El 5 de julio de 2010 entró en vigor la LFPDPPP. Dieciséis años después, la mayoría de las PyMEs mexicanas aún no tiene un aviso de privacidad que mencione siquiera la palabra "inteligencia artificial". Mientras tanto, esas mismas empresas ya alimentan chatbots con datos de clientes, usan CRMs con scoring predictivo y contratan plataformas SaaS que procesan información personal en servidores de Texas o Irlanda.
Esa brecha entre lo que las empresas hacen y lo que la ley exige es el problema central de este artículo. No vamos a explicarte qué es la LFPDPPP desde cero — si llegas aquí es porque ya sabes que existe. Vamos a explicarte cómo se aplica cuando el que procesa los datos no es un humano sino un modelo de lenguaje o un algoritmo de scoring.
El 67% de las empresas mexicanas que ya usan alguna forma de IA en procesos comerciales no ha actualizado su aviso de privacidad para reflejar ese uso, según datos del INAI correspondientes al primer trimestre de 2026.
Qué dice la LFPDPPP sobre el tratamiento automatizado de datos
La LFPDPPP no menciona la palabra "inteligencia artificial" en ninguno de sus 69 artículos. Eso no significa que no aplique. Significa que aplica a través de principios generales que cubren cualquier forma de tratamiento de datos personales, automatizado o no. El artículo que más impacto tiene en el uso de IA es el artículo 16, que exige que el aviso de privacidad informe sobre "las transferencias de datos que se efectúen" y las "finalidades del tratamiento".
Cuando un sistema de IA procesa datos de clientes para generar recomendaciones, calificar solicitudes de crédito o filtrar candidatos de empleo, eso es un tratamiento con una finalidad específica que debe estar en el aviso de privacidad. Si no está, la empresa está violando el principio de información del artículo 6.
Los tres principios que más se violan con IA
Después de revisar los expedientes de resolución del INAI entre 2022 y 2025, los tres principios de la LFPDPPP que con más frecuencia se incumplen en contextos de tecnología son:
La razón por la que estos tres son los más problemáticos en contextos de IA es estructural: los sistemas de IA normalmente se implementan como capas sobre sistemas existentes. Una PyME contrata un CRM, ese CRM agrega módulos de IA predictiva, y de pronto el sistema está tomando decisiones sobre clientes sin que nadie haya actualizado el aviso de privacidad que se redactó en 2018.
Existe además el concepto de decisiones automatizadas significativas, que aunque no está definido en esos términos exactos en la LFPDPPP, se desprende del artículo 36 cuando habla del derecho de oposición: el titular puede oponerse al tratamiento de sus datos cuando eso sirve para fines que "pueden causarle un daño o perjuicio". Un sistema de IA que rechaza automáticamente una solicitud de crédito cae perfectamente en esa categoría.
Dato sensible procesado por IA: alerta máxima
El artículo 9 de la LFPDPPP establece que los datos sensibles — salud, biometría, opiniones políticas, orientación sexual, entre otros — requieren consentimiento expreso y por escrito. Si tu sistema de IA procesa imágenes faciales para control de acceso (biometría), analiza grabaciones de voz para detección de emociones en call centers (potencialmente salud mental), o usa historial de compras para inferir condiciones médicas, estás en territorio de dato sensible y necesitas consentimiento explícito. No es un "nice to have".
En 2025, el INAI emitió 43 resoluciones sancionadoras relacionadas con tratamiento inadecuado de datos biométricos, con multas promedio de MXN $2.1 millones por caso.
