NEWS
National Bill to Regulate the Use of Artificial Intelligence / Iniciativa de Ley Nacional para Regular el Uso de la Inteligencia Artificial
Feb 27, 2026
Legal Alert
Iniciativa de Ley Nacional para Regular el Uso de la Inteligencia Artificial | National Bill to Regulate the Use of Artificial Intelligence |
1. Estado del proceso legislativo (al 26 de febrero de 2026). | 1. Legislative status (as of February 26, 2026). |
El 11 de febrero de 2026 se presentó en el Senado una iniciativa para expedir la “Ley Nacional para Regular el Uso de la Inteligencia Artificial”, suscrita por la Senadora Karina Isabel Ruíz Ruíz (MORENA). | On February 11, 2026, an initiative was introduced in the Senate to enact the “National Law to Regulate the Use of Artificial Intelligence”, sponsored by Senator Karina Isabel Ruíz Ruíz (MORENA). |
De acuerdo con reportes públicos, la iniciativa fue turnada a Comisiones Unidas de la Comisión de Análisis, Seguimiento y Evaluación sobre la aplicación y desarrollo de la Inteligencia Artificial en México y de Estudios Legislativos. | According to public reports, the initiative was referred to the Joint Committees of the Committee on Analysis, Monitoring and Evaluation regarding the application and development of Artificial Intelligence in Mexico, and the Committee on Legislative Studies. |
|
|
2. Lectura de fondo: El proyecto somete a la IA a un régimen de control. | 2. Underlying reading: the bill subjects AI to a control regime. |
El artículo 1 del proyecto define el objeto como “regulación y control” del uso de IA, aplicable al ámbito público y privado, y lo vincula de forma expresa a derechos humanos constitucionales y tratados. | Article 1 of the bill defines its purpose as the “regulation and control” of the use of AI, applicable to both the public and private sectors, and expressly links it to constitutional human rights and to treaties. |
La consecuencia práctica de esa redacción es que el cumplimiento se intentará construir y exigir por dos vías simultáneas: obligaciones específicas del texto y estándares abiertos (derechos humanos + principios rectores), lo que típicamente eleva la discrecionalidad interpretativa en implementación y supervisión. | The practical consequence of that drafting is that compliance would be built and enforced through two simultaneous avenues: specific obligations set forth in the text and open-ended standards (human rights + guiding principles), which typically increases interpretive discretion in implementation and oversight. |
|
|
3. ¿Qué regula en la práctica?: cuatro columnas de cumplimiento que ya se ven en el articulado. | 3. What it regulates in practice: four compliance pillars already reflected in the bill. |
a) Datos personales como “eje” de la regulación de IA. | a) Personal data as the “core axis” of AI regulation. |
El proyecto incorpora, dentro de su propio régimen, los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad para el tratamiento de datos personales. | The bill incorporates, within its own regime, the principles of lawfulness, purpose limitation, fairness, consent, data quality, proportionality, information, and accountability for the processing of personal data. |
Ese mismo listado de principios coincide con el marco ya vigente en protección de datos personales para sector público (LGPDPPSO) y también aparece en el marco federal para particulares (LFPDPPP), lo que anticipa una estrategia de cumplimiento basada en “alineación” con estándares ya conocidos, pero ahora integrados dentro de un marco específico de IA. | That same set of principles aligns with the existing framework for personal data protection in the public sector (LGPDPPSO) and also appears in the federal framework applicable to private parties (LFPDPPP), which anticipates a compliance strategy based on “alignment” with standards that are already familiar, but now embedded within an AI-specific framework. |
b) Gestión de riesgos y seguridad de la información como obligación operativa. | b) Risk management and information security as an operational obligation. |
El texto integra obligaciones típicas de gobernanza: políticas internas de tratamiento (incluida eliminación), análisis de riesgos, plan de trabajo para implementar medidas de seguridad y monitoreo periódico de medidas. | The text includes typical governance obligations: internal processing policies (including deletion), risk assessments, a work plan to implement security measures, and periodic monitoring of such measures. |
A su vez, el proyecto incluye definiciones relacionadas con ciberseguridad y cifrado de datos, lo que refuerza que la narrativa de cumplimiento no está centrada en “innovación”, sino en controles, evidencias y trazabilidad. | In addition, the bill includes definitions related to cybersecurity and data encryption, reinforcing that the compliance narrative is not centered on “innovation”, but rather on controls, evidence, and traceability. |
