Como parte de una política pública en México, el Estado ha trasladado a los particulares una función relevante, la búsqueda e identificación de personas desparecidas. Para ello, ha creado la Plataforma Única de Identidad (PUI). Esta plataforma está orientada a fortalecer los mecanismos de búsqueda y localización de personas desaparecidas, mediante la interconexión de bases de datos públicas y privadas. Su implementación deriva de reformas a la Ley General de Población y a la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, posicionando a la CURP como identificador central dentro de este ecosistema.
Las obligaciones de interconexión pueden aplicar a entidades de diversos sectores —incluyendo financiero, telecomunicaciones, transporte, salud, educación y asistencia privada— así como a cualquier organización que administre bases de datos potencialmente útiles para la identificación de personas. En este contexto, el primer paso crítico no es la conexión, sino la realización de un análisis formal de aplicabilidad, considerando la naturaleza de los datos, sistemas y operaciones de cada entidad.
Algo sumamente relevante dentro de estas reformas, es que la interconexión a la PUI implica un cambio en el contexto de tratamiento de datos personales, vinculándose normativamente a la la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). En consecuencia, las organizaciones deben contar con un programa integral de cumplimiento que incluya: avisos de privacidad actualizados, bases legales para el tratamiento, medidas de seguridad, políticas internas y mecanismos efectivos para la atención de derechos ARCO. La ausencia de estos elementos incrementa significativamente la exposición a riesgos regulatorios.
El modelo operativo de la PUI contempla procesos de búsqueda inicial, revisión histórica y monitoreo continuo, lo que exige capacidades tecnológicas y controles robustos. Asimismo, las instituciones deberán implementar medidas de seguridad proporcionales al riesgo, alineando los estándares técnicos de la PUI con los principios de seguridad y responsabilidad previstos en la LFPDPPP.
En el caso de entidades financieras, la interconexión debe armonizarse con el régimen de secreto bancario, bajo un principio de mínima revelación. La PUI no implica transferencias masivas de información, sino un esquema de identificación de coincidencias, limitado a los datos estrictamente necesarios para fines de búsqueda.
El incumplimiento puede generar sanciones tanto en materia de desaparición de personas como de protección de datos personales, incluyendo multas relevantes que pueden incrementarse en caso de involucrar datos sensibles.
Se recomienda abordar la implementación de la PUI como un proyecto transversal, estructurado en las siguientes etapas:
- Análisis de aplicabilidad regulatoria;
- Diagnóstico de cumplimiento en protección de datos;
- Mapeo e inventario de bases de datos (con énfasis en CURP);
- Definición de criterios internos de tratamiento y reporte;
- Establecimiento de roles, procesos y controles internos; y
- Preparación técnica e interconexión gradual en entornos de prueba.
La PUI representa un nuevo frente de cumplimiento regulatorio que trasciende lo técnico, implicando decisiones jurídicas, operativas y estratégicas. Su adecuada implementación requiere un enfoque integral, documentado y dinámico, alineado con la evolución normativa y los estándares de protección de datos personales en México.
