Hace seis meses, cuando un sistema de IA que habíamos puesto en producción tomaba una decisión cuestionable: rechazaba una solicitud de crédito, priorizaba un caso de soporte, marcaba una transacción como sospechosa; mi conversación con el negocio era técnica: ajustábamos el modelo, revisábamos los datos, seguíamos adelante.

Hoy esa conversación cambió de área. Ya no es solo técnica, sino también legal.

Mientras escribo esto, México y Panamá están construyendo, en paralelo y casi al mismo ritmo, sus primeros marcos legales integrales para la inteligencia artificial. Operamos en ambos países. Eso significa que en el horizonte cercano no enfrentaremos una regulación, sino dos; con lógicas parecidas pero detalles distintos y cuando un regulador, un auditor o un juez me pida demostrar que nuestro sistema de IA es seguro, justo y trazable, ¿tendremos con qué responder?

Si usted dirige la tecnología de una empresa que opera en la región, esta es la pregunta que define los próximos 18 meses. Déjeme explicarle por qué, y luego le comparto la hoja de ruta concreta con la que estamos trabajando.

México: la regulación pasó de la teoría al dictamen

En México el proceso dejó de ser una conversación de pasillo. El Senado se encuentra en la etapa más avanzada hasta ahora para construir el primer marco legal integral en materia de inteligencia artificial, con una propuesta que contempla una arquitectura institucional robusta: una autoridad nacional encargada de supervisar la IA, un sistema de certificación, un registro obligatorio de sistemas considerados de alto riesgo y una estrategia nacional acompañada de financiamiento público.

Para mí, como CIO, hay tres palabras en esa frase que importan más que todas las demás: registro, certificación y alto riesgo. Porque el proyecto contempla expresamente la creación de un Registro Nacional de Sistemas de Inteligencia Artificial, de carácter público, que concentrará información sobre los sistemas de alto riesgo. Si mañana mi motor de scoring crediticio cae en esa categoría, no basta con que funcione bien: tengo que poder registrarlo, documentarlo y defenderlo.

El proceso aún está en comisiones: la votación que se anticipaba para febrero de 2026 no se realizó y el dictamen sigue su curso, pero la dirección es inequívoca. Y no es la única vía: avanza también una reforma constitucional al Artículo 73 para facultar al Congreso a legislar sobre IA, ciberseguridad y neuroderechos. En paralelo, la Cámara de Diputados ya aprobó por unanimidad reformas para sancionar penalmente los deepfakes de contenido sexual. La maquinaria legislativa está encendida en varios frentes a la vez.

No me consuela que “aún no esté aprobada”. Al contrario. Cuando se apruebe, el período para adecuarme será corto, y construir gobernanza de IA seria toma meses, no semanas.

Panamá: un marco que se cocina pieza por pieza

Panamá no va atrás; va por otro camino. En lugar de una sola ley monolítica, lleva tiempo armando el marco por capas, con varios anteproyectos en debate. Uno de ellos incorporó un conjunto amplio de regulaciones técnicas y éticas y ha avanzado hasta el primer debate; otro introduce disposiciones adicionales. Hay incluso una comisión legislativa dedicada al tema.

Pero lo que más me ocupa de Panamá no es lo que viene: es lo que ya está vigente y ya me obliga. El país cuenta desde 2019 con la Ley 81 de protección de datos personales y su reglamento de 2021, que regula el ciclo de vida completo de los datos, desde su recolección hasta su destrucción. Y en agosto de 2025 la Ley 478 reformó el Código Penal y el Código Procesal Penal para fortalecer la lucha contra los delitos informáticos. Es decir: aunque la “ley de IA” panameña todavía esté en construcción, mis sistemas de inteligencia artificial ya están sujetos a obligaciones reales de datos y ciberseguridad, porque toda IA corre sobre datos.

Y hay un agravante propio de donde operamos. Panamá es un centro bancario internacional, lo que lo hace particularmente sensible a las regulaciones de prevención de blanqueo de capitales. Cuando aplico IA a la detección de fraude o al cumplimiento AML, mis modelos entran de inmediato en el terreno más vigilado del país.

El espejo europeo: hacia dónde apunta todo esto

Tanto el proyecto mexicano como los panameños se inspiran en el modelo europeo, así que vale la pena mirar el EU AI Act para anticipar lo que se nos viene. Allí los sistemas de IA de alto riesgo deben cumplir requisitos de gestión de riesgos, calidad de datos, transparencia, supervisión humana y robustez, con multas de hasta 35 millones de euros o el 7% de la facturación global. Ese es el orden de magnitud que están copiando nuestros legisladores.

