Cómo Lanzar Funciones de IA en Sectores Regulados en América Latina
Cómo lanzar IA en sectores regulados en América Latina sin ser bloqueado. Un playbook de LGPD, supervisión humana, trazabilidad y el PL 2338.
Lanzar IA en sectores regulados se reduce a una disciplina. Usted tiene que probar, después del hecho, exactamente cómo se tomó cualquier decisión consecuente. En un sector regulado de América Latina el fiscalizador tiene nombre, plazo legal y multa, así que la construcción cambia antes de que usted escriba la primera línea de código de producto.
Este es un playbook de construcción, no otro argumento de que la regulación es un moat. Avante Ventures es un venture studio que construye empresas AI-native en Brasil y América Latina, y sus ventures operan en verticales donde un regulador o un tribunal puede sacar un producto del aire en una tarde. Los movimientos que evitan eso son concretos. Clasifique el caso de uso por riesgo, mantenga un humano en toda decisión consecuente, registre cada entrada y salida del modelo, y diseñe para los derechos del titular desde el esquema de la base de datos.
Qué cambian realmente los sectores regulados en la construcción
La regulación no decide si usted lanza IA. Decide qué tiene que poder probar una vez que lo hizo. En una app no regulada, una salida equivocada es un bug que arregla el viernes. En una vertical regulada, la misma salida es un pasivo con un fiscalizador de nombre propio, la ANPD, esperando del otro lado.
Cuatro cosas cambian en el momento en que la vertical es regulada.
- Explicabilidad. Usted tiene que declarar, en lenguaje claro, los criterios y el procedimiento detrás de cualquier decisión automatizada. El artículo 20 de la LGPD le da al titular el derecho de pedir revisión de una decisión tomada únicamente por tratamiento automatizado, y el controlador tiene que entregar información clara sobre los criterios usados.
- Responsabilidad humana. Una decisión consecuente necesita un humano con nombre que pueda anular el modelo y responder por el resultado. Esa es la línea entre un copilot que recomienda y un sistema que decide solo.
- Trazabilidad. Cada entrada, salida, versión de prompt y acción humana tiene que quedar registrada y ser reconstruible meses después. Un regulador no acepta la respuesta de que el modelo lo dijo.
- Tratamiento de datos. Los datos personales usados para entrenar o alimentar el modelo caen bajo la LGPD. Base legal, límites de retención y derechos del titular son restricciones de construcción desde el día uno, no funciones que usted acopla antes del lanzamiento.
Las sanciones administrativas de la LGPD llegan a una multa simple de hasta 2% de los ingresos de la empresa en Brasil en el ejercicio anterior, limitada a R$50 millones por infracción, aplicada por la ANPD. Ese es el costo de no poder explicar una salida.
— Artículo 52 de la LGPD, aplicado por la ANPD
Lanza IA en un sector regulado en seis pasos
Esta es la secuencia que un operador puede empezar esta semana. Cada paso se ata a un gancho legal brasileño específico, no a una buena práctica genérica de un slide de proveedor.
- Clasifique el caso de uso por riesgo antes de escribir código de producto. El PL 2338/2023, el proyecto de ley de IA de Brasil, usa una clasificación de riesgo al estilo del EU AI Act. El artículo 14 trata los sistemas en reclutamiento, educación, otorgamiento de crédito y servicio público como de alto riesgo. Si su función cae ahí, construya para el régimen de alto riesgo ahora, no después de la auditoría.
- Mantenga un humano en el circuito en cualquier decisión consecuente. El modelo redacta, puntúa o recomienda. Un humano calificado confirma o anula antes de que la decisión llegue a la persona, y esa acción se registra como evento de primera clase.
- Registre cada entrada y salida del modelo. Prompt, versión del modelo, datos de entrada, salida, confianza, el revisor y la decisión final, todo con sello de fecha y consultable. Ese es el registro que usted le entrega a un regulador.
- Diseñe para los derechos del titular desde el esquema. Acceso, corrección, eliminación y revisión de decisión automatizada pertenecen al modelo de datos antes del lanzamiento. Encajar eso en un producto ya en vivo es donde los equipos queman trimestres.
- Restrinja el modelo con guardrails. Validación de entrada, filtros de salida, rechazo de prompts fuera de alcance y una cola de revisión para salidas de baja confianza o de alto riesgo. El modelo trabaja dentro de una cerca, no en campo abierto.
- Corra una evaluación de impacto algorítmico y manténgala vigente. El PL 2338 obliga a los operadores de alto riesgo a evaluar, documentar y monitorear de forma continua. Amarre la evaluación a cada versión del modelo y trátela como documento vivo.
Si usted construye un control primero, ponga un humano con nombre en toda decisión consecuente y registre la anulación. Es lo más barato de lanzar y lo primero que un regulador pide ver.
