Índice
En esta materia, en 2026 las empresas pasan de la teoría a la práctica.A diferencia de lo que a veces se piensa, la normativa de protección de datos no desaparece ni queda sustituida por otra regulación frente a la IA. De hecho, podría decirse que se aplica más que nunca.
En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RGPD) establece principios y obligaciones que siguen siendo plenamente relevantes cuando una empresa utiliza sistemas de inteligencia artificial. Finalidad, proporcionalidad, información al titular, seguridad y ejercicio de derechos siguen siendo puntos centrales cuando se tratan datos personales mediante modelos de IA.
En la práctica, esto plantea tensiones muy concretas:
- ¿Se puede entrenar un modelo con datos recogidos online?
- ¿Cómo informar a personas cuyos datos se han utilizado de forma indirecta?
- ¿Es posible eliminar un dato de un modelo que ya ha sido entrenado?
- ¿El uso de herramientas de IA generativa puede exponer información confidencial o propiedad intelectual?
Estas preguntas ya no afectan únicamente a los desarrolladores de soluciones de IA, sino a todas las empresas que utilizan estas tecnologías.
En las líneas siguientes, intentaremos ofrecer una lectura clara de los principios aplicables en México sobre IA y protección de datos, traduciendo estos puntos en retos concretos para las empresas.
Protección de datos e IA: los principios fundamentales que se aplican
Uno de los primeros reflejos suele ser pensar que la inteligencia artificial exige un marco jurídico completamente nuevo.
En realidad, la situación es más matizada: aunque el RGPD es el marco europeo de referencia, en México la protección de datos personales ya cuenta con principios plenamente aplicables a los sistemas de IA, especialmente a través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares [1].
Dicho de otro modo, la IA no crea un vacío jurídico. Más bien pone bajo presión normas ya existentes.
El principio de finalidad
El primer punto que hay que tener en cuenta es que una IA no puede entrenarse ni utilizarse sin un objetivo claro.
La normativa de protección de datos exige que los datos personales se traten para finalidades determinadas, legítimas y claramente informadas al titular. En la práctica, esto significa que un modelo no puede alimentarse con datos “por si acaso” o para usos futuros indeterminados [2].
Esta exigencia sigue siendo plenamente válida para los sistemas de IA, incluso en fases de investigación, prueba o experimentación.
La proporcionalidad de los datos: entrenar, sí… pero no recopilarlo todo
Segundo principio clave: la proporcionalidad. Un modelo de IA puede necesitar grandes volúmenes de datos. Pero eso no justifica una recopilación indiscriminada.
Las empresas deben ser capaces de demostrar que:
- los datos utilizados son pertinentes,
- se limitan a lo necesario para la finalidad perseguida,
- su volumen está justificado por el objetivo del tratamiento.
Este punto resulta especialmente sensible en casos de web scraping o de reutilización de bases de datos existentes.
La información al titular: un reto importante para la IA
La información al titular constituye probablemente uno de los puntos más complejos. La normativa mexicana de protección de datos exige informar a las personas sobre el uso de sus datos personales, normalmente a través del aviso de privacidad.
Sin embargo, en el caso de la IA, especialmente cuando los datos se recogen de forma indirecta, esta obligación resulta más difícil de aplicar.
Los derechos de las personas: un principio sometido a limitaciones técnicas
Acceso, rectificación, cancelación y oposición. Los llamados derechos ARCO siguen siendo aplicables cuando una empresa utiliza sistemas de IA. Pero su aplicación se vuelve más compleja una vez que el modelo ya ha sido entrenado.
En un entorno tradicional, puede ser relativamente sencillo localizar, modificar o eliminar un dato dentro de una base. En un modelo de IA, en cambio, aislar una información concreta puede resultar mucho más difícil desde el punto de vista técnico.
Un principio clave de fondo: la responsabilidad
Más allá de estas reglas, domina un principio esencial: la responsabilidad de la empresa que trata los datos.
Corresponde a la organización demostrar:
- la conformidad de su sistema,
- la legitimidad de sus tratamientos,
- la proporcionalidad de sus decisiones técnicas,
- la existencia de medidas de seguridad adecuadas.
