California promulga la Ley de Transparencia en Inteligencia Artificial Fronteriza (SB 53)
El 29 de septiembre de 2025, el Gobernador Gavin Newsom firmó la Ley de Transparencia en Inteligencia Artificial Fronteriza (TFAIA), convirtiendo a California en el primer estado en requerir divulgaciones de seguridad estandarizadas y públicas de los desarrolladores de modelos avanzados de inteligencia artificial (IA) «fronteriza». En ausencia de legislación federal integral, California se une a Colorado y Texas en el avance de la gobernanza de IA a nivel estatal. A diferencia de las propuestas más amplias consideradas en 2024, que incluían disposiciones controvertidas como auditorías de terceros obligatorias y requisitos de «interruptor de emergencia», el SB 53 se centra en la transparencia y la responsabilidad para los desarrolladores de los modelos de fundación de propósito general más capaces y en los daños que alcanzan el nivel de «riesgo catastrófico». La mayoría de los requisitos entrarán en vigor el 1 de enero de 2026.
Importancia de la TFAIA
La TFAIA requiere divulgaciones públicas antes de la implementación, informes oportunos al Estado cuando surjan problemas de seguridad graves, y fuertes protecciones de gobernanza interna y de denunciantes para los desarrolladores calificados. La ley está calibrada en torno a un umbral de computación que se alinea estrechamente con las líneas emergentes federales e internacionales, señalando un umbral de facto para la transparencia en la seguridad de EE. UU. Las empresas que entrenan o modifican sustancialmente modelos a gran escala, o que se asocian con tales desarrolladores, deberían considerar el SB 53 como una prioridad de cumplimiento a corto plazo y alinear las divulgaciones con las medidas relacionadas de California.
¿A quién se aplica la TFAIA?
La TFAIA se aplica a los desarrolladores de “modelos de IA fronteriza”, que se definen como modelos de fundación entrenados utilizando más de 1026 operaciones de punto flotante o entero (“FLOPs”), incluyendo el cómputo utilizado para el ajuste fino subsiguiente, el aprendizaje por refuerzo u otras modificaciones materiales. A partir de 2025, los analistas independientes estiman que solo un pequeño número de modelos han alcanzado o superado el umbral de 1026 FLOPs. Un análisis de previsión de EPOCH AI proyecta alrededor de ~10 modelos en o por encima del umbral de 1026 para 2026, creciendo rápidamente a medida que los presupuestos de entrenamiento y los clústeres se escalan. La ley impone requisitos adicionales de transparencia y responsabilidad a los “desarrolladores de frontera grandes” cuya facturación anual, incluyendo afiliados, superó los $500,000,000 en el año calendario anterior. La cobertura no se limita a entidades con sede en California si los modelos están disponibles para usuarios en California.
¿Qué deben hacer los desarrolladores fronterizos?
Marco de IA fronteriza (desarrolladores fronterizos grandes). Los desarrolladores fronterizos grandes deben publicar, mantener y seguir un marco de IA fronteriza por escrito que explique cómo la organización incorpora estándares nacionales e internacionales y prácticas de consenso de la industria; establece y evalúa umbrales para capacidades que podrían representar un riesgo catastrófico; aplica mitigaciones y prueba su efectividad (incluyendo a través de evaluaciones de terceros); y asigna responsabilidades de gobernanza y toma de decisiones. El marco también debe describir medidas de ciberseguridad para asegurar los pesos del modelo no publicados, criterios y disparadores para actualizaciones, y el proceso para identificar y responder a incidentes de seguridad críticos. El marco debe revisarse al menos anualmente, y cualquier modificación material debe publicarse dentro de los 30 días junto con una breve justificación.
Informes de transparencia en el momento de la implementación (todos los desarrolladores fronterizos). Antes o simultáneamente con la implementación de un nuevo modelo fronterizo, o una versión sustancialmente modificada, los desarrolladores deben publicar un informe de transparencia (que puede presentarse como una tarjeta del sistema o del modelo) que identifique la fecha de lanzamiento del modelo, los idiomas y modalidades soportados, los usos previstos, las restricciones o condiciones generales de uso, y proporciona el sitio web del desarrollador y un mecanismo de contacto. Los desarrolladores fronterizos grandes también deben resumir sus evaluaciones de riesgo catastrófico, divulgar resultados, describir el papel de cualquier evaluador externo y explicar otros pasos tomados bajo el marco.
Informe de incidentes de seguridad críticos (todos los desarrolladores fronterizos). Los desarrolladores deben informar incidentes de seguridad críticos calificados a la Oficina de Servicios de Emergencia de California (OES) dentro de los 15 días posteriores al descubrimiento. Si un incidente presenta un riesgo inminente de muerte o lesiones físicas graves, el desarrollador debe informar dentro de las 24 horas a una autoridad de seguridad pública apropiada. La OES mantendrá canales públicos y confidenciales para presentaciones y publicará resúmenes anónimos anuales a partir del 1 de enero de 2027. Los informes de incidentes y los resúmenes de evaluación de riesgos internos están exentos de la Ley de Registros Públicos de California.
