Filtros de privacidad en inteligencia artificial: entre la mitigación del riesgo y la falsa anonimización

La incorporación de inteligencia artificial generativa en operaciones empresariales ha modificado de forma significativa la forma en que se materializa el tratamiento de datos personales. Durante años, la protección de datos se estructuró en torno a controles de acceso, cláusulas contractuales y avisos de privacidad. Esa lógica resulta insuficiente cuando los datos ya no solo se almacenan, sino que se integran en prompts, flujos automatizados y modelos capaces de inferir información no expresamente declarada.

Este desplazamiento —de la protección del dato hacia la gestión del proceso— forma parte de una transformación más amplia en la forma en que la inteligencia artificial reconfigura las estructuras jurídicas, como se analiza en IA en la era algorítmica.

En ese contexto, los llamados filtros de privacidad —herramientas diseñadas para detectar y ocultar información personal antes de que sea procesada por sistemas de IA— han adquirido relevancia como una capa técnica de mitigación. OpenAI, por ejemplo, ha servido como referencia en la discusión pública sobre cómo reducir la exposición de información personalmente identificable antes de que llegue a modelos de lenguaje. Sin embargo, el punto jurídico no está en si estos filtros son técnicamente útiles, está en si pueden sostener una conclusión de cumplimiento.

La respuesta exige cautela pues un filtro de privacidad puede reducir el riesgo, pero no transforma automáticamente un tratamiento de datos personales en un entorno jurídicamente irrelevante.

El filtro como medida de gestión, no como certificado de cumplimiento

Si consideramos la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la utilidad jurídica de un filtro se relaciona principalmente con los principios de proporcionalidad, calidad y responsabilidad, así como con el deber de implementar medidas de seguridad adecuadas. Si una organización utiliza inteligencia artificial para analizar documentos, atender usuarios, procesar expedientes o generar respuestas automatizadas, tiene el deber de limitar el tratamiento a los datos necesarios para la finalidad informada.

En ese sentido, el filtro de privacidad funciona como una medida técnica razonable: intercepta el dato antes de que sea enviado a un proveedor externo o a un modelo de lenguaje, identifica elementos como nombres, correos electrónicos, domicilios, teléfonos, identificadores o credenciales, y los sustituye o bloquea. Bien implementado, disminuye la superficie de exposición y permite documentar una decisión preventiva dentro del sistema de cumplimiento.

Pero su valor no debe sobredimensionarse. El filtrado no elimina por sí mismo la naturaleza jurídica del tratamiento. Para detectar un dato personal, la herramienta debe procesarlo primero y esa operación intermedia también constituye tratamiento de datos personales, en la medida en que implica acceso, análisis y posible transformación de información identificable y, por tanto, debe estar cubierta por una base de licitud, una finalidad clara, medidas de seguridad y una arquitectura documental coherente.

Anonimización, seudonimización y el problema de la inferencia

Uno de los errores más frecuentes consiste en presentar el filtrado como anonimización. Jurídicamente, esa afirmación suele ser excesiva pues la anonimización exige que el titular no pueda ser identificado ni reidentificado por medios razonables, considerando el contexto, la tecnología disponible y la posible combinación de datos. En cambio, muchos filtros operan en un plano más cercano a la seudonimización: sustituyen identificadores directos, pero conservan contexto, atributos, relaciones y patrones que pueden permitir la reconstrucción de identidad.

Un prompt puede omitir el nombre de una persona y, aun así, contener suficientes elementos para identificarla: cargo específico, ubicación, historial profesional, relación con una empresa pequeña, padecimiento médico, conflicto laboral o referencia a un expediente. Con la llegada de la inteligencia artificial, el riesgo no se agota en el dato visible; se amplía por la capacidad inferencial del sistema.

La forma en que se estructuran los prompts no es neutral: define qué datos se introducen al sistema y, por tanto, el nivel de exposición jurídica, como se explora en el desarrollo del prompt jurídico estratégico.

Una organización puede creer que ha eliminado datos personales porque sustituyó nombres o correos, cuando en realidad solo redujo la evidencia más obvia de identificación. El riesgo de reidentificación permanece, especialmente cuando la información filtrada se combina con bases internas, fuentes públicas o conocimiento contextual del usuario que formula la consulta.

