Diario TI

México multa con 42,8 millones de pesos a la Federación de Fútbol por datos biométricos

La sanción, equivalente a unos USD 2,14 millones. Baker McKenzie considera que la resolución eleva los riesgos regulatorios para las organizaciones que utilizan reconocimiento facial y otras tecnologías biométricas.

La Secretaría Anticorrupción y Buen Gobierno de México impuso una multa de 42.849.095 pesos mexicanos, equivalentes a aproximadamente USD 2,14 millones, a la Federación Mexicana de Fútbol Asociación por incumplimientos relacionados con el tratamiento de datos personales mediante el sistema FAN ID.

La autoridad determinó que la Federación Mexicana de Fútbol, en su condición de responsable de los datos recopilados por la plataforma, no informó adecuadamente a los aficionados que las fotografías utilizadas para generar su identificación constituían datos personales sensibles.

También concluyó que la organización no obtuvo el consentimiento expreso y por escrito exigido para el tratamiento de esa información.

Una casilla no acreditaba el consentimiento

FAN ID utiliza fotografías de los aficionados para generar una identificación destinada al acceso a determinados encuentros de fútbol. Según la resolución, el aviso de privacidad de la Federación no indicaba que esas imágenes serían tratadas como datos sensibles.

La Secretaría sostuvo que esta omisión impedía que las personas conocieran el alcance real del tratamiento y tomaran una decisión plenamente informada sobre la utilización de su información personal.

La autoridad también cuestionó el mecanismo empleado para obtener el consentimiento. La Federación utilizaba una casilla de aceptación en un sitio web, pero no incorporaba una firma manuscrita, una firma electrónica u otro sistema de autenticación que permitiera demostrar de forma inequívoca que la autorización había sido otorgada por el titular de los datos.

La resolución determinó además que la organización incumplió los principios de licitud y responsabilidad al no adoptar las medidas necesarias para garantizar el tratamiento adecuado de la información bajo su control.

Cómo se determinó la multa

La Secretaría Anticorrupción y Buen Gobierno indicó que para establecer el monto consideró la gravedad de las infracciones, la naturaleza sensible de los datos biométricos y la capacidad económica de la Federación Mexicana de Fútbol, calculada a partir de su declaración anual de impuestos correspondiente al ejercicio fiscal de 2024.

La resolución puede ser impugnada mediante los mecanismos previstos por la legislación mexicana. La Secretaría señaló que, si ello ocurre, defenderá la legalidad de su decisión dentro del procedimiento correspondiente.

Un precedente para el uso de biometría

En un análisis publicado el 14 de julio de 2026, Baker McKenzie calificó la sanción como uno de los precedentes más relevantes del sistema mexicano de protección de datos personales.

El estudio jurídico señala que se trata de la primera medida sancionatoria de importancia emitida por la Secretaría Anticorrupción y Buen Gobierno después de asumir las funciones de protección de datos que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

Según Baker McKenzie, el monto sería superior al de las multas previamente impuestas por el antiguo regulador. Esta caracterización como sanción récord corresponde al análisis del estudio jurídico y no forma parte del comunicado oficial de la autoridad.

La firma considera que la resolución entrega señales sobre la forma en que el nuevo organismo podría interpretar y fiscalizar las obligaciones de privacidad. Su alcance podría ser relevante para entidades que utilizan reconocimiento facial, plataformas de identidad digital, autenticación biométrica, controles de acceso, herramientas de prevención de fraude y sistemas de registro de usuarios o asistentes a eventos.

La fiscalización va más allá de la ciberseguridad

El caso muestra que la evaluación regulatoria no se limita a las medidas técnicas empleadas para evitar accesos indebidos o filtraciones. También comprende el contenido de los avisos de privacidad, la clasificación de la información recopilada y la validez de los mecanismos utilizados para documentar el consentimiento.

Baker McKenzie recomienda a las organizaciones identificar si recopilan datos biométricos de clientes, usuarios, visitantes o empleados y comprobar si sus avisos explican adecuadamente la naturaleza sensible de esa información.

También plantea revisar si los sistemas de consentimiento cumplen los requisitos aplicables, conservar evidencia suficiente de la autorización de cada titular y realizar evaluaciones periódicas de los programas internos de privacidad y protección de datos.

Fuentes: Secretaría Anticorrupción y Buen Gobierno de México, 12 de julio de 2026; análisis de Baker McKenzie, 14 de julio de 2026.

📬 Newsletter gratuito

Últimos artículos