La regulación de la IA en el mundo: dónde convergen los marcos normativos, dónde divergen y qué significa para los operadores globales
A medida que más de cuarenta jurisdicciones se apresuran a gobernar la inteligencia artificial, los marcos normativos convergen en un conjunto común de problemas mientras divergen marcadamente en los valores, las instituciones y las prohibiciones que los sustentan, y saber distinguirlos se ha convertido en la competencia central de cumplimiento para cualquier operador global.
29 de junio de 2026 · Quantum Nexus Ventures FZCO
El panorama regulatorio global de la IA ha pasado, en el lapso de cuatro años, de estar casi vacío a resultar desconcertante. Más de cuarenta jurisdicciones cuentan ya con normas vinculantes, proyectos de ley o marcos formales de gobernanza que abordan específicamente la inteligencia artificial. Un profesional que intente desplegar un sistema de IA en varios mercados se enfrenta a un mosaico de obligaciones que se solapan en algunos puntos, se contradicen en otros y emplean el mismo vocabulario para significar cosas distintas.
Este artículo cartografía ese terreno desde una perspectiva técnica. El objetivo no es un repaso de cada marco normativo —eso produciría una lista, no comprensión—. El objetivo es identificar dónde coinciden genuinamente los marcos a nivel de diseño, dónde divergen de maneras que generan conflictos reales de cumplimiento, y cómo se perfilan las líneas de fractura estructurales para los próximos cinco años.
Los principales marcos normativos
Antes de comparar, los marcos que merece la pena comparar:
EU AI Act (Regulation 2024/1689): horizontal, basado en el riesgo, obligatorio, con obligaciones específicas para los sistemas de alto riesgo del Annex III, prácticas prohibidas y un régimen específico para los modelos de IA de propósito general (GPAI), con obligaciones adicionales para los modelos que se presume que entrañan un riesgo sistémico —presunción que opera cuando la potencia de cálculo acumulada del entrenamiento supera los 10^25 FLOP (Article 51). Se aplica por fases: las prácticas prohibidas desde febrero de 2025, las obligaciones de GPAI desde agosto de 2025, la mayoría de las obligaciones de alto riesgo (Annex III) a partir del 2 de agosto de 2026, y los sistemas de alto riesgo integrados en productos regulados (Annex I) a partir del 2 de agosto de 2027. Una enmienda "Digital Omnibus on AI" —adoptada por el Parlamento Europeo y el Consejo en junio de 2026 y, en el momento de escribir estas líneas, a la espera de publicación en el Diario Oficial— aplazaría la fecha del Annex III al 2 de diciembre de 2027.Fuentes: EU AI Act (Reg. 2024/1689) · Article 51 · Digital Omnibus on AI
China: un sistema por capas —las Medidas sobre Recomendación Algorítmica (2022), las Disposiciones sobre Síntesis Profunda (2022), las Medidas sobre IA Generativa (2023), con una Ley de IA integral en fase de redacción—. De carácter sectorial y por aplicación, liderado por la Administración del Ciberespacio de China (CAC), en co-emisión con organismos como el MIIT y el Ministerio de Seguridad Pública (la SAMR co-suscribió las normas sobre recomendación algorítmica).
