Lo que fue 2025 / Lo que será 2026

Un cerdo que no vuela sólo es un cerdo.— Porco Rosso

🍐 Economicón: haciendo simple la información complicada.

Bienvenido a la edición 280° de la newsletter sobre privacidad y sociedad de la información de México.

• Cómprame una suscripción de pago en Substack o dona dinero con PayPal y obtén charlas personalizadas, documentos exclusivos y consultas directas.
• 🤑 La salud financiera de Economicón te lo va a agradecer.

Recuentos y prospectivas

Última entrega de 2025. Me voy de vacaciones. 🏖️

Te dejo este corte de caja del año y unos apuntes sobre lo que veremos en 2026.

• 🎊 Pasa unas fiestas increíbles. Paz y sabiduría. Nos leemos en unos días.

Lo que fue 2025

Empiezo mirando al pasado porque deja las pautas de nuestro año futuro. Los grandes cambios de 2026 serán consecuencias o derivaciones de la arquitectura judicial, administrativa, de protección de datos personales, de transparencia y de vigilancia construida en 2025. Básicamente: todo es nuevo. Aquí vamos:

1. Nueva agencia de privacidad

Nos quedamos en marzo sin Inai, una agencia de privacidad independiente del gobierno federal, y recibimos en mayo una nueva agencia subordinada al Poder Ejecutivo desde la Secretaría Anticorrupción y Buen Gobierno.

• 👤 La dirige Vicente Peredo Vázquez, una figura emergente en el universo de la protección de datos personales y cuyo cargo le confiere enorme poder sobre cualquier empresa privada que trate datos personales.
• Puede imponer sanciones de hasta 36 millones de pesos (2 millones de dólares, números cerrados). Le tocará regular la intersección de la inteligencia artificial y las neurociencias y la protección de datos personales.
• Su poder es equivalente al que ejercen Iván Escalante Ruiz desde la Profeco (consumo) y Armida Zúñiga Estrada desde la Cofepris (sanidad), agencias de regulación, vigilancia o sanción (o todo junto) subordinadas al Poder Ejecutivo.

2. Nueva ley de datos personales

La Unidad de Protección de Datos Personales en Buen Gobierno es producto de una nueva ley que recuperó casi en su totalidad el articulado del viejo régimen de protección.

¿Qué cambió con la ley marzo de 2025?

1. Persona a secas. Quitó el “apellido” a la palabra “persona” cuando se define al titular de datos personales. Esto hace que cualquier persona, física como tú y como yo, o moral como Pepsi, Home Depot o El Globo puedan ejercer los derechos de la ley.
2. 🤖 Inteligencia artificial. Creó un nuevo derecho de oposición que te permite rechazar la toma de decisiones con inteligencia artificial que te produzcan afectaciones graves, como el rechazo de un empleo o la negativa a otorgarte un crédito. Suena bien en papel, suena difícil en la vida real. En todo caso, las empresas deben informar cuando usan inteligencia artificial.
3. Información clara. Obliga una comunicación transparente y comprensible, con menos abogañol. Lo veremos en los nuevos avisos de privacidad (con énfasis en sus finalidades primarias y secundarias) y en los documentos del supervisor de privacidad.
4. 🤝🏼 Consentimiento. El consentimiento es clave. Hay menos obligaciones y más opciones para recabarlo, aunque siempre es importante tener evidencia de que se obtuvo cuando es obligatorio.

3. Nuevo modelo de vigilancia y control social

La crisis de violencia e inseguridad ha motivado legislaciones abusivas y desproporcionadas. En el verano, el Congreso creó un modelo de vigilancia y control social capaz de obtener con escasos controles judiciales información muy confidencial y a veces íntima de las personas.

• 👁️ Es un Big Brother a la mexicana que no tiene ni Obama, literal. Obliga a todos los que tengan datos personales de clientes y consumidores a entregarlos a la Policía y al Ministerio Público a través de una plataforma digital que se actualiza en todo momento.
• Hablamos de datos fiscales, bancarios, comerciales, de propiedad, de salud, de telecomunicaciones y “todos aquellos casos de donde [se] pueda extraer indicios, datos y pruebas para las investigaciones” de seguridad pública.

4. CURP biométrica: documento vivo

🫆 Las reformas del verano nos trajeron un nuevo documento de identidad nacional obligatorio: la CURP biométrica, con huellas dactilares y fotografía de la persona a la que identifica.

• La CURP será necesaria para hacer trámites públicos y obtener servicios privados, lo que obligará a Netflix, DiDi, Spotify o Mercado Libre —en realidad a todos los proveedores de servicios— a pedir tu información y ponerla a disposición del gobierno.
• CURP es la sigla de Clave Única de Registro de Población.

🪴 Para que la CURP funcione, la CURP debe estar viva y producir interacciones que permitan monitorizar a su titular a través del tiempo y el espacio.

