Por Hugo Olvera Ortega — Director de Analítica y Datos en Yuntek, asesor y arquitecto de soluciones en tecnología e innovación digital con más de 25 años de experiencia en sectores como salud, financiero, retail y manufactura, en soluciones de IA, Big Data, Data Lake, cloud y ERP.
Durante más de 25 años acompañando a organizaciones de salud, finanzas, retail y manufactura en sus procesos de transformación, he visto repetirse un mismo patrón: las empresas invierten en tecnología antes de gobernar el activo que la hace funcionar. En 2026, ese orden invertido ya no es sostenible. México atraviesa un punto de inflexión en el que el dato dejó de ser un subproducto técnico para convertirse en el centro de la conversación de cada comité directivo.
El gobierno de datos en nuestro país debe evolucionar de un cumplimiento reactivo a una capacidad estratégica, y ese tránsito tiene nombre, plazos y métricas. No es un ejercicio de cumplimiento normativo más; es la base sobre la cual cualquier iniciativa de inteligencia artificial podrá o no escalar de forma segura y rentable.
Figura 1. Los tres indicadores que definen la urgencia del gobierno de datos en México [1][2][3].
Tres fuerzas que están presionando al mismo tiempo
Lo que hace particular al 2026 no es una sola tendencia, sino la convergencia simultánea de tres presiones que empujan en la misma dirección. Analizadas por separado, cada una sería manejable; combinadas, obligan a repensar cómo se gestiona el dato a nivel corporativo.
La primera es legal. La nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) se publicó en el Diario Oficial de la Federación el 20 de marzo de 2025 y entró en vigor al día siguiente, el 21 de marzo de 2025, abrogando la ley de 2010 [1][4]. Entre sus cambios de fondo destacan la desaparición del INAI —cuyas funciones de supervisión asumió la Secretaría Anticorrupción y Buen Gobierno—, una definición ampliada de “responsable” que incorpora a más sujetos obligados, nuevos requisitos en los avisos de privacidad y la exigencia de distinguir explícitamente entre finalidades que requieren consentimiento y las que no [4][5]. La consecuencia práctica para las empresas es clara: ya no basta con tener una política guardada en un cajón; hay que demostrar trazabilidad, control y responsabilidad proactiva.
La segunda es la brecha de inteligencia artificial. Según el Informe de Madurez Digital en México 2025 —elaborado por EY México, Needed Education, KIO Networks y American Chamber México—, solo el 1 % de las empresas encuestadas ha alcanzado la “madurez plena en IA”, entendida como la integración completa de la tecnología en sus flujos de trabajo [2][3]. Existe, por tanto, un abismo entre la inversión y la adopción efectiva. Y aquí está el matiz que insisto en repetir ante los consejos directivos: sin gobierno de datos, la IA no escala valor, escala riesgos y deuda técnica.
La tercera es la madurez digital, que en México promedia apenas un 41.7 %, todavía a 30 puntos del umbral ideal del 70 % y con un crecimiento de apenas 3.45 % respecto al año anterior [2][6]. Es un nivel que limita la escalabilidad y deja a muchas iniciativas atrapadas en pilotos que nunca llegan a producción. No es casualidad que los propios directivos consultados en ese estudio identifiquen la gobernanza de datos y la ciberseguridad como sus principales retos para adoptar IA generativa [6].
La conclusión es directa y la repito como consigna: el dato aislado no genera valor; el dato gobernado habilita la transformación.
¿Todos los sectores parten del mismo lugar? No
Una de las partes más reveladoras de nuestro análisis es el mapa de madurez comparativo entre sectores. Las diferencias importan, porque definen prioridades distintas y desmontan la idea de que existe una receta única. No se gobierna igual el dato clínico de un hospital que el dato transaccional de una cadena de retail o el dato operativo de una planta manufacturera.
Figura 2. Benchmarking sectorial en las dimensiones clave del gobierno de datos (2026).
