Sanción a la FMF por el FAN ID por tratamiento de datos biométricos sin cumplimiento
Noticia

Sanción a la FMF por el FAN ID: la biometría no se improvisa, se construye desde el cumplimiento 

La Secretaría Anticorrupción y Buen Gobierno multó a la Federación Mexicana de Futbol con 42.8 millones de pesos por cómo recabó los datos biométricos de los aficionados con el sistema FAN ID.  

La noticia se leyó en clave deportiva en el contexto del Mundial, pero no lo es: es un caso de cumplimiento y deja un mensaje que trasciende el fútbol: la tecnología biométrica se construye desde el cumplimiento o no se sostiene. Lo que hace una semana planteábamos como riesgo regulatorio para la banca, aquí ya se materializó en otro sector. 

El 12 de julio, la Secretaría Anticorrupción y Buen Gobierno comunicó una sanción de 42 millones 849 mil 095 pesos (ni más ni menos) a la Federación Mexicana de Futbol Asociación, A.C. por incumplir la legislación de protección de datos personales en el tratamiento de la información recabada a través del FAN ID, el identificador digital que la FMF creó para agilizar y dar seguridad al acceso a los estadios. El titular fácil era el monto pero a nosotros nos importa el por qué

Qué sancionó exactamente la autoridad 

La resolución no cuestiona que exista un FAN ID ni que se use el rostro para verificar a quien entra a un estadio. Cuestiona cómo se hizo. La autoridad determinó dos infracciones concretas. 

La primera: la FMF recababa fotografías de los aficionados para generar el identificador, pero no advirtió en su aviso de privacidad que esos datos eran datos personales sensibles. Esa omisión impidió que las personas conocieran el alcance real del tratamiento y decidieran de forma informada.  

La segunda: no obtuvo el consentimiento expreso y por escrito que la ley exige para tratar datos sensibles. La FMF se limitó a una casilla de verificación en un sitio web, y la autoridad fue explícita: un checkbox no basta, la norma pide una firma autógrafa o electrónica u otro mecanismo que acredite de forma inequívoca la voluntad del titular. 

El monto se calculó ponderando la gravedad de las infracciones, la naturaleza sensible del dato biométrico y la capacidad económica de la Federación según su declaración fiscal de 2024. Como toda resolución administrativa, la FMF puede impugnarla. Y conviene separar este procedimiento del ruido que ya rodeaba al caso, ya que la Federación había denunciado en 2025 presuntas coacciones de funcionarios del entonces INAI: son planos distintos, y el que fija precedente es este, el del tratamiento del dato en el que nos vamos a centrar. 

Lo que otros sectores como la banca nos enseña 

Hay un sector que este debate lo tiene resuelto desde hace tiempo: la banca. Las instituciones financieras llevan años tratando datos biométricos bajo marcos exigentes como cotejo contra registros oficiales, prueba de vida, cifrado, trazabilidad, borrado seguro porque su exposición al fraude y al lavado no admitía otra cosa. La biometría bancaria es robusta no porque la tecnología sea distinta, sino porque la implementación se diseñó desde el primer día para resistir una inspección. 

Ese estándar es perfectamente exportable a otros por ejemplo aviación y es sano que lo sea: el rostro de un aficionado merece la misma protección que el de un cliente de banca. Pero exportar la tecnología sin exportar la arquitectura que la hace defendible es exactamente lo que la resolución del FAN ID vino a penalizar. La diferencia entre un sistema robusto y un pasivo latente no está en captar un rostro; está en cómo se informa, se consiente, se resguarda y se documenta cada paso. 

México entró en la fase de convergencia regulatoria 

Esta multa no llega aislada, llega en un momento de convergencia regulatoria. Hace unos días, la CNBV incorporó el reconocimiento facial como factor de verificación en la banca mexicana. A eso se suma la evaluación in situ del GAFI en 2026, que examina la efectividad práctica de los controles, no su existencia en el papel. Y ahora, una sanción real, mediática y fuera de la banca que aterriza el principio: el margen para «desplegar primero y ordenar el cumplimiento después» se cerró. 

El diferencial competitivo ya no es tener biometría. Casi todo el mundo la tendrá. El diferencial es tener biometría auditable por diseño: la que, cuando llegue el supervisor o la pregunta de un periodista ya que la reputación importa, se explica sola. 

