ia¹ es una firma de consultoría mexicana especializada en inteligencia artificial aplicada al negocio. Trabajamos con empresas medianas y grandes en México y Estados Unidos, con un método de tres fases: diagnóstico, implementación y retainer.

¿Para qué empresas trabaja ia¹?

Empresas medianas y grandes con operaciones en México y/o Estados Unidos que ya tienen datos, procesos documentados y patrocinio ejecutivo para proyectos de IA con impacto medible.

¿Cuánto dura un diagnóstico?

El diagnóstico de ia¹ toma cuatro semanas. Al final, entregamos un roadmap priorizado con los tres casos de uso de IA de mayor ROI esperable y la inversión estimada para ejecutarlos.

¿Por qué fallan los proyectos de inteligencia artificial?

La mayoría falla por falta de adopción y change management, no por la tecnología. Las causas más comunes: datos sucios, falta de criterio de éxito antes del POC, patrocinador débil, costo operativo mayor al valor generado y métricas vanidosas.

¿Cuándo conviene un POC y cuándo un retainer?

POC cuando ya tienes una hipótesis clara y necesitas validar técnicamente en 4–8 semanas. Retainer cuando ya tienes un modelo en producción y necesitas optimización mensual, formación del equipo y pensamiento estratégico sostenido.

¿ia¹ trabaja con empresas fuera de Guadalajara y Ciudad de México?

Sí. Atendemos empresas en todo México, Estados Unidos y Latinoamérica. El método combina trabajo remoto y sesiones presenciales según la fase del engagement.

ANÁLISIS · 18 MIN · ABRIL 2026

Política de IA generativa: guía prescriptiva para empresas · ia¹

POR Arturo Sánchez Gándara, CEO

Cómo redactar una política de uso de IA generativa ejecutable. Cinco bloques obligatorios, lenguaje modelo, LFPDPPP, NIST AI RMF y auditoría para mid-market mexicano.

Política de uso de inteligencia artificial generativa: guía prescriptiva para empresas mid-market mexicanas

Una política de uso de IA generativa operativa requiere cinco bloques: alcance, casos permitidos y prohibidos, manejo de datos confidenciales, responsabilidad del colaborador y mecanismos de enforcement. Sin esos cinco elementos alineados a tu marco regulatorio, el documento es papel mojado.

Según el Microsoft Work Trend Index 2024, el 75% de los trabajadores del conocimiento ya utiliza herramientas de IA generativa en sus actividades laborales [VERIFICAR: fecha de consulta del dato, verificar vigencia antes de publicación]. La mayoría lo hace sin que exista una política formal en su empresa. Gartner estimó que para finales de 2025 más del 40% de las fugas de datos corporativos involucraría alguna herramienta de IA generativa como vector, directo o indirecto [VERIFICAR: proyección sujeta a confirmación empírica al cierre del período]. En el mid-market latinoamericano, la estimación interna ia¹ indica que menos del 15% de las empresas entre 500 y 5,000 empleados tiene una política de IA documentada y vigente; aproximadamente un 30% la tiene "en proceso" indefinido; el resto opera sin ningún marco.

El problema no es que los colaboradores usen estas herramientas. El problema es que lo hacen bajo condiciones de ambigüedad jurídica, sin límites claros sobre qué datos pueden ingresar y sin que nadie haya asignado responsabilidad cuando algo sale mal. Lo que sigue es lenguaje modelo para cada bloque, criterios de decisión para los puntos grises y un ancla normativa aplicable al contexto mexicano.

¿Qué debe incluir una política de uso de IA generativa en una empresa mexicana?

Una política ejecutable no es un manifiesto de valores ni una lista de herramientas aprobadas. Es un contrato operativo entre la organización y sus colaboradores. Cada bloque cumple una función específica; la ausencia de cualquiera genera un vacío que tarde o temprano se convierte en incidente.

Bloque 1 — Alcance y definiciones

Define a quién aplica, qué herramientas cubre y qué se entiende por "IA generativa" en el contexto de esta empresa. Sin definición operativa, los colaboradores asumen que la política no aplica a la herramienta que ya usan.

