La regulación de la IA en todo el mundo: lo que todo usuario debe saber ahora mismo.
Esta mañana has abierto ChatGPT. Quizá lo has usado para redactar un correo electrónico, resumir un contrato o averiguar por qué tu pan de masa madre siempre queda tan compacto. En lo que probablemente no pensaste: el marco legal —o la ausencia total del mismo— que subyace a esa conversación. ¿Esa brecha entre lo que la IA puede hacer y lo que los gobiernos han decidido hacer al respecto? Es enorme. Y está cambiando rápidamente, de formas que afectarán directamente a cómo utilizas estas herramientas.
Esto no es un informe sobre políticas. Es una guía para quienes realmente utilizan la IA y quieren entender qué implica en la práctica este mosaico normativo.
La Ley de IA de la UE: el primer marco normativo real del mundo (y ya está dando quebraderos de cabeza).
La Unión Europea fue la primera en dar el paso. La Ley de IA de la UE entró oficialmente en vigor en agosto de 2024 y es la legislación sobre IA más completa que se ha aprobado hasta la fecha. Se basa en un sistema de clasificación por niveles de riesgo: la IA de bajo riesgo (filtros de spam, recomendaciones de listas de reproducción) queda prácticamente al margen. La IA de alto riesgo (algoritmos de contratación, diagnósticos médicos, puntuación crediticia) se enfrenta a requisitos estrictos: supervisión humana obligatoria, documentación sobre transparencia y pruebas de sesgo.
Luego está la categoría de «riesgo inaceptable». Los sistemas de puntuación social como los que se utilizan en algunas provincias chinas —totalmente prohibidos en la UE—. La vigilancia biométrica en tiempo real en espacios públicos —en gran medida prohibida, con contadas excepciones para las fuerzas del orden—.
Esto es algo de lo que nadie habla lo suficiente: la carga que supone el cumplimiento normativo es enorme. Una startup de tamaño medio en Berlín que utiliza un modelo de IA para seleccionar a los candidatos a un puesto de trabajo se enfrenta ahora a unos requisitos de documentación que harían temblar a una empresa farmacéutica. Evaluaciones de conformidad. Sistemas de gestión de riesgos. Seguimiento poscomercialización. Solo el papeleo requiere personal dedicado. Los pequeños desarrolladores que construyen sobre modelos base se ven de repente lidiando con cuestiones que antes estaban reservadas a los equipos jurídicos de las empresas de la lista Fortune 500.
Y, sin embargo, la ley también obliga a los principales proveedores de IA a ser más transparentes de lo que jamás hubieran querido. Si has notado que algunos servicios de IA están actualizando discretamente sus condiciones de uso y publicando más información sobre el funcionamiento de sus modelos, eso se debe a que la presión de la UE está surtiendo efecto, incluso antes de que la ley entre plenamente en vigor.
Estados Unidos: un mosaico que, en su mayor parte, no es más que un conjunto de retales.
El enfoque de Estados Unidos respecto a la regulación de la IA es, por decirlo de forma diplomática, una obra en construcción. No existe una ley federal sobre IA. En su lugar, lo que hay es un mosaico de decretos presidenciales, documentos orientativos de las agencias, proyectos de ley a nivel estatal y compromisos voluntarios de las empresas tecnológicas —compromisos que, seamos sinceros, son tan vinculantes como una promesa de meñique.
El decreto presidencial del presidente Biden sobre la IA, de octubre de 2023, fue muy significativo: exigía pruebas de seguridad para los sistemas de IA de gran potencia e instaba a los organismos a elaborar directrices específicas para cada sector. La Administración Trump lo revocó a principios de 2025. Su sustituto se ha centrado principalmente en eliminar lo que la nueva Administración denomina «barreras normativas» al desarrollo de la IA.
El resultado en la práctica: si eres un usuario residente en EE. UU., tus derechos de protección dependen en estos momentos casi por completo del estado en el que vivas y de la plataforma que utilices. California ha sido la más enérgica: la Ley de Derechos de Privacidad de California tiene fuerza, y se están produciendo continuos cambios legislativos en torno al contenido generado por IA, la discriminación algorítmica y los deepfakes. Colorado aprobó una ley sobre IA con requisitos de sistemas de alto riesgo. Texas tiene sus propios proyectos de ley en marcha. Pero ninguno de ellos está coordinado. Ninguno de ellos se comunica especialmente bien con los demás.
El vacío normativo a nivel federal es una realidad, y las empresas tecnológicas se han dado cuenta. Algunas están intentando realmente llenarlo de forma responsable. Otras, en cambio, lo están aprovechando de manera espectacular.
La regulación de la IA en China: control estricto, rápida implantación.
