Debates legislativos sobre seguridad, vigilancia y privacidad: lecciones para México desde la UE y EE. UU.
Fernando Martínez
Oct 15, 2025
La conversación pública sobre seguridad y vigilancia suele reducirse a “más datos = más seguridad”. Pero la experiencia internacional muestra que, sin derechos digitales fuertes, los remedios pueden convertirse en nuevos riesgos: vigilancia desproporcionada, erosión de la privacidad y desinformación amplificada por IA. ¿Qué están haciendo la Unión Europea y Estados Unidos que México debería considerar?
1) Europa: derechos por diseño + obligaciones claras para plataformas y modelos de IA
La UE está desplegando un andamiaje integral que combina protección de derechos con gobernanza tecnológica:
AI Act: vigente desde 2024, con aplicación escalonada. Las obligaciones para modelos de propósito general (GPAI) comenzaron el 2 de agosto de 2025; el resto se completa en 2026–2027. El enfoque está basado en riesgos, con transparencia, seguridad y gobernanza como mínimos exigibles.
DSA (Digital Services Act): impone responsabilidades a plataformas (moderación, trazabilidad de anuncios, evaluación de riesgos sistémicos) para proteger derechos fundamentales. La Comisión Europea ha intensificado su aplicación con investigaciones y posibles cargos a grandes plataformas por insuficiencias en la gestión de contenido ilegal y estafas en línea.
NIS2: eleva el listón de ciberseguridad en sectores críticos y refuerza capacidades nacionales de respuesta.
eIDAS 2.0 / EU Digital Identity Wallet: digital ID interoperable con salvaguardas, orientado a estándares comunes y control del usuario. (Reglamento 2024/1183; despliegue en marcha).
Ejecución GDPR: multas récord y criterios más estrictos (p. ej., LinkedIn, TikTok, Uber, Meta) refuerzan la rendición de cuentas en el tratamiento de datos.
Antispyware: el Parlamento Europeo ha condenado el uso abusivo de Pegasus y pidió límites estrictos y supervisión judicial.
Lección clave: reglas horizontales, aplicables y con dientes. La UE no deja el equilibrio “seguridad–privacidad” a la autorregulación, sino que lo fija en leyes con supervisión independiente.
2) Estados Unidos: mosaico estatal, acciones puntuales y debate sobre vigilancia
Aunque EE. UU. aún no cuenta con una ley federal integral de privacidad, hay señales relevantes:
Vigilancia y 702 FISA: el Congreso reautorizó en 2024 la Sección 702 con enmiendas (RISAA), manteniendo el debate sobre salvaguardas, minimización y supervisión en la inteligencia electrónica.
Privacidad estatal: mapa en expansión de leyes integrales (California, Colorado, Virginia y más de una docena de estados), creando estándares de hecho para empresas.
Protección de menores: nuevos intentos como KOSA 2025 (en discusión) buscan mayores deberes de cuidado para plataformas con menores.
Aplicación de la FTC: acciones como el caso Avast (prohibición de vender datos de navegación y multa) marcan un rumbo de data minimization y sanción a prácticas engañosas.
Lección clave: incluso sin una ley federal única, aplicación regulatoria sostenida (FTC, fiscales estatales) y normas sectoriales pueden elevar el estándar de privacidad.
3) ¿Y México? Un marco que necesita blindajes modernos
México cuenta con leyes de protección de datos en sectores público y privado, y la Suprema Corte ha frenado iniciativas desproporcionadas (por ejemplo, la invalidez del PANAUT en 2022, que obligaba a registrar biométricos para líneas móviles). Pero la presión de amenazas habilitadas por IA, el uso de spyware y la expansión de servicios digitales públicos exigen actualizar la conversación.
Cinco recomendaciones prácticas para el debate legislativo en México
Riesgo y proporcionalidad “a la europea”: adoptar un enfoque basado en riesgos para IA y vigilancia (inspirado en AI Act), con obligaciones crecientes según el impacto (transparencia técnica, pruebas de seguridad, evaluación de impacto en derechos).
Plataformas responsables: incorporar deberes tipo DSA para mitigar riesgos sistémicos (desinformación, deepfakes, estafas), con auditorías, acceso a datos para investigadores y multas proporcionales.
Ciberseguridad crítica: alinearse con principios de NIS2 para infraestructura esencial, fortaleciendo CERTs y coordinación interinstitucional.
Identidad digital con privacidad por diseño: si se impulsa una e-ID, que siga eI DAS 2.0: estándares abiertos, control de atributos por el usuario, mínimos de retención y fuerte gobernanza técnica.
Controles a la vigilancia: reglas claras contra abusos de spyware, autorización judicial estricta, transparencia ex post y sanciones, siguiendo la línea del Parlamento Europeo.
—------------------------------------------------------------------------------------------------------------------------
La regulación de la UE muestra que es posible proteger a las personas sin frenar la innovación, siempre que exista supervisión independiente, transparencia técnica y rendición de cuentas. En EE. UU., la mezcla de enforcement y leyes estatales también está moviendo la aguja.
Para México, el reto es convertir estos principios en un paquete legislativo y regulatorio moderno que brinde seguridad sin sacrificar privacidad, libertad de expresión y debido proceso.
—
Conoce Aurora Secure Intelligence y construyamos un marco de protección acorde a nuestros tiempos: https://www.aurorapolicy.com/secure-intelligence
Fuentes:
https://www.congress.gov/bill/118th-congress/house-bill/7888/text
https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
https://www.congress.gov/bill/119th-congress/senate-bill/1748
https://www.internet2.scjn.gob.mx/red2/comunicados/comunicado.asp?id=6857
https://cms.law/en/int/publication/gdpr-enforcement-tracker-report