Qué es el PUI (Plataforma Única de Identidad) y su impacto en el Cumplimiento Normativo

Qué es el PUI (Plataforma Única de Identidad)

El PUI (Plataforma Única de Identidad) es un sistema tecnológico gubernamental de interoperabilidad bidireccional, diseñado específicamente para permitir el cruce de información en tiempo real entre las bases de datos del Estado y las del sector privado. Su objetivo es la búsqueda, localización e identificación de personas desaparecidas o no localizadas en México, utilizando como ancla de rastreo la Clave Única de Registro de Población (CURP).

Para un Oficial de Cumplimiento (Compliance Officer), comprender qué es el PUI significa reconocer un cambio drástico en la regulación de protección de datos y prevención de delitos: la autoridad ya no solicita reportes manuales esporádicos. Ahora, exige que las empresas abran canales de comunicación automatizados (vía API) que el gobierno pueda consultar de manera permanente para detectar si una persona con estatus de desaparecida realiza algún trámite o movimiento corporativo.

Para qué sirve el PUI en el ecosistema normativo

El propósito central del PUI es emitir alertas inmediatas a las autoridades, como la Secretaría de Gobernación (SEGOB), el Centro Nacional de Inteligencia (CNI) y las Fiscalías. Sirve para rastrear el uso de la identidad de un individuo sin comprometer el sigilo de las investigaciones.

Si una persona reportada como desaparecida intenta abrir una cuenta bancaria, abordar un vuelo, darse de alta en una clínica o registrarse en una plataforma Fintech, el sistema interno de la empresa debe notificar automáticamente la coincidencia (hit) a la plataforma gubernamental para que las autoridades actúen. La empresa no investiga el caso; únicamente reporta la trazabilidad del dato al detectar el uso de la CURP.

Sectores empresariales obligados a la interconexión

La interconexión no es opcional. El artículo 12 Bis, fracción V, de la Ley General en Materia de Desaparición Forzada de Personas (LGMDFP) establece que cualquier particular cuya base de datos sea útil para la investigación está obligado a conectarse al PUI. Esto incluye transversalmente a los siguientes sectores:

• Sector Financiero: Bancos de formato múltiple, SOFOMES, casas de cambio, uniones de crédito, fondos de inversión, afores, transmisores de dinero y el ecosistema Fintech (Instituciones de Tecnología Financiera).
• Salud y Asistencia Privada: Clínicas, hospitales, laboratorios y establecimientos residenciales de atención a adicciones.
• Telecomunicaciones y Transporte: Proveedores de internet, telefonía, aerolíneas, paquetería y servicios de entrega.
• Educación y Laboral: Registros patronales, bases de datos de seguridad social, instituciones académicas y asociaciones religiosas.

Marco normativo: Fechas de decreto y plazos críticos

El marco legal que sustenta al PUI ha establecido plazos muy agresivos para la adaptación corporativa:

• 16 de julio de 2025: Se publicó el decreto que reforma la LGMDFP y crea la CURP biométrica de uso obligatorio.
• 27 de noviembre de 2025: Publicación en el DOF de los Lineamientos para el Desarrollo y Operación de la Plataforma Única de Identidad.
• 23 de enero de 2026: Publicación oficial del Manual Técnico de la Solución Tecnológica para Instituciones Diversas.

Fecha Límite Improrrogable: La autoridad determinó que las instituciones privadas tienen un plazo no mayor a 45 días hábiles posteriores a la expedición del manual técnico para solicitar su inscripción y habilitar el Servicio Nacional de Identificación Personal. Por lo tanto, el vencimiento oficial para las empresas es el 31 de marzo de 2026.