Estados Unidos: sin ley federal integral (horizontal) de IA a mediados de 2026. La EO 14110 (2023) fue revocada en enero de 2025 (EO 14148) y sustituida por la EO 14179. La gobernanza reside en la regulación sectorial: la guía de riesgo de modelos de la Reserva Federal / OCC (SR 11-7), la potestad de ejecución de la FTC, el marco de la FDA para software como dispositivo médico basado en IA/ML, las normas de la FAA para la IA en aviación, la legislación estatal (la Ley de IA de Colorado (SB 24-205, posteriormente acotada por la SB 26-189), la Ley de Gobernanza Responsable de la IA de Texas (TRAIGA / HB 149, 2025), la BIPA de Illinois). El Marco voluntario de Gestión de Riesgos de IA del NIST (NIST AI 100-1, 2023), y la publicación aparte sobre sesgo SP 1270 (2022), constituyen la base voluntaria.Fuentes: EO 14110 · TRAIGA de Texas (HB 149) · SB 26-189 de Colorado · NIST AI RMF
Reino Unido: la no legislación deliberada. El AI Security Institute (creado en 2023 como AI Safety Institute; rebautizado en febrero de 2025), la guía de reguladores sectoriales específicos (ICO, FCA, CMA, Ofcom, CQC) y el Informe Internacional sobre Seguridad de la IA. La postura favorable a la innovación se ha consolidado en política desde el libro blanco de 2023.Fuentes: AI Security Institute
Canadá: la AIDA (parte del Bill C-27) decayó en el orden del día cuando se prorrogó el Parlamento en enero de 2025 y no se reactivó antes de las elecciones federales de 2025; cualquier ley federal de IA requeriría legislación nueva. Entretanto, rigen normas sectoriales específicas y un código voluntario para la IA generativa.Fuentes: Bill C-27 / AIDA (análisis)
Brasil: el Proyecto de Ley 2338/2023, aprobado por el Senado Federal en diciembre de 2024 y actualmente en revisión en la Cámara de Diputados, adopta una arquitectura basada en el riesgo inspirada en el EU AI Act. De aprobarse, sería el marco de IA más integral de América Latina.Fuentes: PL 2338/2023 de Brasil
Japón: una AI Promotion Act (2025) de mano ligera —vinculante como "ley fundamental" de política básica, pero sin sanciones, apoyada en la orientación y el cumplimiento voluntario ("gobernanza ágil")—, más un Plan Básico de IA y una sólida trayectoria de participación en normalización (ISO/IEC JTC 1/SC 42).Fuentes: AI Promotion Act de Japón
Singapur: el Marco Modelo de Gobernanza de la IA (2019, actualizado en 2020; ampliado para la IA generativa en 2024), el conjunto de herramientas de pruebas AI Verify, de carácter voluntario y orientado a la industria. La guía FEAT de la MAS para la IA del sector financiero.
Corea del Sur: la AI Basic Act (formalmente, Ley Marco sobre el Desarrollo de la Inteligencia Artificial y el Establecimiento de la Confianza) —aprobada en diciembre de 2024, promulgada en enero de 2025, en vigor desde enero de 2026—, basada en el riesgo, con obligaciones para la "IA de alto impacto".Fuentes: AI Basic Act de Corea del Sur
Vietnam: una Ley de IA autónoma (Law No. 134/2025/QH15), en vigor desde el 1 de marzo de 2026, que establece la supervisión humana de las decisiones de IA como principio central y exige supervisión humana para los sistemas de alto riesgo.Fuentes: Ley de IA de Vietnam
Consejo de Europa: el Convenio Marco sobre Inteligencia Artificial (CETS 225, 2024), el primer tratado internacional vinculante sobre IA, abierto a la adhesión de Estados no miembros.Fuentes: Convenio Marco del CdE (CETS 225)
Zonas de convergencia
1. Estratificación basada en el riesgo
La convergencia estructural más significativa es la aceptación de los enfoques basados en el riesgo como principio organizador. El EU AI Act, el Convenio del Consejo de Europa, el proyecto de Brasil, la Basic Act de Corea del Sur e incluso las medidas de China escalonan todos las obligaciones según el impacto potencial del sistema de IA. Los sistemas de bajo riesgo se enfrentan, a lo sumo, a requisitos de divulgación; los sistemas de alto impacto se enfrentan a evaluación de conformidad, documentación, supervisión humana y vigilancia poscomercialización.
La implicación práctica: cualquier arquitectura de cumplimiento construida para los niveles de riesgo del EU AI Act tendrá una amplia transferibilidad conceptual a estos marcos. Los niveles no son idénticos —las definiciones de "alto riesgo" divergen de forma significativa—, pero la lógica subyacente es compartida.