• O como explicó Vicente Peredo Vázquez sobre el uso de la CURP para buscar a personas desaparecidas:

“El banco encontró que con la tarjeta de crédito de esta persona [vinculada a su CURP] se hizo un retiro en el cajero tal. ¡Ah! Se encontró que tomó un Uber en tal parte la última vez que supimos que esto… ¡Ah! Tomó un avión en Tijuana y se pagó aquí y acá”, dijo Peredo en una charla con ICC México en noviembre.

🎯 La primera vinculación de la CURP para hacerla un documento vivo ocurrirá con el registro de líneas telefónicas, obligatorio a partir del 9 de enero de 2026 para todos los clientes de prepago (los que compran saldo antes de usar el servicio).

• Si no vinculas tu línea antes del 8 de mayo de 2026, tu línea será suspendida.

👁️ El Big Brother se asoma. La información generada con la identificación de líneas podrá integrarse a la Plataforma Central de Inteligencia, un sistema con datos públicos y privados —telefónicos, biométricos, financieros, de salud— para consolidar el modelo de vigilancia y control social.

Lo que será 2026

1. 🎯 Teléfonos fichados

Identificación de líneas móviles. Comenzaremos 2026 con la vinculación de líneas telefónicas. Días antes del Mundial de Futbol deberán estar identificadas las 160 millones de líneas móviles activas que se calculan para esas fechas.

• Conoce todos los detalles del registro en mi edición del viernes pasado:
  • 🎯 Teléfonos fichados

2. Nuevo reglamento o nueva ley o algo

Se espera que entre enero y febrero se publique el reglamento de la nueva ley de protección de datos personales, un pendiente que la agencia de Vicente Peredo arrastra desde junio de 2025.

• La agencia está resolviendo procedimientos con el razonamiento y el espíritu del reglamento y los lineamientos de la vieja ley.

Corre la versión, expresada incluso por el supervisor de datos Peredo Vázquez, de que tendremos una nueva ley acorde con los tiempos: economía digital, transferencias de datos personales, inteligencia artificial, identidad digital, neuroderechos… La lista es larga.

“Nosotros tenemos pensado, nuestra expectativa es ya tener un proyecto para la sociedad para que se meta en la agenda legislativa. Ya eso ya no dependerá de nosotros. Nosotros queremos avanzar, estar listos lo más pronto posible, porque creo que nuestra ley sí necesita cambios sustanciales pronto”, dijo Peredo en la charla con ICC México.

¿Qué podría tener la nueva ley?

Aquí van algunas suposiciones —bien fundamentadas, por mis charlas con profesionales del sector con influencia política:

1. Burós de crédito. El negocio de las sociedades de información crediticia se basa en el tratamiento intensivo de datos personales sensibles de los clientes del sistema financiero. Pero los burós están fuera de la cobertura de la ley de protección de datos personales. Eso podría cambiar.
2. Aplicación en México. El régimen vigente no es explícito en la aplicación de la ley para actores extranjeros sin domicilio en México y cuya operación tiene efectos locales. Esa falta no significa un estado de indefensión total, aunque sí complica las cosas. Eso podría cambiar.
3. 👩🏽‍🔬 Datos biométricos. Los datos biométricos no están considerados como datos sensibles, lo que hace que su tratamiento se vuelva más laxo, descontrolado y hasta abusivo. Casi todos quieren usar biométricos para todo, a pesar de que representan un riesgo altísimo por su condición irremplazable. Eso podría cambiar.
4. Notificación a la autoridad. Cuando un privado sufre una vulneración no está obligado a informar a la agencia de protección de datos. Eso podría cambiar.
   Es cierto: sin inteligencia de la autoridad, la notificación puede ser un incentivo negativo: ¿para qué informo si la respuesta será una multa? Hay que valorar cada caso, sus causas y los remedios.
   También es cierto que informar sube el estándar a los deberes de seguridad y de confidencialidad y avisa a otros de los riesgos.
5. 🐘 Indemnización a personas afectadas. El gran elefante de la protección de datos personales en México: un responsable de cuidar tus datos puede ser hackeado y tus datos vendidos y revendidos en el mercado negro y el que más sufrirá serás tú: la compañía no está obligada a date una indemnización. Es más, ni siquiera a ofrecerte una disculpa. Eso podría cambiar.

3. Otras nuevas agencias

🎸 Brand new Cadillac, cantaban los viejos ídolos del rockabilly. Puede decirse de las nuevas autoridades de telecomunicaciones, competencia económica y transparencia.

Telecomunicaciones

La nueva Comisión Reguladora de Telecomunicaciones es responsable de regular a las empresas de telefonía, radio, internet y televisión.