Requisitos técnicos para la integración operativa

Para cumplir con la regulación, el Oficial de Cumplimiento debe coordinar la implementación de una arquitectura robusta. Los requerimientos mínimos incluyen:

1. Infraestructura API REST: La empresa debe exponer servicios web seguros mediante una URL propia (ej. <URL_BASE>/activar-reporte) y consumir los endpoints del gobierno (ej. /notificar-coincidencia). La comunicación debe ser estrictamente en formato JSON codificado en UTF-8.
2. Identidad Digital Institucional: El representante legal debe ingresar a LlaveMX como ciudadano, crear el perfil de Persona Moral, cargar la e.Firma institucional e integrar un buzón de notificaciones. Nota crítica: Este registro en LlaveMX acredita la identidad, pero no habilita el intercambio de información de la PUI por sí solo; se requiere forzosamente el desarrollo de código en la API.

Fases de búsqueda y periodicidad de ejecución

Uno de los mayores retos operativos para los servidores de la empresa es soportar el volumen de consultas del PUI. Según el Manual Técnico, los desarrollos de TI deben estructurar las consultas en tres fases estrictas:

• Fase 1: Búsqueda para completar datos básicos (Inmediata): Al recibir un nuevo reporte de desaparición, el sistema de la empresa debe ejecutar una consulta instantánea en sus bases para buscar coincidencias recientes con la CURP y remitir los datos más recientes disponibles.
• Fase 2: Búsqueda histórica (Retrospectiva): El sistema debe consultar el historial de operaciones de la persona reportada. Si la fecha de desaparición es muy antigua, la regulación exige que la base de datos se rastree con una profundidad máxima de hasta los últimos 12 años para enviar cualquier indicio de utilidad. Una vez concluida esta búsqueda, se debe enviar la confirmación mediante el endpoint /busqueda-finalizada.
• Fase 3: Búsqueda continua (Periódica automatizada): Es el proceso más exigente a nivel de procesamiento. La empresa debe configurar un scheduler (tarea programada automatizada) que revise constantemente las entradas nuevas o registros modificados en la base de datos corporativa. La periodicidad de esta búsqueda no es impuesta rígidamente por segundo; puede ser definida internamente por la institución (por ejemplo, cada hora, cada cuatro horas o un corte diario). Lo fundamental es que este ciclo se ejecute ininterrumpidamente mientras el caso de desaparición esté activo, asegurando alertas tempranas sin llegar a comprometer o tumbar el desempeño de los servidores internos de la empresa.

Medidas de ciberseguridad y reportes de auditoría

Al interconectar bases de datos privadas con el gobierno, la ciberseguridad es auditada estrictamente. El Manual Técnico impone los siguientes controles:

• Autenticación JWT: Cada petición a la API debe estar firmada y validada mediante un JSON Web Token (JWT) utilizando el esquema Bearer Token para garantizar la integridad.
• Criptografía de Datos y Biometría: Toda la capa de transporte debe operar sobre HTTPS con certificados TLS 1.2 o superior. Si se envían fotografías (mínimo 300 ppi) o huellas dactilares (mínimo 500 ppi), deben convertirse forzosamente a Base64 y cifrarse con el algoritmo avanzado AES-256-GCM.
• Logs Auditables: La institución debe mantener bitácoras inalterables y estructuradas que registren los accesos a la plataforma, las fallas (códigos HTTP 400, 401, 500) y un control de resincronización ante caídas del servidor.

Sanciones por incumplimiento normativo (UMAs y MXN)

Las consecuencias por ignorar esta integración impactan severamente las finanzas y la reputación de la institución. El Artículo 43 Bis de la LGMDFP tipifica las infracciones de los particulares por omisión o entorpecimiento.

Considerando que el valor diario de la Unidad de Medida y Actualización (UMA) para 2026 es de $117.31 MXN, las multas se desglosan de la siguiente manera:

Exportar a Hojas de cálculo

Esto significa que un error de conectividad API, una falla en la periodicidad de búsqueda o la simple omisión de interconexión pueden costar más de 2 millones de pesos por infracción, sin descartar las responsabilidades penales aplicables por obstrucción a la justicia en un tema de derechos humanos.