2. La supervisión humana como algo innegociable
Todos los marcos principales, incluida la guía sectorial estadounidense, exigen que las decisiones de IA de consecuencia estén sujetas a una supervisión humana capaz de anular el sistema. El EU AI Act (Article 14), la Ley de IA de Vietnam, la guía estadounidense de gestión de riesgos de modelos (los requisitos de validación independiente de la SR 11-7) y el Convenio del Consejo de Europa convergen todos en este punto.Fuentes: Article 14
Los requisitos técnicos difieren, pero el requisito estructural es el mismo: una persona debe estar en condiciones de revisar y anular de manera significativa las salidas del sistema de IA antes de que produzcan consecuencias vinculantes. "Significativa" es la palabra operativa. Una persona que no puede superar al sistema en razonamiento —que carece de la profundidad de dominio para evaluar críticamente sus salidas— satisface el requisito formal pero incumple el funcional. Este es tanto un problema de diseño organizativo como un problema de cumplimiento.
3. Transparencia y explicabilidad
Todos los marcos principales exigen alguna forma de transparencia hacia las personas afectadas y, cuando corresponde, hacia los reguladores. El alcance varía: el EU AI Act exige documentación, registro de eventos e instrucciones de uso; la Comisión Federal de Comercio de Estados Unidos trata las decisiones de IA inexplicables como potencialmente engañosas; las Medidas sobre IA Generativa de China exigen la divulgación de los contenidos generados por IA; el Convenio del Consejo de Europa incluye la transparencia como principio central.
El estándar técnico implícito —que las salidas de un sistema deben ser rastreables hasta entradas y pasos de razonamiento identificables— es común entre jurisdicciones. El nivel de granularidad técnica exigido difiere. El EU AI Act contempla registros de auditoría capaces de reconstruir las decisiones a posteriori. La guía estadounidense de riesgo de modelos exige la validación independiente de la lógica del modelo. Ambos exigen algo idéntico: la capacidad de explicar, bajo escrutinio, por qué el sistema produjo una salida determinada.
4. Prohibiciones acotadas
Una zona de convergencia más estrecha pero genuina: los sistemas de puntuación social que califican a las personas en distintos contextos con fines de control societal de propósito general están prohibidos o fuertemente restringidos tanto en el EU AI Act (Article 5) como, por principio, en el Convenio del Consejo de Europa. La manipulación subliminal por debajo del umbral de la conciencia está igualmente prohibida en la mayoría de los marcos. La identificación biométrica remota en tiempo real en espacios públicos está restringida por la UE y por los marcos de protección de datos de múltiples jurisdicciones.
La convergencia aquí es significativa pero limitada: lo que está prohibido en una jurisdicción suele estar permitido o incluso exigido en otra (véase: el uso por parte de China de la infraestructura de reconocimiento facial con fines de seguridad pública, que el EU AI Act prohibiría para despliegues equivalentes en la UE).
5. IA de propósito general / modelos fundacionales
Las obligaciones de GPAI del Chapter V (Articles 51-56) del EU AI Act y las Medidas sobre IA Generativa de China representan los primeros marcos vinculantes que abordan los modelos fundacionales específicamente, y no solo sus despliegues posteriores. Ambos exigen evaluaciones de capacidades, evaluaciones de riesgo sistémico para los modelos más potentes y transparencia sobre los datos de entrenamiento. La EO 14110 estadounidense (ahora revocada) se centraba de forma similar en los modelos por encima de un umbral de cálculo.
La convergencia es conceptual: los reguladores de todo el mundo lidian con el hecho de que el marco basado en el riesgo diseñado para aplicaciones concretas se desmorona cuando un único modelo sustenta miles de aplicaciones. La respuesta técnica —los umbrales de cálculo como una primera aproximación a la capacidad, con evaluaciones secundarias— ha sido adoptada por la UE y estaba presente en el enfoque estadounidense antes de su revocación.
