Regulación de sistemas de reconocimiento facial en México: privacidad vs seguridad
La adopción del reconocimiento facial ha pasado en pocos años de la ciencia ficción a una herramienta cotidiana: desbloquea teléfonos, facilita el embarque en aeropuertos, optimiza controles de acceso y promete apoyar labores de seguridad pública. En México, donde conviven retos de seguridad complejos y un ecosistema tecnológico en expansión, su uso crece en corporativos, bancos, comercios, escuelas y centros urbanos. Sin embargo, esta capacidad para identificar personas en fracciones de segundo
Regulación de sistemas de reconocimiento facial en México: privacidad vs seguridad
La adopción del reconocimiento facial ha pasado en pocos años de la ciencia ficción a una herramienta cotidiana: desbloquea teléfonos, facilita el embarque en aeropuertos, optimiza controles de acceso y promete apoyar labores de seguridad pública. En México, donde conviven retos de seguridad complejos y un ecosistema tecnológico en expansión, su uso crece en corporativos, bancos, comercios, escuelas y centros urbanos. Sin embargo, esta capacidad para identificar personas en fracciones de segundo plantea dilemas jurídicos de alto calado: ¿cómo equilibrar la eficacia operativa con la protección de datos personales y los derechos humanos? La legislación mexicana cuenta con fundamentos sólidos, pero enfrenta presiones de modelos comerciales, soluciones de “caja negra” y mayores expectativas ciudadanas de transparencia. Este artículo explora el marco normativo vigente, los criterios constitucionales, los riesgos técnicos y las mejores prácticas de cumplimiento, con énfasis en la tensión central entre privacidad y seguridad. El objetivo es ofrecer un análisis práctico, riguroso y accesible que permita a autoridades y empresas tomar decisiones informadas y responsables.
1. Introducción y Contexto Actual
El reconocimiento facial es un subconjunto de la biometría que, mediante técnicas de visión por computadora y aprendizaje automático, transforma un rostro en un vector matemático (template) y lo compara con otros registros para autenticar o identificar. Su propuesta de valor es clara: rapidez, sin necesidad de tarjetas o contraseñas, y un alto potencial de automatización. En México, se observa su despliegue en sectores como financiero, aeroportuario, retail y seguridad pública. Ciudades con centros de control como los C5 han apostado por videovigilancia avanzada, y algunos proyectos han incorporado analítica de video con capacidades de detección e identificación. Paralelamente, empresas y universidades experimentan con controles de acceso sin contacto y asistencia automatizada. Este avance, no obstante, convive con preocupaciones fundadas: sesgos algorítmicos, falsos positivos, opacidad de proveedores, reutilización de datos y ausencia de parámetros estandarizados para medir desempeño, robustez y proporcionalidad del tratamiento.
La discusión global ofrece pistas útiles. Evaluaciones del NIST en Estados Unidos han documentado variaciones significativas en tasas de error por grupo demográfico en ciertos algoritmos, lo que puede amplificar la discriminación si no se gestionan adecuadamente. En Europa, el Reglamento de Inteligencia Artificial aprobado en 2024 impone restricciones y obligaciones específicas para la identificación biométrica remota en espacios públicos, marcando una pauta de cautela regulatoria. En México, aunque el diseño constitucional y las leyes de protección de datos ofrecen herramientas para controlar y sancionar abusos, subsisten vacíos técnicos y de gobernanza sectorial. El equilibrio entre la prevención del delito y la preservación de libertades exige reglas claras sobre finalidad, necesidad, límites temporales, rendición de cuentas y vías efectivas de reclamación. Sin ellas, el despliegue acelerado puede erosionar la confianza social y poner en riesgo la legitimidad de las instituciones.
