Vamos a ser transparentes porque este tema es serio. Un agente de IA que maneja la atención al cliente de tu negocio recopila tres tipos de datos. Primero, datos de contacto: nombre, número de teléfono, y en algunos casos correo electrónico. Segundo, datos de servicio: qué servicios reservan, con qué frecuencia, con qué profesional, y su historial de citas. Tercero, datos de conversación: todo lo que el cliente escribe en el chat.
En negocios como clínicas y consultorios, los datos pueden incluir información de salud: alergias, condiciones médicas, medicamentos. En salones de belleza, fórmulas de color y tipo de piel. En fitness, objetivos de entrenamiento y lesiones. Todo eso es información sensible que necesita protección seria.
La pregunta que debes hacerte es: ¿dónde se almacenan esos datos? ¿Quién tiene acceso? ¿Se comparten con terceros? ¿El proveedor de IA los usa para entrenar sus modelos? Estas preguntas no son paranoicas — son tu responsabilidad legal como negocio que recopila información personal en México.
México tiene la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), vigente desde 2010 y actualizada para contemplar tecnologías como IA. Esta ley te obliga como negocio a informar a tus clientes qué datos recopilas, para qué los usas, con quién los compartes y cómo los proteges. Todo esto se documenta en un Aviso de Privacidad que debe estar disponible antes de recopilar datos.
Si usas un agente de IA, tu Aviso de Privacidad debe mencionar explícitamente que utilizas tecnología de inteligencia artificial para procesar comunicaciones con clientes. No puedes esconderlo en letras chiquitas — tiene que ser claro. El INAI (Instituto Nacional de Transparencia) ha emitido lineamientos específicos que recomiendan que los negocios que usan IA informen a los titulares cuando están interactuando con un sistema automatizado.
Las multas por incumplimiento no son menores. El INAI puede imponer sanciones de $7,000 a $40,000 UMAs, lo que en 2026 representa entre $770,000 y $4,400,000 MXN. Esto aplica aunque seas una barbería de 3 sillas. La ley no distingue por tamaño de negocio. La buena noticia es que cumplir es más fácil de lo que suena si usas una plataforma que ya tiene todo resuelto.
Antes de contratar cualquier plataforma de IA, pregunta estas 5 cosas. Uno: ¿dónde se almacenan los datos? Los servidores deben cumplir con estándares de seguridad como SOC 2 o ISO 27001. Si los datos están en servidores sin certificación, es una bandera roja. Dos: ¿los datos de tu negocio se usan para entrenar el modelo de IA general? La respuesta debe ser no. Tus datos son tuyos y deben usarse solo para mejorar el servicio de TU negocio.
Tres: ¿qué pasa con los datos si cancelas el servicio? Debes poder exportar toda tu información y el proveedor debe eliminarla de sus sistemas en un plazo definido (generalmente 30 a 90 días). Cuatro: ¿quién más tiene acceso a los datos? Solo tú y el personal que autorices deberían poder ver información de clientes. El equipo de soporte del proveedor debería necesitar tu autorización explícita para acceder.
Cinco: ¿el proveedor tiene un encargado de protección de datos? En plataformas serias como Amyra, hay una persona o equipo dedicado a garantizar el cumplimiento de la LFPDPPP y a atender solicitudes ARCO (Acceso, Rectificación, Cancelación y Oposición) de los titulares. Si el proveedor no sabe qué son las solicitudes ARCO, busca otro proveedor.
Empieza con lo básico: actualiza tu Aviso de Privacidad para incluir el uso de IA. No necesitas un abogado para esto — hay plantillas en la página del INAI que puedes adaptar. Lo importante es que mencione: qué datos recopilas, que usas IA para procesarlos, con qué proveedores compartes datos, los derechos del cliente (ARCO) y cómo ejercerlos.
Segundo, configura tu agente de IA para que mencione el aviso de privacidad en la primera interacción con un cliente nuevo. Algo simple: "Al continuar esta conversación, aceptas nuestro aviso de privacidad [link]. Tus datos están protegidos y nunca se comparten con terceros." Es un mensaje de una línea que te protege legalmente.
Tercero, limita qué datos recopila el agente. Si tu negocio es una barbería, el agente no necesita pedir el RFC ni la dirección del cliente. Solo necesita nombre, teléfono y preferencias de servicio. Mientras menos datos recopilas, menos riesgo tienes. Configura el agente para que solo pida la información estrictamente necesaria para dar el servicio.
Las clínicas tienen un reto extra: los datos de salud son información sensible bajo la LFPDPPP. Eso significa que necesitas consentimiento expreso (no solo implícito) del paciente para recopilarlos y procesarlos con IA. El consentimiento debe ser por escrito o su equivalente digital verificable.
En la práctica, esto significa que antes de que el agente de IA acceda al historial médico de un paciente, el paciente debe haber firmado un consentimiento que mencione explícitamente el uso de IA. Muchas clínicas lo incluyen en el formato de primera consulta. Si tu clínica ya tiene un formato de consentimiento, necesitas actualizarlo para incluir la cláusula de IA.
Una consideración importante: el agente de IA para clínicas debe estar configurado para no dar diagnósticos ni recomendaciones médicas. Puede agendar citas, enviar recordatorios, proporcionar información general y recopilar datos preliminares, pero cualquier consulta médica debe transferirse a un profesional de salud. Esto no es solo buena práctica — es requisito legal. Configura límites claros y revísalos periódicamente.
Bajo la LFPDPPP, cualquier cliente tiene derecho a pedir que elimines sus datos personales. Esto se llama derecho de cancelación y es parte de los derechos ARCO. Cuando un cliente lo solicita, tienes 20 días hábiles para responder y ejecutar la eliminación.
Con un sistema de IA, esto implica borrar no solo el perfil del cliente en tu sistema de gestión, sino también su historial de conversaciones con el agente. Plataformas bien diseñadas como Amyra tienen un botón de eliminación completa que borra todo: perfil, historial de citas, conversaciones, fórmulas, preferencias. Un clic y desaparece de todo el sistema.
Eso sí, hay excepciones legales. Si tienes una obligación fiscal de conservar ciertos datos (como facturas emitidas), puedes conservar lo estrictamente necesario para cumplir esa obligación, pero debes informar al cliente. También puedes conservar datos anonimizados (sin identificación personal) para estadísticas de tu negocio. La clave es tener un proceso claro y documentado para cuando llegue la solicitud — porque va a llegar.
Amyra contesta tu WhatsApp 24/7, agenda, cobra y manda recordatorios. Nosotros lo configuramos por ti en 48 horas. 3 meses desde $1,249 MXN/mes.
Setup en 48 horas. Sin contratos. Cancela cuando quieras.