Zonas de divergencia
1. Vinculante frente a voluntario / horizontal frente a sectorial
El EU AI Act es horizontal (se aplica a todos los sectores), obligatorio y ejecutado por las autoridades nacionales de vigilancia del mercado con una potestad sancionadora considerable (hasta €35M or 7% del volumen de negocios mundial por infracciones de prácticas prohibidas). El Reino Unido no tiene equivalente y optó explícitamente por no crearlo. Estados Unidos carece de una ley federal horizontal de IA. Japón, Singapur y Australia mantienen marcos voluntarios.Fuentes: Article 99
No se trata de una diferencia procedimental menor. Determina si el cumplimiento es una obligación legal o una elección reputacional, quién lo ejecuta y cuál es realmente el coste del incumplimiento. Un sistema de IA global desplegado en la UE se enfrenta a una evaluación de conformidad obligatoria para determinadas aplicaciones. El mismo sistema desplegado únicamente en Singapur se enfrenta a una lista de comprobación voluntaria.
2. El eje derechos fundamentales frente a seguridad nacional
El EU AI Act se asienta sobre un fundamento de derechos fundamentales. Sus categorías de alto riesgo se definen por su potencial para afectar a la salud, la seguridad y los derechos fundamentales. Sus prohibiciones se formulan en términos de dignidad humana y autonomía. La base jurídica es la regulación del mercado interior, pero el marco de valores es la Carta de los Derechos Fundamentales de la UE.
El marco de China se asienta sobre un fundamento de valores diferente: la estabilidad social, la seguridad nacional y la orientación política correcta de los contenidos. Las Medidas sobre IA Generativa exigen que los contenidos generados por IA se alineen con los "core socialist values" y no "subviertan el poder del Estado". Las Disposiciones sobre Síntesis Profunda se centran en controlar la desinformación que pudiera desestabilizar el orden público.
No son enfoques superficialmente distintos de un mismo objetivo. Representan concepciones genuinamente diferentes de para qué sirve la gobernanza de la IA. Un sistema diseñado para cumplir con los requisitos de la UE —que incluyen prohibiciones de determinadas prácticas de moderación de contenidos que restringen la expresión política— puede ser estructuralmente incompatible con los requisitos chinos para esa misma moderación. No es un problema de documentación; es un problema arquitectónico.
3. Extraterritorialidad y el Brussels Effect
El EU AI Act se aplica a los sistemas de IA introducidos en el mercado de la UE o cuyas salidas se utilizan en la UE, con independencia de dónde esté establecido el proveedor. Esto es explícito en el Article 2. Un proveedor en Dubái que despliega un sistema de IA utilizado por clientes de la UE es un obligado del EU AI Act.
La regulación estadounidense tiene un alcance extraterritorial más estrecho: se aplica a entidades reguladas de sectores concretos (bancos, fabricantes de dispositivos médicos, empresas de cara al consumidor sujetas a la jurisdicción de la FTC) y no a la tecnología como tal. China tiene algunas disposiciones extraterritoriales en sus marcos de seguridad de datos y de seguridad de redes, pero las medidas específicas de IA tienen un enfoque más doméstico.
El resultado práctico: el EU AI Act funciona como un estándar global de facto para cualquier proveedor que no pueda segmentar su base de clientes de la UE. Este es el Brussels Effect en funcionamiento: el coste de cumplimiento de construir una arquitectura separada exclusiva para la UE supera al de construir de forma globalmente conforme con la UE.
4. Normas técnicas y evaluación de la conformidad
El EU AI Act se apoya en normas técnicas armonizadas de CEN/CENELEC e ISO/IEC para demostrar el cumplimiento. La ISO/IEC 42001 (Sistemas de Gestión de la IA) y las normas conexas del ISO/IEC JTC 1/SC 42 son la referencia principal. La evaluación de la conformidad por terceros es obligatoria para los sistemas de alto riesgo de determinadas categorías del Annex III.
Estados Unidos se apoya en los marcos del NIST (AI RMF, SP 1270) que son voluntarios para la mayoría de los sectores. Las metodologías son compatibles pero no equivalentes. Una certificación ISO 42001 no satisface automáticamente la alineación con el NIST AI RMF; la alineación exige una demostración aparte.
