México está discutiendo qué lugar quiere ocupar en el mapa global de la inteligencia artificial (IA). Y lo está haciendo a través de una iniciativa que pretende regular la IA como lo que ya es: una infraestructura transversal que incide en decisiones económicas, administrativas, financieras y sociales. El planteamiento es ambicioso y bien alineado con estándares internacionales, al mismo tiempo, enfrenta retos nada menores. Al respecto, la clave no está tanto en el texto, sino en lo que tendría que ocurrir para que ese texto se convierta en realidad.
En el fondo, la iniciativa parte de un diagnóstico incómodo. En México, la IA ya se utiliza de forma intensiva en banca, seguros, comercio electrónico, recursos humanos, seguridad y sector público, pero el marco jurídico aún descansa en leyes pensadas para una era anterior. La protección de datos personales, la legislación de consumo o las normas de telecomunicaciones cubren solo fragmentos del fenómeno.
En este sentido, la iniciativa de ley busca, en esencia, dar respuesta a preguntas fundamentales: quién responde cuando un sistema automatizado discrimina, cómo se impugna una decisión algorítmica, qué significa supervisión humana en la práctica o qué usos de la IA son simplemente incompatibles con un Estado de derecho democrático.
El diseño regulatorio sigue de cerca el modelo europeo. La clasificación de los sistemas de IA en función del riesgo, las prohibiciones absolutas para ciertos usos —como la manipulación cognitiva o la vigilancia masiva sin garantías—, las obligaciones reforzadas para sistemas de alto riesgo y la exigencia de evaluaciones de impacto algorítmico no dejan dudas sobre la inspiración. Sin embargo, reducir la iniciativa mexicana a una copia del AI Act sería un error. El texto va más allá en algunos aspectos, sobre todo al incorporar de manera explícita derechos que en otros países apenas empiezan a discutirse, como los neuroderechos, y al intentar construir desde el inicio un esquema de gobernanza federal que evite la fragmentación regulatoria.
En la comparación internacional, México se sitúa en una posición peculiar. Es más ambicioso que la mayoría de los países latinoamericanos, que han optado por estrategias nacionales, programas de fomento o marcos de soft law, y se acerca al nivel de densidad normativa de la Unión Europea. Al mismo tiempo, se distancia claramente del enfoque estadounidense, basado en directrices voluntarias y una fuerte apuesta por la autorregulación. México quiere ser un mercado grande y regulado, donde la innovación conviva con reglas previsibles, aunque exigentes. Para muchos inversionistas institucionales y empresas globales, esa señal es más atractiva que la incertidumbre normativa.
Ahora bien, entre la ambición regulatoria y la aprobación efectiva de la ley hay un trecho considerable. La iniciativa se ha trabajado en la Comisión de Inteligencia Artificial del Senado, presidida por el senador Rolando Zapata, pero hasta ahora no existe un calendario claro para su llegada al pleno. Mientras el debate político avanza —o se detiene—, las consecuencias para las empresas ya son claras. Independientemente de cuando se apruebe la ley, el estándar regulatorio hacia el que camina México es evidente y está alineado con la tendencia europea. Las organizaciones que hoy utilizan o planean utilizar IA no deberían preguntarse si tendrán que adaptarse, sino cuándo y con qué coste. La experiencia internacional muestra que las empresas que esperan a que la obligación legal sea explícita llegan tarde.
De ahí que la recomendación que venimos repitiendo desde EY en todos los foros es no perder la vigencia: la IA debe desplegarse con mecanismos reales de humanintheloop, no como un eslogan, sino como una arquitectura de control en puntos críticos de decisión. Debe existir un gobierno formal de la IA, con roles claros, políticas internas, inventarios de casos de uso y procesos de evaluación de riesgos y sesgos. Y, sobre todo, debe haber evidencia documentada de que esos controles funcionan. Eso no solo prepara a las empresas para una futura ley; reduce riesgos operativos, reputacionales y regulatorios hoy.
Mientras la regulación formal sigue su curso legislativo, la realidad empresarial ya está ocurriendo —o fallando— dentro de las propias empresas. Y ahí, la capacidad de anticipación es una condición de supervivencia.
En este contexto, el papel del regulador podría ir un paso más allá. Si el objetivo es construir un ecosistema de IA confiable y competitivo, será igualmente importante incentivar la adopción real de prácticas de gobierno dentro de las organizaciones.
La regulación más eficaz no será la que acumule artículos, sino la que logre, de forma colaborativa, que las empresas institucionalicen la forma en que diseñan, despliegan y supervisan la IA.
