En octubre de 2024, el Ministerio de Industria y Tecnologías de la Información de China reportó que el país había superado los 600 millones de usuarios registrados en modelos de inteligencia artificial generativa. Dos años después esa
base masiva de usuarios ya no solo conversa con chatbots: una parte creciente de las superapps chinas integra agentes capaces de comparar precios, negociar condiciones y
completar compras de forma autónoma, sin que un humano apruebe cada paso. Entonces, cuando un agente de inteligencia artificial ejecute una transferencia bancaria, contrate una póliza de seguro o cierre una negociación con un proveedor en nombre de una empresa
¿quién responde si la operación sale mal? ¿El proveedor del modelo? ¿La empresa que lo implemento? ¿El empleado que lo configuró sin revisar la decisión? Hoy, en México, no existe un marco normativo que conteste esas preguntas con claridad.
La
Unión Europea, como referencia, ya tiene una fecha en el calendario: el
2 de agosto de 2026 entran en vigor las obligaciones de su
Reglamento de Inteligencia Artificial para los sistemas de alto riesgo, con supervisión humana y trazabilidad obligatorias. México no tiene, todavía, un marco equivalente en vigor, aunque eso no significa que no haya nada en movimiento.
Sin embargo, sí o sí, hay
tres preguntas que todo consejo debería estar respondiendo este año. La primera es de autonomía: qué nivel de autonomía tienen ya los sistemas de IA que la organización ha desplegado o está por desplegar.
La segunda es de trazabilidad: si existe un registro claro de cómo y por qué un agente tomó una decisión específica.
La tercera es de responsabilidad: quién, dentro o fuera de la empresa, asume las consecuencias legales cuando esa decisión genera una pérdida.
LO QUE SÍ SE ESTÁ MOVIENDO EN MÉXICO Decir que México no tiene marco vigente no es decir que no hay movimiento. El Senado anunció en mayo de 2026, a través de la Comisión de Análisis, Seguimiento y Evaluación sobre la Aplicación y Desarrollo de la Inteligencia Artificial (junto con la Comisión de Ciencia y Tecnología)
del Senado de la República prepara una iniciativa para regular el uso de inteligencia artificial en el país. Por separado, desde febrero está en discusión una propuesta del diputado Ricardo Monreal (líder de morena en la Cámara de Diputados) que plantea un marco integral con definiciones, principios y una autoridad especializada. El debate no es menor: una parte de la discusión gira en torno a quién tendría la última palabra, si el Instituto Federal de Telecomunicaciones o una nueva Comisión Nacional de Inteligencia Artificial que todavía no existe.
Lo que complica aún más el panorama es el momento en que ocurre.
México está discutiendo cómo regular la inteligencia artificial justo cuando dos de los organismos que tradicionalmente habrían vigilado ese terreno, el Instituto Nacional de Transparencia y el propio Instituto Federal de Telecomunicaciones, perdieron su autonomía y vieron sus funciones absorbidas por nuevas instancias de gobierno. El resultado es una conversación regulatoria activa, pero sin que esté claro todavía quién va a aplicarla ni con qué dientes.
LA VENTANA QUE SE ABRE EL 1 DE JULIO Hay, además, una fecha que debería estar en el radar de cualquier consejo antes que cualquier ley nacional. El 1 de julio de 2026, los tres países del
TMEC realizan, por mandato del artículo 34.7 del tratado, su primera revisión conjunta.
El capítulo 19 del acuerdo, que regula el comercio digital, se negoció antes de que la inteligencia artificial agéntica existiera como tema de política comercial. Ese capítulo estableció el libre flujo de datos entre los tres países y prohibió exigir que los datos se almacenen o procesen localmente, reglas pensadas para el comercio electrónico de hace una década, no para agentes autónomos que ejecutan decisiones financieras.
Análisis recientes de organizaciones especializadas en política digital señalan que la inteligencia artificial
podría convertirse en uno de los temas relevantes de esa revisión,
pero que el tema está prácticamente ausente de las prioridades estratégicas que México ha definido para la negociación. Para una empresa mexicana, eso significa que las reglas sobre dónde puede vivir su infraestructura de IA, y bajo qué condiciones puede mover datos hacia Estados Unidos o Canadá, podrían empezar a cambiar en cuestión de semanas, sin que muchos consejos siquiera lo estén monitoreando.
