Volver a artículos
ia-derecho
Protección de Datos Personales en la Era de la IA: Desafíos para México
Los retos que plantea la inteligencia artificial para el régimen de protección de datos personales en México y cómo enfrentarlos.
30 de diciembre de 2025
2 vistas
## El Dilema de la IA y los Datos Personales
La inteligencia artificial se alimenta de datos. Cuantos más datos, mejor funciona. Este principio fundamental choca directamente con los principios de protección de datos personales: minimización, finalidad específica y consentimiento informado.
## Marco Normativo Actual
### Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)
Principios aplicables a sistemas de IA:
- **Licitud**: tratamiento conforme a la ley
- **Consentimiento**: salvo excepciones legales
- **Información**: aviso de privacidad claro
- **Calidad**: datos correctos y actualizados
- **Finalidad**: uso para propósitos determinados
- **Lealtad**: no obtención mediante engaño
- **Proporcionalidad**: solo datos necesarios
- **Responsabilidad**: medidas de seguridad
### Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados
Aplica al sector público con principios similares más:
- **Máxima publicidad** de información gubernamental
- **Protección reforzada** de datos sensibles
## Desafíos Específicos de la IA
### 1. Entrenamiento de Modelos
**Problema**: Los modelos de IA requieren enormes cantidades de datos para entrenarse, incluyendo potencialmente datos personales.
**Preguntas sin resolver**:
- ¿El scraping de datos públicos requiere consentimiento?
- ¿Cómo cumplir el derecho de cancelación si los datos están "aprendidos"?
- ¿Es posible el "machine unlearning" efectivo?
### 2. Decisiones Automatizadas
**Problema**: El artículo 22 del RGPD europeo reconoce el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado. La LFPDPPP no tiene equivalente explícito.
**Casos problemáticos en México**:
- Scoring crediticio automatizado
- Filtros de CV en reclutamiento
- Determinación de primas de seguros
- Precios dinámicos personalizados
### 3. Perfilamiento y Predicción
**Problema**: La IA puede inferir información sensible (orientación sexual, opiniones políticas, estado de salud) a partir de datos aparentemente inocuos.
**Implicación**: Datos que individualmente no son sensibles pueden convertirse en sensibles al procesarse con IA.
### 4. Opacidad del Tratamiento
**Problema**: El "derecho de acceso" incluye conocer cómo se tratan los datos. Con modelos de IA de tipo "caja negra", explicar el tratamiento es técnicamente complejo.
## Obligaciones del Responsable
### Aviso de Privacidad Actualizado
Debe informar sobre:
- Uso de sistemas de IA en el tratamiento
- Decisiones automatizadas y su lógica (en términos comprensibles)
- Consecuencias de dichas decisiones
- Derechos del titular incluyendo intervención humana
### Evaluación de Impacto
Para tratamientos de alto riesgo con IA:
1. Descripción del tratamiento y finalidades
2. Evaluación de necesidad y proporcionalidad
3. Evaluación de riesgos para los titulares
4. Medidas de mitigación previstas
### Medidas de Seguridad Reforzadas
- Controles de acceso a modelos y datos de entrenamiento
- Auditorías de sesgo algorítmico
- Pruebas de robustez contra ataques adversarios
- Documentación de todo el pipeline de datos
## Derechos ARCO en Contexto de IA
### Acceso
- Derecho a saber si datos fueron usados para entrenar IA
- Información sobre lógica de decisiones automatizadas
### Rectificación
- Corrección de datos incorrectos
- Desafío: ¿cómo "rectificar" un modelo ya entrenado?
### Cancelación
- Solicitud de eliminación de datos
- Problemática del "right to be forgotten" en modelos de IA
### Oposición
- Derecho a oponerse al perfilamiento
- Derecho a intervención humana en decisiones automatizadas
## Recomendaciones Prácticas
### Para Empresas
1. **Auditar uso de IA** en tratamiento de datos
2. **Actualizar avisos de privacidad** incluyendo IA
3. **Implementar revisión humana** de decisiones automatizadas significativas
4. **Documentar lógica de algoritmos** para explicarla cuando se requiera
5. **Realizar evaluaciones de impacto** periódicas
### Para Titulares
1. Ejercer derechos ARCO ante tratamientos automatizados
2. Solicitar explicación de decisiones que les afecten
3. Exigir intervención humana cuando corresponda
4. Reportar al INAI prácticas sospechosas
## Conclusión
El régimen de protección de datos en México requiere actualización para abordar específicamente los desafíos de la IA. Mientras esto ocurre, los principios generales de la LFPDPPP aplican, pero su interpretación requiere adaptarse a las particularidades técnicas de estos sistemas. Empresas y abogados deben anticiparse a futuras regulaciones adoptando mejores prácticas internacionales.
Tags:Protección de DatosLFPDPPPINAIPrivacidadIA