Por ello, el análisis jurídico no debe preguntar únicamente si el filtro detecta PII, sino si el resultado conserva elementos suficientes para individualizar a una persona. La protección de datos en IA exige evaluar el contexto semántico, no solo la presencia de identificadores.

Cuando la herramienta no sustituye la responsabilidad jurídica

El principal riesgo de estos mecanismos es la falsa sensación de cumplimiento en materia de protección de datos en entornos de inteligencia artificial. Una empresa puede adoptar un filtro de privacidad, integrarlo a sus sistemas y asumir que con ello queda resuelto el problema regulatorio.

La LFPDPPP no exige únicamente instalar herramientas; exige implementar medidas de seguridad físicas, técnicas y administrativas. El filtro responde solo a una parte de esas obligaciones. Su eficacia depende de políticas de uso de IA, capacitación de usuarios, clasificación de información, controles de acceso, gestión de proveedores, bitácoras auditables, criterios de retención y procedimientos para atender derechos ARCO.

Además, los filtros no son infalibles. Pueden fallar por ambigüedad lingüística, formatos regionales, errores de transcripción, abreviaturas, documentos escaneados, términos médicos, expresiones coloquiales o datos insertados en campos no estructurados. También pueden sobrecargar el texto, eliminando contexto necesario para la finalidad legítima del tratamiento. En ambos extremos hay riesgo: si filtran de menos, exponen datos; si filtran de más, afectan trazabilidad, calidad e integridad de la información.

La pregunta relevante para el responsable no es si usa una solución reconocida, sino si puede demostrar que esa solución es adecuada para su caso concreto. En sectores como salud, servicios financieros, recursos humanos, litigio, atención a clientes o propiedad intelectual, la sensibilidad del dato exige una validación más estricta que la simple confianza en el proveedor tecnológico.

OpenAI como referencia y el problema del proveedor

La discusión sobre OpenAI y otros proveedores globales muestra con claridad el punto central: el riesgo no se limita al modelo principal. En los flujos reales, los datos pueden pasar por interfaces, APIs, sistemas de monitoreo, registros de seguridad, herramientas de moderación, filtros previos y proveedores intermedios. Cada capa puede tener una función legítima, pero también puede representar un nuevo punto de tratamiento.

Esto es especialmente relevante en transferencias internacionales de datos. Si una organización mexicana envía información a servicios alojados fuera del país, debe revisar no solo los términos contractuales del modelo de IA, sino toda la cadena de procesamiento. El filtro puede reducir la exposición, pero si está alojado por un tercero, si genera logs o si conserva metadatos sobre los datos detectados, entonces también debe ser integrado al mapa de tratamiento.

La gobernanza jurídica de IA no puede descansar en la promesa de que “los datos no se usan para entrenar”. Esa cláusula puede ser relevante, pero no resuelve el problema de fondo. Persisten preguntas sobre retención temporal, acceso por personal autorizado, subencargados, monitoreo de abuso, seguridad de registros y capacidad de atender solicitudes de cancelación u oposición.

Derechos ARCO y trazabilidad: el costo oculto del filtrado

El filtrado también plantea una tensión con los derechos ARCO. Si el sistema elimina, sustituye o transforma datos personales antes de su procesamiento, puede reducir la exposición, pero también puede dificultar la trazabilidad. Para atender un derecho de acceso o cancelación, el responsable debe saber qué datos trató, con qué finalidad, durante cuánto tiempo, bajo qué sistemas y frente a qué proveedores.

Un filtro mal documentado puede borrar evidencias necesarias para cumplir. La privacidad no consiste únicamente en ocultar información; también exige gobernar su ciclo de vida. Con la IA, esa gobernanza requiere saber cuándo un dato fue interceptado, qué regla se aplicó, qué versión del filtro intervino, si hubo revisión humana y si el dato residual seguía siendo identificable.

La anonimización aparente puede convertirse así en un obstáculo probatorio. Si el responsable no puede explicar cómo opera el filtro ni demostrar sus límites, difícilmente podrá sostener que actuó con diligencia.