3.4. Cumplimiento normativo

3.4.1. Cumplimiento Normativo y Seguridad de Datos

En México, la innovación no exime del cumplimiento. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) no distingue tamaño de empresa: si tienes una base de datos de clientes, eres responsable.

Una implementación de IA sin blindaje legal es una multa del INAI esperando a suceder (sanciones de hasta $320,000 MXN).

---

3.4.2. Clasificación de Datos para IA (Semáforo Legal)

Antes de alimentar a Llama, debes clasificar cada columna de tu Excel o cada PDF según su nivel de riesgo regulatorio.

Nivel	Definición Legal	Ejemplos Concretos	Protocolo de Procesamiento
🟢 PÚBLICO (Bajo Riesgo)	Información accesible en fuentes de acceso público o sin datos personales.	• Catálogos de productos • Manuales de operación • Leyes y Reglamentos • FAQs de soporte	Libre. Puedes usar Nube (Groq/OpenAI) sin restricciones mayores. Ideal para chatbots informativos.
🟡 PRIVADO (Riesgo Medio)	Datos internos del negocio o personales no sensibles. Requiere Aviso de Privacidad.	• Procesos internos • Estrategias de venta • Nombres y correos de empleados • RFCs de Persona Moral	Con Cuidado. Preferible local (Ollama). Si usas Nube, el proveedor debe tener política de "Zero Retention" (No entrena con tus datos).
🔴 SENSIBLE / PATRIMONIAL (Alto Riesgo)	Datos que afecten la esfera íntima o patrimonio. Requiere Consentimiento Expreso.	• Estados de cuenta • Expedientes clínicos • Opiniones políticas/religiosas • Datos biométricos (huella/rostro) • RFC Persona Física	ESTRICTAMENTE LOCAL. Solo procesar en Ollama desconectado o servidores propios encriptados. Prohibido subir a IAs públicas gratuitas.

ERROR COMÚN: DATOS DE EMPLEADOS Muchos creen que los datos de nómina son "internos". Falso. Son datos personales patrimoniales. Subir la nómina a ChatGPT para "analizar sueldos" es una violación de privacidad.

---

3.4.3. El Checklist de los 15 Puntos (Blindaje INAI)

Para llevar tu sistema a producción, debes marcar cada uno de estos puntos. Si fallas en uno, estás expuesto.

🔽 Desplegar Checklist Completo de 15 Puntos

A. Fundamentos legales

• Identificación: ¿Tienes un inventario exacto de qué datos procesa la IA? (No basta "datos de clientes", especifica: "Nombre, Teléfono, Historial de compras").

• Clasificación: ¿Has etiquetado los datos según el semáforo (Verde/Amarillo/Rojo)?

• Aviso de Privacidad: ¿Tu aviso actual menciona explícitamente el uso de "tecnologías de automatización" o "inteligencia artificial"? Si no, actualízalo.

• Consentimiento: ¿Tienes evidencia (checkbox, firma, email) de que el titular aceptó el tratamiento? Para datos rojos, el consentimiento debe ser expreso.

• Finalidad: ¿Usas los datos SOLO para lo que dijiste? (Ej. Si pediste el correo para facturar, no puedes usarlo para entrenar una IA de marketing sin avisar).

B. Seguridad técnica (medidas de seguridad)

• Minimización: Antes de enviar el texto a la IA, ¿eliminaste los datos que no sirven? (Ej. Quitar nombres y dejar solo montos para análisis financiero).

• Anonimización: ¿Puedes reemplazar "Juan Pérez" por "Cliente_001" antes de procesar?

• Encriptación en Tránsito: ¿Usas HTTPS/TLS en tus conexiones? (Las APIs modernas lo hacen por defecto).

• Encriptación en Reposo: ¿Tu base de datos vectorial (Chroma/LanceDB) está en un disco encriptado?

• Control de Acceso: ¿Quién tiene la contraseña del sistema RAG? ¿Solo el personal autorizado?

C. Derechos ARCO y gobernanza

• Responsable: ¿Hay una persona con nombre y apellido responsable de la protección de datos en la empresa?

• Registro: ¿Llevas una bitácora de cuándo y para qué se usó la IA con datos personales?

• Proveedores: Si usas Groq/Together AI, ¿leíste sus términos de privacidad? (Busca "Data Retention Policy").

• Respuesta a Incidentes: Si la IA filtra un dato por error, ¿tienes un plan de acción para notificar a los afectados en <72 horas?

• Derechos ARCO: Si un cliente pide que borres sus datos de la "memoria" de la IA, ¿sabes cómo hacerlo técnicamente? (Borrar el vector asociado).

3.4.4. Implementación Técnica de la Privacidad

No basta con firmar papeles. Debes configurar tu software para cumplir.

Técnica de "sanitización" de prompts

Antes de enviar un prompt a la nube, usa un script o regla para ocultar datos sensibles (PII - Personally Identifiable Information).

Ejemplo de prompt sanitizado:

Original: "Analiza el historial crediticio de Juan Pérez con tarjeta 4500-1234-..." Sanitizado: "Analiza el historial crediticio del [USUARIO_ID] con tarjeta [TARJETA_ENCRIPTADA]..."

MEJOR PRÁCTICA Configura tu agente para que nunca guarde el historial de chat si se detectan números de tarjeta de crédito o palabras clave sensibles.