México busca reglas para la IA sin INAI

México está entrando a una conversación incómoda pero necesaria: quién pone las reglas cuando la inteligencia artificial ya se usa para decidir, clasificar o priorizar personas, y el organismo que durante años vigiló buena parte del ecosistema de datos, el INAI, quedó fuera de la ecuación. Esa combinación deja un vacío regulatorio que no es teórico. Afecta cómo se entrenan modelos, cómo se documentan decisiones automatizadas y cómo se responde cuando un sistema se equivoca.

Si operas en México o en varios países de LatAm, este tema no se queda en la esfera legal. Toca producto, seguridad, compras, compliance y atención al cliente. También toca algo más simple: si tu empresa usa IA para scoring, fraude, reclutamiento, crédito, salud o moderación de contenido, necesitas saber qué evidencia guardas, quién audita el sistema y cómo explicas sus resultados cuando alguien te los pide.

Qué cambió con el vacío del INAI

El punto de partida es claro: México reconfigura su gobernanza de datos en un momento en el que la IA ya no es una promesa, sino una capa operativa dentro de procesos cotidianos. El problema es que la estructura institucional que antes concentraba parte del control en privacidad y acceso a la información quedó debilitada o, en la práctica, sin el mismo peso. Eso no elimina las obligaciones de las empresas, pero sí vuelve más difuso quién fija criterios, cómo se supervisa y qué tan rápido se puede exigir una corrección.

Para una empresa, el vacío no significa ausencia de riesgo. Significa más incertidumbre. Si tu stack usa modelos de terceros, APIs externas o sistemas internos de scoring, ahora tienes menos margen para asumir que el marco regulatorio resolverá por ti temas como trazabilidad, minimización de datos o explicabilidad. En la práctica, la presión se mueve hacia autorregulación, contratos más duros y controles internos más sólidos.

El ángulo de alto riesgo importa porque no todos los usos de IA generan el mismo nivel de daño. No es lo mismo un chatbot de soporte que un modelo que ayuda a aprobar créditos, filtrar candidatos o detectar fraude. En esos casos, un error puede traducirse en exclusión, discriminación o pérdida económica. Y cuando no hay una supervisión clara, el costo reputacional suele llegar antes que una sanción formal.

Por qué esto afecta más a empresas que a usuarios finales

La mayoría de las discusiones públicas sobre IA se quedan en el usuario: si la app responde bien, si el prompt funciona, si el contenido se ve convincente. Pero el verdadero riesgo para las compañías está en el proceso. Si no puedes demostrar de dónde salieron los datos, qué sesgos se revisaron o cuándo se cambió el modelo, estás operando a ciegas.

Además, en LatAm las empresas suelen trabajar con operaciones regionales. Un mismo producto puede tocar México, Colombia, Perú y Ecuador con lógicas de cumplimiento distintas. Eso obliga a diseñar controles que no dependan solo del país más estricto, sino de una base común de gobernanza que aguante auditorías, incidentes y pedidos de información.

La discusión urgente: auditorías, estándares y transparencia

La conversación seria no es si la IA debe regularse, sino cómo. Hoy hay tres piezas que deberían estar en el centro: auditorías, estándares técnicos y transparencia. Sin eso, hablar de “uso responsable” queda en una frase de marketing.

Las auditorías sirven para revisar si el sistema hace lo que promete y si lo hace sin generar daño desproporcionado. Los estándares ayudan a fijar mínimos comunes para documentación, pruebas y monitoreo. La transparencia, por su parte, no significa revelar secretos industriales, sino poder explicar qué datos se usan, con qué propósito y bajo qué límites.

En sistemas de alto riesgo, estas tres capas no son opcionales. Si tu empresa usa IA para decisiones que afectan acceso a servicios, empleo, salud o seguridad, deberías pensar en auditorías periódicas, revisión humana y registros de decisiones. No basta con decir que el modelo fue probado una vez antes de salir a producción.

Qué debería incluir una auditoría de IA

Una auditoría útil no es un PDF bonito. Debe responder preguntas concretas: qué datos entraron, cuál fue la fuente, qué variables influyen más, cómo se midió el error y qué pasó con grupos específicos de usuarios. Si el modelo se entrenó con datos históricos, también hay que revisar si esos datos arrastran discriminación pasada.

Un esquema práctico para empresas puede incluir estos pasos:

Inventariar todos los sistemas de IA en producción y en prueba.
Clasificarlos por nivel de riesgo: bajo, medio o alto.
Documentar datasets, versiones de modelo y proveedores.
Medir desempeño por segmento: país, género cuando aplique, edad, región o tipo de cliente.
Definir un responsable interno para incidentes y escalamiento.
Programar revisiones trimestrales o semestrales según el impacto.

