Alcance de la propuesta: entre control y disuasión
La iniciativa —impulsada por la Comisión de Estudios Legislativos y respaldada por Morena y sus aliados— plantea modificaciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares. El objetivo es extender su alcance hacia sistemas de IA, incorporando responsabilidades específicas para desarrolladores, proveedores y operadores.
Entre las conductas sancionables destacan:
- Uso malicioso de IA en delitos cibernéticos
- Generación y difusión de deepfakes con fines delictivos
- Discriminación algorítmica derivada de sesgos en modelos
- Manipulación de datos electorales mediante automatización
- Uso de algoritmos extranjeros no regulados que comprometan la soberanía nacional
Las sanciones incluyen multas de hasta 20 millones de pesos y penas de prisión, lo que introduce un enfoque punitivo poco común en marcos regulatorios de IA, generalmente centrados en cumplimiento administrativo.
Perspectiva de ciberseguridad: prevención vs. ambigüedad técnica
Desde el ángulo de la ciberseguridad, el dictamen reconoce riesgos reales asociados al uso indebido de IA, como la automatización de ataques, la ingeniería social a escala o la generación de contenido sintético para fraude. Sin embargo, el texto plantea desafíos relevantes:
- Ambigüedad en definiciones técnicas: conceptos como “uso malicioso” o “algoritmos no regulados” pueden carecer de precisión operativa, dificultando su implementación y abriendo espacio a interpretaciones discrecionales.
- Responsabilidad difusa en la cadena de valor: no queda claro cómo se asignará la responsabilidad entre desarrolladores de modelos, integradores y usuarios finales.
- Riesgo de criminalización del desarrollo: sin criterios técnicos claros, investigadores y profesionales de TI podrían enfrentar incertidumbre jurídica al trabajar con modelos avanzados o de código abierto.
Esto es especialmente relevante en un ecosistema donde la adopción de IA depende en gran medida de tecnologías desarrolladas fuera del país.
Derechos digitales: vigilancia, sesgo y proporcionalidad
Aunque el dictamen busca proteger derechos fundamentales, también introduce tensiones importantes:
- Deepfakes y libertad de expresión: penalizar la generación de contenido sintético sin criterios claros de daño podría impactar usos legítimos (investigación, sátira, pruebas de seguridad).
- Sesgo algorítmico: tipificar la discriminación como delito es un avance, pero sin estándares técnicos para auditar modelos, su aplicación podría ser limitada o arbitraria.
- Protección de datos vs. expansión del control estatal: al ampliar el alcance de la ley, se incrementa la capacidad regulatoria del Estado sobre sistemas automatizados, lo que requiere mecanismos sólidos de transparencia y rendición de cuentas.
Debate político: regulación estricta vs. sandbox
El senador Ricardo Monreal defendió la iniciativa señalando que busca equilibrar innovación con responsabilidad, enfatizando los riesgos que la IA representa para la democracia y los derechos humanos.
En contraste, legisladores de oposición (PAN y PRI) advirtieron que una regulación excesivamente restrictiva podría desalentar la inversión tecnológica. Como alternativa, propusieron la implementación de esquemas de “sandbox regulatorio”, que permitan probar sistemas de IA en entornos controlados antes de su despliegue comercial.
Este enfoque es consistente con tendencias internacionales que priorizan la experimentación supervisada sobre la penalización directa.
Alineación internacional: influencia del modelo europeo
El dictamen incorpora principios inspirados en el AI Act de la Unión Europea, particularmente en la clasificación de riesgos y la necesidad de supervisión sobre sistemas de alto impacto. No obstante, la adaptación al contexto mexicano plantea retos:
- Infraestructura institucional limitada para auditorías técnicas
- Brecha de capacidades en supervisión algorítmica
- Dependencia de proveedores tecnológicos extranjeros
Sin estos elementos, la implementación efectiva del marco podría quedar rezagada respecto a sus objetivos.
Próximos pasos y escenarios
El dictamen fue aprobado por unanimidad en comisiones (18 votos a favor) y deberá ser discutido en el pleno del Senado y posteriormente en la Cámara de Diputados. Se anticipa un debate intenso, particularmente en torno a:
- Definición técnica de las infracciones
- Alcance de las sanciones penales
- Garantías para desarrolladores e investigadores
- Mecanismos de supervisión independiente
De aprobarse, México podría posicionarse como un referente regional en regulación de IA, junto con iniciativas en Brasil y Chile. Sin embargo, el impacto real dependerá de la precisión técnica del marco legal y de su capacidad para equilibrar seguridad, innovación y derechos fundamentales.