Y no es un problema solo mexicano 

Quien lea esto como una singularidad local se equivoca de marco. La dirección es global. En Europa, las autoridades de protección de datos han sancionado el tratamiento de datos biométricos precisamente por lo mismo que aquí: procesar rostros sin base legal, sin consentimiento y sin transparencia. En Estados Unidos, la ley de privacidad biométrica de Illinois llevó a un acuerdo de 650 millones de dólares con Meta por recabar datos faciales sin consentimiento adecuado. El patrón se repite en cada jurisdicción: cuando el dato es el rostro, la permisividad se acaba. 

La importancia del compliance by design 

La lectura correcta de todo esto no es «cumplir para poder usar biometría», sino usar biometría de una forma que, por diseño, ya cumpla. Y aquí el FAN ID funciona como una lista de verificación de lo que no puede faltar. 

Un aviso de privacidad que califique el dato correctamente: si se capta un rostro, se dice que es un dato sensible y qué se hará con él. Un consentimiento inequívoco y trazable, no una casilla. Un resguardo técnico que no guarde la fotografía, sino una plantilla tokenizada un vector matemático irreversible del que no puede reconstruirse la cara. Y trazabilidad de cada decisión, para que el sistema no solo funcione, sino que pueda demostrar que funciona. Ninguno de esos controles es un lujo. Son la diferencia entre un hallazgo de inspección y una operación defendible. 

La reflexión: la mala praxis es lo que convierte una herramienta en un riesgo 

Hay una tentación fácil tras una multa así: demonizar la biometría. Sería un error. La tecnología biométrica bien hecha es, a la vez, la más cómoda y de la más segura: la que el ciudadano casi no nota al entrar a un estadio o abrir una cuenta, y la que blinda su identidad frente a la suplantación. El seamless y la protección no compiten. Lo que los enfrenta es la mala praxis. 

Porque el verdadero coste del FAN ID no son los 42.8 millones. Es el reputacional. Es la persona que se entera, por una resolución, de que su cara se trató como un dato cualquiera. La tecnología está para ser un facilitador de la seguridad, del acceso, de la confianza operativa entre una institución y quien le entrega su identidad. En el momento en que se implementa mal, deja de facilitar y empieza a exponer. A la persona, primero. A la marca, después. 

La biometría seguirá creciendo en México, en el estadio, en el banco, etc y o se construye desde el cumplimiento o se paga por no haberlo hecho. 

No. La resolución no prohíbe usar biometría ni el reconocimiento facial. Sanciona una implementación deficiente: falta de información al titular y ausencia de un consentimiento válido. La tecnología es legal; lo que se penaliza es desplegarla sin la arquitectura de cumplimiento que la ley exige.

Son datos que, por su naturaleza, requieren una protección reforzada porque su uso indebido puede afectar gravemente a la persona. Los datos biométricos —como el rostro o la huella— lo son, porque identifican de forma única y permanente: una contraseña filtrada se sustituye; un rostro, no.

No. La autoridad fue explícita: para tratar datos sensibles se necesita un consentimiento expreso y por escrito, inequívoco, mediante firma autógrafa, firma electrónica u otro mecanismo de autenticación equivalente. Una casilla marcada en un sitio web es insuficiente.

Ambos apuntan al mismo principio desde ángulos distintos. La CNBV obliga a la banca a alinear su biometría facial con controles verificables antes de noviembre de 2026; la sanción a la FMF demuestra que ese principio ya produce consecuencias reales y también fuera del sector financiero. Juntos marcan una fase en la que México examina la efectividad práctica del cumplimiento, no su mera existencia documental.

La Secretaría Anticorrupción y Buen Gobierno la sancionó con 42.8 millones de pesos por dos infracciones en el tratamiento de datos con el sistema FAN ID: no advertir en su aviso de privacidad que las fotografías de los aficionados eran datos personales sensibles, y no obtener el consentimiento expreso y por escrito que la ley exige para tratarlos.

Con cuatro elementos mínimos: un aviso de privacidad que califique correctamente el dato como sensible, un consentimiento inequívoco y trazable, un resguardo que use plantillas tokenizadas irreversibles en lugar de la fotografía, y trazabilidad de cada decisión para resistir una auditoría. La clave no es captar el rostro, sino poder demostrar cómo se protege.

¿Listo para proteger a tus usuarios?

Descubre cómo la tecnología biométrica de Facephi puede blindar tu proceso de verificación de identidad.

Facephi Facephi Identity Platform Onboarding Authentication UX Consultancy Facephi Builder Facephi Central Services Fraud Intelligence Platform Identity Fabric KYB Platform Teseo Identity Wallet IDV Suite Cuentas Mula Behavioural Biometrics Linkedin YouTube X Facebook
Secret Link