El panorama global de regulación de IA: qué significa para tu negocio

Hace dos años, la mayoría de mis conversaciones con clientes empresariales sobre IA comenzaban con casos de uso: qué problema puede resolver la IA, cómo integrarla, cuál es el cronograma de desarrollo. Hoy, esas conversaciones comienzan cada vez más con una pregunta diferente: ¿qué tenemos legalmente permitido hacer, y cuánto nos costaría equivocarnos? Ese cambio representa una de las transformaciones más significativas en el panorama tecnológico empresarial desde el GDPR. La regulación de IA ha llegado, y es sustancialmente más compleja de lo que la mayoría de las organizaciones están preparadas para enfrentar.

Como abogado y CEO que ha pasado la última década en la intersección entre tecnología y negocios internacionales, he seguido de cerca los desarrollos regulatorios en distintas jurisdicciones. El panorama que emerge no es un estándar global único — es un conjunto fragmentado y en rápida evolución de marcos que difieren significativamente en alcance, clasificación de riesgos, enfoque de enforcement y cronograma. Esa complejidad es tanto el desafío como la oportunidad. Las empresas que desarrollen programas de cumplimiento serios ahora tendrán una ventaja competitiva duradera sobre aquellas que lleguen tarde.

El EU AI Act: la primera ley integral de IA del mundo

El EU AI Act de la Unión Europea, que entró en vigencia en agosto de 2024, es la legislación de IA más significativa promulgada en cualquier parte del mundo. Es un marco basado en riesgo: distintas categorías de sistemas de IA enfrentan distintas obligaciones, y la severidad de esas obligaciones escala con el potencial de daño. Entender los niveles de riesgo es esencial para cualquier empresa que desarrolle, implemente o use sistemas de IA con exposición europea.

Las prácticas de IA prohibidas — incluyendo sistemas de puntuación social, vigilancia biométrica en tiempo real en espacios públicos y sistemas que explotan vulnerabilidades psicológicas — están prohibidas desde febrero de 2025. Los sistemas de alto riesgo enfrentan la mayor carga regulatoria. Esta categoría incluye la IA utilizada en infraestructura crítica, evaluación educativa, decisiones de empleo, puntuación crediticia, aplicación de la ley, control fronterizo y administración de justicia. Si tu sistema de IA toma o influye significativamente en decisiones en alguna de estas áreas que afectan a residentes de la UE, enfrentás obligaciones de cumplimiento sustanciales.

Requisitos para sistemas de alto riesgo

• Sistema de gestión de riesgos: documentación de identificación, análisis y mitigación de riesgos a lo largo del ciclo de vida del sistema
• Gobernanza de datos: los conjuntos de datos de entrenamiento, validación y prueba deben cumplir estándares de calidad; el sesgo relevante debe ser examinado y abordado
• Documentación técnica: registros completos del propósito del sistema, decisiones de diseño, características de rendimiento y limitaciones
• Mantenimiento de registros: registro automático de eventos durante la operación del sistema para posibilitar revisiones posteriores
• Transparencia y supervisión humana: los usuarios deben ser informados de que interactúan con IA; deben existir mecanismos de revisión humana significativos para decisiones de consecuencias
• Precisión y robustez: los sistemas deben alcanzar niveles adecuados de exactitud y resistir ataques adversariales conocidos
• Evaluación de conformidad: antes de la comercialización, los sistemas de alto riesgo deben superar una evaluación de conformidad, autoevaluada o por un organismo notificado

El cronograma de cumplimiento para los sistemas de alto riesgo es agosto de 2026 — y ese plazo llegará más rápido de lo que las organizaciones esperan. Las sanciones por incumplimiento pueden alcanzar hasta 35 millones de euros o el 7% de la facturación anual global para prácticas prohibidas, y hasta 15 millones de euros o el 3% de la facturación global para infracciones de sistemas de alto riesgo. La UE ha dejado claro que estas no son cifras aspiracionales.

Los modelos de IA de propósito general — incluyendo los grandes modelos de lenguaje y modelos fundacionales — enfrentan su propio nivel de requisitos bajo el Acta, enfocados en transparencia, cumplimiento de derechos de autor y, para modelos que representen riesgo sistémico, evaluaciones de seguridad adicionales. Si estás construyendo productos sobre estos modelos — lo cual prácticamente toda iniciativa empresarial de IA hace hoy — necesitás entender cómo las obligaciones de los modelos GPAI interactúan con tus propias responsabilidades de cumplimiento.

Estados Unidos: un panorama fragmentado

El enfoque de EE. UU. hacia la regulación de IA es fundamentalmente diferente al europeo, y esa diferencia tiene implicaciones prácticas importantes. En lugar de una ley federal integral, el panorama estadounidense consiste en órdenes ejecutivas, guías sectoriales de agencias y un parche creciente de legislación estatal. Esto crea un entorno más flexible para el desarrollo de IA pero un desafío de cumplimiento más complejo.