Hay un detalle reciente que uso como brújula. En marzo de 2026 el Consejo de la UE acordó retrasar la entrada en vigor de las obligaciones para sistemas de alto riesgo, pero la formación obligatoria en IA del personal no se movió. La lección para mí es brutal en su sencillez: incluso cuando los plazos técnicos se aplazan, las obligaciones de preparación y cultura siguen corriendo. Y un dato europeo que podría estar describiendo a mi propia organización: solo el 25% de las empresas tiene un programa de gobernanza de IA implementado, pese a que el 88% ya usa IA. Esa brecha de 63 puntos es, literalmente, el tamaño del riesgo que muchos CIO estamos cargando sin verlo.

Aquí está la idea que reordenó mi forma de pensar el problema.

Cuando leo lo que el regulador va a exigir para un sistema de “alto riesgo”: gestión de riesgos a lo largo de todo el ciclo de vida, calidad de los datos, trazabilidad, robustez, supervisión humana, documentación que demuestre conformidad; no estoy leyendo una agenda legal exótica. Estoy leyendo, palabra por palabra, el manual de aseguramiento de calidad de software que mi equipo debería estar ejecutando ya.

El sistema de gestión de riesgos que pide la regulación no es una auditoría puntual de una sola vez: es un proceso vivo que acompaña al sistema durante toda su existencia. Eso, en mi mundo, tiene un nombre conocido: ingeniería de calidad continua. Pruebas de regresión, validación de datos, monitoreo en producción, detección de sesgos, trazabilidad de cada decisión.

Por eso mi conclusión de fondo es optimista, no defensiva: la empresa que ya hace QA serio sobre sus sistemas de IA va años adelantada en cumplimiento. La regulación no me está pidiendo inventar una disciplina nueva. Me está pidiendo que la disciplina de calidad que algunos tratamos como “buena práctica opcional” se vuelva un expediente auditable y obligatorio. La calidad dejó de ser un lujo de ingeniería y se convierte ahora en mi mejor defensa legal.

Esto cambia quién es mi aliado. Ya no busco solo un proveedor de testing que encuentre bugs. Busco un socio de ingeniería de calidad que entienda que cada caso de prueba, cada validación de dato y cada reporte de robustez es también una pieza de evidencia de conformidad. Ese es exactamente el espacio donde encaja un partner como Q-Vision Technologies: convertir la calidad de mis sistemas de IA en algo que puedo demostrar, no solo afirmar.

Operar en ambos países me obliga a ver las coincidencias y las divergencias con frialdad. Esta es mi lectura ejecutiva, resumida en una sola vista:

Mi decisión de arquitectura, en una frase: construyo un único marco de gobernanza de IA, diseñado contra el estándar más exigente, y lo adapto localmente. Es más barato cumplir una vez bien que remendar dos veces mal.

Cuando junté las piezas, la conclusión fue clara y la asumo en primera persona: prefiero llegar temprano y preparado que tarde y expuesto.

La regulación de IA en México y Panamá no es una amenaza abstracta de un futuro lejano. Es un proceso en marcha, hoy, en dos países donde tengo operación. Y por debajo del lenguaje legal, lo que me están pidiendo es lo que un buen CIO debería querer de todos modos: que mis sistemas de IA sean confiables, justos, trazables y defendibles.

La empresa que entiende esto a tiempo no vive la regulación como un costo. La vive como lo que es: la oportunidad de convertir la calidad de su IA en una ventaja competitiva y en una garantía de confianza para sus clientes. La que lo entiende tarde, descubrirá que construir gobernanza bajo la presión de un plazo legal cuesta el triple y rinde la mitad.

La única pregunta que le dejo es la misma con la que abrí: cuando le pidan demostrar que su sistema de IA es seguro, justo y trazable, ¿tendrá con qué responder?

Q-Vision Technologies acompaña a líderes de tecnología de la región a convertir la calidad de sus sistemas de IA en evidencia auditable: inventario y clasificación de riesgo, gobernanza de datos y programas de ingeniería de calidad continua diseñados para resistir el escrutinio regulatorio. Si está iniciando sus propios 90 días, hablemos: qvisiontechnologies.com.

Nota sobre las fuentes: Este artículo se basa en información de procesos legislativos en curso (al cierre de junio de 2026) y en marcos regulatorios vigentes y en debate en México, Panamá y la Unión Europea. Dado que las iniciativas de IA en México y Panamá aún no son leyes aprobadas, sus disposiciones específicas pueden cambiar antes de su entrada en vigor. Este contenido es informativo y no constituye asesoría legal; para decisiones de cumplimiento, consulte a un especialista jurídico de cada jurisdicción.