La estrategia reguladora de China es prácticamente opuesta a la de Occidente. El enfoque no se centra en la seguridad ni en las libertades civiles tal y como las entendería un regulador europeo, sino en el control de los contenidos y la seguridad nacional. El Reglamento sobre IA Generativa de 2023 exige que el contenido generado por IA no amenace la autoridad del Estado, que los proveedores puedan identificar a los usuarios y que los «valores fundamentales socialistas» se reflejen en los resultados de los modelos.
En la práctica, esto significa que los sistemas de IA chinos están sometidos a un filtrado muy estricto que va más allá de la mitigación de sesgos. No hablan de la plaza de Tiananmen ni generan contenidos críticos con el Partido Comunista. Sin embargo, funcionan extremadamente bien en programación, generación de imágenes y tareas empresariales: modelos chinos como Qwen y DeepSeek se han convertido en auténticos competidores a nivel mundial.
Hay una extraña ironía en el debate mundial sobre la regulación de la IA: el país con los controles políticos más estrictos sobre los contenidos es, al mismo tiempo, uno de los que tiene menos restricciones para su implantación comercial. China está implantando la IA en la sanidad, la planificación urbana y la industria a un ritmo que hace que los reguladores occidentales parezcan estar deliberando en una comisión que, a su vez, tiene otra comisión.
La apuesta «a favor de la innovación» del Reino Unido (y lo que está en juego).
Tras el Brexit, el Reino Unido tomó la decisión deliberada de no imitar la Ley de IA de la UE. La estrategia —al menos tal y como la articuló el anterior Gobierno conservador y se ha mantenido en gran medida desde entonces— consiste en utilizar los organismos reguladores existentes (la FCA para las finanzas, la CQC para la sanidad y la ICO para los datos) para supervisar la IA dentro de sus ámbitos de competencia, en lugar de crear una nueva legislación específica sobre IA.
El argumento: flexibilidad, rapidez, no frenar la innovación con normas redactadas antes de que nadie comprenda qué es lo que hay que regular.
El riesgo: la fragmentación. Si el regulador financiero y el regulador sanitario desarrollan marcos normativos totalmente distintos en materia de transparencia de la IA, las empresas que desarrollan productos que abarcan ambos sectores se enfrentarán a una pesadilla en cuanto a la interpretabilidad. También está la cuestión de la competitividad: las empresas británicas de IA que venden en la UE siguen teniendo que cumplir con la Ley de IA de la UE independientemente de lo que decida Londres, lo que hace que el argumento del «enfoque alternativo» resulte algo teórico en la práctica.
Qué significan realmente las leyes sobre transparencia en la IA para los usuarios comunes.
Aquí es donde la cosa se pone concreta para la gente de a pie, en lugar de para los responsables de cumplimiento normativo.
Los requisitos de transparencia en materia de IA —que se están extendiendo por todas las jurisdicciones— implican que las plataformas están cada vez más obligadas a informarte cuando estás interactuando con una IA. Algunos países exigen ahora que se revele cuándo se utiliza la IA para tomar decisiones que te afectan: tu solicitud de préstamo, la prima de tu seguro o si tu currículum supera la fase de selección. Los requisitos de la UE van más allá, otorgándole el derecho a recibir una explicación y a una revisión humana en el caso de decisiones automatizadas de alto riesgo.
¿Funciona esto a la perfección? No. Las declaraciones suelen aparecer en el pie de página con un tamaño de letra de 8. Los procesos de «revisión humana» pueden ser meramente simbólicos. Pero lo importante es la tendencia. En los países que cuentan con estos requisitos, al menos existe un fundamento legal. En los que carecen de ellos, no hay nada.
Las normas sobre explicabilidad que están surgiendo en la UE y en algunas partes de Asia implican que un algoritmo que rechaza tu solicitud de hipoteca ya no puede ser simplemente una «caja negra»: técnicamente, los reguladores pueden exigir documentación que explique cómo llegó a esa conclusión. Que esa documentación sea comprensible para una persona sin conocimientos técnicos es un problema aparte y muy espinoso.
La brecha global en materia de gobernanza de la IA que nadie quiere reconocer.
Seamos claros: la coordinación internacional en materia de políticas de IA está prácticamente en un punto muerto. El «Proceso de Hiroshima sobre IA» del G7 elaboró una serie de principios. El Órgano Asesor sobre IA del Secretario General de la ONU formuló una serie de recomendaciones. La OCDE cuenta con sus propios principios sobre IA. Se trata de documentos muy valiosos, pero muy pocos desarrolladores de IA están obligados contractualmente a cumplirlos.