Si esto te suena pesado, es porque lo es. Pero también es mucho más barato que corregir un sistema después de una queja pública, una investigación o una caída de conversión causada por decisiones erróneas.

Qué marcos puedes usar hoy sin esperar una ley perfecta

Aunque México no tenga una ley de IA cerrada y el escenario institucional esté movido, no estás empezando desde cero. Hay referencias útiles que ya puedes adoptar para construir controles internos. Una de las más citadas es el NIST AI Risk Management Framework, que propone un enfoque de gobernanza, mapeo, medición y gestión del riesgo. La documentación oficial está aquí: https://www.nist.gov/itl/ai-risk-management-framework

También sirve mirar la OECD AI Principles, que establecen principios de robustez, transparencia y responsabilidad. La referencia oficial está aquí: https://oecd.ai/en/ai-principles

Y si trabajas con operaciones que tocan datos personales en Europa, el GDPR sigue siendo una guía práctica para entender minimización, base legal y derechos de los usuarios. No porque México copie ese modelo, sino porque muchas multinacionales ya lo usan como estándar base. Texto oficial: https://eur-lex.europa.eu/eli/reg/2016/679/oj

La clave no es importar una ley ajena, sino traducir esos principios a controles reales. Si tu equipo de producto lanza una función de IA, debería pasar por una revisión de privacidad, seguridad y sesgo antes de producción. Si compras un modelo externo, tu contrato debe pedir logs, límites de uso, políticas de retención y derecho de auditoría cuando aplique.

Tabla rápida de marcos útiles

Marco	Para qué sirve	Qué te pide en la práctica
NIST AI RMF	Gestionar riesgo de IA	Inventario, medición, monitoreo y gobernanza
OECD AI Principles	Definir principios generales	Transparencia, robustez y responsabilidad
GDPR	Referencia de privacidad y derechos	Minimización, base legal y control de datos
ISO/IEC 42001	Sistema de gestión para IA	Políticas, roles, revisión y mejora continua

No necesitas certificarte mañana en todo, pero sí decidir qué marco guía tu política interna. Si tu empresa opera en varios países, un estándar común reduce fricción y evita que cada equipo invente su propia versión de “uso responsable”.

Lo que deberías revisar si tu empresa usa IA en México o LatAm

Aquí es donde el tema deja de ser abstracto. Si tu empresa usa IA en México o en la región, hay un checklist que conviene revisar ya. No hace falta esperar una inspección para descubrir que tu documentación está incompleta.

Primero, identifica todos los casos de uso. Muchas empresas creen que solo tienen “un chatbot”, pero luego descubren scoring en crédito, reglas de fraude, ranking de leads, filtros de reclutamiento y recomendaciones de contenido. Cada uno tiene riesgos distintos y niveles distintos de revisión.

Segundo, revisa la cadena de proveedores. Si usas un modelo de un tercero, necesitas saber dónde se alojan los datos, qué retención aplica, si el proveedor entrena con tus prompts o no, y qué garantías ofrece sobre seguridad. La frase “lo maneja el vendor” no te protege cuando el incidente cae sobre tu marca.

Señales de alerta que no deberías ignorar

Hay varios indicadores de que tu operación está floja en gobernanza:

No existe inventario de modelos activos.
Nadie sabe quién aprobó el último cambio.
El equipo de negocio ajusta prompts o reglas sin dejar registro.
No hay pruebas por país o segmento de usuarios.
No puedes explicar por qué un usuario fue rechazado o priorizado.
No hay política de retención de prompts, logs o datasets.

Si te reconoces en dos o más de esos puntos, tu riesgo ya no es solo técnico. También es regulatorio y reputacional. Y en LatAm, donde muchas empresas venden servicios financieros, salud digital o e-commerce cross-border, ese riesgo escala rápido.

Qué puede pasar en México si la regulación se mueve hacia estándares más duros

La ruta más probable no es una ley que prohíba la IA, sino un conjunto de obligaciones más concretas sobre documentación, evaluación y transparencia. Eso puede venir por reformas sectoriales, criterios administrativos o nuevas leyes de protección de datos y consumo digital. Para las empresas, el efecto sería el mismo: más evidencia y menos improvisación.

Si eso sucede, los sectores más expuestos serán banca, fintech, seguros, salud, reclutamiento y plataformas de alto volumen. Ahí la IA no solo asiste, también decide o prioriza. Y cuando una decisión automatizada afecta acceso a dinero, empleo o atención médica, la discusión deja de ser técnica y pasa a ser de derechos.

