Riesgos de privacidad del registro celular con CURP

El registro celular obligatorio implica entregar a tu operadora datos de identidad oficial: nombre y CURP, además de una verificación de identidad en el proceso. Esto ha generado preocupación legítima sobre privacidad, sobre todo porque no es el primer intento del gobierno mexicano de crear un padrón de este tipo.

Esta guía explica riesgos de privacidad del registro celular con CURP, con base exclusivamente en fuentes oficiales: qué datos se resguardan, qué prohíbe la normativa, el precedente judicial que invalidó un esquema similar en el 2022, y las obligaciones legales de las operadoras. Para el procedimiento general de registro, consulta la guía completa de registro de celular con CURP, y para conocer las consecuencias de no registrarte, ¿Qué pasa si no registro mi celular con CURP?.

Qué datos se resguardan y qué está prohibido conservar

Los Lineamientos para la Identificación de Líneas Telefónicas Móviles, publicados en el DOF el 9 de Diciembre del 2025, limitan de forma expresa qué información puede conservar la operadora tras completar el registro curp celular: únicamente el nombre y la CURP (o RFC) del titular.

Los Lineamientos prohíben de forma expresa y sin excepciones que la operadora conserve, una vez concluida la validación de identidad del titular:

  • Fotografías o imágenes capturadas durante la prueba de vida.
  • Datos biométricos de cualquier tipo.
  • Copias de la identificación oficial presentada.

La verificación de identidad sirve únicamente para confirmar que el titular es quien dice ser en el momento del registro; no está diseñada como mecanismo de almacenamiento biométrico permanente. Este límite explícito es la primera pieza para entender los riesgos de privacidad del registro celular con CURP: lo que no se conserva no puede filtrarse después.

El precedente legal: la SCJN y la invalidez del PANAUT

Este no es el primer intento de crear un padrón nacional de líneas telefónicas en México. En el 2021 se aprobó el Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), que exigía datos biométricos para activar cualquier línea.

La Suprema Corte de Justicia de la Nación resolvió la Acción de Inconstitucionalidad 82/2021, e invalidó el PANAUT en el 2022. El fundamento de la Corte fue que la exigencia de datos biométricos, sin garantías suficientes de protección, vulneraba los derechos constitucionales a la privacidad y a la protección de datos personales reconocidos en los artículos 6° y 16° de la Constitución.

El esquema actual evita ese vicio de origen al no exigir datos biométricos como requisito de registro, y al prohibir de forma expresa su conservación posterior, como se describe en la sección anterior. Aun así, el precedente de la SCJN es el estándar contra el cual se mide la validez constitucional de cualquier padrón de este tipo en México, y sigue siendo la referencia obligada al evaluar los riesgos de privacidad del registro celular con CURP que un esquema de este tipo puede representar para sus usuarios.

Obligaciones de las operadoras bajo la LFPDPPP

Además del límite específico sobre datos biométricos que imponen los Lineamientos, existe un marco general de protección de datos que aplica a cualquier empresa que trate información personal en México.

Los datos que sí se resguardan (nombre y CURP) quedan sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), reexpedida el 20 de Marzo del 2025. Esta ley obliga a cualquier empresa que trate datos personales, incluidas las operadoras telefónicas, a implementar medidas de seguridad administrativas, físicas y técnicas para proteger esa información frente a cualquier daño, pérdida, alteración, acceso o uso no autorizado por terceros.

El registro celular méxico no exime a las operadoras de sus obligaciones generales bajo esta ley. Por el contrario, el manejo de un padrón con millones de registros de CURP eleva la importancia de cumplir con esos controles de seguridad de la información de forma rigurosa, y es justo el punto donde se concentran los riesgos de privacidad del registro celular con CURP que preocupan a especialistas en protección de datos.

Lo que documentó la consulta pública de la CRT

Antes de aprobar los Lineamientos, la CRT realizó una consulta pública. El Informe de Consideraciones resultante, documento oficial del propio regulador, recoge comentarios ciudadanos recibidos durante ese proceso sobre riesgos de seguridad de la información y posibles filtraciones de datos.

Que el propio regulador haya documentado estas inquietudes de forma oficial, antes de emitir la norma final, confirma que el riesgo de manejo de datos sensibles fue parte del debate regulatorio, no una preocupación externa al margen del proceso legal.

Por qué esto le importa a las empresas, no solo a las personas

Las empresas que gestionan líneas corporativas (registro celulares méxico de sus empleados, con RFC y datos de representante legal) también quedan sujetas a la LFPDPPP por los datos personales que recaban en ese proceso. Esto incluye obligaciones de aviso de privacidad, medidas de seguridad y, en caso de incidente, notificación a los titulares afectados.

Un programa de seguridad de la información maduro, alineado a marcos como ISO 27001 o NIST CSF, ya contempla este tipo de controles: gestión de accesos, cifrado de datos sensibles, políticas de retención y respuesta a incidentes. El registro de celular corporativo es, en ese sentido, un caso más de un problema que las empresas con compliance robusto ya gestionan de forma sistemática.

Cómo Mindsec apoya el cumplimiento de protección de datos

Mindsec no gestiona el registro de líneas telefónicas: ese trámite corresponde directamente a cada operadora.

Lo que sí hace Mindsec es ayudar a las empresas a gestionar los riesgos de privacidad del registro celular con CURP y de cualquier otro tratamiento de datos personales, construyendo y manteniendo el programa de seguridad de la información que protege esos datos. Incluyendo CURP y RFC de empleados y clientes, con soporte para ISO 27001, NIST CSF, PCI DSS y mapeo cruzado entre más de una docena de certificaciones y marcos normativos adicionales.

Si tu empresa gestiona líneas corporativas y quiere asegurarse de que el tratamiento de esos datos cumple con la LFPDPPP y con marcos de seguridad reconocidos, agenda una demo gratuita de Mindsec.

¿Tienes dudas o inquietudes? ¡Platiquemos!

Si tienes dudas sobre el registro celular, el cumplimiento o la normativa en México, agenda una llamada con nuestro equipo para ayudarte a cumplir tus metas de seguridad.

Probar Mindsec