Mientras tanto, la implementación efectiva de los sistemas de IA se produce constantemente a nivel transfronterizo. Un modelo entrenado en EE. UU., ajustado en Canadá, implementado por una empresa registrada en Irlanda, utilizado por un cliente en Brasil para tomar una decisión que afecta a alguien en Filipinas: ¿qué normativa se aplica? La respuesta sincera es: depende, es objeto de controversia y, en muchos casos, nadie lo comprueba realmente.
Los países más afectados por los sistemas de inteligencia artificial suelen ser aquellos con menor capacidad reguladora para controlarlos. No es una casualidad. Se trata de una característica estructural del funcionamiento de la regulación tecnológica durante décadas, y la inteligencia artificial la está acentuando.
Los deepfakes, los medios sintéticos y por qué la regulación ya va con retraso.
La regulación de los deepfakes constituye un ejemplo ilustrativo del retraso normativo. La tecnología que permite crear vídeos con rostros intercambiados de forma convincente existe en formato accesible desde aproximadamente 2018. ¿Cuántas jurisdicciones cuentan con leyes específicas y aplicables sobre los deepfakes en 2025? Pocas. El número va en aumento, pero sigue siendo reducido.
El Reino Unido tipificó como delito la pornografía con deepfakes no consentida en 2024. Varios estados de EE. UU. cuentan con leyes relativas a los deepfakes relacionados con las elecciones. China exige el uso de marcas de agua en los contenidos generados por IA. Las obligaciones de la UE en materia de etiquetado de contenidos sintéticos están entrando en vigor de forma gradual.
La brecha entre lo que es tecnológicamente posible y lo que está regulado sigue siendo enorme. Alguien que utilice una herramienta para generar un fragmento de audio falso en el que un político local diga algo perjudicial: en la mayoría de los países, esa persona se mueve, en el mejor de los casos, en una zona gris legal. No se trata de una hipótesis. Ocurrió en varias elecciones de 2024.
Qué no te puedes perder en los próximos 12 meses.
Las disposiciones sobre alto riesgo de la Ley de IA de la UE están avanzando hacia una aplicación más rigurosa. Esto va a dar lugar a las primeras disputas reales en materia de cumplimiento y, inevitablemente, a los primeros casos de prueba.
La legislación federal estadounidense sobre la IA vuelve a estar sobre la mesa —de verdad—, y la preocupación bipartidista por las aplicaciones de la IA en materia de seguridad nacional está dando lugar a algunas coaliciones políticas inusuales. Que finalmente se apruebe algo es otra cuestión totalmente distinta.
India, Japón, Corea del Sur y Brasil cuentan con marcos normativos sustantivos sobre IA que se encuentran en distintas fases de desarrollo. Esta es la parte del panorama normativo mundial sobre IA de la que se habla menos, ya que resulta compleja y no encaja en el esquema «UE frente a EE. UU.» al que suele recurrir la mayoría de la cobertura mediática. La LGPD de Brasil tiene implicaciones para la IA. La próxima Ley de la India Digital tendrá una enorme importancia dada la magnitud del despliegue de la IA en ese país.
Y luego está el discreto trabajo de normalización que se lleva a cabo en la ISO, el IEEE y el NIST —organismos de normalización técnica que están redactando las especificaciones concretas con las que, en última instancia, se medirá el cumplimiento—. Por aburrido que pueda parecer, las normas determinan lo que es factible construir y lo que es posible auditar mucho más que la mayoría de las leyes.
Qué significa esto si no eres abogado ni responsable político.
No hace falta leer todos los documentos presentados ante las autoridades reguladoras para manejar esto con inteligencia. Pero hay algunos aspectos que conviene tener en cuenta.
Tu ubicación es importante. Si utilizas herramientas de IA para cualquier asunto de importancia —un documento legal, una decisión médica, una elección financiera— y te encuentras en la UE, tienes derechos explícitos a una revisión humana y a una explicación que los usuarios de otros lugares no tienen. Tenlo en cuenta.
Los compromisos voluntarios de las empresas de IA no equivalen a obligaciones legales. Cuando un importante laboratorio de IA publica una «política de uso responsable» o firma un compromiso voluntario, eso no es lo mismo que un requisito normativo con medidas coercitivas. Hay que tratar ambos conceptos de forma diferente.
La falta de regulación no es prueba de que una tecnología sea segura ni de que su uso esté fuera de control; a menudo es simplemente una muestra de que los legisladores son lentos y los grupos de presión son eficaces.
El marco normativo de la IA es, sin duda, una de las cuestiones de gobernanza más trascendentales de la década actual. No porque la IA sea mágica o peligrosa en un sentido difuso propio de la ciencia ficción, sino porque las decisiones concretas que tomen los gobiernos en este momento en materia de transparencia, rendición de cuentas y responsabilidad determinarán qué tipo de IA se desarrollará, quién se beneficiará de ella y quién saldrá perjudicado cuando falle.
Vale la pena prestarle atención.
