Estimado lector, permítame iniciar mencionado una escena cotidiana que, aunque aparentemente trivial, encierra uno de los dilemas más complejos del derecho contemporáneo. Imagine que conversa con un amigo sobre un viaje que le gustaría realizar: menciona un destino, un hotel o una actividad específica. Minutos después, al abrir su red social o su navegador, aparecen anuncios y contenidos sorprendentemente alineados con esa conversación. No existió una búsqueda explícita ni una solicitud directa de información. Sin embargo, la infraestructura digital reaccionó.
Este fenómeno no es magia. Es la manifestación visible de un proceso técnico: el uso intensivo de inteligencia artificial aplicada al tratamiento masivo de datos personales.
La inteligencia artificial, entendida como el conjunto de tecnologías capaces de aprender, identificar patrones y tomar decisiones a partir de datos, se ha convertido en el motor de gran parte de los servicios digitales actuales. Desde sistemas de recomendación hasta modelos predictivos en sectores como la banca, la salud, el turismo o la seguridad; la IA depende de un insumo esencial: los datos personales. En la economía digital moderna, la información sobre la conducta humana es la materia prima.
De manera particular, los modelos más avanzados requieren enormes volúmenes de información para ser entrenados y optimizados. Datos de navegación, ubicaciones, preferencias, hábitos de consumo, voces, rostros e incluso señales emocionales son recopilados, procesados y correlacionados para construir perfiles cada vez más precisos de las personas. A partir de estos perfiles, los sistemas no solo predicen comportamientos, sino que influyen activamente en decisiones futuras. El valor económico de esta capacidad predictiva explica la creciente demanda de estos servicios, comercializados por plataformas tecnológicas, brokers de datos y desarrolladores de soluciones de inteligencia artificial, que han convertido el comportamiento humano en un insumo estratégico de alto valor en los mercados digitales.
Si trasladamos esta experiencia al plano jurídico, surge una pregunta central: ¿cómo proteger la privacidad en un entorno donde los sistemas de inteligencia artificial analizan, infieren y perfilan conductas humanas de forma masiva, automatizada y, en buena medida, opaca? Pero junto a ella surge otra cuestión igualmente relevante: ¿quién fija los límites y ejerce un control efectivo sobre estos procesos cuando las decisiones dejan de ser tomadas por personas identificables y pasan a depender de sistemas técnicos complejos, donde el responsable del tratamiento ya no resulta claramente visible?
Conviene aclarar que en México opera un sistema dual de protección de datos. Por un lado, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados regula el tratamiento de datos por el sector público; por otro, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares rige a las personas físicas y morales privadas que tratan datos personales, definiendo al responsable como quien decide finalidades y medios del tratamiento, e incorporando figuras como el encargado y el tercero, así como excepciones específicas. Ambas normas establecen un sistema de principios: licitud, consentimiento, información, finalidad, lealtad, proporcionalidad, calidad y responsabilidad. Con el fin de salvaguardar la dignidad y la vida privada.
No obstante, los sistemas de IA plantean un salto cualitativo del riesgo jurídico. Ya no se trata únicamente de almacenar información, sino de interpretarla algorítmicamente. El poder relevante no radica solo en registrar datos, sino en generar inferencias sobre la persona. Esta transición desplaza el centro de gravedad de la discusión jurídica: de la obtención de datos personales hacia la regulación de su procesamiento automatizado posterior.
Un ejemplo reciente y ampliamente documentado es el uso de sistemas de reconocimiento facial en espacios públicos y privados. Aeropuertos, estadios, centros comerciales e incluso instituciones educativas han implementado estas tecnologías con fines de seguridad o eficiencia operativa. Sin embargo, su funcionamiento exige la captación y análisis de datos biométricos, generalmente considerados datos personales sensibles, lo que eleva el estándar de protección exigible.
A diferencia de otros datos, los biométricos poseen un carácter prácticamente irreversible: su uso indebido, pérdida o acceso no autorizado, ya sea por fallas de seguridad o ataques informáticos, puede generar afectaciones permanentes a la identidad, la privacidad y la seguridad de las personas. Incluso pueden facilitar la suplantación de identidad para el acceso no autorizado a sistemas o servicios, o la manipulación y suplantación de evidencia biométrica en contextos bancarios, laborales o forenses vinculados a la comisión de delitos, ampliando así el espectro de riesgos jurídicos.
La protección de datos personales se estructura sobre principios que buscan garantizar que el tratamiento respete la dignidad y la vida privada de las personas. Sin embargo, la IA entra en conflicto constante con dichos principios. La opacidad algorítmica dificulta el cumplimiento del principio de información; la reutilización de datos para el entrenamiento de modelos cuestiona la finalidad original; y el perfilado masivo con grandes volúmenes de datos desafía la proporcionalidad y la minimización.
A nivel comparado, el Reglamento General de Protección de Datos de la Unión Europea reconoce el derecho a no ser objeto de decisiones basadas exclusivamente en procesos automatizados con efectos jurídicos relevantes e impone evaluaciones de impacto cuando se utilizan tecnologías de alto riesgo. Este enfoque evidencia una tendencia clara: regular no solo el dato, sino el sistema que lo procesa.
En este contexto, los derechos de acceso, rectificación, cancelación y oposición (ARCO) adquieren una dimensión distinta. Permiten no solo corregir datos, sino cuestionar perfiles e inferencias que pueden afectar derechos e intereses legítimos. No obstante, cuando las decisiones se basan en modelos complejos, el ejercicio efectivo de estos derechos se vuelve técnicamente difícil, lo que revela la necesidad de fortalecer normativamente nuevos mecanismos de transparencia y trazabilidad algorítmica de los sistemas de IA.
En la práctica, muchas organizaciones han comenzado a implementar mecanismos de autorregulación, como políticas de privacidad más detalladas, evaluaciones de impacto y comités de ética en inteligencia artificial. Estas medidas, aunque relevantes, no sustituyen la necesidad de un marco jurídico sólido y de autoridades con capacidad técnica para supervisar algoritmos y sistemas de IA.
Nos encontramos, en suma, ante una nueva frontera jurídica. La privacidad ya no se juega únicamente en el secreto de la información, sino en la capacidad de las personas para comprender y cuestionar procesos automatizados que influyen en su entorno de decisiones. La protección de datos personales se convierte así en un elemento estructural para preservar la autonomía individual en entornos tecnológicamente intervenidos.
El debate no consiste en rechazar la inteligencia artificial, sino en establecer límites que aseguren que su desarrollo no se produzca a costa de vulnerar derechos fundamentales. En última instancia, la cuestión es cómo garantizar que el poder tecnológico permanezca sometido al derecho, y no que el derecho quede subordinado a la lógica y al beneficio económico de los propietarios de los sistemas de inteligencia artificial y sus clientes. De ello depende que la innovación tecnológica se integre en el marco del Estado de derecho y no se convierta en un poder fáctico ajeno a controles democráticos. Porque, si el derecho no logra imponer límites a las tecnologías que moldean nuestras decisiones, ¿qué límite real quedaría para resguardar la autonomía humana frente a ese poder?
Autor: Maestro Rolando Martínez Cornejo, docente de la Escuela de Derecho