La Orden Ejecutiva de 2023 sobre IA Segura, Protegida y Confiable dirigió a las agencias federales a desarrollar guías sectoriales en salud, servicios financieros, transporte e infraestructura crítica. Las órdenes ejecutivas posteriores de 2025 desplazaron el énfasis hacia la competitividad en IA y redujeron algunos de los requisitos de seguridad de la administración anterior — pero los reguladores sectoriales en la FTC, SEC, EEOC y FDA han continuado desarrollando sus propios marcos de gobernanza de IA de manera independiente. Esto significa que incluso si la política ejecutiva federal se vuelve más permisiva, las industrias reguladas enfrentan obligaciones vinculantes de sus reguladores sectoriales.

A nivel estatal, Colorado, Illinois, Texas y California han promulgado o están avanzando en legislación significativa de IA, particularmente enfocada en toma de decisiones de alto impacto en empleo y contextos de consumo. El alcance extraterritorial del EU AI Act — aplicable a cualquier sistema que afecte a residentes de la UE independientemente de dónde esté ubicado el desarrollador — significa que las empresas estadounidenses no deben asumir que evitar la UE las exime de obligaciones sustanciales de cumplimiento de IA.

China: control estratégico sector por sector

China ha adoptado un enfoque regulatorio sector por sector, emitiendo regulaciones específicas para recomendaciones algorítmicas (2022), síntesis profunda (2022) e IA generativa (2023). El hilo común en todas estas regulaciones es el foco en el control de contenidos y la responsabilidad de plataformas, más que el marco de prevención de daños basado en riesgos que anima la regulación europea. Las empresas que operan en China o sirven a usuarios chinos deben navegar requisitos de filtrado de contenido, divulgaciones obligatorias y evaluaciones de seguridad sin paralelo directo en marcos occidentales.

China también está avanzando en su propio organismo de estándares de IA, posicionándose para exportar su modelo regulatorio a países con relaciones comerciales de la Franja y la Ruta. Para las empresas que operan en la región Asia-Pacífico, el enfoque regulatorio de China tiene influencia mucho más allá de sus fronteras.

América Latina: marcos emergentes y oportunidad estratégica

América Latina está en un punto de inflexión en gobernanza de IA. El marco regulatorio de IA de Brasil — construido sobre su sólida base de protección de datos de la LGPD — es el más avanzado de la región, con un borrador de Ley de IA que sigue de cerca la estructura basada en riesgos de la UE. Colombia ha adoptado un enfoque de derecho blando con un marco de ética de IA, mientras que Chile y Perú han producido libros blancos y consultas que son probablemente precursores de legislación formal. Argentina, aunque actualmente enfocada en la estabilización económica, tiene una base técnica sólida y un debate regulatorio activo.

La implicación estratégica para las empresas que operan en la región: la ventana para influir en los marcos regulatorios a través de un compromiso constructivo está abierta ahora pero se está cerrando. Las empresas que participan en consultas, demuestran prácticas responsables de IA y construyen relaciones con reguladores antes de que se finalice la legislación tienen mucha más influencia sobre el resultado que las que se involucran solo después de que se promulguen las leyes. Nuestra experiencia trabajando con entidades gubernamentales en toda la región — incluyendo proyectos del UNICEF Innovation Fund — ha demostrado que los reguladores genuinamente quieren escuchar a los profesionales responsables.

Clasificación de riesgos: ¿en qué categoría está tu sistema de IA?

La tarea práctica más inmediata para cualquier organización que desarrolle o implemente IA es realizar un inventario de IA y un ejercicio de clasificación de riesgos. La mayoría de las empresas, incluso aquellas con implementaciones de IA relativamente modestas, se sorprenden de cuántos sistemas de IA están operando cuando realizan una auditoría exhaustiva — motores de recomendación, toma de decisiones automatizada en flujos de trabajo, herramientas de contratación asistidas por IA, sistemas de detección de fraude, y más.

Usando el marco del EU AI Act como base (porque es el más completo y porque su alcance extraterritorial lo hace relevante para la mayoría de las organizaciones globales), clasificá cada sistema por: la naturaleza de las decisiones que apoya o toma, la población afectada y su vulnerabilidad, el grado de supervisión humana en el proceso y la reversibilidad de los resultados del sistema. Esta clasificación impulsa cada decisión de cumplimiento subsiguiente.

ISO 42001: el marco de gobernanza universal

ISO 42001, publicada en 2023, es el estándar internacional para sistemas de gestión de IA. Proporciona un marco para gobernar el desarrollo y la implementación de IA a lo largo del ciclo de vida completo — desde el diseño y entrenamiento hasta el despliegue y monitoreo. Lo que hace que ISO 42001 sea particularmente valioso en un panorama regulatorio fragmentado es que es neutral en cuanto a jurisdicción y se mapea bien tanto a los requisitos del EU AI Act como a los marcos emergentes en otras regiones.