Lenguaje modelo:

"Esta política aplica a todos los colaboradores, contratistas y proveedores de servicios que acceden a sistemas de la empresa, con independencia de su modalidad de contratación. Se entiende por herramienta de IA generativa cualquier sistema de software que produzca texto, código, imágenes, audio o datos sintéticos a partir de instrucciones en lenguaje natural o código, incluyendo pero no limitado a: modelos de lenguaje de gran escala (LLM), asistentes de código, generadores de imágenes y agentes automatizados integrados a aplicaciones de productividad."

Bloque 2 — Casos de uso permitidos y prohibidos

No basta con listar herramientas aprobadas. Hay que especificar para qué pueden usarse y para qué no, porque la misma herramienta puede ser apropiada en un contexto e inapropiable en otro.

Usos permitidos (ejemplos base):

Redacción y revisión de comunicaciones internas sin datos de clientes ni información confidencial
Generación de código en proyectos donde el repositorio está bajo control de versiones corporativo
Síntesis de documentos públicos o de investigación de mercado

Usos prohibidos (no negociables):

Ingreso de datos personales de clientes, empleados o terceros identificables
Ingreso de información financiera no pública, estrategias comerciales, términos de contratos vigentes
Generación de contenido externo bajo la voz de la empresa sin revisión y aprobación humana
Uso de cuentas personales para procesar información que pertenezca a la empresa

Bloque 3 — Manejo de datos confidenciales e IP

Es el bloque más crítico y el más deficiente en las políticas existentes. Se desarrolla en detalle en la sección correspondiente.

Bloque 4 — Responsabilidad del colaborador

Debe establecer con claridad que el colaborador es responsable del output que genera con IA, no la herramienta ni el proveedor. Este punto tiene implicaciones laborales, contractuales y eventualmente litigiosas.

Lenguaje modelo:

"El colaborador que utilice herramientas de IA generativa en el ejercicio de sus funciones asume plena responsabilidad por el contenido producido, su exactitud, su conformidad con las políticas internas y su adecuación a las obligaciones legales y contractuales de la empresa. El uso de una herramienta de IA no exime al colaborador de las consecuencias derivadas de un output incorrecto, sesgado, confidencial o que infrinja derechos de terceros."

Bloque 5 — Enforcement y consecuencias

Una política sin consecuencias documentadas es un aviso. Este bloque define qué constituye una violación, quién determina si ocurrió y cuál es el proceso de respuesta. Se desarrolla en la sección de auditoría.

¿Cuándo se debe exigir una instancia empresarial de IA en lugar de permitir herramientas personales?

Herramientas personales vs. instancia empresarial: criterios para decidir, no para postergar

La pregunta no es filosófica. Es operativa: ¿bajo qué condiciones el riesgo de usar la cuenta gratuita de ChatGPT o Gemini de un empleado supera el costo de migrar a una instancia corporativa?

Criterio	Herramienta personal tolerable	Instancia empresarial requerida
Tipo de dato procesado	Información pública, borradores sin datos sensibles	Datos de clientes, información financiera, propiedad intelectual, información regulada
Historial de conversaciones	No importa si no hay datos sensibles	Debe ser auditable y eliminable por la empresa
Acuerdos con terceros (NDA, contratos)	Sin restricciones específicas	Cualquier proyecto con cláusulas de confidencialidad activas
Sector regulado	No aplica directamente	Financiero, salud, telecomunicaciones, infraestructura crítica
Número de usuarios activos	Uso esporádico, individual	Uso sistemático por equipo o función de negocio
Necesidad de control de outputs	Ninguna	Outputs integrados a productos, servicios o comunicaciones externas

La regla operativa de ia¹: si un colaborador necesita ingresar cualquier dato que, de filtrarse, generaría una obligación de notificación bajo la LFPDPPP o una cláusula de responsabilidad contractual, la herramienta personal está fuera de alcance. Sin excepción.

