El Gobierno de México, bajo la dirección de Claudia Sheinbaum, ha impuesto una multa de 42.8 millones de pesos, equivalentes a 2.2 millones de dólares, a la Federación Mexicana de Fútbol (Femexfut). Esta sanción se debe al manejo inadecuado de los datos personales de los asistentes a los partidos de la liga nacional, relacionado con el sistema de identificación conocido como Fan ID. La Secretaría Anticorrupción dio a conocer esta decisión el domingo, justo cuando la selección nacional ha quedado fuera del Mundial de Fútbol, concluyendo así un proceso que se remonta varios años, cuando se inició una investigación por el ahora extinto Instituto Nacional de Acceso a la Información (INAI).
Según un comunicado oficial emitido por la Secretaría Anticorrupción, cuyo titular es Raquel Buenrostro, Femexfut incurrió en dos infracciones clave. La primera fue la falta de información a los aficionados sobre el carácter sensible de los datos biométricos recabados durante el proceso de registro del Fan ID. La segunda infracción consistió en no obtener el consentimiento explícito de los usuarios para procesar su información. El comunicado detalla que, aunque la federación recababa fotografías para la generación del Fan ID, no especificó en su aviso de privacidad que esos datos eran sensibles, limitando así el conocimiento de los usuarios sobre el tratamiento de su información personal.
El caso ganó relevancia a principios del año pasado, cuando el INAI comenzó un procedimiento de sanción contra Femexfut debido al uso opaco de su aplicación Fan ID. Esta aplicación, desarrollada en colaboración con un tercero, recogía datos personales de los aficionados, como nombre, teléfono, correo electrónico, fecha de nacimiento e incluso un autorretrato del usuario. Femexfut externalizó la operación de esta aplicación a Incode Technologies, una empresa que previamente había prestado servicios de autenticación biométrica a varias instituciones, incluido el INE y la Cámara de Diputados.
Pese a las investigaciones, los comisionados del INAI decidieron no incluir a Incode Technologies en el procedimiento contra Femexfut, a pesar de que esta compañía es responsable de la recopilación y transferencia de la información personal de los aficionados a la federación. La Secretaría Anticorrupción, en su comunicado, no mencionó a Incode, centrándose únicamente en las prácticas de Femexfut.
La Secretaría ha enfatizado que la ley exige obtener el consentimiento expreso y por escrito del usuario cuando se manejan datos sensibles. Sin embargo, según la dependencia, Femexfut solo utilizó un simple marcado de casilla en un sitio web, sin implementar un mecanismo que garantizara de forma indudable que el titular de los datos había otorgado su consentimiento, como la firma autógrafa o electrónica.