Pensá en ISO 42001 como el equivalente para la gobernanza de IA de lo que ISO 27001 es para la seguridad de la información — un sistema de gestión estructurado que demuestra compromiso con la gobernanza, crea procesos documentados y proporciona una base para el cumplimiento regulatorio independientemente de qué ley específica aplique. Las empresas que ya pasaron por la certificación ISO 27001 (como nosotros en Xcapit) encontrarán que muchas de las disciplinas del sistema de gestión — registros de riesgos, auditorías internas, documentación de controles, gestión de incidentes — se transfieren directamente. Los elementos específicos de IA construyen sobre esa base en lugar de reemplazarla.

Pasos prácticos de cumplimiento: por dónde empezar

Para la mayoría de las organizaciones, el cumplimiento de IA se siente abrumador cuando se ve en su conjunto. El enfoque práctico es secuenciarlo. El siguiente es el marco que recomendamos a los clientes que comienzan su camino de gobernanza de IA.

• Completar un inventario de IA: identificar todos los sistemas de IA en uso en toda la organización, incluyendo sistemas comprados a proveedores que contengan componentes de IA. La mayoría de las organizaciones descubren que tienen dos o tres veces más sistemas de IA de los que estimaban inicialmente.
• Clasificar cada sistema por nivel de riesgo: usar el marco del EU AI Act como base. Los sistemas de alto riesgo demandan atención inmediata; los sistemas de riesgo limitado requieren medidas de transparencia; los sistemas de riesgo mínimo pueden proceder con monitoreo básico.
• Evaluar brechas respecto a marcos aplicables: para cada sistema de alto o limitado riesgo, documentar el estado actual frente a los requisitos de cumplimiento relevantes. Las brechas se convierten en la hoja de ruta de remediación.
• Establecer un comité de gobernanza de IA: el cumplimiento de IA no es un proyecto de TI — requiere participación legal, de producto, de operaciones y ejecutiva. La responsabilidad de gobernanza debe estar claramente asignada.
• Implementar documentación y mantenimiento de registros: la brecha de cumplimiento más común es la documentación inadecuada. Comenzar a construir la documentación técnica, los registros de riesgos y los registros de decisiones que las regulaciones requieren.
• Involucrar a tus proveedores de IA: muchas obligaciones de cumplimiento fluyen a través de los proveedores y plataformas sobre los que se construyen tus sistemas de IA. Comprender qué pueden certificar tus proveedores y dónde la responsabilidad es tuya.
• Avanzar hacia la certificación ISO 42001: esto proporciona un camino estructurado, validación externa y una certificación que tiene peso ante clientes empresariales y reguladores por igual.

El impacto en la adopción empresarial de IA

Una de las preocupaciones más comunes que escucho de líderes de tecnología empresarial es que la regulación ralentizará la adopción de IA. La evidencia hasta ahora sugiere lo contrario — al menos para las organizaciones bien gobernadas. Las empresas con programas maduros de gobernanza de IA están implementando IA más rápido y en casos de uso de mayor impacto precisamente porque tienen los marcos en su lugar para gestionar el riesgo de manera responsable. La regulación crea barreras para los no preparados, pero para las organizaciones que invierten en gobernanza, se convierte en una ventaja competitiva duradera.

El sector de servicios financieros es el ejemplo más claro. Los bancos y compañías de seguros que invirtieron temprano en gobernanza de IA — impulsados en parte por el escrutinio regulatorio existente — están ahora implementando IA en decisiones de crédito, detección de fraude y servicio al cliente con mucha más confianza que las industrias menos reguladas que solo ahora están lidiando con preguntas de gobernanza. La disciplina requerida por la regulación resulta ser la misma disciplina que hace que los sistemas de IA sean confiables y dignos de confianza.

Para las empresas en América Latina específicamente, hay una ventana para construir capacidades de gobernanza ahora, antes de que los requisitos regulatorios se vuelvan vinculantes. El talento y la infraestructura para el desarrollo responsable de IA existen en la región — lo vemos cada día en nuestros equipos en Córdoba y Lima — y las empresas que construyan esas capacidades durante este período preparatorio estarán posicionadas para liderar en lugar de correr cuando la regulación llegue con toda su fuerza.

Navegar la regulación de IA requiere tanto expertise legal como comprensión técnica profunda de cómo funcionan realmente los sistemas de IA — por eso la conversación sobre cumplimiento y la conversación sobre desarrollo deben ocurrir juntas. En Xcapit, construimos sistemas de IA con gobernanza incorporada desde la fase de diseño, no añadida después como un parche. Si estás planificando una iniciativa de IA y querés asegurar que esté construida para el entorno regulatorio que se avecina, nuestro equipo puede ayudarte a diseñar y ejecutar con el cumplimiento como base. Explorá nuestro enfoque en /services/ai-development.