En días recientes, la presidenta Claudia Sheinbaum afirmó que cualquier vulneración de datos personales en el nuevo registro obligatorio de líneas móviles recae exclusivamente en las empresas de telefonía, ya que son ellas las encargadas de recabar y resguardar la información. Si bien las operadoras asumen obligaciones directas como responsables del tratamiento, reducir el problema a su sola responsabilidad resulta incompleto y conveniente ante el marco jurídico vigente en México.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece un sistema de responsabilidades compartidas, que no sólo involucra a los particulares que tratan datos, sino también a la autoridad garante, hoy concentrada en la Secretaría Anticorrupción y Buen Gobierno, que heredó las funciones del extinto INAI.

La protección de datos personales no es un aspecto técnico menor, sino un pilar de la privacidad, la autodeterminación informativa y la dignidad humana. Por ello, la ley impone obligaciones claras. El artículo 18 obliga a implementar medidas de seguridad administrativas, técnicas y físicas adecuadas al riesgo, la sensibilidad de los datos y el avance tecnológico, que no pueden ser inferiores a las utilizadas para proteger la información interna. El artículo 19 establece la notificación inmediata a los afectados cuando una vulneración impacte significativamente sus derechos, permitiéndoles adoptar medidas frente a riesgos como fraude o suplantación de identidad.

Los hechos recientes lo demuestran. El periodista Ignacio Gómez Villaseñor documentó una vulnerabilidad crítica en el portal de registro de una empresa de telefonía durante las primeras horas de implementación del padrón. Al ingresar cualquier número telefónico era posible acceder, sin autenticación efectiva, a datos personales como nombre, CURP, RFC y correo electrónico. Aunque la empresa corrigió la falla y negó una filtración masiva, el incidente expuso durante varias horas información de millones de usuarios, evidenciando fallas graves en el momento más sensible del registro impulsado por el Estado.

Este caso revela un patrón preocupante: la presión por implementar sistemas de gran escala puede generar riesgos desproporcionados cuando no se acompaña de supervisión efectiva y estándares robustos desde el diseño.

La ley no se agota en las obligaciones de los particulares. El artículo 39 de la LFPDPPP encomienda a la autoridad garante funciones irrenunciables: verificar el cumplimiento de las medidas de seguridad, iniciar investigaciones de oficio, promover mejores prácticas internacionales y, en su caso, establecer estándares elevados de protección.

En este contexto resulta inquietante la ambigüedad de algunos comunicados oficiales de la propia Secretaría, en los que se alude a expedientes concluidos o sanciones mal ejecutadas sin precisar casos ni criterios. En materia de derechos fundamentales, las insinuaciones sin sustento documentado erosionan la confianza pública.

Como entonces comisionada del INAI participé en debates técnicos sobre sanciones. Voté en contra de las improcedentes y a favor de las necesarias. Durante 2024 y hasta antes de la extinción del INAI en marzo de 2025, se impusieron multas por cerca de 214 millones de pesos, una cifra histórica que triplicó la de 2023, reflejo de un compromiso real con la tutela efectiva del derecho.

Lo inaceptable es la generalización sin pruebas o el descrédito indiscriminado del trabajo previo. Si existieron errores deben señalarse con precisión; de lo contrario, se debilita todo el sistema de garantías.

Atribuir la protección de datos exclusivamente a las empresas, o minimizar el rol activo del Estado como supervisor y sancionador, supone un retroceso en el modelo de garantías previsto en la ley. El Estado no puede limitarse a promover un registro masivo; tiene la obligación constitucional de asegurar los más altos estándares de seguridad.

La protección de datos personales no admite vacíos ni descargos simplistas. Es una obligación legal, una responsabilidad institucional y un compromiso democrático que exige ser asumido con seriedad y transparencia, especialmente cuando millones de mexicanos vinculan su identidad a sus líneas móviles. La ciudadanía merece hechos, supervisión efectiva y rendición de cuentas real.