Políticas, brechas y avances en gobernanza de IA: ¿dónde está México y qué urge en 2026?

La conversación global sobre IA se está moviendo de la innovación sin fricciones a la innovación con reglas. México ya entró a ese debate: hay iniciativas legislativas en curso, agendas públicas de formación y señales de inversión digital; pero la arquitectura de gobernanza aún es incipiente frente a referentes como la UE y, en otro modelo, EE. UU. ¿Qué tenemos, con qué nos comparamos y qué deberíamos activar en 2026?

México hoy: avances visibles, marco aún en construcción

En 2025, el Senado activó un proceso para expedir una Ley General de Inteligencia Artificial y adecuaciones constitucionales que faculten al Congreso para legislar en la materia; el paquete incluye propuestas para principios rectores, evaluación de riesgos y armonización con más de una decena de leyes sectoriales (datos personales, salud, educación, consumo, PI). El trámite está vivo, pero todavía sin un marco integral promulgado. Comunicación Social Senado+2comisiones.senado.gob.mx+2

En paralelo, el Ejecutivo impulsa capacidades: desde un Centro Público de Formación en IA y programas de alfabetización hasta iniciativas subnacionales como la megaclase de IA en CDMX. Son señales de política pública orientadas a talento y adopción responsable en el Estado. Gobierno de México

En la economía real, la infraestructura digital avanza con inversiones en centros de datos (p. ej., el nuevo campus de CloudHQ en Querétaro), lo que ancla capacidades de cómputo y acelera la demanda de seguridad, datos y talento especializado. El País

¿Con qué nos comparamos?

• Unión Europea (modelo regulatorio integral). El AI Act ya está en marcha con aplicación escalonada: prácticas prohibidas y alfabetización en IA desde febrero de 2025; obligaciones para modelos de propósito general (GPAI) desde agosto de 2025; y reglas para alto riesgo con periodos de transición hasta 2027. Es un enfoque basado en riesgo con obligaciones verificables para proveedores y usuarios. Estrategia Digital Europea+1
  
  

• Estados Unidos (enforcement + estándares). Sin ley federal integral, pero con una vía de estándares y gestión de riesgo: el NIST AI Risk Management Framework (y su perfil para IA generativa) se ha convertido en referencia práctica para gobiernos y empresas. Se complementa con órdenes ejecutivas y actuación de agencias (FTC, etc.). NIST+1
  
  

• Brasil (referente regional en trámite). Brasil empuja un proyecto de ley nacional de IA (PL 2.338/2023) con enfoque de riesgo, que lo perfila como comparador clave en Latinoamérica si se aprueba. whitecase.com+1
  
  

Brechas de México

1. Marco normativo faltante. Sin una ley general promulgada, las dependencias operan con guías generales (protección de datos, ciberseguridad), pero sin un esqueleto único para IA (riesgos, auditoría, gobernanza). Comunicación Social Senado
   
   

2. Capacidades asimétricas. Formación en IA y datos avanza, pero aún es desigual entre entidades federativas y niveles de gobierno; urge institucionalizar programas de alfabetización algorítmica y roles responsables (CIO/CTO/CAIO público). Gobierno de México
   
   

3. Infraestructura y soberanía de datos. Las inversiones en cómputo son una oportunidad, pero hay que conectar esa infraestructura con estándares públicos (seguridad, interoperabilidad, datos abiertos de alta calidad). El País
   
   

Qué urge accionar en 2026 (hoja de ruta ejecutiva)

1) Aprobar una Ley General de IA con dientes. Enfoque de riesgo compatible con la UE (para facilitar comercio y cumplimiento cruzado), autoridad coordinadora, registros y evaluaciones de impacto algorítmico en el sector público; interoperar con obligaciones para GPAI si se exportan/operan modelos en la UE. Estrategia Digital Europea

2) Estándares operativos mientras llega la ley. Adoptar el NIST AI RMF y su perfil de IA generativa como base mínima de gestión de riesgo en dependencias y empresas proveedoras del Estado (inventarios de modelos, pruebas, documentación, gobernanza de datos). NIST+1

3) Auditoría y transparencia algorítmica. Crear registros de algoritmos públicos (qué modelo, para qué decisión, datos y salvaguardas), reglas de trazabilidad y mecanismos de apelación para la ciudadanía.

4) Capacidades y talento. Escalar el Centro Público de Formación en IA con rutas de certificación por rol (diseño, compra pública, operación, auditoría) y licenciamiento institucional de herramientas con controles de privacidad. Gobierno de México

5) Infraestructura y datos para el interés público. Integrar un programa de datos de alto valor (salud, movilidad, educación, seguridad) con estándares de calidad y privacidad; alinear proyectos de centros de datos con metas de resiliencia y sostenibilidad (energía, agua, ciberseguridad). El País

6) Coordinación federación–estados–municipios. Lineamientos homogéneos para compras de IA, contratación de servicios en la nube y evaluación de proveedores con criterios de seguridad, transparencia y portabilidad.

7) Puentes con la academia y la región. Vincular los programas del TecNM y universidades al pipeline de gobierno y pymes; observar de cerca el derrotero de Brasil para convergecia regulatoria latinoamericana. tecnm.mx+1

La conclusión: México ya levantó la mano. 2026 debe ser el año en que pasemos de las conversaciones a los controles verificables: una ley general funcional, estándares adoptados, talento certificado y proyectos públicos con métricas de riesgo, desempeño y justicia algorítmica.