Permítame comenzar con una pregunta incómoda: ¿cuántas empresas en México tienen hoy una política sobre el uso de inteligencia artificial por parte de sus colaboradores? ¿Cuántas saben si sus algoritmos de contratación discriminan? ¿Cuántas pueden decirle a un regulador qué herramientas de IA utilizan, para qué y con qué datos?
Si la respuesta honesta es «no lo sabemos», entonces este artículo es para usted.
Porque la función de cumplimiento —esa que durante décadas giró alrededor de evitar sobornos, controles contables y debida diligencia de terceros— acaba de entrar en una nueva era. Y las reglas del juego cambiaron mucho más rápido de lo que la mayoría está dispuesta a admitir.
La función de cumplimiento corporativo ha dejado de limitarse a la prevención de sobornos para transformarse en un sistema de gobernanza digital capaz de supervisar la ética y legalidad de los algoritmos empresariales
El FCPA: una ley de 1977 que está más fuerte que nunca
El Foreign Corrupt Practices Act cumplió casi 50 años siendo la referencia global en materia de anticorrupción corporativa. Y lejos de perder relevancia, en 2024 alcanzó niveles de enforcement sin precedentes: el Departamento de Justicia de Estados Unidos (DOJ) y la Comisión de Valores (SEC) impusieron más de 1,500 millones de dólares en sanciones, procesaron a 17 individuos —el número más alto en años— y ganaron todos los juicios penales en los que fue a juicio. Todo en un solo año.
Luego vino el giro -que muchos consideraron- dramático. En febrero de 2025, el presidente Trump firmó una orden ejecutiva pausando nuevas investigaciones del FCPA por 180 días, reorientando el enforcement solo hacia casos con nexos con cárteles, daño a empresas estadounidenses identificables o implicaciones de seguridad nacional. Varios casos fueron abandonados. Sin embargo, esta «pausa» no significa inmunidad: las empresas con operaciones internacionales siguen expuestas a reguladores europeos, el UK Bribery Act, y las normativas locales de cada país en el que operan. El riesgo no desapareció. Solo cambió de forma.
El DOJ ahora evalúa cómo gestionas tu inteligencia artificial
Aquí está el cambio que más debería preocupar —o entusiasmar, depende de cómo lo vea— a los profesionales de cumplimiento en México y América Latina.
En septiembre de 2024, el DOJ actualizó su documento de Evaluación de Programas de Cumplimiento Corporativo (ECCP, por sus siglas en inglés). Por primera vez en la historia de ese documento —que es básicamente el manual que usan los fiscales federales estadounidenses para calificar si tu programa de cumplimiento es real o de adorno— se incluyeron preguntas específicas sobre inteligencia artificial.
Entre las preguntas que los fiscales pueden hacer hoy a cualquier empresa bajo investigación:
«¿Cómo evalúa la empresa el impacto potencial de tecnologías como la inteligencia artificial en su capacidad de cumplir con las leyes penales?»
«¿Existe una base mínima de decisión humana para evaluar los resultados de la IA? ¿Cómo se monitorea y se hace valer la responsabilidad sobre el uso de la IA?»
«¿Existe un desequilibrio entre la tecnología que la empresa usa para identificar oportunidades de negocio y la que usa para detectar y mitigar riesgos?»
Esta última pregunta es particularmente incómoda, porque en la mayoría de las empresas la respuesta es un rotundo sí: el área comercial tiene herramientas de análisis sofisticadas, y cumplimiento trabaja con hojas de cálculo.
El ECCP ahora también pregunta si el área de cumplimiento tiene acceso directo a las fuentes de datos relevantes y si está usando herramientas de análisis para medir la efectividad de sus controles. No basta tener políticas escritas; el regulador ahora quiere ver tecnología real funcionando en el área de compliance.
El Departamento de Justicia de Estados Unidos ha endurecido su postura al exigir que las empresas demuestren un control humano efectivo sobre las decisiones automatizadas para evitar sanciones millonarias por sesgos o falta de transparencia
Los algoritmos ya generaron las primeras sanciones reales
Para quienes piensan que el riesgo algorítmico es todavía una preocupación del futuro, los números cuentan otra historia.
El 18 de marzo de 2024, la SEC sancionó simultáneamente a dos empresas de inversión —Delphia y Global Predictions— por «AI-washing»: promocionar falsamente el uso de inteligencia artificial en sus servicios. Delphia afirmaba usar algoritmos para predecir tendencias bursátiles. Era mentira. Multas de 225,000 y 175,000 dólares respectivamente, más la primera jurisprudencia regulatoria sobre publicidad engañosa en materia de IA.
En materia laboral, la Comisión de Igualdad de Oportunidades en el Empleo (EEOC) de Estados Unidos cerró en septiembre de 2023 el primer caso de discriminación por IA: el software de selección de personal de la empresa iTutorGroup rechazaba automáticamente a candidatas mayores de 55 años y candidatos varones mayores de 60. Resultado: acuerdo por 365,000 dólares y cinco años bajo supervisión regulatoria.
