Hay un mito peligroso circulando entre las empresas mexicanas: “como no hay ley de IA, puedo usarla como quiera”. Es falso, y puede salir caro. México todavía no tiene una ley federal específica de inteligencia artificial —el Senado la está cocinando—, pero el uso de IA ya cae bajo un marco de cumplimiento muy real: la CNBV en lo financiero, el SAT en lo fiscal y un mapa de protección de datos que cambió de raíz en 2025. Esta guía te ordena qué cuidar hoy para usar IA sin meterte en problemas.
A mediados de 2026, México no tiene una ley federal de IA vigente, pero el Senado está en la etapa más avanzada hasta ahora para construir la primera. Mientras tanto, usar IA en una empresa ya está regulado de hecho por normas existentes: protección de datos personales, disposiciones de la CNBV para el sector financiero, requisitos del SAT en lo fiscal y responsabilidad civil.
La jugada correcta es armar una gobernanza mínima de IA que se adelante a la ley: inventariar los usos, clasificarlos por riesgo, definir dónde valida un humano, cuidar los datos personales (más aún tras la desaparición del INAI) y, si estás en un sector regulado, alinear el uso a la autoridad que corresponda. Casi todo lo que la ley que viene anticipa ya es buena práctica hoy.
Soy consultor de IA certificado por Anthropic y acompaño a empresas de México y la región a implementar IA que sirva al negocio y quede prolija ante el cumplimiento. Vamos por las cuatro piezas que hoy definen las reglas del juego en México.
La primera ley de IA de México: qué propone
México discute su marco de IA en medio de lo que varios analistas llaman un vacío institucional: mucha ambición regulatoria y dudas sobre la capacidad de hacerla cumplir. La iniciativa que avanza en el Senado propone crear una estructura completa:
- Una autoridad nacional encargada de supervisar la IA.
- Un sistema de certificación y un registro obligatorio de los sistemas considerados de alto riesgo.
- Una estrategia nacional con financiamiento público y un Consejo Mexicano de Ética para la IA y la Robótica, con foco en salud, industria y educación.
- Prohibiciones concretas: deepfakes dañinos, manipulación política mediante sistemas automatizados y perfilamiento que vulnere derechos fundamentales.
CNBV: la IA en bancos, fintech y el sector financiero
Si tu empresa está en el sector financiero, la ley de IA no es tu única preocupación: la Comisión Nacional Bancaria y de Valores (CNBV) ya te supervisa. Un banco o una fintech que use IA —para scoring de crédito, prevención de fraude, atención o análisis de riesgo— debe alinear ese uso a las disposiciones de la CNBV sobre gestión de riesgos, control interno y protección al usuario.
La regla de oro es la misma que aparece en toda regulación moderna de IA: la IA puede apoyar la decisión, pero la entidad sigue siendo responsable. Tenés que poder explicar cómo decide el sistema y mantener supervisión humana sobre lo que afecta a los clientes. Un modelo que rechaza créditos sin que nadie pueda explicar por qué es un problema regulatorio, no una eficiencia.
SAT: usar IA en facturación y contabilidad sin riesgos
La IA es una gran aliada para lo fiscal: puede automatizar la emisión y validación de CFDI, conciliaciones, preparación de reportes y detección de inconsistencias. Pero hay una línea que no se cruza: el responsable último ante el Servicio de Administración Tributaria (SAT) sigue siendo el contribuyente, no el software.
En criollo: usá la IA para reducir errores y ganar tiempo, pero que una persona valide antes de timbrar un comprobante o presentar una declaración. Delegar a ciegas una obligación fiscal —que tiene consecuencias legales— es exactamente el tipo de uso que conviene mantener con control humano. La IA ordena y acelera; la firma sigue siendo tuya.
Protección de datos: qué cambió tras la caída del INAI
Acá está el cambio que muchas empresas todavía no registraron. Tras la disolución del INAI en mayo de 2025, la supervisión en materia de protección de datos pasó a la Secretaría de Anticorrupción y Buen Gobierno. Cambió la autoridad, pero no se relajó la exigencia de fondo: quien usa IA con datos personales debe tener políticas internas de tratamiento (incluida la eliminación) y hacer análisis de riesgo sobre esos datos.
Cada herramienta de IA a la que le cargás datos de clientes es un flujo de datos personales que alguien tiene que gobernar. El cambio de autoridad no borra esa responsabilidad; la vuelve más importante de revisar.
Lo práctico: revisá qué datos entran a cada herramienta, con qué proveedor y bajo qué aviso de privacidad. Es el mismo criterio de seguridad que analizo al comparar plataformas en seguridad y compliance de Claude vs Gemini: elegí la herramienta según el dato que vas a cargar, no al revés.
¿Cómo preparás tu empresa mexicana para usar IA de forma segura?
La misma gobernanza mínima que sirve para la ley que viene te cubre ante las normas que ya existen. Cinco pasos:
- Inventariá dónde usás IA en la empresa. No podés cumplir con lo que no tenés mapeado.
- Clasificá por riesgo. ¿El sistema decide o influye en decisiones sobre personas (crédito, contratación, salud)? Ese es tu alto riesgo, el que la ley pedirá registrar.
- Definí el control humano. En qué decisiones valida una persona antes de ejecutar. Es lo que piden la CNBV, el SAT y la ley que viene, todas a la vez.
- Goberná los datos. Qué dato entra, con qué proveedor y bajo qué aviso de privacidad, alineado a la nueva autoridad.