Para los operadores globales, esto crea un problema de navegación de normas. Construir conforme a la ISO 42001 es la vía más segura para el cumplimiento en la UE. Construir conforme al NIST AI RMF satisface los requisitos de contratación pública federal de Estados Unidos y proporciona un fuerte posicionamiento reputacional. Los marcos son lo bastante complementarios como para que hacer ambos sea factible, pero exige un mapeo intencional que actualmente debe realizarse de forma manual.
5. Prohibido frente a exigido: el problema de la biometría
El EU AI Act prohíbe la identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas del orden, con excepciones acotadas. Conforme al Article 14(5), para los sistemas de identificación biométrica remota no podrá adoptarse ninguna medida sobre una identificación a menos que esta sea verificada y confirmada por separado por al menos dos personas competentes, con sujeción a una excepción para determinados usos de aplicación de la ley, migración y control de fronteras. El reconocimiento facial en la infraestructura pública está, en la mayoría de las aplicaciones, prohibido.Fuentes: Article 14(5)
Varias jurisdicciones no solo permiten, sino que exigen precisamente esta infraestructura para aplicaciones concretas: control de fronteras, vigilancia de la seguridad pública, seguridad nacional. Un proveedor que vende sistemas biométricos de IA se enfrenta a obligaciones genuinamente incompatibles según la jurisdicción de despliegue. Esto no puede resolverse mediante documentación ni procesos; exige la segmentación del producto.
6. Arquitectura de ejecución
El EU AI Act crea una estructura de ejecución descentralizada: cada Estado miembro designa una autoridad nacional competente, mientras que la Oficina Europea de IA se encarga de la supervisión de la GPAI y de los casos transfronterizos. Las multas se calibran según la gravedad de la infracción.
China ejecuta a través de la CAC (contenidos/IA generativa), el MIIT (fabricación general e IA industrial), la SAMR (de cara al consumidor) y reguladores sectoriales: una estructura multiorgánica fragmentada con solapamientos significativos. La ejecución ha sido rápida y de consecuencia; las multas de la CAC por infracciones de recomendación algorítmica han sido sustanciales y expeditivas.
Estados Unidos no tiene un órgano principal de ejecución en materia de IA. La ejecución de la FTC se apoya en la potestad de la Sección 5 (actos desleales o engañosos); los reguladores financieros emplean su potestad supervisora existente; los fiscales generales estatales están cada vez más activos. La textura de la ejecución es adversarial y reactiva, más que prospectiva y sistemática.
Líneas de fractura estructurales
El desfase de los marcos.
Todo marco de gobernanza es retrospectivo: codifica riesgos ya comprendidos, a partir de tecnología ya desplegada. El ciclo regulatorio para una legislación integral de IA es de 5 a 7 años desde la redacción hasta la ejecución. El ciclo tecnológico para cambios significativos de capacidad es de 12 a 18 meses. Esta brecha es estructural, no transitoria. Los marcos siempre estarán gobernando una versión anterior de la tecnología que están diseñados para abordar.
La brecha de capacidad de ejecución.
Como han observado los profesionales de este ámbito, el EU AI Act se diseñó para la infraestructura institucional de la UE. Organismos de evaluación de la conformidad, autoridades de vigilancia del mercado, profesiones jurídicas versadas en normas técnicas: todo ello existe en los Estados miembros de la UE. Para las jurisdicciones que adoptan marcos de estilo europeo sin una capacidad institucional equivalente, la ejecución se vuelve teórica. La ley se lee correctamente; no ocurre nada.
La divergencia de vocabulario.
"Transparencia", "rendición de cuentas", "equidad", "supervisión humana" aparecen en prácticamente todos los marcos. Significan cosas distintas en cada uno. La transparencia en el EU AI Act significa documentación técnica y registros de auditoría suficientes para la revisión por terceros. La transparencia en las medidas de China significa comunicar a los usuarios que el contenido está generado por IA. La transparencia en el contexto de la FTC estadounidense significa no engañar a los consumidores. Cumplir con las tres puede exigir tres implementaciones distintas de algo llamado "transparencia".
El problema no resuelto de la GPAI.
