El pasado 16 de julio se publicó en el Diario Oficial de la Federación un paquete legislativo que incluyó un buen número de leyes nuevas, así como reformas a otras tantas ya existentes. Sólo la cantidad de modificaciones al ordenamiento jurídico es suficiente para complicarle la vida a cualquiera, pero el escenario se torna más desolador cuando caemos en cuenta que se trata de un entramado de normas funcionando al unísono, de un sistema bien articulado cuyo propósito se exhibe con desparpajo: otorgarle a la autoridad un control sin precedentes sobre los datos de todas las personas de este país.
El sistema de control y vigilancia incumbe, en primer lugar, al ciudadano común y corriente, a los individuos de carne y hueso, cuyos derechos a la vida privada y la seguridad jurídica, entre otros, se disuelven ante el ímpetu totalitario del gobierno. Las violaciones de derechos fundamentales de personas físicas se han apuntado ya en este mismo espacio, por lo cual nos limitaremos a puntualizar sólo una de las más grotescas: la CURP biométrica, que se erige como “el documento nacional de identificación obligatorio” (91 Bis de la Ley General de Población) y que “todo ente público o particular estará obligado a solicitar […] para la prestación de sus trámites y servicios” (91 Sexies de la Ley General de Población). Lo leyeron bien: trámites ante entes públicos y ante negocios privados. Por si no fuera suficiente, toda actividad al amparo de la CURP se almacenará en un Plataforma Única de Identidad, a la que tendrá acceso irrestricto el Centro Nacional de Inteligencia (CNI), tal como se puede leer en el artículo 28 de la Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública (Ley de Inteligencia).
Sin embargo, el impacto no se detiene en las personas físicas. Las personas morales de carácter privado también se verán afectadas, en especial compañías como plataformas tecnológicas, de telecomunicaciones, servicios y ventas en línea, o instituciones financieras. Primero, en sus derechos (seguridad jurídica); segundo, en su capacidad para hacer negocios.
El eje alrededor del cual gira el sistema de control es la Ley de Inteligencia, en especial la “Plataforma Central de Inteligencia” (Plataforma), que no es sino la herramienta tecnológica capaz de vincular todas las bases de datos del país. No es una exageración: estamos hablando de todas. Vayamos por partes y tratemos de responder algunas preguntas elementales para arrojar luz sobre la magnitud del problema: ¿Quién opera la plataforma? ¿Quiénes están obligados a unirse? ¿Cómo se llevará a cabo el enlace? ¿Quiénes pueden acceder a la información? ¿Qué medidas de seguridad tendrá?
Empecemos por el principio: el órgano encargado de la Plataforma es un órgano de tipo civil, el CNI, adscrito a la Secretaría de Seguridad y Protección Ciudadana (SSPC). A primera vista, parece una decisión acertada dejar al margen de un mecanismo así a los militares. Por desgracia, la Guardia Nacional (dependiente de la Secretaría de la Defensa Nacional) también tiene acceso a dicha plataforma, gracias al artículo 44 de la Ley de Inteligencia. De manera puntual: la ley le da a la autoridad la atribución de enlazar toda base de datos de la cual se pueda extraer información, indicios y pruebas para generar productos de inteligencia relacionados con la prevención, investigación y persecución de delitos. Estamos en presencia de un regalo mediante el cual el Estado se concedió a sí mismo el don de la ubicuidad. No es necesario ser un experto para conjeturar el desenlace: con esta vaguedad, cualquier cosa puede relacionarse sin mayor esfuerzo con una investigación criminal. Bien podrían hacer dicho, sin más, que pueden solicitar la interconexión de lo que le venga en gana.
Otro aspecto muy preocupante es que la interconexión no se limita a entes públicos. Varios artículos de la Ley de Inteligencia (artículos 1º, 24 y 39) también obligan a los privados. Para lograr esto, la Ley implementa un mecanismo bajo el cual la SSPC y el CNI pueden celebrar un convenio con los particulares. En un análisis superficial, esto parece una salvaguarda de los derechos, pues hace creer que hay una opción, que puede ejercerse o no. Sin embargo, la propia Ley señala que para lograr la interconexión es suficiente con un “requerimiento por solicitud directa”. La autoridad está dispuesta a tomarse la foto en un evento si la empresa se porta bien y acepta libremente someterse a su voluntad. Claro, en caso de que con ingenuidad asuma ser libre para hacerlo, la respuesta no se hará esperar: el gobierno se lo ordenará y asunto arreglado sin foto de por medio.