En la práctica, muchas compañías ya están migrando hacia modelos híbridos: IA para sugerir, humano para validar. Esa fórmula no resuelve todo, pero baja el riesgo cuando el impacto es alto. El problema es que algunas organizaciones venden automatización total como ahorro de costos y luego no tienen capacidad para revisar excepciones.

Cómo prepararte en 90 días

Si quieres mover algo real sin esperar una reforma, este plan de 90 días te puede servir:

Semana 1 a 2: inventario completo de sistemas de IA y proveedores.
Semana 3 a 4: clasificación por riesgo y mapeo de datos usados.
Mes 2: revisión legal y de privacidad de los casos de mayor impacto.
Mes 2 a 3: definición de métricas de calidad, sesgo y error.
Cierre del trimestre: política interna, responsables y calendario de auditorías.

No necesitas un equipo enorme para empezar. Sí necesitas alguien que coordine producto, legal, seguridad y data. Si cada área trabaja por separado, la gobernanza se rompe en el primer cambio de modelo.

Tabla resumen

Pregunta corta	Respuesta corta
¿Qué cambió en México?	El control institucional quedó más difuso y sube la incertidumbre regulatoria.
¿Cuál es el mayor riesgo?	Usar IA de alto impacto sin auditorías ni trazabilidad.
¿Qué deben hacer las empresas?	Inventariar modelos, documentar datos y definir responsables.
¿Qué marcos sirven hoy?	NIST AI RMF, OECD AI Principles, GDPR e ISO/IEC 42001.
¿A quién afecta más?	Banca, fintech, salud, reclutamiento y plataformas con decisiones automatizadas.

Si tu operación depende de IA, el mensaje es bastante simple: no esperes a que el marco legal quede perfecto para ordenar tu casa. La gobernanza de datos ya no es un tema de cumplimiento aislado; es parte del diseño del producto y de la continuidad del negocio.

La discusión en México también va a servir como referencia para LatAm. Muchos equipos regionales están mirando qué pasa cuando un país intenta ordenar datos e IA al mismo tiempo que cambia su arquitectura institucional. Para empresas que venden en varios mercados, la mejor jugada no es apostar por el mínimo legal de hoy, sino construir controles que sobrevivan al próximo cambio.

Preguntas frecuentes

¿Por qué el vacío del INAI afecta a la IA?

Porque deja más incierto quién supervisa temas de datos, transparencia y acceso a información cuando un sistema automatizado toma decisiones. Eso no elimina las obligaciones de las empresas, pero sí hace más difícil depender de un criterio regulatorio claro y uniforme.

¿Qué se considera un sistema de IA de alto riesgo?

En general, los sistemas que influyen en decisiones sobre crédito, empleo, salud, seguridad, fraude o acceso a servicios. El problema no es solo la automatización, sino el impacto real que puede tener un error o sesgo sobre una persona.

¿Qué debería auditar primero una empresa?

Primero, el inventario de modelos y casos de uso. Después, los datos de entrenamiento, las métricas de error, el comportamiento por segmento de usuarios y los cambios que se hicieron antes de poner el sistema en producción.

¿Sirve usar estándares internacionales aunque México no tenga una ley específica?

Sí, porque te dan una base práctica para gobernanza, documentación y gestión del riesgo. Marcos como NIST AI RMF o ISO/IEC 42001 ayudan a ordenar procesos internos aunque la regulación local todavía esté en transición.

¿Qué pasa si uso un proveedor externo de IA?

Tu riesgo no desaparece. Debes revisar retención de datos, uso de prompts, ubicación del procesamiento, logs, seguridad y si el contrato te permite auditar o al menos pedir evidencia técnica cuando ocurra un incidente.

¿Cómo afecta esto a empresas que operan en varios países de LatAm?

Te obliga a construir una base común de gobernanza para no depender de reglas distintas en cada país. Si tu producto cruza fronteras, conviene diseñar controles que funcionen bajo el estándar más exigente de tu operación regional.

¿Basta con poner revisión humana para cumplir?

No siempre. La revisión humana ayuda, pero solo si la persona tiene contexto, autoridad y tiempo para corregir errores reales. Si el humano solo hace clic para aprobar, el control es más formal que efectivo.

Azirgo

¿Listo para construir tu Producto Digital?

Sitios web, apps móviles, software a medida y soluciones blockchain. Cuéntanos qué tienes en mente y armamos un plan claro contigo.

Cotización clara en 48 horas
Equipo en Ecuador, atención en español
Desde un MVP hasta un producto en producción

Empezar cotización Ver portafolio

O escríbenos a contacto@azirgo.com