Lo que importa esta semana
Tres movimientos regulatorios distintos, la misma exigencia de fondo: los sistemas de IA que operan como cajas negras están quedando atrás. El Congreso de Estados Unidos presentó recientemente el AI Foundation Model Transparency Act (H.R. 8094), una iniciativa que obligaría a cualquier empresa que desarrolle modelos de IA con más de mil millones de parámetros a divulgar públicamente sus datos de entrenamiento, metodología y benchmarks de rendimiento. La Federal Trade Commission sería la autoridad responsable de publicar esa información en formatos accesibles. No es un estándar voluntario. Es una propuesta legislativa con consecuencias.
En Europa, el requisito ya opera. A partir de este año, los proveedores de modelos de IA de propósito general que operan en la Unión Europea deben divulgar las fuentes de sus datos de entrenamiento y respetar los mecanismos de opt-out de derechos de autor. A partir de agosto de 2026, todo sistema que genere contenido con IA deberá etiquetarlo como generado por IA. No son recomendaciones: son obligaciones con sanciones. Y el EU AI Act añade una capa adicional para los sistemas de alto riesgo — los que toman decisiones que afectan a las personas — que a partir de agosto de 2026 deberán tener documentación técnica completa y registro en la base de datos europea antes de poder operar.
México se está moviendo en la misma dirección. La iniciativa que avanza en el Senado crea una Autoridad Nacional de IA y establece un régimen de infracciones. El hilo conductor entre los tres marcos — estadounidense, europeo y mexicano — no es ideológico: es práctico. Las instituciones están convergiendo en que necesitan saber cómo funciona la IA que opera en sus jurisdicciones.
¿Qué significa esto para tu empresa? Que no basta con usar IA responsablemente si no puedes demostrarlo. La pregunta que los reguladores van a hacer — en Estados Unidos, en Europa y pronto en México — no es ¿usan inteligencia artificial? sino ¿pueden explicar cómo toma decisiones ese sistema, con qué datos, y quién responde si algo sale mal? Si la respuesta hoy es no, ese es el punto de partida.
Un caso que vale la pena conocer
Stanford publicó este mes el Enterprise AI Playbook, un estudio que analizó 51 implementaciones exitosas de IA en 41 organizaciones de 9 industrias y 7 países. El hallazgo central es incómodo: el 77% de los desafíos más difíciles no fueron tecnológicos. Fueron lo que los investigadores llaman "costos invisibles" — gestión del cambio, calidad de datos y rediseño de procesos.
El estudio encontró que para el 42% de las implementaciones, el modelo de IA era completamente intercambiable. Es decir, no importaba si usaban ChatGPT, Claude, Gemini o un modelo open source — el resultado de negocio era similar. Lo que sí marcaba la diferencia era la preparación organizacional. El 95% de los fracasos se atribuyeron a factores organizacionales: fuerza laboral no preparada, gobernanza ausente o falta de ownership ejecutivo.
Otro dato revelador: el 61% de los proyectos exitosos fueron precedidos por al menos un intento fallido. Esos "costos hundidos" no fueron desperdicio — fueron el proceso mediante el cual la organización aprendió a rediseñar sus flujos de trabajo. Las empresas que trataron de saltarse esa curva de aprendizaje gastaron más y obtuvieron menos.
¿Qué puedes extraer de esto? Si tu equipo está evaluando un proyecto de IA, la pregunta más importante no es ¿qué modelo usamos? sino ¿quién va a liderar el cambio de procesos? La tecnología es la parte “fácil”. El rediseño organizacional es donde se gana o se pierde la inversión. Y si ya tuviste un piloto que no funcionó, no lo descartes como fracaso — probablemente fue el entrenamiento que tu organización necesitaba.
Radar regulatorio
Ante la convergencia de marcos regulatorios en Estados Unidos, Europa y México, ISO 42001 — el estándar internacional para sistemas de gestión de IA — se está posicionando como el denominador común para empresas que necesitan operar en múltiples jurisdicciones. Legislaciones estatales en Estados Unidos comienzan a reconocer explícitamente como safe harbor que las empresas certificadas bajo ISO 42001 pueden demostrar gobernanza responsable de IA ante reguladores sin tener que construir un programa de cumplimiento separado para cada jurisdicción.
ISO 42001 exige exactamente lo que los tres marcos regulatorios van a requerir: un inventario de sistemas de IA, una clasificación de riesgo, controles de supervisión humana, trazabilidad de datos y documentación de decisiones. Es decir, certificarse bajo ISO 42001 no es un ejercicio académico — es anticiparse y construir la infraestructura de cumplimiento que va a ser exigible en varios países en los próximos 12 a 18 meses.
El EU AI Act reconoce explícitamente que las certificaciones bajo estándares armonizados pueden funcionar como evidencia de conformidad para sistemas de alto riesgo. Lo que esto implica para una empresa mexicana que exporta a Europa o trabaja con proveedores europeos: certificarse bajo ISO 42001 podría evitarte duplicar el trabajo de cumplimiento para cada marco por separado.
Lo que está ocurriendo en México refuerza esta lógica. La iniciativa en el Senado crea un Sistema Nacional de Certificación de IA, lo que sugiere que el cumplimiento eventualmente va a requerir demostración verificable, no solo declaración de intención. Las empresas que ya tengan un sistema de gestión documentado van a tener una ventaja significativa cuando ese mecanismo entre en operación.
Algo que puedes implementar esta semana
La semana pasada sugerimos hacer tu propio inventario de sistemas y aplicaciones de IA con las que cuentas tú o tu negocio. Esta semana, elige uno de los sistemas que identificaste — preferentemente el que más impacta decisiones que afectan personas o que maneja más datos — y dedica 30 minutos a documentar tres cosas sobre dicho sistema.
Primero: ¿cómo toma decisiones este sistema? No a nivel técnico — a nivel de negocio. ¿Qué criterios usa para llegar a su resultado? Si no puedes responderlo en dos oraciones, tienes un problema de transparencia antes de que llegue cualquier regulación.
Segundo: ¿qué pasa cuando el sistema se equivoca? ¿Hay un proceso para detectar el error, revertir la decisión y notificar al afectado?
Tercero: ¿quién en tu organización es responsable de supervisar ese sistema semana a semana — no el proyecto que lo implementó, sino la operación continua?
Estas tres preguntas son el núcleo de lo que cualquier auditoría de gobernanza de IA va a exigir — ya sea bajo el EU AI Act, bajo la ley mexicana cuando se apruebe, o bajo ISO 42001. La diferencia entre quienes lo gestionarán de manera adecuada y quienes lo harán bajo presiones regulatorias no está en la tecnología: está en si alguien en la organización puede responder estas preguntas sin necesitar una semana para investigarlo.
El resultado de este ejercicio no pretende ser un documento perfecto. El objetivo es iniciar una conversación sobre un sistema que ya opera y que probablemente nadie ha revisado formalmente desde que se implementó.
Samuel Campos
Arquitectura Estratégica con IA