Gracias a la Plataforma, la autoridad tendrá acceso directo y en tiempo real (énfasis añadido) a las bases de datos cuyo contenido estime necesario para llevar a cabo actividades relacionadas con la investigación de delitos. ¿Cuán drástico es el giro respecto de la situación previa al 16 de julio de 2025? Antes de esa fecha las fiscalías podían, por ejemplo, solicitar cierta información financiera de una o varias personas a las instituciones de crédito. Esto parecería no haberse modificado de manera drástica. Pero las diferencias son abismales. Es muy distinto que una autoridad identificada en la Ley de Instituciones de Crédito requiera caso por caso la información de un ciudadano o empresa, a que varias autoridades tengan acceso inmediato (sin necesidad de pedirlo en cada ocasión) e ilimitado a la información de un particular en todas las base de datos con un simple “requerimiento por solicitud directa”. Así, el Estado será capaz monitorear de manera omnipresente los hábitos de lectura de una persona, la lista de compras de los últimos años o las rutinas de movilidad al viajar a una ciudad vecina y, dado que estos supuestos no se ubican dentro de los casos que necesitan una orden judicial (geolocalización, intervención de comunicaciones privadas, información financiera), todo esto se hará sin la participación de un juez capaz de revisar la constitucionalidad de estos actos. Es el big brother digital, versión mexicana.
El escenario se agrava si consideramos la ausencia de controles para evaluar la actividad estatal, las referencias genéricas a medidas de ciberseguridad, a la aplicación supletoria de las leyes de protección de datos (ahora en manos de la Secretaría Anticorrupción y Buen Gobierno) y de mecanismos de rendición de cuentas, pues todo lo relacionado con la Plataforma tiene el carácter de reservado y confidencial. Incluso se ponen en riesgo los supuestos en los que parecía indudable la necesidad de contar con una autorización judicial. Pensemos en el caso de los metadatos. Según lo dispuesto por el artículo 291 del Código Nacional de Procedimientos Penales, la autoridad puede solicitar este tipo de información siempre y cuando tenga una autorización judicial. Pero si la base de datos de esa compañía de telecomunicaciones ya está interconectada, ¿para qué molestarse en pedirle permiso a un juez? ¿Cómo saber si el gobierno revisó metadatos sin cumplir con los requisitos aplicables? El panorama luce aterrador y las advertencias un tanto histéricas que solían ser tildadas de lugares comunes orwellianos se han vuelto realidad. En su libro Una idea de las ciencias sociales, Fernando Escalante asegura que “entre las fantasías propias del siglo XX, que ya va siendo el siglo pasado, hay una especialmente duradera y generalizada: la del orden absolutamente racionado, tecnificado”. El mal sueño dejó de serlo y se materializó de un día al otro.
Las implicaciones para las empresas como las plataformas tecnológicas, de telecomunicaciones, instituciones financieras, etc., son poco alentadoras. Más allá de la violación de derechos fundamentales –cosa que no es menor pero que ya se ha documentado de manera más completa–, la manera de hacer negocios podría alterarse de manera radical. ¿Qué usuario se sentiría seguro de comprar libros en línea si sus hábitos de lectura están expuestos sin ningún filtro? ¿Cómo seguir navegando en Internet sabiendo que mi historial de navegación podría analizarse en tiempo real sin mi consentimiento?
Lo anterior, con independencia de la vulnerabilidad y del atractivo de una súper plataforma central alrededor de la cual gravitan todas las bases de datos. No nos engañemos: la información disponible en la Plataforma vale todo el dinero imaginable y habrá actores dispuestos a hacer casi cualquier cosa por adueñarse de ella. Un usuario puede tener confianza en tal o cual empresa para resguardar correctamente sus datos. ¿Es razonable suponer que ocurrirá lo mismo con un órgano de gobierno? ¿Cómo saber si el Estado hace un buen trabajo en términos de seguridad informática? No es posible. Un elemento crucial en la relación entre usuarios y plataformas tecnológicas es la confianza. Si esa confianza se pierde, seguramente muchos abandonarán el barco y eso traerá consecuencias imprevistas que erosionarán el ecosistema digital.
Por. Rodrigo Díez, Sergio López Ayllón y Pedro Salazar Ugarte
