¿Qué deben saber las empresas sobre las reformas en México a la identidad digital?

El nuevo marco se compone de cinco instrumentos normativos, entre otros:

• La Ley General de Población, reformada para establecer la Clave Única de Registro de Población (CURP) con datos biométricos como documento nacional de identificación.
• La Ley General en Materia de Desaparición Forzada, que impone nuevas obligaciones de colaboración con autoridades en la localización de personas.
• La Ley del Sistema Nacional de Investigación e Inteligencia, que regula el acceso del sector público a información de seguridad, incluyendo bases de datos de empresas.
• La Ley Nacional para la Eliminación de Trámites Burocráticos, que crea nuevos lineamientos para la transformación digital y simplificación administrativa.
• La Ley Federal de Telecomunicaciones y Radiodifusión, reformada para reforzar la verificación de identidad en líneas móviles.

Estas reformas impactan directamente a las empresas no solo por la obligación de adoptar nuevos mecanismos de autenticación y validación de identidad, sino también por la exigencia de interoperar y colaborar con plataformas el sector público en temas de seguridad y derechos humanos. En particular, imponen ajustes en los siguientes frentes:

1. CURP biométrica obligatoria como fuente de identidad.

La CURP se convierte en la fuente única de identidad de todas las personas físicas. Al incorporarse huellas dactilares y fotografía, se transforma en el Documento Nacional de Identificación obligatorio. Ahora toda empresa que preste cualquier tipo de servicios o trámites deberá aceptar la CURP biométrica, en versión física o digital, como documento válido de identificación.

2. Llave MX como mecanismo de autenticación digital.

Toda empresa que requiera autenticación de identidad digital deberá aceptar la Llave MX como el mecanismo oficial. Este está vinculado directamente a la CURP y funcionará como medio de autenticación e inicio de sesión único para acceder a plataformas gubernamentales.

3. Interoperabilidad con la Plataforma Única de Identidad (PUI) y el Centro Nacional de Inteligencia (CNI).

Las empresas deberán adecuar sus sistemas para interoperar con la PUI, que funge como fuente primaria de consulta en tiempo real. Esto será obligatorio para cualquier empresa que administre registros o bases de datos de personas cuya consulta sea necesaria para la investigación, búsqueda, localización e identificación de personas desaparecidas o no localizadas. El uso de la PUI estará condicionado a la existencia previa de una carpeta de investigación o folio único de búsqueda y se limitará exclusivamente a los datos relacionados con la persona desaparecida.

4. Acceso inmediato a bases de datos en casos de desaparición.

Las empresas que administren datos biométricos o cualquier otro dato identificativo deberán permitir a las fiscalías, comisiones de búsqueda y otras autoridades competentes la consulta inmediata de dicha información contenida en sus registros, bases de datos o sistemas, exclusivamente para fines de búsqueda, localización e identificación de personas desaparecidas, en coordinación con la investigación correspondiente.

5. Facilitar el acceso a imágenes obtenidas por tecnologías remotas.

Las empresas que generen o tengan acceso a imágenes o mediciones captadas mediante satélites, aeronaves no tripuladas u otras tecnologías deberán permitir su consulta a las autoridades competentes, exclusivamente para la búsqueda, localización e identificación de personas desaparecidas.

6. Convenios con el CNI para interconexión.

Las empresas deberán estar en posibilidad de firmar convenios con el CNI mediante los cuales se permita el acceso temporal o permanente a sus sistemas o registros, únicamente cuando se trate de información útil para la prevención o investigación de delitos relacionados con la seguridad pública o el proceso penal.

7. Entrega de código fuente en contratos públicos.

Las empresas que desarrollen software para instituciones públicas deberán entregar el código fuente y las licencias correspondientes, en caso de que así se haya pactado, para integrarlos al Repositorio Nacional de Tecnología Pública, con el fin de garantizar la autonomía tecnológica del sector público.

8. Verificación de identidad en activación de líneas móviles.

Las empresas que sean concesionarias o comercializadoras de servicios móviles deberán verificar que cada línea esté asociada a una persona física con CURP válida o a una empresa identificada con su RFC, como medida obligatoria de autenticación e identificación.

A la luz del alcance de las reformas, nuestro equipo plantea el siguiente listado rápido para asegurar que las empresas cumplan con la nueva regulación:

1. Implementar identificación y autenticación digital en procesos internos para aceptar la CURP biométrica y la Llave MX como medios válidos, aplicándolos en todos los formularios, sistemas, procesos de onboarding y servicios digitales.

Asimismo, en el caso de empresas de telecomunicaciones, asegurar que toda línea esté vinculada a CURP, en caso de personas físicas, o RFC, en caso de personas morales.

2. Actualizar los términos y condiciones de servicio, políticas de privacidad y avisos legales para reflejar las nuevas obligaciones en materia de autenticación, interoperabilidad, uso de biometría y colaboración con autoridades.

3. Adecuar la arquitectura tecnológica, para garantizar la interoperabilidad con plataformas oficiales (Plataforma Única de Identidad, Plataforma Central de Inteligencia, entre otras).

4. Fortalecer la protección de datos y la seguridad, establecer medidas técnicas y organizativas para proteger los datos biométricos, incluyendo seguridad por diseño, cifrado, segmentación, controles de acceso, trazabilidad, y reforzar los programas de protección de datos con evaluaciones de impacto.

5. Definir protocolos de acceso a datos por autoridades, procedimientos claros y auditables para atender requerimientos de fiscalías, comisiones de búsqueda o el CNI, asegurando legalidad, minimización de datos, registros de cumplimiento, e incluir protocolos específicos para desaparición de personas.

6. Incorporar enfoque de derechos humanos, revisar los protocolos internos para garantizar que toda colaboración con autoridades cumpla con estándares nacionales e internacionales de derechos fundamentales.

7. Capacitar al personal clave, entrenar a equipos de TI, legales, compliance, atención a autoridades y contratación pública sobre las nuevas herramientas, obligaciones legales y procesos técnicos derivados del marco regulatorio.

8. Revisar y adaptar contratos con autoridades o terceros que involucren interoperabilidad, software o datos; incluir cláusulas de cumplimiento, entrega de información, licencias y cumplir con la obligación de entregar el código fuente cuando aplique.

9. Realizar auditorías de cumplimiento para identificar riesgos, ajustar procedimientos y asegurar la correcta implementación de las obligaciones relacionadas con identidad digital, interoperabilidad y protección de datos.

El nuevo marco legal, obligatorio a partir de octubre de 2025, representa un cambio estructural en la forma en que las empresas gestionan la identidad digital e información. Este entorno exige acciones concretas para garantizar el cumplimiento normativo, la continuidad operativa y la protección de datos personales. En Hogan Lovells contamos con la experiencia y el conocimiento para apoyarles en la implementación de estos nuevos requerimientos, minimizando riesgos y fortaleciendo la confianza en sus operaciones.

Escrito por Guillermo Larrea y Victoria Villagómez.