Los proveedores más comunes ofrecen instancias empresariales con condiciones de no entrenamiento sobre datos del cliente y controles de retención. OpenAI Enterprise, Google Workspace con Gemini Business y Microsoft 365 Copilot son los tres vectores más frecuentes en el mid-market mexicano. La diferencia de costo entre cuenta personal y licencia empresarial es una fracción del costo de un incidente de datos gestionado bajo LFPDPPP.

Para empresas que están evaluando qué herramientas institucionalizar, el diagnóstico de madurez digital de ia¹ incluye un mapeo de herramientas en uso real —con o sin autorización— como primer entregable.

¿Cómo aplica la LFPDPPP y el NIST AI RMF a la política de IA de una empresa mexicana?

Datos confidenciales e IP: qué cláusulas funcionan y cómo redactarlas

Marco de clasificación de información

Antes de redactar prohibiciones, la política necesita una taxonomía operativa de datos. Sin ella, la prohibición de "información confidencial" es inaplicable porque nadie sabe qué califica.

Niveles recomendados:

Nivel 0 — Público: información disponible sin restricción, sin riesgo de divulgación
Nivel 1 — Interno: información operativa sin valor estratégico ni datos personales
Nivel 2 — Confidencial: estrategia comercial, términos contractuales, datos financieros no públicos, propiedad intelectual en desarrollo
Nivel 3 — Restringido: datos personales bajo LFPDPPP, información regulada, secretos industriales

Regla de uso con IA generativa: Nivel 0 y Nivel 1 pueden procesarse con herramientas personales bajo la política de uso permitido. Nivel 2 requiere instancia empresarial con contrato de procesamiento de datos. Nivel 3 requiere aprobación explícita del área jurídica y técnica, e instrumento contractual específico con el proveedor.

¿Qué información está prohibido ingresar a herramientas de IA generativa en un entorno corporativo?

Lenguaje modelo para la cláusula de datos prohibidos:

"Está expresamente prohibido ingresar a cualquier herramienta de IA generativa, ya sea en cuenta personal o empresarial no autorizada, la siguiente información: (a) datos personales de clientes, prospectos, empleados o terceros en cualquier formato identificable o pseudonimizado; (b) información financiera no pública incluyendo proyecciones, resultados no divulgados, estructuras de deuda o valuaciones; (c) términos, condiciones, precios o texto de contratos vigentes o en negociación; (d) código fuente propietario de sistemas en producción o en desarrollo; (e) estrategias comerciales, planes de expansión, pipelines de adquisición; (f) cualquier información sujeta a acuerdo de confidencialidad con terceros. El incumplimiento de esta cláusula constituye una violación de política de nivel grave y activa el protocolo de respuesta a incidentes."

Protección de IP generada con IA

Esta es una zona gris con implicaciones jurídicas activas. En México, la Ley Federal del Derecho de Autor no reconoce a sistemas automatizados como autores. El output de una herramienta de IA generativa, por sí solo, puede carecer de protección autoral. Sin embargo, la política interna puede establecer que la obra resultante —en la medida que involucra selección, edición y juicio humano del colaborador— es propiedad de la empresa.

Cláusula modelo:

"Todo contenido, código, diseño, análisis o cualquier otro output producido mediante herramientas de IA generativa en el ejercicio de funciones laborales es considerado propiedad de la empresa, con independencia de si fue generado en herramientas corporativas o personales durante el tiempo de trabajo. El colaborador cede a la empresa cualquier derecho que pudiera reclamar sobre dicho output y se compromete a no utilizar el mismo para fines distintos a los encargados."

Estado de la LFPDPPP y sus obligaciones accionables hoy

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) —vigente desde 2010— no fue diseñada con IA generativa en mente. Sus principios de licitud, consentimiento, finalidad y proporcionalidad aplican cuando colaboradores procesan datos personales de terceros en herramientas de IA, pero el marco carece de disposiciones específicas sobre perfilamiento automatizado, toma de decisiones algorítmicas o responsabilidad del responsable cuando el procesamiento ocurre fuera de su infraestructura.

