IA y Protección de Datos en México: LFPDPPP, INAI y el futuro regulatorio

Puntos clave

• La LFPDPPP aplica plenamente a los sistemas de IA que procesan datos personales de ciudadanos mexicanos — incluyendo decisiones automatizadas en crédito, empleo, seguros y servicios.
• El INAI ha emitido criterios y recomendaciones específicas sobre el uso de IA en el tratamiento de datos personales, especialmente en el sector financiero y de telecomunicaciones.
• México está desarrollando una Estrategia Nacional de IA — el marco regulatorio específico para IA está en construcción pero aún no existe una ley dedicada.
• Las empresas con presencia en México y exportaciones a la UE deben cumplir simultáneamente con la LFPDPPP y potencialmente con la Ley de IA de la UE.
• La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) ha abordado específicamente el uso de IA en crédito y servicios financieros.

El marco actual: LFPDPPP e IA

México regula el uso de IA que procesa datos personales principalmente a través de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), vigente desde 2010. Esta ley, aunque anterior al auge de la IA, aplica plenamente a los sistemas de inteligencia artificial que tratan datos de personas físicas identificables o identificadas.

El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad de control. Ha emitido criterios y guías interpretativas que aclaran cómo aplica la LFPDPPP a contextos de IA, especialmente en lo relativo a decisiones automatizadas, profilado y transferencia de datos a sistemas de IA en la nube.

Decisiones automatizadas: lo que la LFPDPPP exige

La LFPDPPP exige que el aviso de privacidad informe sobre el uso automatizado de datos personales para tomar decisiones que afecten significativamente a los titulares. En el contexto IA, esto incluye los modelos de scoring crediticio, los sistemas de selección de personal, los algoritmos de precios dinámicos en seguros, y los sistemas de detección de fraude. Los titulares de datos tienen derecho de acceso, rectificación, cancelación y oposición (derechos ARCO) — incluyendo el derecho a oponerse a decisiones basadas únicamente en tratamiento automatizado.