La IA no desplaza esta responsabilidad. Simplemente la vuelve más exigente.
Las particularidades del tratamiento de datos en la IA
Sobre el papel, los principios de protección de datos son claros. En un sistema de IA, se vuelven más difíciles de aplicar, no por falta de voluntad, sino por limitaciones técnicas muy reales.
Para los CIO, el tema cambia rápidamente de dimensión: el reto ya no es solo cumplir con la normativa, sino comprobar hasta qué punto la conformidad es técnicamente viable.
Muchos datos… pero una trazabilidad incierta
Un sistema de IA rara vez se alimenta de una única fuente. Agrega datos internos, bases existentes y, a veces, contenidos accesibles online. Poco a poco, estos flujos se mezclan, se enriquecen y se transforman.
El problema no es tanto el volumen como la pérdida de visibilidad. A medida que el modelo se construye, resulta más difícil rastrear con precisión el origen de los datos o identificar si una información personal está presente en él. Sin embargo, en México, los principios de información, responsabilidad, proporcionalidad y seguridad siguen exigiendo que las empresas puedan justificar cómo utilizan los datos personales, incluso en entornos técnicos complejos.
👉 Dicho de otro modo, cuanto más potente es el sistema, mayor es la exigencia de documentación.
Informar… sin poder identificar siempre
Como se ha señalado antes, uno de los puntos de fricción más concretos tiene que ver con la información a las personas.
En un modelo clásico, informar a un usuario resulta relativamente sencillo. En un sistema de IA entrenado con datos recogidos de forma indirecta, el ejercicio se vuelve mucho más delicado.
En la práctica, esto obliga a las empresas a replantearse cómo documentan y explican sus tratamientos, a veces mucho más allá de los estándares habituales.
Una vez entrenado el modelo, el control se reduce
Probablemente sea el punto más sensible desde el punto de vista operativo.
Mientras los datos están en una base clásica, los derechos del RGPD siguen siendo relativamente fáciles de gestionar. Pero una vez integrados en un modelo de IA, la naturaleza del problema cambia.
Modificar, suprimir o aislar un dato se vuelve mucho más complejo. En algunos casos, puede requerir volver a entrenar el modelo. En otros, es necesario establecer mecanismos indirectos, como el filtrado de respuestas.
Anticipar en lugar de corregir
Insistimos en ello, pero en este contexto la conclusión se impone rápidamente: corregir a posteriori se vuelve difícil, a veces incluso imposible.
Precisamente por eso, el cumplimiento en materia de protección de datos debe pensarse desde el diseño. La conformidad ya no puede añadirse al final del proyecto. Debe integrarse desde la concepción del sistema.
Esto implica anticipar los usos, los riesgos, los mecanismos de identificación y las modalidades de ejercicio de derechos. No para marcar una casilla regulatoria, sino para evitar acabar en un callejón sin salida técnico unos meses después.
Un equilibrio que debe construirse de forma permanente
En el fondo, la inteligencia artificial introduce una tensión estructural. Por un lado, el rendimiento de los modelos se apoya en la cantidad y la diversidad de los datos. Por otro, el RGPD exige limitar, enmarcar y justificar.
No se trata de elegir entre ambas dimensiones, sino de construir un equilibrio. Y ese equilibrio nunca queda fijado de una vez para siempre: depende del caso de uso, de los riesgos y de los arbitrajes técnicos.
Recomendaciones en materia de protección de datos e IA
Te proponemos una lectura operativa de los principios aplicables en México en la siguiente tabla.