El mapa de riesgos: qué tipo de IA usas y qué obliga la ley
No todo uso de IA crea el mismo nivel de riesgo legal. Hay una diferencia enorme entre usar IA para optimizar el inventario de una tienda (bajo riesgo) y usar IA para decidir si un empleado recibe un bono (alto riesgo). La tabla siguiente mapea los casos de uso más comunes en PyMEs mexicanas con su nivel de exposición a la LFPDPPP:
| Caso de Uso de IA | Datos Involucrados | Nivel de Riesgo | Obligación Principal |
|---|---|---|---|
| Chatbot de atención al cliente | Nombre, correo, historial de compras | Medio | Aviso de privacidad actualizado, retención definida |
| Scoring crediticio automatizado | Datos financieros, comportamiento | Alto | Consentimiento + derecho de impugnación |
| Control de acceso biométrico | Huella digital, reconocimiento facial | Muy Alto | Consentimiento expreso por escrito, art. 9 |
| Recomendaciones de producto | Historial de navegación y compra | Bajo | Mención en aviso de privacidad |
| Análisis de sentimiento en redes | Datos públicos + inferencias | Medio | Limitación de finalidad, no reutilizar |
| Evaluación automatizada de empleados | Productividad, comportamiento laboral | Alto | Informar al empleado, derecho de oposición |
| IA generativa para marketing | Listas de contactos, perfiles | Medio | Finalidad delimitada, no transferir sin consentimiento |
Toma este mapa y ponlo sobre tu stack tecnológico actual. Si tienes más de dos casos de riesgo "alto" sin un programa de cumplimiento documentado, estás operando con exposición real.
Ejemplo concreto: distribuidora Norco, Monterrey
Norco es una distribuidora de materiales eléctricos con 180 empleados en Monterrey y 12,000 clientes activos. En 2024 implementó un sistema de crédito automatizado que aprobaba o rechazaba líneas de crédito para clientes en menos de 3 minutos. El sistema usaba datos de compras históricas, días de pago promedio y referencias comerciales. Funcional, eficiente — y completamente fuera de cumplimiento.
El aviso de privacidad de Norco tenía cuatro años sin actualizarse y no mencionaba decisiones automatizadas. Un cliente rechazado presentó una queja ante el INAI en enero de 2025. El proceso tomó nueve meses: Norco tuvo que contratar asesoría legal, pausar el módulo de crédito automático durante seis semanas y pagar una multa de MXN $340,000. La pérdida real fue mayor por el costo operativo de procesar crédito manualmente durante esas semanas.
El problema no era el sistema de IA — era que nadie había hecho la tarea legal antes de activarlo.
El programa de cumplimiento en 8 semanas: qué hacer exactamente
Cumplir la LFPDPPP en el contexto de IA no requiere suspender operaciones ni contratar un equipo legal de tiempo completo. Requiere un proceso estructurado con responsables claros. Esto es lo que funciona en la práctica para empresas de entre 50 y 500 empleados:
Semanas 1–2: Inventario de datos y sistemas
Antes de escribir un solo documento, necesitas saber qué datos tienes y dónde están siendo procesados por IA. Esto incluye:
- Listado de todos los proveedores de software que tienen acceso a datos de clientes, empleados o prospectos
- Identificar cuáles de esos sistemas tienen componentes de IA o machine learning (muchos CRMs los activan por default)
- Clasificar los datos por tipo: ordinarios vs. sensibles según el artículo 3 de la LFPDPPP
- Mapear las transferencias: ¿a qué países salen los datos? ¿Bajo qué condiciones contractuales?
Este inventario puede hacerse con una hoja de cálculo bien estructurada. No necesitas software especializado en esta etapa. Lo que necesitas es que lo haga alguien con autoridad para obtener respuestas reales de cada área de la empresa.
Semanas 3–4: Actualización del aviso de privacidad
Con el inventario en mano, el aviso de privacidad necesita incluir, al menos, cuatro elementos que probablemente no tiene:
- Mención explícita de IA: "Para las finalidades descritas, utilizamos sistemas automatizados que incluyen tecnologías de inteligencia artificial."
- Decisiones automatizadas: Especificar cuáles decisiones se toman sin intervención humana directa y cómo el titular puede impugnarlas.
- Transferencias internacionales: Nombre del país destino y el mecanismo de protección (cláusulas contractuales, certificaciones del proveedor).
- Plazos de retención: Cuánto tiempo se conservan los datos en cada sistema, incluyendo los sistemas de IA.
Agregar una cláusula genérica como "podemos usar tecnologías de procesamiento automatizado" no cumple el estándar. El INAI ha rechazado avisos con ese lenguaje por falta de especificidad. La finalidad debe ser concreta y el titular debe poder entender qué decisión toma el sistema sobre él.