- Alinesá a tu regulador. Si estás en finanzas (CNBV), en lo fiscal (SAT) o en salud, sumá los requisitos específicos de tu sector.
Ninguno de estos pasos frena la adopción; la hace defendible. Es el mismo enfoque de riesgos que se está expandiendo por toda la región —lo verás en la IA para pymes en Chile y en la regulación de IA en Paraguay—, así que ordenarte hoy te sirve también si operás en varios países.
Preguntas frecuentes.
¿México tiene una ley de inteligencia artificial en 2026?
No hay todavía una ley federal específica de IA vigente en México a mediados de 2026, pero el Senado se encuentra en la etapa más avanzada hasta ahora para construir el primer marco legal integral. Mientras tanto, el uso de IA en las empresas ya cae bajo normas existentes: protección de datos personales, disposiciones de la CNBV para el sector financiero, requisitos del SAT en lo fiscal y responsabilidad civil. Aunque la ley de IA no exista aún, usar IA sin cuidar el marco actual sí puede traer problemas legales.
¿Qué propone la iniciativa de ley de IA en México?
La iniciativa que discute el Senado propone crear una autoridad nacional encargada de supervisar la IA, un sistema de certificación, un registro obligatorio de los sistemas considerados de alto riesgo y una estrategia nacional con financiamiento público. También contempla la creación del Consejo Mexicano de Ética para la Inteligencia Artificial y la Robótica, con foco en salud, industria y educación. Incorpora prohibiciones relevantes, como el uso de deepfakes dañinos, la manipulación política mediante sistemas automatizados y prácticas de perfilamiento que vulneren derechos fundamentales.
¿Cómo afecta la CNBV el uso de IA en empresas financieras?
La Comisión Nacional Bancaria y de Valores (CNBV) supervisa a bancos, fintech y demás entidades financieras. Una empresa de ese sector que use IA —para scoring de crédito, prevención de fraude, atención o análisis de riesgo— debe alinear ese uso a las disposiciones de la CNBV sobre gestión de riesgos, control interno y protección al usuario. En la práctica: la IA puede apoyar la decisión, pero la entidad sigue siendo responsable, debe poder explicar cómo decide el sistema y mantener supervisión humana sobre las decisiones que afectan a los clientes.
¿Puede una empresa usar IA para temas del SAT (facturación, contabilidad)?
Sí, la IA puede automatizar tareas fiscales y contables —emisión y validación de CFDI, conciliaciones, preparación de reportes— siempre que se respeten los requisitos del Servicio de Administración Tributaria (SAT). El punto clave es que el responsable último ante el SAT sigue siendo el contribuyente: la IA acelera y ordena, pero una persona debe validar antes de timbrar o presentar. Conviene usarla para reducir errores y tiempo, no para delegar a ciegas obligaciones fiscales que tienen consecuencias legales.
¿Qué pasó con la protección de datos en México tras la desaparición del INAI?
El mapa de la privacidad cambió: tras la disolución del INAI en mayo de 2025, la supervisión en materia de protección de datos pasó a la Secretaría de Anticorrupción y Buen Gobierno. Para las empresas, la obligación de fondo sigue en pie: quien usa IA con datos personales debe contar con políticas internas de tratamiento (incluida su eliminación) y realizar análisis de riesgo asociados a esos datos. El cambio institucional no relaja la exigencia; conviene revisar los avisos de privacidad y los flujos de datos que alimentan cualquier herramienta de IA.
¿Cómo debe prepararse una empresa mexicana para usar IA de forma segura?
Con una gobernanza mínima que se adelante a la ley: inventariar dónde se usa IA, clasificar esos usos por riesgo, definir en qué decisiones valida un humano, cuidar los datos personales (más aún tras el cambio de autoridad) y, si la empresa está en un sector regulado, alinear el uso a la CNBV, al SAT o a la autoridad que corresponda. Casi todo lo que la ley de IA anticipa —registro de sistemas de alto riesgo, supervisión humana, transparencia— es buena práctica hoy. La empresa que se ordena ahora llega a la ley sin sobresaltos y evita sanciones bajo las normas que ya existen.
Conclusión: en México, cumplir es parte de implementar.
El vacío de ley de IA en México no es un permiso para hacer cualquier cosa: es una ventana para ordenarse antes de que la regulación aterrice. La empresa que entiende que la CNBV, el SAT y la protección de datos ya marcan límites —y que la ley que viene los va a endurecer— no frena su adopción de IA: la hace bien desde el arranque. Supervisión humana, trazabilidad y cuidado de los datos no son burocracia; son lo que separa una implementación que suma de una que termina en sanción.
Si querés usar IA en tu empresa mexicana con el cumplimiento cubierto —mapear los usos, clasificar riesgos y montar los controles sin frenar los proyectos—, hablemos. También hacemos capacitación in-company para que tu equipo aprenda a usar IA respetando el marco mexicano, con casos propios y no con ejemplos de laboratorio.
Última actualización: 8 de julio de 2026 · Versión 1.0 · Fuentes: Infobae — México perfila su primera ley de IA y Expansión — México discute una Ley de IA (2026). Análisis y opinión: Diego Ceredi, consultor de IA certificado por Anthropic.

Regulación de IA en Paraguay 2026: qué dice el proyecto de ley (guía para empresas)
10 min de lectura
Sociedad Automatizada en Argentina: qué significa el proyecto de ley para las empresas que ya usan IA
10 min de lectura