| Recomendación | Qué significa realmente | Ejemplo concreto en empresa |
|---|---|---|
| Definir una base clara para el tratamiento | Debes justificar por qué utilizas datos personales en tu sistema de IA: consentimiento, relación contractual, interés legítimo u otra base aplicable. | Despliegas una herramienta de IA para analizar conversaciones con clientes → documentas con precisión el objetivo: mejora del soporte, no reutilización comercial sin informar al titular. |
| Informar a las personas, incluso de forma indirecta | Aunque no recojas los datos directamente, debes explicar cómo se utilizan, normalmente mediante un aviso de privacidad claro y accesible. | Entrenas un modelo con datos procedentes de fuentes online → publicas una página específica que explica las fuentes utilizadas, las finalidades y el tratamiento realizado. |
| Adaptar el nivel de transparencia | Cuanto mayor sea el riesgo para los titulares, más precisa debe ser la información proporcionada. | Un modelo interno de RR. HH. → información detallada; un modelo basado en datos públicos → información más general, pero accesible y comprensible. |
| Anticipar el ejercicio de derechos ARCO | Acceso, rectificación, cancelación y oposición deben poder ejercerse también cuando intervienen sistemas de IA. | Defines un proceso para tratar una solicitud de cancelación u oposición antes o después del entrenamiento del modelo. |
| No escudarse en la complejidad técnica | “No se puede” no debería ser una respuesta aceptable sin una justificación documentada y medidas alternativas. | Tu modelo no permite aislar un dato concreto → documentas el motivo y aplicas medidas compensatorias, como limitaciones de uso o filtros de salida. |
| Implementar soluciones técnicas adaptadas | El reentrenamiento, el filtrado, la anonimización o la pseudonimización deben contemplarse según el caso. | Un dato sensible aparece en una respuesta de IA → implementas un filtrado en la salida en lugar de reentrenar inmediatamente el modelo. |
| Documentar todo el proceso | La conformidad debe poder demostrarse en cualquier momento. | Conservas documentación completa sobre fuentes, finalidades, decisiones técnicas, medidas de seguridad, arbitrajes y limitaciones. |
| Prever un plazo antes del entrenamiento como buena práctica | Conviene dejar un margen para que las personas puedan ejercer sus derechos o manifestar oposición cuando sea aplicable. | Antes de entrenar un modelo con una base de clientes, habilitas una ventana para que los titulares puedan ejercer sus derechos ARCO. |
| Comunicar las actualizaciones | Informar sobre la gestión de solicitudes refuerza la transparencia y la confianza. | Indicas en tu documentación que determinados datos han sido eliminados, bloqueados o excluidos tras solicitudes de titulares. |
Entre IA y RGPD, la cuestión es más bien un arbitraje de gobernanza
El debate en torno a la IA y el RGPD suele plantearse de forma equivocada. No se trata solo de saber si tu empresa cumple la normativa, sino de saber si controla realmente sus usos de la IA.
Detrás de principios como la transparencia, la minimización de datos o los derechos de las personas, en realidad aparece un tema más amplio: la gobernanza de datos y la capacidad de gestionar sistemas complejos.
La IA ha introducido una ruptura. Diluye el control, complica la trazabilidad y hace que algunas decisiones en esta materia sean difícilmente reversibles.
En este contexto, la normativa de protección de datos actúa como un marco de disciplina. Obliga a estructurar, documentar y tomar decisiones claras sobre el uso de los datos personales.
Los principios aplicables en México avanzan en este sentido: no frenan la innovación. Más bien ayudan a filtrar los usos que no están realmente controlados.
Para las empresas, la línea divisoria queda clara:
- las que experimentan sin marco acumulan una deuda jurídica y técnica,
- las que integran estas limitaciones desde el diseño construyen una ventaja duradera.
En Ringover, los retos relacionados con la IA y la gobernanza de datos están integrados desde hace varios años en nuestro enfoque de producto y regulatorio. Si te estás planteando integrar la IA en tus herramientas de comunicación y quieres entender sus implicaciones en materia de datos, nuestros expertos pueden ayudarte a aclarar tus decisiones y estructurar tu enfoque.
FAQs sobre IA y protección de datos
¿Qué ley regula la protección de datos personales en México?
En México, la protección de datos personales en el sector privado se rige principalmente por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares [4].
Esta normativa establece obligaciones para las empresas que recogen, tratan o utilizan datos personales. Entre otros aspectos, exige:
- definir finalidades claras para el uso de los datos,
- informar a los titulares mediante un aviso de privacidad,
- limitar el tratamiento a lo necesario,
- garantizar la seguridad de la información,
- y permitir que las personas ejerzan sus derechos ARCO: acceso, rectificación, cancelación y oposición.
¿Cuáles son los riesgos que plantea la IA?
