Capítulo 13 — Panorama regulatorio
Decimotercera entrega del recorrido capítulo por capítulo de LLM Primer VII: Seguridad de la IA. El capítulo que mapea el panorama regulatorio plural, aún en consolidación, sobre los controles técnicos que los capítulos anteriores desarrollaron.
Por qué existe este capítulo
Para 2026 la arquitectura regulatoria alrededor de la IA no está ni asentada ni unificada. El Reglamento de IA de la UE, en pleno vigor desde agosto de 2026 para la mayoría de las categorías de alto riesgo, es el instrumento único más consecuente. La postura federal de EE. UU. se ha desplazado a través de la transición EO 14110 a EO 14179 y se ha asentado en un marco operativo cuya forma exacta sigue evolucionando. Leyes a nivel estatal — la Colorado AI Act, la serie de proyectos californianos sobre IA generativa, la ley AEDT de Nueva York — añaden un mosaico estadounidense. El RGPD, la CCPA, la PIPL y la DPDPA se aplican a los sistemas de IA hayan pensado o no en ello sus diseñadores. Los marcos en Singapur, Japón, Corea, India y el Reino Unido avanzan por vías paralelas. Este capítulo recorre qué exige cada uno en términos prácticos y mapea los controles de los capítulos 3, 10, 11 y 12 a esos requisitos.
13.1 El Reglamento de IA de la UE es el ancla del panorama actual
El Reglamento (UE) 2024/1689 se firmó en junio de 2024 y se publicó en julio de 2024. Las prohibiciones sobre prácticas inaceptables — puntuación social, identificación biométrica en tiempo real en espacios públicos con excepciones estrechas, técnicas manipuladoras que exploten vulnerabilidades — se hicieron aplicables en febrero de 2025. Las obligaciones sobre modelos de IA de propósito general, incluidas la transparencia y la documentación de modelos fundacionales, se hicieron aplicables en agosto de 2025. Las obligaciones completas de alto riesgo se hacen aplicables en agosto de 2026 para la mayoría de las categorías y en agosto de 2027 para los sistemas de IA empotrados en productos bajo la regulación de seguridad de producto de la UE existente. La estructura sustantiva es por niveles de riesgo: prácticas prohibidas, sistemas de alto riesgo con un conjunto detallado de obligaciones (sistemas de gestión de riesgo, gobernanza de datos, documentación técnica, mantenimiento de registros, transparencia hacia desplegadores y usuarios, supervisión humana, precisión y robustez, evaluación de conformidad, monitorización post-comercialización), sistemas de riesgo limitado con obligaciones de transparencia y sistemas de riesgo mínimo apenas regulados por el propio Reglamento. Las categorías de alto riesgo del Anexo III incluyen infraestructura crítica, decisiones laborales, servicios esenciales, aplicación de la ley, migración, justicia y casos de uso definidos de biometría y reconocimiento de emociones. Las obligaciones sobre modelos fundacionales para modelos por encima de umbrales definidos de cómputo y capacidad añaden una vía paralela que ha conformado cómo los laboratorios de frontera abordan el despliegue en el mercado de la UE. El alcance extraterritorial del Reglamento extiende su efecto práctico a la industria internacional de IA con independencia de dónde se sitúe el desarrollador.