Supervisión humana y la trazabilidad
La supervisión humana y la trazabilidad son las dos mecánicas que separan un producto de IA regulado defendible de una demanda judicial. Supervisión significa que un humano con nombre ve la recomendación del modelo y las entradas detrás de ella, puede anularla y tiene esa anulación registrada. La trazabilidad significa que cualquier decisión pasada puede reconstruirse después. Qué versión del modelo, qué prompt, qué datos, qué humano firmó abajo.
Es esto lo que el PL 2338 formaliza. Los operadores de alto riesgo tienen que mantener estructuras de gobernanza, correr evaluaciones de conformidad y de impacto algorítmico, y monitorear los sistemas de forma continua, con la ANPD prevista para coordinar el sistema nacional de gobernanza de IA bajo el proyecto.
La falla que esto previene es la que termina ventures. Un equipo lanza un modelo opaco que hace una llamada consecuente. Un tribunal o la ANPD le pide que explique una sola salida. No puede. Sin registro, sin humano responsable, sin explicación. La construcción de supervisión y trazabilidad es exactamente lo que le permite responder esa pregunta con un documento en vez de un encogimiento de hombros.
Diseñando para la LGPD y los niveles de riesgo del PL 2338
La LGPD se aplica hoy. El PL 2338 viene en camino. Construya para los dos ahora y no lo toman por sorpresa cuando pase la ley de IA.
La LGPD gobierna los datos personales, y la ANPD es la fiscalizadora. El artículo 20 da el derecho de revisión de decisión automatizada. El artículo 52 fija las sanciones, hasta 2% de los ingresos en Brasil limitado a R$50 millones por infracción. Son obligaciones vivas, no futuras.
El PL 2338/2023 es el proyecto de ley específico de IA. El Senado lo aprobó el 10 de diciembre de 2024. Luego pasó a la Cámara de Diputados, donde se creó una comisión especial de 33 miembros el 4 de abril de 2025, con el diputado Aguinaldo Ribeiro como relator. A mediados de 2025 esperaba el dictamen del relator, en régimen de prioridad, con audiencias públicas en curso. Verifique el estado actual en la fecha de publicación, porque el proyecto está en movimiento activo.
La consecuencia práctica es simple. Mapee su función a un nivel de riesgo y construya los controles que ese nivel exige. Un asistente de scoring de crédito es de alto riesgo y necesita evaluación de impacto, revisión humana y trazabilidad completa. Un copilot interno de redacción de documentos que no toca dato personal y no hace decisión consecuente es de bajo riesgo y puede lanzar liviano. Gastar esfuerzo de alto riesgo en una función de bajo riesgo es un tipo de falla por sí mismo.
El uso de IA entre empresas industriales brasileñas con 100 o más empleados subió de 16.9% en 2022 a 41.9% en 2024. Conforme la adopción escala hacia decisiones que afectan a personas, la superficie de fiscalización de la ANPD escala con ella.
— IBGE, 2024
Cómo el trabajo de cumplimiento se vuelve moat y conjunto de datos
La construcción de cumplimiento no es puro costo. Hecha bien, se vuelve el mismo activo propietario que acciona el flywheel copilot, dato, capital. Cada decisión registrada, cada anulación humana, cada salida revisada es dato etiquetado sobre cómo los expertos hacen llamadas de verdad en esta vertical. Un competidor generalista raspando dato público no puede reproducirlo. Vea cómo el flywheel copilot, dato, capital convierte ese uso en capital.
El loop corre igual bajo regulación. El copilot genera decisiones y correcciones humanas. Esas correcciones son dato propietario de entrenamiento y de evaluación. Ese dato afila el modelo y construye un conjunto de evaluación específico del dominio que ningún competidor tiene, que es el punto real de cómo las evals de dominio se vuelven el moat. Las evals y el registro listo para auditoría se vuelven la defensibilidad, y la tracción sostiene el levantamiento.
La cicatriz regulatoria se compone en la misma dirección. Los operadores de dominio con más de 10 años de cicatriz del mercado brasileño saben qué controles revisa de verdad un regulador, no solo lo que dice el estatuto. Esa es la diferencia entre un producto que pasa una auditoría y uno que improvisa durante ella, y es una ventaja que un generalista no cruza leyendo la ley.
Modos de falla: automatizar una decisión que debes poder defender
El modo de falla principal es automatizar una decisión consecuente que la venture no puede defender. Un equipo lanza un modelo opaco que aprueba, niega, precifica o puntúa a una persona, sin humano responsable y sin trazabilidad, y luego no puede explicar una sola salida a un regulador o a un tribunal. Eso no es un bug. Es el evento que saca el producto del aire y emite la multa.
El resto de las fallas es más silencioso e igual de caro.
- Encajar los derechos de la LGPD después del lanzamiento. Acceso, eliminación y revisión de decisión automatizada se empujan a un sprint futuro. Luego llega una solicitud de titular o una consulta de la ANPD y no hay flujo para atenderla.
