En 2023, un solicitante de crédito en la Ciudad de México fue rechazado por un sistema automatizado de una fintech. Nadie le explicó por qué. No había un humano al teléfono, no había un formulario de apelación, no había una ley que obligara a la empresa a justificar la decisión. El solicitante simplemente recibió un "no" digital y no tuvo a dónde recurrir.
Ese momento resume perfectamente el estado actual de la inteligencia artificial en México: una tecnología que avanza muy rápido y un marco legal que apenas comienza a ponerse al corriente.
Lo que México tiene hoy: un vacío con señales de cambio
México no tiene todavía una ley específica para regular la inteligencia artificial. Eso no significa que exista un vacío total, pero sí significa que las reglas actuales fueron escritas antes de que la IA existiera como la conocemos hoy.
Hoy, la IA en México está cubierta de forma parcial por leyes que no fueron diseñadas para ella. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) obliga a las empresas a proteger los datos que recopilan. Como la IA necesita datos para funcionar, esta ley aplica indirectamente. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el organismo que la hace cumplir.
También existe la Ley Federal del Trabajo, que protege a los empleados cuando decisiones laborales —como despidos o evaluaciones de desempeño— son tomadas por sistemas automatizados. Y las normas de la Comisión Nacional Bancaria y de Valores (CNBV) regulan el uso de IA en servicios financieros, aunque sin mencionar la tecnología por nombre.
En números concretos: según el INAI, entre 2020 y 2023 se presentaron más de 1,200 quejas relacionadas con decisiones automatizadas que afectaron datos personales. Sin embargo, menos del 15% de esos casos resultaron en una sanción clara para la empresa involucrada. La ley existe, pero su alcance es limitado.
La propuesta que México está construyendo
Desde 2021, México tiene una Estrategia Nacional de Inteligencia Artificial. Es un documento elaborado por la Secretaría de Economía junto con organismos académicos como el CONACYT (hoy CONAHCYT). El objetivo es que México aproveche la IA para crecer económicamente, pero también que lo haga con responsabilidad.
La estrategia identifica tres prioridades: primero, desarrollar talento humano en tecnología; segundo, fomentar que empresas mexicanas adopten IA de forma ética; tercero, construir un marco regulatorio moderno. Ese tercer punto es el que más lentamente avanza.
En el Congreso de la Unión se han presentado varias iniciativas de ley sobre IA. Ninguna ha sido aprobada hasta ahora. Pero el debate es cada vez más activo. Diputadas y diputados de distintos partidos han propuesto que cualquier sistema de IA usado por el gobierno federal deba ser auditado públicamente. Eso sería un paso importante.
Mientras tanto, México observa con mucha atención lo que hace la Unión Europea. En 2024, la Ley de Inteligencia Artificial de la UE se convirtió en la primera regulación integral de IA en el mundo. Clasifica los sistemas de IA según su nivel de riesgo: desde aplicaciones de bajo riesgo (como un filtro de spam) hasta sistemas de alto riesgo (como decisiones de crédito o contratación laboral). México no está obligado a seguirla, pero muchas empresas mexicanas que operan con Europa —como FEMSA o Grupo Bimbo— ya empiezan a adaptar sus procesos.
Qué responsabilidades tienen las empresas hoy
Aunque la ley específica no existe, las empresas mexicanas que usan IA ya tienen obligaciones concretas. Y no cumplirlas tiene consecuencias.
Si una empresa como Liverpool usa IA para personalizar recomendaciones de productos, debe cumplir con la LFPDPPP: informar a sus usuarios qué datos recopila, para qué los usa y cómo puede el usuario solicitar que sean eliminados. Si no lo hace, el INAI puede imponer multas de hasta $20,000,000 (veinte millones de pesos).
Si una empresa de recursos humanos usa IA para filtrar currículos —algo cada vez más común en México— y ese sistema discrimina por género, edad o lugar de origen, puede enfrentar denuncias ante la Comisión Nacional de los Derechos Humanos (CNDH) o ante el INAI. La discriminación algorítmica no es más legal que la discriminación humana.
Además, empresas que cotizan en la Bolsa Mexicana de Valores (BMV) están siendo presionadas por inversionistas para reportar sus riesgos tecnológicos, incluyendo los relacionados con IA. Eso convierte la regulación en un tema financiero, no solo legal.
Qué responsabilidades tienes tú como usuario
Aquí está la parte que pocas personas discuten: los usuarios también tienen un papel activo.
Primero, tienes derechos. Bajo la LFPDPPP, puedes ejercer los llamados derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Si una empresa usa tus datos para entrenar una IA y tú no quieres que lo haga, puedes pedir que los elimine. Para hacerlo, busca la sección de privacidad en los sitios que usas —Mercado Libre, por ejemplo, tiene un formulario oficial para estos casos— y sigue el proceso.
Segundo, tienes la responsabilidad de leer (al menos en parte) los avisos de privacidad. Sí, son largos y aburridos. Pero cuando aceptas uno sin leerlo, estás cediendo derechos sobre tus datos. En México, el 78% de los usuarios de apps acepta los términos sin leer nada, según datos de la empresa de ciberseguridad ESET. Eso significa que la mayoría de las personas no sabe qué información comparte ni cómo se usa.
Tercero, si una IA toma una decisión que te afecta directamente —un rechazo de crédito, una negativa de seguro, una penalización laboral— tienes derecho a pedir explicación. Si la empresa no te la da, puedes presentar una queja ante el INAI. No siempre ganará, pero el registro de quejas es la forma en que el sistema aprende que hay un problema real.
El caso que regresó
Volvamos al solicitante de crédito del principio. Lo que vivió tiene nombre: se llama decisión automatizada sin derecho de apelación. Es exactamente el tipo de práctica que la regulación emergente busca prohibir.
En países con regulación más avanzada —como los de la Unión Europea— ese sistema de crédito estaría obligado a explicar su decisión en términos comprensibles. También tendría que ofrecer una vía para que un humano revisara el caso. Y si el sistema discriminara sistemáticamente a ciertos grupos, la empresa podría enfrentar una multa de hasta el 3% de su facturación global anual.
México no está ahí todavía. Pero el camino está trazado. Cada queja presentada ante el INAI, cada propuesta debatida en el Congreso y cada empresa que decide adoptar estándares éticos voluntariamente acerca ese futuro.
La regulación de la IA no es solo un asunto de abogados y legisladores. Es una decisión colectiva sobre qué tipo de tecnología queremos que nos gobierne. Y esa decisión, en México, todavía está abierta.
Lo que sí es claro hoy: la ausencia de ley específica no significa ausencia de responsabilidad. Las empresas que usan IA ya responden ante leyes existentes. Y los usuarios que conocen sus derechos tienen herramientas reales para exigirlos.