La lectura ejecutiva transversal puede resumirse en tres focos:
- Salud y Logística enfrentan la mayor presión regulatoria —interoperabilidad clínica y exigencias del T-MEC—, lo que las obliga a altos niveles de cumplimiento, pero todavía con un rezago notable en gobierno estructurado.
- Retail lidera la explotación analítica y el aprovechamiento de los datos de cliente, aunque arrastra desafíos en la gestión de consentimientos y preferencias bajo el nuevo marco legal.
- Manufactura y Logística priorizan la trazabilidad operativa, donde la integración entre los mundos OT (planta) e IT (negocio) sigue siendo débil y representa un foco de riesgo de ciberseguridad.
El desafío común a todos en 2026 es el mismo: elevar la madurez del gobierno de datos para habilitar una IA que realmente escale, en lugar de quedarse en demostraciones aisladas.
Los riesgos que ningún comité debería ignorar
Cuando el dato no se gobierna, los riesgos no son hipotéticos. Hay cuatro que cruzan a todos los sectores: los silos de información, el Shadow IT —tecnología adoptada fuera del control corporativo—, el cumplimiento reactivo y las brechas de seguridad.
Pero cada industria tiene su propia versión del problema. En salud, esto se traduce en interoperabilidad incompleta entre sistemas clínicos y administrativos, registros duplicados, datos clínicos de baja calidad y falta de identificación unívoca del paciente —además de una brecha crítica de talento en gobernanza de datos médicos—. En retail, en exposición al fraude en transacciones digitales y una gestión deficiente de consentimientos. En manufactura, en vulnerabilidades de ciberseguridad sobre la infraestructura OT y falta de estandarización de los datos operativos. En logística, en la ausencia de trazabilidad obligatoria ante las nuevas reglas del T-MEC 2026 y una integración débil entre los sistemas TMS, WMS y ERP.
La buena noticia es que estos riesgos se mitigan con prioridades concretas e inmediatas: un catálogo de datos con linaje, un comité de datos con políticas claras, controles DLP/SIEM y evaluaciones de impacto (DPIA). Ninguna de estas medidas requiere una inversión desproporcionada; lo que requieren es decisión directiva.
Cómo gobernar sin caer en el “Big Bang”
Una pregunta recurrente en los consejos directivos es: ¿por dónde empezamos? Mi recomendación se apoya en combinar tres marcos de referencia probados, cada uno con un propósito distinto y complementario, en lugar de intentar implementarlos todos de golpe.
- DAMA para diseñar: define el “qué” debe gestionarse y establece un lenguaje común a partir de sus once áreas de conocimiento (gobierno, calidad, arquitectura, seguridad, entre otras).
- DCAM para medir: evalúa capacidades con evidencia, identifica brechas reales y permite priorizar el roadmap por valor.
- COBIT para gobernar: conecta el gobierno de datos con los objetivos de negocio, la gestión de riesgos y la auditoría, alineando IT con el gobierno corporativo.
Pero los marcos no se implementan en un único gran despliegue. La clave está en avanzar por dominios prioritarios, lograr quick wins en los primeros 90 días, definir una hoja de ruta trimestral con KPIs medibles e iterar con base en casos de uso concretos. La gobernanza que funciona es la que entrega valor visible rápido, no la que promete perfección en dos años.
La hoja de ruta que estoy proponiendo
El gobierno de datos no se decreta, se construye por fases. La que llevo a los comités directivos se estructura en tres etapas encadenadas, cada una con entregables y métricas propias.
Figura 3. Hoja de ruta de implantación por fases, 2026–2027.
- Fase 1 (0–90 días): Diagnóstico y cumplimiento. Auditoría integral de fuentes de datos, evaluación de impacto (DPIA), actualización inmediata de avisos de privacidad y contratos conforme a la LFPDPPP, definición de roles (Data Owners y Data Stewards) y hardening de seguridad sobre los accesos críticos. Esta fase responde directamente a la recomendación regulatoria de revisar fuentes y contratos ante el nuevo marco legal [7].