En el primer semestre de 2025, la Cámara de Diputados tiene en proceso una iniciativa de reforma a la LFPDPPP que busca incorporar: (a) regulación de decisiones automatizadas con impacto en titulares; (b) obligaciones de transparencia sobre el uso de IA en el tratamiento de datos; (c) nuevas atribuciones al INAI para fiscalizar el uso de IA por parte de responsables. Al cierre editorial de este artículo, la iniciativa está en comisiones sin fecha de votación confirmada. Las empresas no deben esperar la reforma para actuar; los principios vigentes ya generan obligaciones accionables.

Implicación práctica: si un colaborador ingresa datos personales de clientes a ChatGPT sin contrato de encargo de tratamiento entre la empresa y OpenAI, la empresa ya está incumpliendo el principio de seguridad de la LFPDPPP hoy, no en 2026.

NIST AI RMF: aplicabilidad voluntaria, valor real

El NIST AI Risk Management Framework 1.0 (publicado en enero 2023) define cuatro funciones: Govern, Map, Measure y Manage. No es vinculante en México ni para empresas no estadounidenses. Su valor para el mid-market mexicano es instrumental: provee vocabulario técnico preciso, estructuras de evaluación de riesgo adoptables y un referente que facilita conversaciones con auditores, aseguradoras y clientes enterprise.

Las cuatro funciones en términos operativos:

Función NIST	Traducción práctica para la política interna
Govern	Quién aprueba usos de IA, quién actualiza la política, estructura de toma de decisiones
Map	Inventario de herramientas en uso, clasificación de riesgo por caso de uso
Measure	Indicadores de cumplimiento, frecuencia de revisión, umbrales de alerta
Manage	Protocolo de respuesta a incidentes, planes de mitigación por nivel de riesgo

Para empresas que están construyendo gobernanza de IA desde cero, la guía sobre cómo armar un comité de IA detalla cómo trasladar estas funciones a roles concretos dentro de la organización.

¿Quién es responsable si un colaborador causa una fuga de datos usando IA generativa?

Enforcement y auditoría: qué revisar, con qué frecuencia y quién firma la responsabilidad

Asignación de responsabilidad

La pregunta de responsabilidad tiene tres capas:

Responsabilidad laboral: el colaborador que violó la política es sujeto a las consecuencias establecidas en el Reglamento Interior de Trabajo. Esto requiere que la política de IA sea incorporada formalmente —vía addendum al contrato individual, actualización al RIT o acuse firmado de recibido.
Responsabilidad empresarial ante el INAI: la empresa es el responsable del tratamiento bajo LFPDPPP. Si un empleado filtró datos personales de clientes a través de una herramienta no autorizada, la empresa enfrenta el procedimiento sancionador con independencia de que el colaborador haya violado política interna. El INAI no persigue al colaborador; persigue al responsable del tratamiento.
Responsabilidad contractual con terceros: si la fuga involucra datos protegidos por NDA o contratos con clientes con cláusulas de confidencialidad, la empresa enfrenta exposición contractual. El colaborador puede ser llamado en garantía, pero la contraparte demanda a la empresa.

Consecuencia operativa: la política debe establecer explícitamente que el colaborador indemnizará a la empresa por los daños y perjuicios derivados de una violación deliberada o negligente. Esta cláusula debe estar en el contrato individual, no solo en la política.

¿Cómo auditar el cumplimiento de una política de IA generativa sin infraestructura de monitoreo avanzada?

No todas las empresas mid-market tienen DLP (Data Loss Prevention) implementado ni capacidad de monitorear tráfico a endpoints externos. La auditoría de cumplimiento sin infraestructura avanzada opera en tres niveles:

Nivel 1 — Auditoría documental (trimestral):

Verificar que todos los colaboradores tienen acuse firmado de la política vigente
Revisar que el inventario de herramientas aprobadas está actualizado
Confirmar que los contratos con proveedores de IA incluyen cláusulas de no entrenamiento y eliminación de datos

Nivel 2 — Auditoría de proceso (semestral):

Entrevistas con responsables de área sobre herramientas en uso real (no solo las aprobadas)
Revisión de logs de acceso a instancias empresariales cuando existen
Revisión de incidentes reportados en el período

Nivel 3 — Auditoría de riesgo (anual o ante incidente):

Evaluación de los cinco casos de uso de mayor riesgo identificados en el inventario
Revisión legal del marco contractual con proveedores de IA
Actualización de la clasificación de herramientas y niveles de datos

Quién firma la responsabilidad de auditoría:

La política debe designar explícitamente a un Responsable de Política de IA (puede ser el CTO, el Director de Innovación o el DPO si existe). Esta persona firma el resultado de cada ciclo de auditoría y eleva hallazgos al Comité de Dirección. Sin nombre y cargo concreto, la responsabilidad se difumina.

