# 3.4. Cumplimiento normativo

## 3.4.1. Cumplimiento Normativo y Seguridad de Datos

En México, la innovación no exime del cumplimiento. La **Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)** no distingue tamaño de empresa: si tienes una base de datos de clientes, eres responsable.

Una implementación de IA sin blindaje legal es una multa del INAI esperando a suceder (sanciones de hasta $320,000 MXN).

***

### 3.4.2. Clasificación de Datos para IA (Semáforo Legal)

Antes de alimentar a Llama, debes clasificar cada columna de tu Excel o cada PDF según su nivel de riesgo regulatorio.

| Nivel                                       | Definición Legal                                                                      | Ejemplos Concretos                                                                                                                                      | Protocolo de Procesamiento                                                                                                                 |
| ------------------------------------------- | ------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |
| 🟢 **PÚBLICO (Bajo Riesgo)**                | Información accesible en fuentes de acceso público o sin datos personales.            | <p>• Catálogos de productos<br>• Manuales de operación<br>• Leyes y Reglamentos<br>• FAQs de soporte</p>                                                | **Libre.** Puedes usar Nube (Groq/OpenAI) sin restricciones mayores. Ideal para chatbots informativos.                                     |
| 🟡 **PRIVADO (Riesgo Medio)**               | Datos internos del negocio o personales no sensibles. Requiere Aviso de Privacidad.   | <p>• Procesos internos<br>• Estrategias de venta<br>• Nombres y correos de empleados<br>• RFCs de Persona Moral</p>                                     | **Con Cuidado.** Preferible local (Ollama). Si usas Nube, el proveedor debe tener política de "Zero Retention" (No entrena con tus datos). |
| 🔴 **SENSIBLE / PATRIMONIAL (Alto Riesgo)** | Datos que afecten la esfera íntima o patrimonio. Requiere **Consentimiento Expreso**. | <p>• Estados de cuenta<br>• Expedientes clínicos<br>• Opiniones políticas/religiosas<br>• Datos biométricos (huella/rostro)<br>• RFC Persona Física</p> | **ESTRICTAMENTE LOCAL.** Solo procesar en Ollama desconectado o servidores propios encriptados. Prohibido subir a IAs públicas gratuitas.  |

{% hint style="danger" %}
**ERROR COMÚN: DATOS DE EMPLEADOS** Muchos creen que los datos de nómina son "internos". Falso. Son datos personales patrimoniales. Subir la nómina a ChatGPT para "analizar sueldos" es una violación de privacidad.
{% endhint %}

***

### 3.4.3. El Checklist de los 15 Puntos (Blindaje INAI)

Para llevar tu sistema a producción, debes marcar cada uno de estos puntos. Si fallas en uno, estás expuesto.

<details>

<summary>🔽 Desplegar Checklist Completo de 15 Puntos</summary>

#### A. Fundamentos legales

* [ ] **Identificación:** ¿Tienes un inventario exacto de qué datos procesa la IA? (No basta "datos de clientes", especifica: "Nombre, Teléfono, Historial de compras").
* [ ] **Clasificación:** ¿Has etiquetado los datos según el semáforo (Verde/Amarillo/Rojo)?
* [ ] **Aviso de Privacidad:** ¿Tu aviso actual menciona explícitamente el uso de "tecnologías de automatización" o "inteligencia artificial"? Si no, actualízalo.
* [ ] **Consentimiento:** ¿Tienes evidencia (checkbox, firma, email) de que el titular aceptó el tratamiento? Para datos rojos, el consentimiento debe ser expreso.
* [ ] **Finalidad:** ¿Usas los datos SOLO para lo que dijiste? (Ej. Si pediste el correo para facturar, no puedes usarlo para entrenar una IA de marketing sin avisar).

#### B. Seguridad técnica (medidas de seguridad)

* [ ] **Minimización:** Antes de enviar el texto a la IA, ¿eliminaste los datos que no sirven? (Ej. Quitar nombres y dejar solo montos para análisis financiero).
* [ ] **Anonimización:** ¿Puedes reemplazar "Juan Pérez" por "Cliente\_001" antes de procesar?
* [ ] **Encriptación en Tránsito:** ¿Usas HTTPS/TLS en tus conexiones? (Las APIs modernas lo hacen por defecto).
* [ ] **Encriptación en Reposo:** ¿Tu base de datos vectorial (Chroma/LanceDB) está en un disco encriptado?
* [ ] **Control de Acceso:** ¿Quién tiene la contraseña del sistema RAG? ¿Solo el personal autorizado?

#### C. Derechos ARCO y gobernanza

* [ ] **Responsable:** ¿Hay una persona con nombre y apellido responsable de la protección de datos en la empresa?
* [ ] **Registro:** ¿Llevas una bitácora de cuándo y para qué se usó la IA con datos personales?
* [ ] **Proveedores:** Si usas Groq/Together AI, ¿leíste sus términos de privacidad? (Busca "Data Retention Policy").
* [ ] **Respuesta a Incidentes:** Si la IA filtra un dato por error, ¿tienes un plan de acción para notificar a los afectados en <72 horas?
* [ ] **Derechos ARCO:** Si un cliente pide que borres sus datos de la "memoria" de la IA, ¿sabes cómo hacerlo técnicamente? (Borrar el vector asociado).

</details>

### 3.4.4. Implementación Técnica de la Privacidad

No basta con firmar papeles. Debes configurar tu software para cumplir.

#### Técnica de "sanitización" de prompts

Antes de enviar un prompt a la nube, usa un script o regla para ocultar datos sensibles (PII - Personally Identifiable Information).

**Ejemplo de prompt sanitizado:**

> *Original:* "Analiza el historial crediticio de Juan Pérez con tarjeta 4500-1234-..." *Sanitizado:* "Analiza el historial crediticio del \[USUARIO\_ID] con tarjeta \[TARJETA\_ENCRIPTADA]..."

{% hint style="success" %}
**MEJOR PRÁCTICA** Configura tu agente para que **nunca** guarde el historial de chat si se detectan números de tarjeta de crédito o palabras clave sensibles.
{% endhint %}