- Fase 2 (3–6 meses): Gobernanza y calidad. Implementación de Data Catalog y glosario de negocio unificado, gestión de calidad de datos y Master Data Management (MDM) básico, plataforma de gestión de consentimientos (CMP) y controles avanzados DLP/SIEM para prevención de fugas.
- Fase 3 (6–12 meses): Transformación sectorial. Interoperabilidad HL7 FHIR e identidad unívoca en salud; CDP 360 con privacidad por diseño y por defecto en retail; data lakehouse con IIoT gobernado en planta para manufactura; y trazabilidad T-MEC integrada con TMS/WMS/ERP en logística.
La decisión está sobre la mesa
Lo que solicito a cada comité directivo es concreto: aprobar el inicio de la Fase 1, asignar presupuesto y nombrar formalmente al Comité de Gobierno de Datos, priorizando el cumplimiento regulatorio y la mitigación de riesgos operativos. Es una decisión de consejo, no una tarea delegable al área técnica.
Y para que esa decisión no quede en buenas intenciones, propongo medirla con KPIs ejecutivos claros y verificables:
- Cumplimiento: SLA de derechos ARCO por debajo de 20 días.
- Gobernanza: porcentaje creciente de datasets certificados.
- Seguridad: reducción del 40 % en incidentes.
- Valor de negocio: cinco casos de IA en producción.
El mensaje de fondo que llevaré al Summit es este: en 2026, gobernar el dato dejó de ser una tarea técnica para convertirse en una decisión de consejo. Las organizaciones que entiendan que el dato es un activo corporativo real —y no un subproducto— serán las que conviertan la presión regulatoria y tecnológica en ventaja competitiva. El resto seguirá apagando incendios.
Yuntek, main sponsor del IA Data Explote 2026
La transformación digital de la salud tendrá un protagonista de primer nivel en el Techtegia Summit IA Data Explote 2026.
Yuntek, empresa especializada en tecnología y consultoría de software para el sector sanitario, se suma como Main Sponsor de este encuentro que reunirá en México a más de 500 decisores y 30 speakerspara debatir sobre el presente y futuro de la inteligencia artificial, los datos y la innovación empresarial.
Con una propuesta centrada en la modernización de clínicas y hospitales mediante inteligencia artificial, machine learning y soluciones en la nube, Yuntek llega al evento para compartir cómo la tecnología puede convertirse en un aliado estratégico para optimizar procesos médicos, reducir la carga administrativa y fortalecer la calidad de la atención al paciente.
Su participación aportará una visión práctica sobre la aplicación de tecnologías emergentes en uno de los sectores más desafiantes y sensibles de la transformación digital, demostrando que la innovación cobra verdadero valor cuando se traduce en mejores experiencias y resultados para las personas.
Para más información sobre Yuntek, visite sus espacios oficiales
Referencias
[1] Cámara de Diputados del H. Congreso de la Unión. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicada en el DOF el 20 de marzo de 2025). diputados.gob.mx
[2] EY México, Needed Education, KIO Networks y American Chamber México. Informe de Madurez Digital en México (IMD) 2025. ey.com / amcham.org.mx
[3] American Chamber México. “Empresas mexicanas alcanzan 41.7 % en transformación digital: Informe de Madurez Digital 2025”. amcham.org.mx, marzo 2025.
[4] EY México. “Entrada en vigor de la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares”. ey.com (vigencia 21 de marzo de 2025).
[5] Greenberg Traurig / Basham / KPMG México. Análisis de la nueva LFPDPPP: desaparición del INAI, Secretaría Anticorrupción y Buen Gobierno y cambios en avisos de privacidad y consentimiento, 2025.
[6] Swissinfo / Needed Education. “Empresas mexicanas están lejos de alcanzar madurez digital” (41.7 %, +3.45 % anual; gobernanza de datos y ciberseguridad como principales retos), marzo 2025.
[7] Hogan Lovells. “Nueva Ley Federal de Protección de Datos de México: implicaciones para las empresas” (auditoría integral de fuentes y revisión de contratos), 2025.