13.2 La ley de protección de datos llegó antes y sigue siendo vinculante
Antes de las regulaciones específicas de IA, las restricciones más importantes al desarrollo de IA venían de la ley de protección de datos. Lo siguen siendo. El RGPD se aplica al tratamiento de datos personales por cualquier entidad establecida en la UE o que se dirija a sujetos de datos de la UE. Los artículos 13 y 14 exigen que se informe a los sujetos sobre el tratamiento, incluidos los propósitos, las categorías, los destinatarios y, cuando aplica, la existencia de decisiones automatizadas y la lógica implicada. El artículo 22 concede a los sujetos el derecho a no ser objeto de decisiones únicamente automatizadas con efectos jurídicos o similarmente significativos — una disposición cuya aplicación a las salidas LLM está disputada pero que conforma cómo se están desplegando decisiones guiadas por IA en los mercados de la UE. El artículo 17 concede el derecho al borrado, cuya aplicación a un modelo cuyos pesos reflejan los datos de entrenamiento es otra cuestión interpretativa que el campo aún está trabajando. La CCPA y la CPRA en California, la PIPL en China, la DPDPA en India, la LGPD en Brasil, la PIPEDA en Canadá y decenas de regímenes paralelos en otros lugares imponen obligaciones similares con variaciones específicas por jurisdicción. La actuación del Garante italiano de marzo de 2023 contra ChatGPT (cap. 3) fue el primer disparo regulatorio; actuaciones posteriores a lo largo de la UE y otros lugares han reforzado que los datos de entrenamiento que contienen información personal son una preocupación regulatoria incluso cuando el modelo lo proporciona un proveedor extranjero.
13.3 Auditabilidad, model cards y clasificación de riesgo son la forma operativa
Las regulaciones específicas de IA convergen en la auditabilidad. Los sistemas de alto riesgo bajo el Reglamento de IA de la UE deben mantener documentación técnica desde antes de la entrada al mercado a lo largo de la vida del sistema — descripción general, elementos y proceso de desarrollo, monitorización y control, sistema de gestión de riesgos, gobernanza de datos, medidas de supervisión humana, con suficiente detalle para que un organismo notificado pueda evaluar la conformidad. NIST AI 100-1 (2023) y el Generative AI Profile AI 600-1 (2024) proporcionan el vocabulario de gestión de riesgos del lado estadounidense. ISO/IEC 42001, publicado en 2023, da el estándar de sistema de gestión de IA para organizaciones que persiguen la certificación. El model card, introducido por Mitchell et al. en FAccT 2019, es el artefacto documental individual más importante — un registro estructurado de uso previsto, datos de entrenamiento, resultados de evaluación, consideraciones éticas y usos desaconsejados. La adopción está extendida en Hugging Face, OpenAI, Anthropic y Google, en distintos grados de profundidad. Los enfoques de clasificación de riesgo varían. El Reglamento de IA de la UE usa clasificación por caso de uso: un sistema de IA usado para un propósito de alto riesgo listado es de alto riesgo con independencia de la capacidad del modelo. NIST AI 100-1 usa análisis de riesgo basado en atributos. El proceso Bletchley/Seúl/AI Action Summit usa umbrales de capacidad de modelo vía cómputo y evaluación. La mayoría de los marcos actuales mezclan enfoques, y el trabajo de cumplimiento organizacional es en gran parte el trabajo de mapear sistemas específicos a los esquemas de clasificación específicos que cada regulador aplica.
Lo que prepara el Capítulo 13
El capítulo 14 gira hacia el contenido sustantivo que las regulaciones intentan abordar: sesgo, equidad e IA responsable. El capítulo recorre las fuentes de sesgo en los LLM — sesgo de datos de entrenamiento, representacional, de asignación, de evaluación y de despliegue — con referencia al artículo «Stochastic Parrots» de Bender, Gebru, McMillan-Major y Shmitchell de 2021 y la literatura de seguimiento. Examina los benchmarks de equidad (BOLD, BBQ, StereoSet, CrowS-Pairs) y sus limitaciones. Recorre la disyuntiva seguridad-utilidad documentada en el trabajo de RLHF de Anthropic. Examina la transparencia y la explicabilidad (SHAP, LIME, interpretabilidad) y la brecha entre lo que entregan y lo que las regulaciones exigen. Cierra con la política organizacional de IA como la capa donde el trabajo técnico se vuelve operativo. El capítulo 15 después recorre la infraestructura organizacional — cultura de seguridad, red teams, riesgo de proveedores, evaluación continua, stewardship a largo plazo — que sostiene la disciplina.
Próximamente — Capítulo 14: Sesgo, equidad e IA responsable. Fuentes de sesgo, medir la equidad con límites, la disyuntiva seguridad-utilidad, y la política organizacional de IA que convierte el trabajo técnico en disciplina operativa.