Si tu empresa usa inteligencia artificial para clasificar clientes, aprobar créditos o filtrar candidatos sin que un humano revise la decisión, tienes obligaciones legales hoy, no en un futuro hipotético. Las tres principales: usar un plan empresarial con contrato de tratamiento de datos firmado, declarar en tu aviso de privacidad que tomas decisiones automatizadas, y garantizar que esos datos viajen al extranjero con las salvaguardas que exige la ley. No cumplir no es falta menor: en México las multas llegan a varios millones de pesos. Y el detalle que casi nadie ve es que el riesgo no está en la herramienta, sino en cómo la contrataste.
Imagina la escena, repetida en cientos de oficinas. Un gerente abre ChatGPT en su cuenta gratuita, pega la base de clientes con nombres, teléfonos y montos, y pregunta quién recomprará. Tardó cuatro minutos. Y acaba de infringir la ley en tres jurisdicciones a la vez.
México no tiene ley de IA, pero ya tiene cómo multarte
Mucha gente cree que como México no tiene una ley específica de IA, todo es terreno libre. Es exactamente al revés. Si todavía te preguntas qué alcance tiene esto, conviene partir de qué es la inteligencia artificial y cómo opera dentro de una empresa.
El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que entró en vigor al día siguiente y abrogó la ley de 2010. Con ella desapareció el INAI, y sus funciones pasaron a la Secretaría Anticorrupción y Buen Gobierno.
La ley trae un cambio que pega directo a quien usa IA: ahora es obligatorio informar en el aviso de privacidad cuando los datos se usan para decisiones automatizadas o perfiles. Ya no valen las frases vagas tipo “entre otros”. Cada finalidad debe justificarse de forma específica.
¿Y las multas? El rango general va de unos diez mil pesos hasta más de 34 millones. Cuando hay datos sensibles —salud, biometría, origen racial— la sanción puede duplicarse. Por eso la regulación inteligencia artificial México 2026 no es asunto exclusivo del área legal: es un tema de dirección.
¿Por qué da igual si usas ChatGPT, Claude o Gemini?
Aquí mucha gente pierde el punto. Se obsesiona con cuál herramienta es más segura o cuál entrena con tus datos. Hay diferencias entre proveedores, sí. Pero para la ley, eso es secundario.
Lo que importa no es la marca. Es el tipo de cuenta y el contrato detrás. ChatGPT, Claude o Gemini en versión empresarial con contrato de tratamiento firmado son legalmente viables. Esas mismas herramientas en versión gratuita, procesando datos de terceros, son una infracción.
Cada vez que metes datos de un cliente mexicano a cualquiera de ellas, esos datos viajan a servidores en Estados Unidos. Eso es una transferencia internacional, y la ley exige un contrato que garantice el mismo nivel de protección. Por eso da igual el logo: lo que te protege o te hunde es el papel que firmaste.
La regulación inteligencia artificial México 2026 vive dentro de una ley de datos, no de una de IA
Este es el corazón del asunto, y por eso esta columna es de criterio: el patrón se repite siempre.
Cuando una tecnología llega más rápido que la legislación, no aparece un vacío legal. Aparece algo más incómodo: la tecnología cae bajo leyes que no se escribieron pensando en ella, pero que igual aplican. La IA no se regula con una ley de IA en México; se regula con la ley de datos personales. Y esa ley ya existe, ya tiene dientes y ya entró en vigor.
Esperar a que México tenga su “ley de IA” para empezar a cumplir es como esperar una ley de bicicletas eléctricas para dejar de atropellar peatones. La obligación ya está. Solo vive en otro código.
Entender la regulación inteligencia artificial México 2026 desde esta lógica cambia la pregunta. Ya no es “¿qué dice la ley de IA?”, sino “¿qué datos meto, con qué cuenta y bajo qué contrato?”. Esa es la conversación que llevo a los equipos directivos en mis conferencias de inteligencia artificial para empresas, porque ahí se toman las decisiones que evitan la multa.
El plan gratuito es la trampa: lo que cambia entre tu cuenta personal y la empresarial
La diferencia entre un plan personal y uno empresarial no es de precio ni de funciones extra. Es contractual, y de ahí depende casi todo el análisis legal.
Los planes gratuitos suelen reservarse el derecho de usar tus conversaciones para mejorar sus modelos. Los empresariales serios no entrenan con tus datos por defecto e incluyen contrato de tratamiento con las cláusulas que la transferencia internacional exige.
Las diferencias que importan:
- Entrenamiento con tus datos: en personal, posible; en empresarial, no por defecto.
- Contrato de tratamiento: en personal, ausente; en empresarial, incluido.
- Control de retención: en personal, mínimo; en empresarial, configurable.
- Registros de auditoría: en personal, inexistentes; en empresarial, disponibles.
Pegar datos de clientes en una cuenta gratuita viola la lógica de minimización de datos en México, en Europa y en California a la vez. La regla práctica: si vas a usar IA con datos de clientes, hazlo solo con plan empresarial y contrato firmado.
¿Qué tienen que ver España y California con una empresa mexicana?
Más de lo que crees, por dos vías.
La primera es directa: si tienes clientes en Europa o vendes servicios allá, el Reglamento General de Protección de Datos te aplica aunque estés en Guadalajara. En España, la AEPD ya dejó por escrito que usar ChatGPT con datos de clientes puede ser ilegal sin salvaguardas. Y en un giro revelador, en su Memoria 2025 la propia Agencia se declaró incompetente para sancionar a OpenAI, trasladando el caso a la autoridad irlandesa por el mecanismo de ventanilla única. Traducción para directores: la empresa que usa la IA sí responde ante su regulador local, aunque el proveedor se escape por jurisdicción.
La segunda vía es el contagio. Lo que la Unión Europea regula hoy, América Latina lo copia mañana. El Artículo 4 del EU AI Act ya obliga a que el personal que opera sistemas de IA tenga formación documentada, y su supervisión arranca el 2 de agosto de 2026. California, con su normativa de decisiones automatizadas vigente desde enero de 2026, exige avisos previos y derecho a apelar ante un humano. Ese estándar marca el rumbo global, y la regulación inteligencia artificial México 2026 ya se mueve en esa dirección.
Qué debe hacer un director esta semana, no en 2027
Aquí va lo accionable, porque criterio sin acción es solo opinión.
Primero: averigua con qué cuentas usa IA tu equipo ahora mismo. No preguntes si la usan. Asume que sí, y revisa si es gratuita o empresarial.
Segundo: si hay datos de clientes pasando por planes personales, frénalo hoy y migra a un plan empresarial con contrato de tratamiento.
Tercero: actualiza tu aviso de privacidad para declarar el uso de decisiones automatizadas. Cuesta poco y evita mucho.
Cuarto: forma a tu equipo. La alfabetización en IA dejó de ser un lujo para volverse, en varias jurisdicciones, una obligación con fecha. Si quieres profundizar en cómo blindar a tu organización antes de la primera notificación, suscríbete a mi lista de correo sobre innovación, donde desgloso estos temas cada semana sin el ruido habitual.
La regulación inteligencia artificial México 2026 no espera a que tengas tiempo de leerla. Pero entenderla no exige ser abogado: exige saber qué preguntas hacer antes de que alguien en tu equipo pegue la base de clientes en una ventana de chat gratuita.