EXISTE UNA SEGUNDA CAPA DEL PROBLEMA, MENOS VISIBLE Y MÁS ESTRUCTURAL Incluso si una empresa resuelve perfectamente las preguntas de gobernanza, sigue dependiendo de una infraestructura que no controla. Porque la gobernanza de la IA no ocurre en el vacío: ocurre sobre nubes, modelos y chips que pertenecen, en su inmensa mayoría, a un puñado de empresas extranjeras.
La señal más clara de hasta dónde llega esa dependencia se dio en junio de 2025, cuando Anton Carniaux, director de asuntos públicos y jurídicos de Microsoft Francia, compareció bajo juramento ante una comisión de investigación del Senado francés sobre soberanía digital y contratación pública.
Al preguntárle directamente si podía garantizar que los datos de ciudadanos franceses almacenados en la nube de Microsoft nunca serían entregados a autoridades estadounidenses sin el consentimiento expreso de Francia, su respuesta fue: no, no podía garantizarlo.
La residencia física de los datos, es decir que estén alojados en servidores europeos,
no implica soberanía jurídica: la empresa matriz sigue sujeta a la ley estadounidense, independientemente de la ubicación de los servidores.
Esa misma lógica aplica, sin matices, a cualquier empresa mexicana que use infraestructura de nube de un proveedor estadounidense para alojar sus modelos de IA, sus datos de clientes o sus agentes autónomos, y es justo el tipo de exposición que las reglas del TMEC sobre flujo de datos determinan en buena medida.
TRES CAPAS, UNA SOLA DEPENDENCIA La concentración no ocurre en una sola capa. Ocurre en tres que se apilan una sobre otra. La primera es la energía. En marzo de 2026, Global Infrastructure Partners, el brazo de infraestructura de BlackRock, junto con el fondo EQT, acordó adquirir la generadora eléctrica estadounidense AES por aproximadamente 33,400 millones de dólares, una operación impulsada explícitamente por la demanda eléctrica de los centros de datos de inteligencia artificial.
La segunda capa es el cómputo. Solo entre Alphabet, Amazon, Meta y Microsoft se ha reportado un gasto conjunto en infraestructura de IA del orden de 650,000 millones de dólares para este año, una cifra que por sí sola ilustra cuánto capital está concentrado en un grupo muy reducido de empresas.
La tercera es la distribución. Los modelos de inteligencia artificial de estas mismas empresas llegan ya integrados, de forma predeterminada, en buscadores, sistemas operativos y suites ofimáticas que usan millones de empresas mexicanas todos los días.
Frente a esta concentración, Europa al menos ensayó una respuesta, aunque sea solo de papel por ahora: un consorcio de instituciones europeas propuso EuroStack, una inversión de hasta 300,000 millones de euros en 10 años para construir infraestructura digital propia.
En México y el resto de América Latina no existe todavía una propuesta pública de ese tamaño, lo que hace que la revisión del TMEC sea, por ahora, la ventana más concreta para empezar a discutir el tema desde una posición de negociación y no solo de dependencia.
LA CONVERSACIÓN QUE SU CONSEJO NO ESTÁ TENIENDO La gobernanza de la inteligencia artificial y la soberanía digital no son dos temas separados: son la misma conversación vista desde dos ángulos distintos. Uno pregunta quién responde cuando un agente decide. El otro pregunta quién controla la infraestructura sobre la que ese agente decide. Un consejo que solo atiende el primero, sin hacerse las preguntas del segundo, está gobernando apenas la mitad del riesgo.
Las preguntas concretas para este año son seis: 1.¿Qué nivel de autonomía tienen los sistemas de IA ya desplegados en la organización?
2.¿Existe trazabilidad documentada de sus decisiones?
3.¿Quién asume la responsabilidad legal cuando una decisión automatizada falla?
4.¿Bajo qué jurisdicción están alojados los datos y modelos de la empresa; esa jurisdicción puede exigir su entrega sin el consentimiento de la empresa?
5.¿La empresa está siguiendo de cerca la revisión del TMEC del 1 de julio y qué puede significar para el flujo de sus datos hacia Estados Unidos y Canadá?
6.¿Alguien en la organización está monitoreando hacia dónde avanzan las iniciativas de regulación de IA que hoy se discuten en el Senado?
La pregunta ya no es si la inteligencia artificial transformará la empresa. Es si el consejo decidió gobernarla antes de que empiece a tomar decisiones que nadie sabrá quién tiene que asumir. 