El régimen de GPAI de la UE y las Medidas sobre IA Generativa de China son los únicos marcos vinculantes que abordan directamente los modelos fundacionales. El resto del mundo observa o espera. El problema de fondo —que un único modelo sustenta miles de aplicaciones, cada una con su propio perfil de riesgo— carece de una solución regulatoria limpia. Los umbrales de cálculo son una primera aproximación que fracasará a medida que mejore la eficiencia. Las evaluaciones de capacidades son difíciles de estandarizar. El problema de la gobernanza de la GPAI está genuinamente sin resolver, y los marcos que lo han intentado han adoptado enfoques diferentes y parcialmente incompatibles.
Implicaciones para los operadores globales
Construir conforme al EU AI Act como suelo de cumplimiento.
Para cualquier operador con exposición al mercado de la UE, el EU AI Act es el marco horizontal más exigente y el que con mayor probabilidad impondrá consecuencias directas de ejecución. Un sistema construido conforme a sus requisitos estará sobrecumplido en la mayoría de las demás jurisdicciones.
Segmentar allí donde las jurisdicciones son arquitectónicamente incompatibles.
La biometría en espacios públicos, la moderación de contenidos para el discurso político, las aplicaciones adyacentes a la puntuación social: todo ello exige una segmentación genuina del producto, no una adaptación de procesos. Ninguna arquitectura única satisface simultáneamente las prohibiciones de la UE y los mandatos chinos.
Invertir en personas capaces de tender el puente entre lo técnico y lo jurídico.
Los marcos convergen en este punto aunque lo expresen de forma distinta: la gobernanza no es un ejercicio de documentación. Un sistema cuyo rastro de auditoría no puede reconstruir alguien que comprenda tanto su funcionamiento técnico como su contexto regulatorio no está gobernado, está archivado. La escasez no es de marcos; es de personas capaces de moverse en ambos.
Tratar las obligaciones de GPAI como la vanguardia, no como la excepción.
Las disposiciones específicas de GPAI del EU AI Act y las Medidas sobre IA Generativa de China son los primeros intentos de gobernar la IA en la capa del modelo en lugar de la capa de la aplicación. Este enfoque se extenderá. Las organizaciones que utilizan modelos fundacionales —incluso vía API— deberían comprender estas obligaciones ahora, porque la arquitectura de cumplimiento en la capa de la aplicación que están construyendo puede tener que dar cabida a requisitos de la capa del modelo que aún no existen en su jurisdicción.
Seguir las normas, no solo las leyes.
La ISO/IEC 42001, el NIST AI RMF y las normas técnicas que se están desarrollando en CEN/CENELEC determinarán cada vez más lo que "cumplimiento" significa en la práctica. Las leyes establecen requisitos en términos generales; las normas especifican cómo se ve técnicamente el satisfacer esos requisitos. El panorama de las normas avanza más deprisa que el legislativo y merece de los equipos de gobernanza más atención de la que suele recibir.
El panorama regulatorio global de la IA no converge hacia un marco único. Converge hacia un conjunto de problemas compartidos —estratificación del riesgo, supervisión humana, explicabilidad, gobernanza de los modelos fundacionales— mientras diverge en los valores que esos marcos están diseñados para proteger, en las arquitecturas institucionales que los ejecutan y en las prohibiciones y mandatos concretos que imponen. Para los operadores globales, la competencia práctica no es saber qué marco se aplica. Es saber cuándo los marcos son genuinamente compatibles y cuándo no lo son, y construir sistemas capaces de distinguir la diferencia.
Este es un artículo de opinión y liderazgo de pensamiento. No constituye asesoramiento jurídico ni financiero.
Más artículos
4 de julio de 2026
El cuello de botella epistémico: por qué la IA da a los ingenieros 10X y a los abogados 3X29 de junio de 2026
Implementar IA jurídica en la India: lo que exige la ley, lo que quiere el Gobierno y lo que realmente muestran los datos28 de junio de 2026
La cadena multimodelo es una estructura jurídica, no solo una arquitectura