c) Derechos del usuario frente a decisiones automatizadas. | c) User rights regarding automated decisions. |
Se reconoce el derecho del usuario a oponerse cuando el tratamiento automatizado afecte de manera significativa sus intereses, derechos o libertades. | It recognizes the user’s right to object where automated processing significantly affects their interests, rights, or freedoms. |
En términos de riesgo, esa puerta suele activar disputas sobre: qué es “afectación significativa”, qué tanto debe explicarse una decisión automatizada y qué estándar de revisión humana es suficiente, especialmente en sectores con decisiones sensibles (crédito, empleo, seguros, admisiones, acceso a servicios). | From a risk standpoint, that gateway often triggers disputes around what constitutes a “significant effect”, the extent to which an automated decision must be explained, and what standard of human review is sufficient, particularly in sectors involving sensitive decisions (credit, employment, insurance, admissions, access to services). |
d) No discriminación, violencia digital, deepfakes y “neuroderechos” (expansión temática). | d) Non-discrimination, digital violence, deepfakes, and “neuro-rights” (thematic expansion). |
El proyecto define “deepfakes” dentro de sus definiciones y abre un título específico de “no discriminación y neuroderechos”, con obligaciones de identificar y prevenir sesgos algorítmicos (género, edad, discapacidad y otras desigualdades). | The bill defines “deepfakes” among its definitions and creates a specific title on “non-discrimination and neuro-rights”, imposing obligations to identify and prevent algorithmic bias (gender, age, disability, and other inequalities). |
También incorpora un tratamiento expreso de “violencia digital”, con enfoque de prevención, en particular hacia mujeres, niñas y grupos en situación de vulnerabilidad. | It also expressly addresses “digital violence”, with a prevention-focused approach, particularly in relation to women, girls, and vulnerable groups. |
|
|
4. El punto más sensible: el diseño institucional propuesto (y por qué puede trabar el proceso). | 4. The most sensitive point: the proposed institutional design (and why it may slow the process). |
El proyecto plantea una Agencia Nacional Reguladora del Desarrollo, Uso y Aplicación de la Inteligencia Artificial y le asigna funciones asociadas a coordinación, evaluación/certificación/supervisión y, en general, gobernanza nacional del tema. | The bill proposes a National Regulatory Agency for the Development, Use and Application of Artificial Intelligence and assigns it functions related to coordination, evaluation/certification/oversight and, in general, national governance of the subject. |
Esa arquitectura tiene impacto presupuestal y, por diseño constitucional, la aprobación anual del Presupuesto de Egresos es facultad exclusiva de la Cámara de Diputados, lo que normalmente obliga a negociar viabilidad financiera y alcance real de cualquier nuevo aparato institucional. | That architecture has budgetary implications and, by constitutional design, the annual approval of the Federal Expenditure Budget is an exclusive power of the Chamber of Deputies, which typically requires negotiating financial feasibility and the true scope of any new institutional apparatus. |
Adicionalmente, al estar en comisiones unidas, el dictamen debe ser uno solo y aprobado por cada comisión involucrada, lo que en la práctica suele ampliar los puntos de negociación y el tiempo de dictaminación. | Additionally, because the initiative is being reviewed by joint committees, there must be a single opinion approved by each committee involved, which in practice tends to broaden negotiation points and extend the time required for issuance of the opinion. |
|
|
5. Régimen de sanciones y medidas. | 5. Sanctions and measures regime. |
La iniciativa no se limita a “principios” o lineamientos; prevé consecuencias regulatorias escalables, desde medidas correctivas hasta sanciones que pueden afectar la continuidad operativa de un sistema de IA. En términos prácticos, el menú de medidas contempla: multas; suspensión temporal del sistema, servicio o modelo; suspensión definitiva o retiro del mercado; inhabilitaciones; cancelación de registros; y clausuras, además de la remisión de hechos a la Fiscalía General de la República cuando la conducta pudiera constituir delito. | The initiative is not limited to “principles” or guidelines; it provides for scalable regulatory consequences, from corrective measures to sanctions that may affect the operational continuity of an AI system. In practical terms, the menu of measures includes: fines; temporary suspension of the system, service, or model; permanent suspension or withdrawal from the market; disqualifications; cancellation of registrations; and closures, as well as referring matters to the Office of the Attorney General of the Republic (Fiscalía General de la República) where the conduct could constitute a criminal offense. |