2. Marco Legal y Regulatorio
La Constitución Política de los Estados Unidos Mexicanos reconoce, entre otros, los derechos a la privacidad, a la protección de datos personales, a la inviolabilidad de comunicaciones y al libre desarrollo de la personalidad. El artículo 6 protege la información personal en posesión de particulares y de sujetos obligados, mientras que el artículo 16 fortalece la esfera de privacidad y exige legalidad, necesidad y proporcionalidad en actos de autoridad. En el ámbito de seguridad pública, cualquier injerencia intensiva —como la identificación biométrica masiva— demanda una base legal clara y controles específicos. De este marco emana el estándar de proporcionalidad: idoneidad, necesidad y proporcionalidad en sentido estricto, que guía el análisis sobre si una medida tecnológica justifica el impacto en derechos fundamentales.
En el plano ordinario, dos leyes articulan el tratamiento de datos biométricos. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento rigen a empresas y organizaciones privadas; la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) regula a autoridades y entes públicos. Ambas incorporan principios de licitud, consentimiento (con excepciones), finalidad, lealtad, proporcionalidad y responsabilidad, y reconocen que los datos biométricos —por su potencial de identificación única— son de naturaleza sensible, lo que activa deberes reforzados de seguridad, justificación y medidas para minimizar riesgos. Los Lineamientos del Aviso de Privacidad, las guías del INAI sobre seguridad y evaluaciones de impacto, y criterios interpretativos consolidados, complementan estos estándares y orientan prácticas de cumplimiento.
Existen además normas sectoriales y locales pertinentes. En seguridad pública, las leyes estatales de videovigilancia y los marcos de operación de los C5 establecen reglas sobre instalación, conservación y uso de imágenes, aunque rara vez regulan con detalle la identificación biométrica en tiempo real. El Código Nacional de Procedimientos Penales y las reglas sobre cadena de custodia inciden en la validez probatoria de evidencia derivada de video y reconocimiento. En transporte y aviación, lineamientos de autoridades como la Agencia Federal de Aviación Civil y el Instituto Nacional de Migración han explorado controles biométricos para facilitar flujos, supeditados al respeto de derechos y a principios de minimización. Finalmente, en telecomunicaciones, la experiencia del Padrón Nacional de Usuarios de Telefonía Móvil mostró los límites constitucionales de recabar biométricos sin justificación estricta y salvaguardas robustas, ofreciendo un precedente normativo relevante.
3. Análisis Detallado
Desde el punto de vista técnico, el reconocimiento facial abarca varias modalidades con implicaciones jurídicas distintas. La verificación 1:1 compara el rostro del usuario con su propio template para autenticarlo (por ejemplo, en banca móvil) y, en general, es menos intrusiva si no hay reutilización indebida de plantillas. En cambio, la identificación 1:N coteja un rostro contra una base de datos para hallar coincidencias, con mayores riesgos de falsos positivos y seguimiento masivo. La identificación en tiempo real en espacios públicos es especialmente sensible, pues puede convertir la videovigilancia pasiva en una red de rastreo persistente. Factores como umbrales de similitud, calidad de cámaras, iluminación, ángulos, y la composición demográfica de las bases de entrenamiento influyen en precisión y sesgos. La trazabilidad de versiones del modelo, métricas (FMR, FNMR, ROC), y validaciones independientes son esenciales para control de riesgos.
Legalmente, el tratamiento debe establecer una base de legitimación adecuada: consentimiento explícito e informado en entornos privados, o bien interés público y ejercicio de facultades legales en el sector público, acompañado de reglas claras, necesarias y proporcionales. El principio de finalidad exige definir para qué se usan las plantillas; la proporcionalidad demanda limitar el tratamiento a lo estrictamente necesario; y la minimización prohíbe retener imágenes o vectores más allá del tiempo justificado. La seguridad requiere medidas técnicas y organizativas robustas: cifrado de plantillas en reposo y en tránsito, segmentación de redes, control estricto de accesos, registro de eventos, pruebas de penetración y gestión de vulnerabilidades. La rendición de cuentas (accountability) implica demostrar cumplimiento: políticas, contratos con proveedores, análisis de riesgos y, cuando proceda, evaluaciones de impacto en protección de datos.