Pasos estratégicos para una interconexión exitosa

Para evitar sanciones y mitigar riesgos antes del vencimiento oficial, el área de Compliance debe seguir esta ruta crítica:

1. Auditoría de Datos Identificativos: Reconocer qué datos (CURP, RFC, biométricos) almacena la empresa y en qué silos de información se encuentran alojados.
2. Evaluación de Infraestructura (Estrés): Determinar si los servidores actuales soportan el volumen de consultas de la búsqueda histórica de 12 años y la frecuencia de la búsqueda continua sin afectar el core bancario o comercial de la operación diaria.
3. Análisis del Modelo de Desarrollo (In-house vs. Terceros): Es fundamental evaluar si el equipo interno de TI tiene el ancho de banda y el expertise criptográfico para desarrollar la API REST desde cero. Optar por un aliado tecnológico (tercerización) o consultora especializada acelera drásticamente el time-to-market, minimiza errores de sintaxis en los endpoints y transfiere la carga operativa, garantizando un cumplimiento técnico impecable frente a los reguladores.
4. Despliegue y Pruebas en Webhooks: Programar los accesos seguros a la API corporativa y validar las notificaciones en tiempo real (webhooks) con los entornos de prueba de la SEGOB.

Preguntas frecuentes (FAQs)

• ¿Qué es el PUI (Plataforma Única de Identidad) de la SEGOB? Es un ecosistema tecnológico que conecta las bases de datos del gobierno y del sector privado a través de una API. Sirve para rastrear y localizar en tiempo real a personas desaparecidas mediante alertas automatizadas vinculadas a su CURP.
• ¿Cuáles son las 3 fases de búsqueda del PUI? Se dividen en: Fase 1 (Búsqueda inmediata para completar datos básicos), Fase 2 (Búsqueda histórica de los últimos 12 años) y Fase 3 (Búsqueda continua y periódica sobre nuevos registros).
• ¿Qué empresas están obligadas a conectarse al PUI? Toda institución privada que administre datos personales útiles para la localización. Destacan: bancos, SOFOMES, Fintech, aseguradoras, hospitales, aerolíneas, empresas de transporte terrestre, universidades y registros patronales.
• ¿Cuál es la fecha límite para la integración tecnológica al PUI? La fecha de vencimiento crítico para que las empresas soliciten su inscripción tecnológica en el portal es el 31 de marzo de 2026, justo 45 días hábiles tras la publicación de los manuales de la plataforma.
• ¿De cuánto es la multa por no conectarse al PUI en 2026? Las sanciones impuestas por no proporcionar información al sistema gubernamental o no mantenerla actualizada van de 10,000 a 20,000 UMAs. Esto equivale a multas de entre $1,173,100 y $2,346,200 pesos mexicanos por infracción.

Conclusión

Entender a profundidad qué es el PUI revela que el gobierno de México ha elevado drásticamente el estándar de exigencia tecnológica para el sector privado. El plazo del 31 de marzo no es una sugerencia corporativa; es un mandato crítico que obliga a los Oficiales de Cumplimiento y a los directores de TI a trabajar contra reloj para orquestar APIs seguras, definir periodicidades de búsqueda óptimas y generar auditorías continuas.

La mitigación de riesgos operativos y financieros (multas millonarias) recae en una ejecución técnica veloz, auditable y experta. ArmorAML®, a través de nuestra división de consultoría TI, es la Solución Integral de PLD que tu corporativo necesita para delegar este complejo desarrollo. Te ayudamos a implementar los endpoints de manera eficiente, blindando la operación de tu empresa y garantizando un cumplimiento absoluto ante las autoridades federales.

Fuentes consultadas:

• Secretaría de Gobernación / RENAPO. (2026). Manual Técnico de la Solución Tecnológica para Instituciones Diversas. Diario Oficial de la Federación.
• Cámara de Diputados. (2025). Ley General en Materia de Desaparición Forzada de Personas. Diario Oficial de la Federación. Recuperado de https://www.diputados.gob.mx/LeyesBiblio/pdf/LGMDFP.pdf
• Instituto Nacional de Estadística y Geografía (INEGI). (2026). Actualización de la Unidad de Medida y Actualización (UMA). Gobierno de México.