Esto vuelve crítico documentar (i) el análisis de riesgos, (ii) la evidencia de medidas de seguridad, (iii) la trazabilidad del tratamiento de datos y (iv) los controles de sesgos/no discriminación, porque la autoridad propuesta tendría una base normativa para exigir correcciones inmediatas y, ante reincidencia o gravedad, imponer medidas más intrusivas. | This makes it critical to document (i) risk analyses, (ii) evidence of security measures, (iii) traceability of data processing, and (iv) bias/non-discrimination controls, because the proposed authority would have a statutory basis to require immediate remediation and, in cases of recurrence or severity, to impose more intrusive measures. |
|
|
6. Régimen de consecuencias: no se queda en “buenas prácticas”. | 6. Consequences regime: it does not remain at the level of “best practices”. |
El propio texto prevé que, cuando los hechos constituyan delitos, la Agencia deberá dar aviso inmediato a la Fiscalía General de la República y demás autoridades. | The text itself provides that, when the facts constitute criminal offenses, the Agency must immediately notify the Office of the Attorney General of the Republic and other authorities. |
Eso convierte varios incumplimientos en potenciales “eventos gatillo” para escalamiento (administrativo a penal), dependiendo de cómo se tipifiquen conductas en legislación paralela y de cómo se construyan los supuestos de dolo/fraude en la aplicación. | This turns various non-compliance events into potential “trigger events” for escalation (from administrative to criminal), depending on how conduct is typified in parallel legislation and how intent/fraud elements are construed in enforcement. |
La iniciativa seguirá en comisiones para su análisis y, en su caso, dictamen. Si avanza, se discutirá y votará en el Senado y después en la Cámara de Diputados; de aprobarse, se publicará en el Diario Oficial de la Federación y entrará en vigor conforme a sus transitorios. En este trayecto, es previsible que el texto se ajuste, sobre todo en lo relativo a la creación de la Agencia propuesta y al alcance de las sanciones. | The initiative will continue through committee review for analysis and, if applicable, issuance of an opinion. If it advances, it will be debated and voted on in the Senate and then in the Chamber of Deputies; if approved, it will be published in the Federal Official Gazette and will enter into force pursuant to its transitory provisions. Along this path, it is foreseeable that the text will be revised, particularly with respect to the creation of the proposed Agency and the scope of sanctions. |
Jair Bravo Gutiérrez
Socio Administrador Nacional / National Managing Partner
Jair.Bravo@FisherBroyles.com
FisherBroyles is an international law firm practicing in a number of jurisdictions both in the United States and overseas through affiliated legal entities and branch offices of those entities. Legal services in Mexico are provided through Bravo Gutierrez & Münch, S.C., a member of FisherBroyles (the “Contracting Member”), with offices located in Mexico City, at Parque Lincoln, 5th Floor, Aristoteles 77, Polanco, Mexico City, Ciudad de Mexico 11560 and in Monterrey, at Blvd. Antonio L. Rodriguez 3000-5to piso Interior, 501 Torre Albia, Col. Santa Maria 64650 Monterrey, N.L.
The FisherBroyles Members engage in coordinated international legal practice and may share certain support services but are separate legal entities, each of which is solely responsible for its own work and is not responsible for the work of any other FisherBroyles Member. Each FisherBroyles Member is subject to the laws and regulations of the particular jurisdiction or jurisdictions in which it operates. Full details of the legal and regulatory status of each FisherBroyles Member are available on the FisherBroyles website.
The use of the name FisherBroyles is for description purposes only and does not imply that the Member Firms are in a partnership or are part of an LLP. The use of the word "partner" on any Member Firm’s website or in any other Member Firm materials refers to a partner or member of a FisherBroyles Member or an employee or consultant with equivalent standing and qualifications. You agree that your relationship is with the Contracting Member and not with another FisherBroyles Member unless otherwise confirmed in writing to you. You also agree that your relationship is not with any individual who is a member, employee, or consultant (including anyone we call a partner) of the Contracting Firm Member, who will therefore assume, to the extent permitted by law, no personal liability to you. Absent the explicit agreement and consent of both entities involved, no FisherBroyles Member is responsible for the acts or omissions of, nor has any authority to obligate or otherwise bind, any other FisherBroyles Member.