• Sustituyó a la agencia autónoma Instituto Federal de Telecomunicaciones (IFT).
• 🛰️ Es un satélite con autonomía técnica subordinado a la Agencia de Transformación Digital y Telecomunicaciones, una nueva oficina con rango de secretaría de Estado de la Presidencia de México.

Su primera gran chamba es el registro e identificación de las líneas telefónicas móviles, que comienza el 9 de enero de 2025.

Competencia económica

La nueva Comisión Nacional Antimonopolio responsable de combatir los monopolios, analizar las fusiones entre empresas y crear condiciones parejas para la competencia económica.

A diferencia del modelo anterior, que fraccionaba el sector de las telecomunicaciones y los mercados digitales en diferentes agencias, a esta comisión le toca ver de todo.

• Sustituyó a la Comisión Federal de Competencia Económica (Cofece).
• 🛰️ Es un satélite con autonomía técnica subordinado a la Secretaría de Economía.
• La encabeza Andrea Marván Saltiel, la misma persona que encabezó Cofece antes de su extinción.

Su primera “gran decisión” ha sido un acuerdo con Google para que la compañía permita a los fabricantes de teléfonos que se distribuyen en México utilizar un software diferente a Android, el sistema operativo de Google.

• 🏜️ Bajo impacto. La medida quita apenas una piedrita de la empinada pendiente para participar en el mercado de sistemas operativos, donde prácticamente sólo hay dos competidores: Android de Google y iOS de Apple.

Transparencia del gobierno federal

Transparencia para el Pueblo es el nombre de la nueva agencia de transparencia federal responsable de garantizar el derecho de acceso a la información pública de las personas.

Transparencia para el Pueblo sólo tiene autoridad sobre la información pública del Poder Ejecutivo federal.

• 👾 Para todo lo demás, no existe MasterCard. Cada entidad obligada a la transparencia —los Poderes Legislativo y Judicial, organismos autónomos (Banxico, Fiscalía, INE, Inegi y CNDH), sindicatos y partidos políticos— tienen sus propias oficinas de transparencia.

Transparencia para el Pueblo es el organismo que sustituye al Inai en la parte de transparencia.

• 🛰️ Es un satélite con autonomía técnica subordinado a la Secretaría Anticorrupción y Buen Gobierno.
• La encabeza Tanivet Ramos Reyes, quien trabajó en la agencia de transparencia del estado de Oaxaca.

México se reinventa. La supermayoría legislativa del partido en el poder está construyendo un nuevo país, al menos en la arquitectura del Estado y el gobierno.

• 🔬 El año 2026 permitirá conocer si los primeros grandes cambios, con la visión de la presidenta Claudia Sheinbaum Pardo y antes de Andrés Manuel López Obrador, dan resultados y son los que México necesita.

Esperemos que todo salga bien.

Newsletters anteriores

• 🎯 Teléfonos fichados
• Una selfi para 2025
• Leo pero no entiendo
• 🗝️ Identidad digital
• 🙃 Vuelta en U
  • Ver todas

Sobre mí

Soy José Soto Galindo, periodista. Escribo Economicón. Fui director de Medios del Inai. Edité El Economista en línea. Soy maestro en Transparencia y Protección de Datos Personales, con estudios en derecho de las telecomunicaciones y de las tecnologías de la información. He dado clases en el ITESO, la Carlos Septién, la Anáhuac Oaxaca y la Universidad de Guadalajara.

• Cómprame una suscripción de pago en Substack o dona dinero con PayPal y obtén charlas personalizadas, documentos exclusivos y consultas directas.
• 🤑 La salud financiera de Economicón te lo va a agradecer.

Escríbeme si quieres:

• 📖 Escribir tu biografía y no tienes tiempo de hacerlo tú mismo.
• 👩🏽‍⚖ Enseñar a tu equipo de abogados a comunicarse en español, sin abogañol.
• 👩🏻 Aprender lo más relevante de la nueva ley de datos en México.
• 📬 Desarrollar una estrategia de newsletters en tu organización.

Otras noticias

• Estados Unidos: PornHub extorted after hackers steal Premium member activity data (Bleeping Computer)
• Francia: Piratage du ministère de l’Intérieur : un suspect de 22 ans interpellé à Limoges (Le Figaro)
• India: India’s New Data Protection Regime Could Fuel Metadata Surveillance (Tech Policy Press)
• Unión Europea: Austria’s top court rules Meta’s ad model illegal, orders overhaul of user data practices (Reuters)
  • Meta must give EU users full access to their data (noyb)
• Yes, the government can track your location – but usually not by spying on you directly, de Emilee Rader (The Conversation)
• The Preemption Fight Goes Far Beyond AI. States Must Persist, de Alan Butler (Tech Policy Press)
• Ciberpatrullaje: cuando vigilar se justifica en nombre de la seguridad, de Ximena Cuzcano (Derechos Digitales)
• Mapeamos los centros de datos más calientes del mundo (Rest of World)

Comentarios