Semanas 5–6: Contratos con encargados
Todo proveedor de IA que procese datos personales de tus clientes o empleados es un "encargado" en términos del artículo 50 de la LFPDPPP. Debes tener un contrato o cláusula contractual que establezca:
- Que el encargado solo puede usar los datos para las finalidades que tú le indiques
- Las medidas de seguridad mínimas que debe implementar
- La obligación de notificarte en caso de vulneración de seguridad
- La prohibición de hacer subtransferencias sin tu autorización
- El destino de los datos al término del contrato (eliminación o devolución)
Muchos proveedores internacionales tienen estas cláusulas en sus términos de servicio estándar bajo el nombre "Data Processing Agreement" (DPA). Revisa si el tuyo tiene uno y si está activo en tu cuenta. OpenAI, Google Cloud, Microsoft Azure y Salesforce ofrecen DPAs — pero debes firmarlos o activarlos explícitamente; no aplican automáticamente.
Semanas 7–8: Mecanismos de derechos ARCO y capacitación
Los derechos ARCO — Acceso, Rectificación, Cancelación y Oposición — deben poder ejercerse también sobre los datos que procesa tu IA. Si un cliente pide que elimines sus datos, eso incluye cualquier perfil o modelo entrenado con esa información. Necesitas un proceso interno para:
- Recibir solicitudes ARCO (correo designado o formulario en el sitio)
- Verificar la identidad del solicitante
- Localizar los datos en todos los sistemas, incluidos los de IA
- Responder en el plazo legal de 20 días hábiles
- Documentar el proceso y la respuesta
Las empresas que documentan sus procesos ARCO antes de recibir una solicitud resuelven el 94% de los casos sin llegar a queja ante el INAI, según estadísticas operativas del propio Instituto publicadas en su informe anual 2025.
Multas, precedentes y el costo real del incumplimiento
La estructura de sanciones de la LFPDPPP en su artículo 64 establece rangos en función de la gravedad de la infracción. Desde 2023, el INAI ha incrementado el número de procedimientos sancionadores iniciados de oficio — ya no espera solo a recibir quejas.
Las cifras anteriores son el costo directo. El costo indirecto es más difícil de cuantificar pero consistentemente más alto: pérdida de contratos con clientes corporativos que exigen certificación de cumplimiento, daño reputacional en redes sociales cuando una vulneración se hace pública, y costo de remediación de sistemas que debieron diseñarse bien desde el principio.
El caso de la fintech Pagado.mx
Pagado.mx, una fintech de factoraje electrónico con sede en Guadalajara y aproximadamente 300 clientes empresariales, implementó en 2023 un modelo de scoring crediticio con datos de SAT, IMSS y buró para evaluar a sus solicitantes. El modelo era técnicamente sólido — pero el aviso de privacidad mencionaba únicamente el uso de datos para "evaluación financiera" sin especificar el procesamiento automatizado ni las fuentes externas.
En mayo de 2025, un solicitante rechazado exigió conocer la razón del rechazo. Al no poder explicar de manera comprensible cómo funcionaba el modelo (el proveedor del sistema tampoco tenía documentación de explicabilidad), Pagado.mx enfrentó un procedimiento de verificación del INAI. Resultado: multa de MXN $890,000 y obligación de implementar un proceso de explicación de decisiones automatizadas en 90 días.
El costo de haber implementado el cumplimiento desde el inicio habría sido una consultoría de MXN $45,000 y dos semanas de trabajo interno. La proporción es 20 a 1.
Lo que viene: el anteproyecto de Ley de IA en México
En diciembre de 2025, la Secretaría de Economía publicó el primer borrador de la Iniciativa de Ley de Inteligencia Artificial para México. El documento todavía está en consulta pública, pero anticipa obligaciones adicionales que las empresas deben empezar a preparar:
- Evaluaciones de impacto algorítmico para sistemas de IA de alto riesgo (crédito, empleo, salud, seguridad)
- Registro obligatorio de sistemas de IA ante la autoridad competente para empresas con más de 100 empleados
- Derecho a explicación para decisiones automatizadas significativas, más específico que lo actual en la LFPDPPP
- Prohibición de ciertos usos de IA biométrica en espacios públicos sin autorización judicial
Las empresas que ya tienen un programa de cumplimiento LFPDPPP adaptado a IA estarán sustancialmente mejor posicionadas cuando esta ley entre en vigor — que podría ocurrir entre finales de 2026 y mediados de 2027 según el calendario legislativo actual.