El retainer de gobernanza de ia¹ incluye ciclos de auditoría de cumplimiento de política de IA como componente estándar para clientes en etapa de operación continua.

Preguntas frecuentes

¿Una política de IA generativa necesita aprobación del sindicato o revisión ante la STPS? Si la política modifica condiciones de trabajo o establece sanciones disciplinarias, debe estar alineada con el Reglamento Interior de Trabajo, el cual sí requiere depósito ante la STPS. En términos prácticos, la política de IA se implementa mejor como addendum al RIT o como política corporativa con acuse individual firmado, para que sea exigible laboral y jurídicamente.

¿Los términos de servicio de los proveedores de IA son suficientes para proteger los datos de la empresa? No. Los términos de servicio de cuentas personales o gratuitas generalmente incluyen cláusulas que permiten al proveedor usar los inputs para mejorar modelos. Esto es incompatible con cualquier obligación de confidencialidad. Solo los contratos empresariales con cláusulas explícitas de no entrenamiento y acuerdos de procesamiento de datos (DPA) son suficientes para el nivel de protección que la LFPDPPP exige.

¿Con qué frecuencia debe actualizarse la política? Como mínimo, revisión anual. En la práctica, el ciclo de lanzamiento de herramientas de IA obliga a revisiones más frecuentes: cuando un proveedor aprobado cambia sus términos de uso, cuando un nuevo modelo o herramienta se adopta masivamente en la organización, o cuando ocurre un incidente de datos. La política debe incluir una cláusula de vigencia con fecha de revisión obligatoria.

¿La política aplica igual para empleados remotos o contratistas externos? Sí, y debe decirlo explícitamente. El vínculo de aplicación no es el lugar físico de trabajo ni la modalidad contractual; es el acceso a información de la empresa. Un contratista que recibe un brief con información confidencial está sujeto a la política aunque trabaje con sus propios equipos y herramientas.

¿Existe un estándar internacional de certificación para políticas de IA que las empresas mexicanas puedan adoptar? No existe aún una certificación de facto equivalente a ISO 27001 para IA generativa, aunque ISO 42001 (Sistema de Gestión de IA) fue publicada en 2023 y está en proceso de adopción en varios mercados. Para el mid-market mexicano, su aplicación completa no es prioritaria hoy; lo útil es usar sus principios como referencia estructural al construir la política, sin comprometerse a una certificación que añade carga operativa antes de tener la base en orden.

Una política de uso de IA generativa no es un proyecto de compliance a largo plazo. Es un documento operativo que puede redactarse, validarse con el área jurídica e implementarse en semanas. El riesgo de no tenerlo no es hipotético: existe en el historial de navegación del colaborador que hoy está pegando el pipeline de ventas en ChatGPT sin saber que eso viola el NDA con su cliente más grande.

Los cinco bloques descritos —alcance, casos permitidos y prohibidos, manejo de datos, responsabilidad y enforcement— son el piso mínimo. La diferencia entre una política que se cumple y una que se archiva está en la especificidad del lenguaje, la claridad de las consecuencias y la existencia de un responsable con nombre propio que la defienda en la organización. El marco normativo mexicano ya impone obligaciones; la reforma de LFPDPPP las ampliará. Actuar antes de la reforma es siempre menos costoso que remediar después.

Si necesitas soporte para redactar, validar o implementar tu política de IA generativa, revisa los servicios de ia¹ o escríbenos directamente desde ia1.mx/contacto.

Ver todos los insights