Los riesgos no son únicamente técnicos. También son jurídicos y estratégicos.
La IA introduce, en particular:
- una pérdida de trazabilidad sobre los datos utilizados,
- un riesgo de uso no controlado de los datos, especialmente para el entrenamiento de modelos,
- dificultades para respetar los derechos de los titulares una vez que los modelos ya han sido entrenados,
- un riesgo de fuga, exposición o reutilización de datos sensibles.
¿Cómo puede una IA cumplir con la normativa de protección de datos?
Una IA conforme con la normativa de protección de datos depende menos de la tecnología que de la metodología. En la práctica, esto implica:
- definir un objetivo claro para el tratamiento,
- limitar los datos utilizados,
- informar adecuadamente a las personas afectadas,
- prever mecanismos para que puedan ejercer sus derechos ARCO,
- documentar las decisiones técnicas, jurídicas y de seguridad.
Conviene recordarlo una vez más: la conformidad no se corrige a posteriori. Se construye desde el diseño, integrando la protección de datos desde la concepción del sistema.
¿ChatGPT cumple con la protección de datos?
La pregunta está mal planteada. Una herramienta como ChatGPT no es “conforme” o “no conforme” por sí misma. Todo depende de cómo se utilice.
Los puntos de vigilancia tienen que ver con:
- los datos introducidos en la herramienta,
- su posible reutilización para entrenar modelos,
- la localización y jurisdicción del proveedor,
- las garantías contractuales,
- las medidas internas de seguridad y control.
Una empresa puede utilizar ChatGPT de forma responsable y conforme… o exponerse a riesgos si el uso no está correctamente enmarcado.
¿Qué IA cumplen con la normativa de protección de datos?
Ninguna IA cumple con la normativa de protección de datos “por naturaleza”. En cambio, algunas soluciones facilitan la conformidad:
- control sobre el alojamiento de los datos,
- ausencia de reutilización de datos de clientes,
- transparencia sobre los tratamientos,
- medidas de seguridad documentadas,
- opciones de administración, auditoría y control de accesos.
El criterio clave sigue siendo siempre el mismo: el nivel de control que conservas sobre tus datos.
¿La normativa de protección de datos regula la IA?
Sí, de forma indirecta. La normativa mexicana de protección de datos no se dirige específicamente a la IA, pero se aplica a cualquier tratamiento de datos personales, incluidos aquellos realizados mediante sistemas de inteligencia artificial.
En paralelo, marcos internacionales como el RGPD europeo o el AI Act sirven como referencias útiles para entender cómo evolucionan las obligaciones en materia de IA, riesgo, transparencia y gobernanza. Sin embargo, para una empresa que opera en México, la base sigue siendo la normativa mexicana aplicable al tratamiento de datos personales.
¿Qué ocurre con las decisiones automatizadas en IA?
Las decisiones automatizadas son uno de los puntos más sensibles cuando se combinan IA y protección de datos. Aunque el marco mexicano no reproduce exactamente el artículo 22 del RGPD, las empresas deben prestar especial atención cuando un sistema automatizado pueda afectar de forma significativa a una persona.
Esto puede ocurrir, por ejemplo, en:
- una denegación automatizada de un crédito,
- un filtrado automático de candidaturas para un puesto,
- una decisión de RRHH basada únicamente en un algoritmo,
- una segmentación comercial que limite el acceso a determinadas ofertas o servicios.
En estos casos, resulta clave documentar el funcionamiento del sistema, limitar los sesgos, prever intervención humana cuando sea necesario y garantizar que las personas puedan ejercer sus derechos.
Referencias
- [1] https://www.globalstd.com/pdf/rgpd-futuro-mexico.pdf
- [2] https://www.gob.mx/sspc/documentos/procedimiento-ejercicio-de-derechos-arco-2025
- [3] https://www.gob.mx/cms/uploads/attachment/file/875638/Guia_para_ejercer_derechos_ARCO.pdf?utm_source=chatgpt.com
- [4] https://www.gob.mx/conafe/documentos/ley-general-de-proteccion-de-datos-personales-en-posesion-de-sujetos-obligados-289438
Publicado el 23 Junio 2026.