Camino a la regulación de la IA en México

Actualmente se encuentra en el Senado de la República el proyecto de la primera Ley Nacional para Regular el Uso de la Inteligencia Artificial en México. No se trata de un borrador más ni de una declaración de intención: es una iniciativa con sanciones penales, un régimen de infracciones clasificadas en leves, graves y gravísimas, y la creación de una Autoridad Nacional de IA con capacidad de supervisión real.

La propuesta fue construida durante diez meses por legisladores de Morena, PAN, PVEM, PRI, PT y Movimiento Ciudadano — una convergencia multipartidista inusual que refleja la presión de tener un vacío regulatorio mientras empresas de todos los tamaños ya operan con modelos de IA en producción.

¿Qué cambia para ti? Si tu empresa usa IA para tomar decisiones sobre personas — créditos, contrataciones, atención médica, publicidad segmentada — de aprobarse el proyecto de ley, ahora habrá un marco que clasifica esas aplicaciones por nivel de riesgo. Las prácticas prohibidas incluyen sistemas de puntuación social, identificación biométrica en tiempo real sin orden judicial y sistemas autónomos de decisión letal sin supervisión humana. Las sanciones van desde multas hasta cierre de operaciones y remisión a la Fiscalía General.

Lo que hace distinto a este proyecto de ley es que no copia el modelo europeo al pie de la letra. Incorpora protecciones específicas contra violencia digital hacia mujeres y niñas — incluyendo la generación de deepfakes de carácter sexual sin consentimiento — y crea cuatro pilares institucionales: la Autoridad Nacional de IA, la Estrategia Nacional de IA, un Fondo Nacional para el Desarrollo de la IA y un Sistema Nacional de Certificación de IA. El mensaje es claro: México no quiere solo regular, quiere construir capacidad.

La señal es inequívoca: el tiempo de operar con IA sin gobernanza formal se está cerrando. Si no tienes un inventario de tus casos de uso de IA y una clasificación de riesgo asociada, este es el momento de empezar.

Bancolombia, el banco más grande de Colombia con más de 16 millones de clientes, lleva varios años construyendo su estrategia de IA con un enfoque que los directivos en México deberían estudiar: empezar por lo que más duele operativamente, medir todo y escalar solo lo que demuestra retorno.

El banco implementó cientos de bots de automatización robótica de procesos — programas que replican tareas repetitivas que antes hacían personas — para procesar datos estructurados y no estructurados de clientes. El resultado en el primer año fue un retorno de inversión del 1,300%. En las sucursales donde se automatizó la atención al cliente, la eficiencia aumentó un 50%.

Después vinieron los modelos de monitoreo predictivo: sistemas que detectan anomalías en procesos digitales críticos en tiempo real, permitiendo actuar antes de que un problema afecte al cliente.

Lo que puedes extraer de este caso no es que necesitas copiar su stack tecnológico, sino su lógica de priorización: identificaron procesos de alto volumen y bajo valor agregado, automatizaron con métricas claras de éxito, y solo después de demostrar ROI en escala pasaron a aplicaciones más complejas como la IA generativa. Es una estrategia progresiva.

Tres movimientos regulatorios convergen y los tres van a impactar cómo las empresas mexicanas operan con IA, aunque no hayan sido diseñados pensando en México.

El primero es la entrada en vigor del EU AI Act. A partir de agosto de 2026, cualquier empresa que comercialice o despliegue sistemas de IA de alto riesgo en Europa deberá tener completadas sus evaluaciones de conformidad, documentación técnica y registro en la base de datos europea. Las sanciones llegan hasta 35 millones de euros o el 7% de la facturación global. Si tu empresa exporta servicios o productos con componentes de IA a la Unión Europea — o si usa proveedores europeos de IA — este plazo te aplica directamente.

El segundo es el Marco Nacional de Política de IA de Estados Unidos, publicado el 20 de marzo de 2026 por la Casa Blanca. El documento establece siete pilares legislativos: protección infantil, seguridad comunitaria, propiedad intelectual, libertad de expresión, innovación, fuerza laboral y — el más relevante para la arquitectura regulatoria — uniformidad normativa. La administración busca un enfoque de “regulación ligera” que favorezca la competitividad, lo que genera una tensión directa con el modelo europeo. Para México, que comercia con ambos bloques, navegar entre estos dos paradigmas regulatorios será un ejercicio de equilibrio constante.

El tercero es el propio proyecto de ley en México. Esto no es casualidad. México está diseñando su regulación mientras sus dos principales socios comerciales definen las suyas. Lo que el Senado decida en los próximos meses determinará si la regulación mexicana se alinea más con el modelo de derechos fundamentales de la Unión Europea, con un enfoque que fomenta la innovación de EE.UU., o con un modelo híbrido propio. Para tu empresa, esto significa que cualquier estrategia de gobernanza de IA que construyas hoy debe ser lo suficientemente flexible para adaptarse a múltiples marcos regulatorios.

Un dato de contexto: según el reporte de Grant Thornton de 2026, el 78% de los ejecutivos no tiene confianza en que su empresa podría pasar una auditoría independiente de gobernanza de IA en 90 días, y solo el 20% tiene un plan de respuesta a incidentes de IA probado. El reloj regulatorio está corriendo; la capacidad organizacional no le está siguiendo el paso.

Esta semana, crea el primer borrador de tu inventario de casos de uso de IA. No necesitas una herramienta sofisticada ni un consultor externo para empezar. Lo que necesitas es una hoja de cálculo con cinco columnas:

1. Nombre del caso de uso: por ejemplo, “Modelo de scoring crediticio” o “Chatbot de atención a clientes”.

2. Área responsable: quién opera el sistema y quién responde si algo sale mal.

3. Tipo de IA: si es un modelo predictivo, un sistema de automatización, un modelo generativo, o una combinación.

4. Datos que utiliza: qué tipo de información alimenta al sistema — datos personales, financieros, de comportamiento, públicos.

5. Nivel de riesgo preliminar: bajo, medio o alto, usando como criterio si el sistema toma o influye en decisiones que afectan derechos o acceso a servicios de personas.

Agenda una reunión de 30 minutos con los responsables del área de tecnología, operaciones y legal de tu organización. El objetivo no es tener un inventario perfecto, sino tener uno. El nuevo proyecto de ley en México, el EU AI Act y el marco estadounidense comparten un requisito común: saber qué sistemas de IA tienes y dónde están. Sin ese mapa, cualquier esfuerzo de cumplimiento se convierte en improvisación.

Si ya tienes un inventario, el siguiente paso es verificar que incluya los sistemas de IA integrados en herramientas de terceros — tu CRM, tu plataforma de recursos humanos, tu sistema de monitoreo de fraude. Muchas organizaciones descubren que tienen más IA de la que pensaban cuando miran más allá de los proyectos que ellos mismos desarrollaron.

Samuel Campos

Arquitectura Estratégica con IA