La compra de información personal de ciudadanos por parte de agencias federales no es solo un problema constitucional estadounidense. Es una señal de alerta para cualquier país que negocie soberanía de datos con Washington.
La semana en Washington ha sido densa: confirmación de un nuevo secretario de Seguridad Nacional, turbulencias en la aviación por un cierre parcial del gobierno y una derrota electoral republicana en Florida que encendió alarmas en el Partido Republicano. Pero hay una historia que merece más atención de la que ha recibido, y que tiene implicaciones que van mucho más allá de las fronteras estadounidenses: el Servicio de Control de Inmigración y Aduanas —ICE, por sus siglas en inglés— ha estado comprando bases de datos con información personal de ciudadanos sin obtener órdenes judiciales.
No es un rumor. No es especulación. Es una práctica documentada que elude deliberadamente las protecciones de la Cuarta Enmienda de la Constitución de los Estados Unidos, que prohíbe registros e incautaciones irrazonables sin causa probable y sin orden judicial. La lógica del gobierno federal es tan simple como perturbadora: si la información ya existe en poder de empresas privadas —operadores telefónicos, corredores de datos, plataformas de geolocalización—, comprarla no constituye un "registro" en el sentido constitucional. El Estado no entra a tu casa; simplemente le paga a alguien que ya estaba adentro.
La doctrina del tercero y su abuso sistemático
Esta práctica se apoya en una interpretación laxa de la llamada third-party doctrine, doctrina jurídica que establece que la información que una persona comparte voluntariamente con terceros pierde expectativa razonable de privacidad. Su origen está en casos de la Corte Suprema de los años setenta —Smith v. Maryland (1979) y United States v. Miller (1976)— que fueron resueltos en un contexto tecnológico radicalmente distinto al actual.
En 2018, la propia Corte Suprema comenzó a matizar esta doctrina. En Carpenter v. United States, el tribunal falló por cinco votos contra cuatro que el acceso gubernamental a registros históricos de ubicación de teléfonos celulares sin orden judicial viola la Cuarta Enmienda. El argumento central del juez Roberts fue preciso: la magnitud y la persistencia de la vigilancia digital moderna transforma cuantitativamente el tipo de intrusión, y esa transformación cuantitativa se convierte en una diferencia cualitativa constitucionalmente relevante.
ICE y otras agencias federales han respondido a Carpenter no con cumplimiento, sino con ingeniería de evasión: en lugar de solicitar los datos directamente a las empresas —lo que podría requerir una orden judicial—, los compran en el mercado abierto de datos. La distinción es lo suficientemente delgada como para generar litigios durante años, pero lo suficientemente real como para que el gobierno la explote.
Por qué esto importa fuera de Estados Unidos
Aquí es donde la columna deja de ser un análisis del derecho constitucional estadounidense y se convierte en una advertencia para México y para cualquier país que hoy negocie acuerdos de intercambio de información con Washington.
El T-MEC —Tratado entre México, Estados Unidos y Canadá— incluye un capítulo dedicado al comercio digital (Capítulo 19) que establece principios sobre flujos de datos transfronterizos, protección de información personal y restricciones a la localización forzada de servidores. México, en el proceso de negociación, aceptó compromisos significativos: no puede exigir que los datos de sus ciudadanos se almacenen exclusivamente en territorio nacional si eso constituye una barrera al comercio digital.
Esto significa que datos de mexicanos fluyen legalmente hacia empresas estadounidenses. Empresas que operan bajo la jurisdicción de un gobierno que, como acabamos de documentar, compra información personal sin orden judicial. La cadena es directa: datos de un ciudadano mexicano en una plataforma estadounidense pueden terminar en una base de datos comercial que ICE —u otra agencia— adquiere sin pasar por ningún juez.
No es especulación. Es la arquitectura legal que existe hoy.
El problema de la soberanía de datos en un tratado asimétrico
Cuando se negoció el capítulo digital del T-MEC, México obtuvo algunas protecciones: el artículo 19.8 reconoce el derecho de cada parte a adoptar su propio marco de protección de datos personales. Pero ese reconocimiento es declarativo, no operativo. No existe en el tratado un mecanismo de reciprocidad real que impida que datos de mexicanos sean procesados bajo estándares de privacidad inferiores a los que México exige en su propio territorio.
Esta asimetría no es accidental. Es el resultado de negociar desde una posición de menor poder de mercado sin compensar esa desventaja con precisión jurídica. México cedió en localización de datos —lo que beneficia a las plataformas tecnológicas estadounidenses— sin obtener a cambio garantías vinculantes sobre el tratamiento de esa información una vez que cruza la frontera.
La revisión del T-MEC está programada para 2026. Ese es el momento de corregir esta brecha.
Lo que debería hacer México
Primero, la Secretaría de Economía debe encargar un análisis jurídico serio —no un documento de relaciones públicas— sobre la compatibilidad entre las prácticas de adquisición de datos de agencias federales estadounidenses y los compromisos del Capítulo 19 del T-MEC. Si ICE puede comprar datos de ciudadanos mexicanos en suelo estadounidense sin orden judicial, eso tiene implicaciones directas para la protección que México prometió a sus ciudadanos.
Segundo, en la revisión del tratado México debe insistir en cláusulas de reciprocidad de estándares: si los datos de mexicanos viajan a Estados Unidos, el tratamiento de esa información debe someterse a estándares equivalentes a los del país de origen. No es una posición radical —es la base del Reglamento General de Protección de Datos europeo, que la Unión Europea ha defendido con consistencia frente a Washington.
Tercero, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales —INAI— debería estar emitiendo pronunciamientos públicos sobre este tema. Que una agencia del gobierno más poderoso del mundo esté eludiendo sus propias protecciones constitucionales para acceder a datos de personas no es un asunto doméstico de Estados Unidos; es un asunto de política exterior de datos que México no puede ignorar.
El problema de fondo es que México ha tratado históricamente la soberanía de datos como un tema secundario, casi burocrático. Los grandes debates del T-MEC giraron alrededor del acero, el aluminio, el maíz, los automóviles y las inversiones en energía. El capítulo digital se negoció en relativa penumbra, con menos presión pública y menos atención legislativa.
Ese error de jerarquización tiene consecuencias reales hoy, cuando la información personal se ha convertido en el insumo más valioso de la economía global y cuando un gobierno extranjero demuestra, con documentación, que está dispuesto a eludir sus propias cortes para acumularla.
Los tratados no son documentos estáticos. Son instrumentos vivos que deben responder a la realidad tecnológica y geopolítica de cada momento. La realidad de hoy es que el Estado de derecho en materia de datos está bajo presión en el país con el que México comparte su tratado comercial más importante.
Ignorar eso no es diplomacia. Es ingenuidad que México ya no puede permitirse.
Por Andres Castillo