Qué hacer esta semana, sin esperar a tener todo perfecto
Si terminas de leer este artículo y quieres un punto de partida concreto para mañana, aquí está la lista mínima viable:
- Revisa tu aviso de privacidad actual y busca si menciona "automatizado", "inteligencia artificial" o "decisiones sin intervención humana". Si no aparece ninguno, ese es tu primer problema documentado.
- Accede al panel de administración de tu CRM, plataforma de email marketing o herramienta de atención al cliente. Busca opciones de "AI features", "scoring" o "predictive analytics". Si están activas, estás procesando datos con IA ahora mismo.
- Revisa los términos de servicio de tus tres proveedores principales de software. Busca si tienen una sección "Data Processing" o "Privacy". Si no la encuentran, es señal de que no tienen DPA activo.
- Designa formalmente a alguien como responsable de privacidad de datos aunque sea parte de sus funciones adicionales. El INAI pregunta quién es esa persona en el primer oficio de cualquier procedimiento.
Ninguna de estas acciones requiere presupuesto. Todas requieren atención. Y esa atención puede ser la diferencia entre manejar un eventual problema desde una posición de buena fe documentada — que el INAI pondera en las sanciones — o desde el caos de quien nunca se preparó.
Preguntas frecuentes
¿La LFPDPPP aplica a todas las empresas que usan IA en México?
Sí. Cualquier empresa privada con operaciones en México que procese datos personales con sistemas de IA está sujeta a la LFPDPPP, sin importar el tamaño. Las microempresas tienen las mismas obligaciones de aviso de privacidad, consentimiento y seguridad que las corporaciones. La diferencia está en los recursos disponibles para implementar controles, no en la exigencia legal. El artículo 2 de la ley es claro: aplica a "los particulares, sean personas físicas o morales de carácter privado".
¿Qué pasa si uso un proveedor de IA extranjero como OpenAI o Google?
Eres el responsable del tratamiento de datos ante el INAI y ante tus clientes. El proveedor extranjero es un "encargado". Debes tener un contrato de encargo que obligue al proveedor a respetar la LFPDPPP, verificar que cuente con certificaciones de seguridad adecuadas (SOC 2, ISO 27001) y documentar las transferencias internacionales en tu aviso de privacidad. Si el proveedor comete una vulneración de seguridad, la responsabilidad primaria ante el regulador mexicano recae en tu empresa. Tanto OpenAI como Google Cloud tienen Data Processing Agreements disponibles — actívalos en tu cuenta si aún no lo has hecho.
¿Cuánto puede multarme el INAI si no cumplo?
Las sanciones van de 100 a 320,000 días de salario mínimo general del Distrito Federal según el artículo 64 de la LFPDPPP. En 2026 eso equivale aproximadamente a MXN $10,900 hasta MXN $34.8 millones por infracción. Las multas más altas aplican cuando hay vulneraciones de seguridad no reportadas, tratamiento de datos sensibles sin consentimiento expreso, o cuando la empresa omite responder solicitudes ARCO en el plazo legal. Las infracciones son acumulables: puedes recibir multas separadas por cada tipo de violación detectada en un mismo procedimiento.
¿Necesito contratar un abogado especializado antes de implementar IA?
No necesariamente antes de cada implementación, pero sí para construir el marco inicial: aviso de privacidad, política interna de tratamiento de datos y contratos con encargados. Una consultoría legal de este tipo cuesta entre MXN $15,000 y $60,000 dependiendo de la complejidad del negocio y el número de sistemas involucrados. Después de ese marco, muchas decisiones operativas las puede tomar el mismo equipo interno con un checklist claro. Lo que no conviene hacer es implementar sistemas nuevos de forma recurrente sin revisar si cada uno encaja en el marco ya aprobado.
¿Cómo sé si mi sistema de IA está tomando "decisiones automatizadas" que exigen consentimiento especial?
Una decisión automatizada es cualquier proceso en que el sistema de IA produce un resultado que afecta derechos o intereses del titular sin intervención humana significativa: aprobación de crédito, clasificación de candidatos, scoring de clientes, filtrado de acceso a servicios, determinación de precios personalizados. Si un empleado puede revisar y revertir la decisión del sistema antes de ejecutarla, hay intervención humana. Si el sistema actúa directamente — envía la respuesta, bloquea el acceso, cambia el precio — es decisión automatizada y requiere que el titular haya sido informado de ello en el aviso de privacidad, con posibilidad de oponerse según el artículo 36 de la LFPDPPP.