- Medir lo equivocado. El equipo optimiza la exactitud del modelo en un benchmark genérico y nunca construye la eval de dominio que refleja cómo un regulador juzga una decisión. La exactitud no es defensibilidad.
- Dependencia de proveedor y de modelo. Un único modelo cerrado sin registro de prompts y versiones significa que un cambio upstream altera decisiones en silencio, y no hay registro del comportamiento anterior.
- Sobreautomatización por sí misma. Sacar al humano de una decisión para recortar costo, en una vertical donde el humano es justamente lo que hace la decisión defendible.
- Tratar el modelo como el moat, que es la trampa del wrapper de IA. El modelo es alquilable por cualquiera. El moat es el dato propietario de decisión, las evals de dominio y el flujo listo para auditoría que la construcción de cumplimiento crea.
Cómo Avante construye en dominios judicial y de seguros
Avante Ventures es un venture studio que construye empresas AI-native en Brasil y América Latina, y el portafolio muestra este playbook corriendo en verticales reguladas, descrito por dominio. En valuación de activo judicial, una plataforma AI-native puntúa y valúa créditos judiciales, un dominio donde cada llamada consecuente tiene que resistir escrutinio legal y el registro documentado es el producto. En scoring de riesgo de seguro, una API asíncrona de precificación y riesgo opera donde reguladores, estándares actuariales y la ley de protección de datos pesan todos sobre una sola salida.
En los dos, la restricción es idéntica. El modelo recomienda, un humano calificado es responsable, cada decisión se registra, y el conocimiento regulatorio de más de 10 años de cicatriz del mercado brasileño es la parte que un generalista no copia. Eso es complejidad regulatoria convertida en ventaja, sumada a un playbook de Silicon Valley y capital de primer cheque ensamblados el día uno. Avante lanza 3-4 ventures por año mediante su sistema de seis etapas de Research, Partner, Build, Traction, Revenue, Compound, desplegando $500K-1.5M por venture, así que la plomería de cumplimiento y de dato se resuelve una vez y se reutiliza. Eso enruta cerca de $300K-500K de capital efectivo por venture hacia producto en vez de overhead. Lea la tesis en /why-avante.
La lección vale para toda construcción regulada. Los equipos que pierden son los que automatizan la decisión y rezan para que nadie pregunte. Los equipos que ganan pueden entregar el registro, nombrar al humano que firmó y explicar la salida. En una vertical regulada, poder responder esa pregunta es el producto.
Preguntas frecuentes
- ¿Qué cambia al lanzar IA en sectores regulados?
- Lanzar IA en sectores regulados cambia lo que usted tiene que poder probar, no si puede lanzar. Necesita explicabilidad, un humano con nombre responsable por cualquier decisión consecuente, una trazabilidad de cada entrada y salida del modelo, y tratamiento de datos conforme a la LGPD desde el día uno. La construcción carga esas restricciones antes de la primera línea de código.
- ¿La LGPD aplica a funciones de IA en Brasil?
- Sí. La LGPD gobierna cualquier función de IA que trate datos personales en Brasil, y la ANPD la aplica. El artículo 20 le da a las personas el derecho de pedir revisión de una decisión tomada únicamente por tratamiento automatizado, y el artículo 52 fija multas de hasta 2% de los ingresos en Brasil, limitadas a R$50 millones por infracción.
- ¿Cómo afecta el PL 2338/2023 al lanzar IA en sectores regulados?
- El PL 2338/2023 es el proyecto de ley de IA de Brasil, aprobado por el Senado en diciembre de 2024 y ahora en la Cámara de Diputados. Usa una clasificación de riesgo al estilo del EU AI Act que prohíbe los sistemas de riesgo excesivo e impone evaluaciones de impacto, supervisión humana y monitoreo continuo a los sistemas de alto riesgo como crédito, reclutamiento, educación y servicio público. Verifique el estado actual en la fecha de publicación, ya que el proyecto está en movimiento activo.
- ¿Cómo se mantiene un humano en el circuito de una decisión de IA?
- Haga que el modelo recomiende o puntúe, y luego exija que un humano calificado con nombre confirme o anule antes de que la decisión afecte a una persona, registrando esa acción como evento de primera clase. Ese es el único control que un regulador revisa primero y el más barato de construir. Es también lo que convierte una llamada automatizada opaca en una defendible.
- ¿Cómo se vuelve el trabajo de cumplimiento un moat competitivo?
- Cada decisión registrada y anulación humana es dato propietario y etiquetado sobre cómo los expertos hacen llamadas en una vertical regulada, lo que acciona el flywheel copilot, dato, capital. Un generalista raspando dato público no puede reproducirlo. Las evals de dominio y el registro listo para auditoría que genera se vuelven defensibilidad que ningún modelo de estante tiene.
¿Quieres más? Recibe un ensayo a la semana sobre venture building, negocios AI-native y la oportunidad Brasil.
Ver Biblioteca completa →