El 16 de julio de 2025 se publicó en el Diario Oficial de la Federación el decreto que reforma la LDP y la Ley General de Población (“LGP”), que establecen la creación de la PUI como la herramienta tecnológica central y obligatoria para la búsqueda, localización e identificación de personas desaparecidas.
Esta plataforma funciona como fuente primaria de consulta permanente y en tiempo real, lo que obliga a las empresas que presten servicios financieros, telecomunicaciones, transporte, salud, educación y/o paquetería (las “Instituciones Diversas”) a interconectar sus bases de datos con los registros nacionales, mediante servicios web, que permitan la validación de la CURP y la gestión de datos biométricos. Este esquema ha impuesto en tales empresas una serie de obligaciones que debieron y/o deben ser cumplidas en diversos momentos a partir de la reforma. Las Instituciones Diversas deben asegurarse de estar en cumplimiento de este nuevo régimen, so pena de sanciones.
I. Nuevas obligaciones
De acuerdo con los lineamientos y manuales aplicables a la PUI2, las Instituciones Diversas deben cumplir con una serie de obligaciones para garantizar la interoperabilidad con la PUI. Las Instituciones Diversas deben acreditar su identidad mediante la obtención de la Llave MX institucional para el registro formal ante el Registro Nacional de Población (“RENAPO”). Una vez acreditada su identidad, las Instituciones Diversas deben desarrollar un servicio backend propio con endpoints específicos que les permitan recibir solicitudes oficiales de búsqueda, realizar consultas en sus bases de datos mediante la CURP y notificar a las autoridades las coincidencias a la PUI.
Adicionalmente, el marco normativo exige que la infraestructura de interconexión cumpla con requisitos estrictos de ciberseguridad, autenticación, protocolos y ejecución de pruebas de seguridad para descartar vulnerabilidades antes de autorizar la conectividad.
II. Incumplimiento y Riesgos
El plazo para que las Instituciones Diversas solicitaran su acceso a la PUI venció el pasado 31 de marzo de 2026.
Por lo que las Instituciones Diversas que no lo hayan hecho en debidos tiempo y forma, se encuentran en incumplimiento y, por lo tanto, expuestas a la posible imposición de una sanción económica por parte de la autoridad.
De acuerdo con el Artículo 43 Bis de la LDP y el Artículo 114 Bis de la LGP3, los particulares que posean bases de datos y no permitan el acceso o no mantengan actualizada la información serán sancionados por la Secretaría de Gobernación con multas de 10,000 a 20,000 veces el valor diario de la UMA, lo que actualmente equivale a multas de aproximadamente $1,173,100 MXN a $2,347,400 MXN.
III. Estrategia de Remediación y Regularización Escalonada
Dado que el plazo de cumplimiento ya feneció, nuestro servicio como Despacho full service (con vasta experiencia en Compliance, Regulatorio, Privacidad de Datos, Corporativo y Litigio Administrativo) se enfoca en diseñar un plan de trabajo integral que permita a las Instituciones Diversas identificar las obligaciones derivadas de la legislación que aquí ocupa para estar en cumplimiento de las mismas; fijar los recursos humanos y tecnológicos con los que debe contar para lograr la adecuada interconexión con la PUI; y elaborar una estrategia para hacer frente a un potencial procedimiento administrativo sancionatorio por incumplimiento, en su caso. Esto último, teniendo en cuenta los potenciales beneficios de un cumplimiento espontáneo.
Esperamos que la presente nota les sea de utilidad y para más información o aclaración de cualquier cuestión, a continuación, el contacto de nuestros expertos:
Luis Burgueño, Socio: +52 (55) 5258-1003| lburgueno@vwys.com.mx
Raymundo Soberanis, Socio: +52 (55) 5258-1059| rsoberanis@vwys.com.mx
Gloria Martínez, Counsel: +52 (55) 5258-1014| gmartinez@vwys.com.mx
Carlos Ugalde, Asociado: +52 (55) 5258-1003| cugalde@vwys.com.mx