométricos, de acuerdo con la Guía para el tratamiento de Datos Biométricos emitida por el INAI, se refieren a las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad, atribuibles a una sola persona y que son medibles, lo cual representa una amplia gama de datos, tales como: la huella  digital,  el reconocimiento  facial,  la  retina,  el  iris,  la  geometría  de  la  mano  o  de  los  dedos, el ADN, pulsación cardíaca, la voz, la forma de oprimir un teclado y la forma de caminar, entre otros. Dichos datos son susceptibles de ser catalogados como datos sensibles.

Y bien, la naturaleza de los datos biométricos es muy relevante para el análisis del principio de proporcionalidad, ya que, técnicamente, es factible que se recolecten los mínimos datos necesarios logrando el mismo resultado; por ejemplo, durante un estudio del Instituto Nacional de Estándares y Tecnología de los Estados Unidos de América (NIST, por sus siglas en inglés), al evaluar la precisión de distintos sistemas biométricos para reconocimiento dactilar, se concluyó que el uso de una sola huella dactilar de alta calidad es igual de eficiente que el uso de cuatro a diez huellas dactilares.

En el caso, la reforma establece parámetros máximos en lugar de mínimos, pues no especifica qué datos biométricos podrán ser recolectados, violando el principio de proporcionalidad, así como el criterio de minimización de datos personales que refieren que sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido (aquí, para colaborar con las autoridades en materia de seguridad y justicia).

Por otro lado, la reforma se traduce en un grave desacierto a la protección de datos personales, al haber dejado de realizar una Evaluación de impacto en la protección de datos personales, misma que es obligada para el gobierno (sujetos obligados), siempre que se ponga en operación o se modifiquen políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones  electrónicas  o  cualquier  otra  tecnología  que  implique  el tratamiento   intensivo   o   relevante   de   datos   personales, de conformidad con el artículo 74 de la Ley General  de  Protección  de  Datos  Personales  en  Posesión  de  Sujetos  Obligados, más aún cuando este tratamiento se refiere a datos personales potencialmente sensibles y que requieren la adopción de medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, lo que rompe con el principio de responsabilidad.

Como críticas adicionales, se destaca que, ante el uso de la información del Padrón para obtener un lucro indebido, directamente o por interpósita persona, la reforma solo prevé infracciones administrativas que serán sancionadas con multas que van de dos a tres veces el lucro indebido obtenido. Esto es un parámetro incierto y difícil de medir o probar, siendo que la conducta merecería una sanción penal por la gravedad que puede implicar a la privacidad de las personas.

Además, la reforma establece que el servicio de telefonía móvil será cancelado de forma inmediata, sin derecho a reactivación, pago o indemnización, en caso de que la persona usuaria no se registre en el Panaut, lo cual es inconstitucional al violar el derecho de acceso a las telecomunicaciones.

Para finalizar, es importante reflexionar que, en un estado democrático, la seguridad no debería traducirse en el sacrificio de otros derechos. Esta reforma ha creado una falsa dicotomía entre la privacidad y la seguridad, pues pretende contraponer el derecho a una adecuada protección de los datos personales frente al interés público que supone la seguridad, siendo que ambos intereses pueden coexistir, siempre y cuando la implementación de la norma cumpla con todos los principios que rigen a la protección de los datos personales en México.