Y si hablamos de dinero, el programa más costoso de enforcement digital hasta la fecha es el de mensajería no autorizada: más de 100 empresas financieras han sido sancionadas con más de 2,200 millones de dólares en total desde 2021 por permitir que sus empleados usaran WhatsApp, Signal o iMessage para hacer negocios sin conservar esas comunicaciones. JPMorgan pagó 200 millones. Dieciséis bancos pagaron 1,100 millones en un solo día en septiembre de 2022.
La IA también es una herramienta de detección. El Tesoro de Estados Unidos reportó haber prevenido o recuperado más de 4,000 millones de dólares en fraude fiscal durante el año fiscal 2024, gracias a sistemas de aprendizaje automático —un incremento de más del 500% respecto al año anterior. El Serious Fraud Office del Reino Unido revisó 30 millones de documentos en el caso Rolls-Royce usando IA, a un costo 80% menor que la revisión legal tradicional.
México: entre la ambición y la brecha regulatoria
México presenta una paradoja que debería ser incómoda para todos los involucrados en el ecosistema legal y empresarial del país: hay más de 60 propuestas legislativas sobre inteligencia artificial presentadas ante el Congreso desde 2020, pero al día de hoy no existe ninguna ley aprobada en la materia.
La propuesta más ambiciosa fue la del Senador Ricardo Monreal en febrero de 2024, modelada sobre el AI Act de la Unión Europea, con sanciones de hasta el 10% del ingreso anual y un enfoque de clasificación de riesgos. No avanzó antes de que terminara la legislatura. En febrero de 2025 se presentó una reforma constitucional al artículo 73 para darle al Congreso facultad expresa para legislar en materia de IA. Sigue pendiente.
Incluso durante la segunda quincena de marzo, en el periódico Reforma, salió publicada una nota señalando que el Senado de la República no contempla aprobar, por ahora, ninguna reforma relacionada con la regulación de la IA.
Lo que sí existe es actividad institucional relevante: el SAT utiliza herramientas de IA para auditorías electrónicas, detección de empresas facturadoras de operaciones simuladas (EFOS) y perfilamiento de contribuyentes por riesgo, con resultados documentados de eficiencia en la recaudación. La nueva Ley Federal de Protección de Datos Personales, publicada el 20 de marzo de 2025 en el DOF, introdujo por primera vez en México el derecho a oponerse a decisiones automatizadas que afecten significativamente a los individuos. Y la Plataforma Digital Nacional del Sistema Nacional Anticorrupción incorpora análisis de datos e inteligencia artificial para identificar riesgos de corrupción en contrataciones públicas.
El problema es que ninguna de estas iniciativas constituye un marco regulatorio integral. La empresa que opera en México con sistemas de IA hoy navega sin reglas claras sobre gobernanza algorítmica, sin obligaciones de transparencia sobre el uso de automatización, y sin un organismo especializado que pueda pronunciarse sobre sus responsabilidades.
Lo que sí tiene es exposición. Exposición a reguladores extranjeros con jurisdicción extraterritorial. Exposición al Reglamento de IA de la Unión Europea si opera en mercados europeos. Y exposición a la evolución acelerada de expectativas que ya están codificadas en el ECCP del DOJ.
El oficial de cumplimiento que necesitamos hoy
Adoptar marcos globales de gestión de Inteligencia Artificial como el NIST o la norma ISO 42001 es hoy una necesidad estratégica para las empresas mexicanas, incluso ante la actual ausencia de una ley nacional específica
La función de cumplimiento nació para prevenir sobornos. Evolucionó para abarcar privacidad de datos, lavado de dinero, comercio exterior. Hoy tiene que dar un salto más: convertirse en una función que gobierne algoritmos.
Eso no significa que el oficial de cumplimiento tenga que aprender a programar. Significa que tiene que aprender a preguntar las preguntas correctas sobre los sistemas automatizados que su empresa usa para tomar decisiones: ¿quién aprobó este algoritmo? ¿Qué datos lo alimentan? ¿Cómo detectamos y corregimos sesgos? ¿Puede un ser humano intervenir y revertir una decisión automatizada? ¿Dónde está documentado todo esto?
Los marcos globales ya están disponibles: el AI Risk Management Framework del NIST (publicado en enero de 2023, con un perfil específico para IA generativa desde julio de 2024), la norma ISO/IEC 42001:2023 —el primer sistema de gestión de IA certificable del mundo, y el propio AI Act europeo que comenzó a aplicarse gradualmente desde agosto de 2024. Ninguno de estos marcos requiere que México tenga una ley para que las empresas los adopten voluntariamente.
La pregunta que debería hacerse cualquier director jurídico o Chief Compliance Officer hoy no es cuándo llegará la regulación de IA en México. La pregunta es: si el DOJ, la SEC o cualquier regulador extranjero con jurisdicción sobre mi empresa me preguntara hoy cómo gobiernan sus sistemas de IA, ¿qué les respondería?
Si la respuesta es un silencio incómodo, ya saben por dónde empezar.
