Privacidad y compliance de IA empresarial: qué deben saber los CIOs en LatAm

El 21 de marzo de 2025 entró en vigor en México la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que sustituye al marco de 2010 y por primera vez regula de forma explícita la toma de decisiones automatizadas y agénticas, según White & Case. En paralelo, el EU AI Act fija el 2 de agosto de 2026 como fecha de cumplimiento para sistemas de alto riesgo, una fecha que afecta a multinacionales LatAm con operación en Europa. Este artículo organiza lo que un CIO en LatAm debe tener resuelto en los próximos doce meses.

¿Qué cambió en México con la LFPDPPP 2025?

La nueva LFPDPPP introduce tres bloques de obligaciones nuevas con impacto directo sobre proyectos de IA empresarial:

1. Regulación explícita de decisiones automatizadas y agénticas. Cuando una empresa usa algoritmos, sistemas de IA u otros procesos automatizados para tomar decisiones que afectan a individuos, debe entregar aviso obligatorio que incluya la lógica del algoritmo, la significancia del procesamiento y las posibles consecuencias.
2. Derechos reforzados sobre procesamiento automatizado. Las personas tienen derecho a intervención humana, explicación de la decisión automatizada y oposición al procesamiento automatizado que les afecte significativamente.
3. Inclusión expresa de los encargados (data processors) en el alcance de la ley, lo que extiende la obligación a proveedores y subcontratistas, según Exterro.

La autoridad cambió también. El INAI fue disuelto a finales de 2024 tras la reforma constitucional de “simplificación orgánica” y la competencia pasó a la Secretaría Anticorrupción y Buen Gobierno (SABG). Las sanciones se denominan ahora en UMA con un marco escalonado y posibilidad de prosecución criminal en infracciones severas.

¿Qué obligaciones impone el EU AI Act y cuándo?

El EU AI Act entró en vigor en agosto de 2024 con un calendario escalonado. Las fechas críticas que ya pasaron o están próximas, según Trilateral Research:

• 2 de febrero de 2025: prohibiciones de IA de riesgo inaceptable (social scoring, IA manipulativa).
• 2 de agosto de 2025: reglas para modelos de propósito general (GPAI), incluyendo los que presentan riesgo sistémico.
• 2 de agosto de 2026: obligaciones plenas para sistemas de alto riesgo (Anexo III), Artículos 9-17 (proveedores) y Artículo 26 (deployers). Pese a una propuesta de la Comisión Europea en noviembre de 2025 para postergar ciertos plazos a finales de 2027, esa extensión no se ha promulgado y la fecha operativa sigue siendo agosto de 2026.
• 2 de agosto de 2027: reglas más estrictas para IA como componente de seguridad en productos ya regulados.

¿Por qué importa a una empresa LatAm? Por extraterritorialidad: si la organización tiene operación en la UE, comercializa a residentes de la UE, o procesa datos de personas en la UE, las obligaciones aplican aunque la sede esté en México, Colombia o Chile.

¿Cómo interactúan LFPDPPP, GDPR y EU AI Act?

Para una multinacional con operación en LatAm, EE.UU. y Europa, las tres normativas se superponen pero no son idénticas:

• GDPR regula procesamiento de datos personales con base en consentimiento, finalidad, minimización. Aplica a cualquier procesamiento de datos de residentes de la UE.
• EU AI Act regula sistemas de IA por nivel de riesgo (inaceptable, alto, limitado, mínimo), independientemente de si procesan datos personales.
• LFPDPPP combina ambos enfoques: protege datos personales en México y añade obligaciones específicas para decisiones automatizadas y agénticas.

La regla práctica para evitar diseñar tres veces el mismo control: implementar el estándar más estricto aplicable a la operación y documentar las diferencias por jurisdicción.

¿Qué controles concretos debería tener un CIO en LatAm?

Diez controles que el equipo de seguridad y privacidad debería poder demostrar:

1. Inventario de sistemas de IA con clasificación por nivel de riesgo (alineado a EU AI Act Anexo III).
2. DPIAs (Data Protection Impact Assessments) para cada caso de uso que tome decisiones que afecten a personas.
3. Aviso de privacidad actualizado con lenguaje sobre decisiones automatizadas exigido por LFPDPPP.
4. Mecanismo de revisión humana documentado para decisiones de alto impacto.
5. Trazabilidad y logs de cada acción agéntica con retención auditable.
6. Política de no-entrenamiento confirmada por contrato con proveedores LLM.
7. Residencia de datos definida y verificable (qué región de qué cloud).
8. Gestión de proveedores con cláusulas que extiendan obligaciones a encargados (LFPDPPP los incluye explícitamente).
9. Plan de respuesta ante derechos ARCO + nuevos derechos sobre decisiones automatizadas.
10. Programa de evaluación periódica de sesgo, calidad y seguridad de los modelos en producción.

¿Qué tan listo está el mercado?

La cautela en el mercado es real. Una investigación de Harvard Business Review Analytic Services con 603 líderes técnicos encontró que el 31 % cita ciberseguridad y privacidad como su principal preocupación, seguido por calidad de output (23 %), procesos no preparados (22 %) e infraestructura limitada (22 %), según Fortune. Y el 44 % de las organizaciones está priorizando capacitación de empleados en supervisión de agentes IA, mientras 39 % está construyendo guardrails de IA responsable.

Gartner añade una proyección complementaria: más del 40 % de los proyectos de IA agéntica serán cancelados antes de 2027 por costos, valor difuso o controles de riesgo inadecuados, según Gartner. La columna “controles de riesgo inadecuados” es precisamente donde la falta de compliance mata proyectos antes de que entreguen valor.

¿Qué responsabilidad tienen los proveedores LLM?

Los grandes proveedores han avanzado pero no eximen al deployer:

• Anthropic, OpenAI y Google ofrecen planes enterprise con políticas de no-entrenamiento sobre prompts.
• Ofrecen residencia de datos en regiones específicas (Azure, AWS Bedrock, Google Vertex AI).
• Publican model cards y system cards con limitaciones conocidas.

Pero la responsabilidad legal frente al titular del dato sigue siendo del responsable del tratamiento (la empresa que despliega el agente). El contrato con el proveedor no transfiere la obligación frente al regulador mexicano o europeo.

¿Por dónde empezar si no se ha hecho nada?

Tres pasos en los próximos noventa días:

• Inventario. Mapear todos los sistemas de IA en producción y piloto. Sin inventario no hay gobernanza.
• Clasificación. Asignar nivel de riesgo a cada uno según EU AI Act y nivel de afectación a personas según LFPDPPP.
• Plan de remediación priorizado. Atender primero los que tomen decisiones que afecten a clientes o empleados.

Conclusión

El compliance de IA empresarial dejó de ser un tema de un equipo legal en la trastienda. La LFPDPPP 2025, el EU AI Act y la posición creciente de los reguladores LatAm convierten la gobernanza de IA en una condición de continuidad operativa. Los CIOs que la traten como prioridad estratégica en 2026 evitarán ser parte del 40 % de proyectos cancelados.

En EGOS BI integramos diseño técnico y compliance desde el día uno en arquitecturas de analítica y agentes IA para clientes en LatAm. Hablemos sobre tu marco de gobernanza de IA.