Resúmenes de riesgos de uso interno (desarrolladores fronterizos grandes). Los desarrolladores fronterizos grandes deben transmitir resúmenes periódicos a la OES sobre las evaluaciones de riesgo catastrófico por uso interno de modelos fronterizos (trimestralmente por defecto o en otro horario razonable por escrito).
Veracidad y redacciones limitadas. La ley prohíbe las declaraciones materialmente falsas o engañosas sobre el riesgo catastrófico y, para los desarrolladores fronterizos grandes, sobre la implementación o cumplimiento del marco de IA fronteriza. Las divulgaciones públicas pueden redactarse solo según sea necesario para proteger secretos comerciales, ciberseguridad, seguridad pública o seguridad nacional de EE. UU., o para cumplir con la ley; los desarrolladores deben describir el carácter y la justificación de cualquier redacción y mantener materiales no redactados durante cinco años. (Las declaraciones de buena fe que fueron razonables en las circunstancias no son violaciones).
Protecciones para denunciantes y canales internos. La ley también agrega nuevas disposiciones al Código Laboral que prohíben la represalia y el uso de cláusulas de silencio contra empleados cubiertos que planteen preocupaciones sobre riesgos catastróficos o violaciones del SB 53 ante el Fiscal General, autoridades federales o destinatarios internos apropiados. Los desarrolladores fronterizos grandes deben proporcionar un canal de informes anónimos con actualizaciones mensuales sobre el estado del denunciante y reuniones trimestrales con oficiales o directores (con una excepción cuando se acusa a un oficial o director). Los tribunales pueden otorgar honorarios de abogados a los demandantes exitosos, y se disponible un alivio cautelar que no se queda en suspenso en apelaciones.
Aplicación y sanciones
Solo el Fiscal General de California puede presentar acciones civiles. Las sanciones pueden alcanzar $1,000,000 por violación, escalonadas por severidad. La pérdida de valor de la equidad no constituye daño a la propiedad para fines de sanciones.
Infraestructura estatal y preeminencia local
El SB 53 establece un consorcio para diseñar CalCompute, un clúster de nube pública respaldado por el estado destinado a apoyar investigaciones de IA seguras, equitativas y sostenibles. Se debe presentar un informe a la Legislatura el 1 de enero de 2027, sujeto a la apropiación presupuestaria. La ley también prevalece sobre medidas locales adoptadas a partir del 1 de enero de 2025 que regulen específicamente la gestión del riesgo catastrófico por parte de los desarrolladores fronterizos.
Cuándo entra en vigor
Las obligaciones de publicación, informes, veracidad y denunciantes entran en vigor el 1 de enero de 2026. Los informes anónimos y las revisiones anuales de la OES y el Fiscal General comienzan el 1 de enero de 2027.
Otras regulaciones de IA en California que entran en vigor el 1 de enero de 2026
AB 2013 (transparencia de datos de entrenamiento). Los desarrolladores de sistemas de IA generativa disponibles para los californianos deben publicar documentación sobre los datos de entrenamiento en el sitio web del desarrollador para los sistemas lanzados a partir del 1 de enero de 2022. El cumplimiento es obligatorio para el 1 de enero de 2026 y nuevamente ante cualquier modificación sustancial.
SB 942 (transparencia de contenido de IA). Los proveedores de IA generativa cubiertos deben implementar medidas de transparencia de contenido, incluyendo la disponibilidad de una herramienta de detección gratuita y accesible públicamente que permita a los usuarios evaluar si el contenido de audio, imagen o video fue creado o alterado por el sistema del proveedor. La ley también contempla señales de procedencia duraderas (por ejemplo, metadatos) para apoyar la divulgación posterior. El SB 942 entra en vigor el 1 de enero de 2026.
Propuestas legislativas pendientes en California
AB 412 (documentación de derechos de autor para datos de entrenamiento) requeriría que los desarrolladores documentaran los materiales protegidos por derechos de autor que utilizan conscientemente en el entrenamiento y proporcionaran un mecanismo para que los titulares de derechos verifiquen si su trabajo aparece en conjuntos de datos de entrenamiento.
SB 243 (chatbots compañeros) ha pasado ambas cámaras y espera la acción del Gobernador. Requeriría divulgaciones claras de que los usuarios están interactuando con IA, recordatorios periódicos y salvaguardas diseñadas para restringir el acceso de menores a contenido sexual.
Conclusiones
Los desarrolladores fronterizos deben determinar rápidamente si están cubiertos reconstruyendo el cómputo de entrenamiento y post-entrenamiento (incluido el ajuste fino y el aprendizaje por refuerzo) y confirmando el estado de ingresos consolidados. Si algún modelo cumple con el umbral de 1026 FLOPs, el desarrollador fronterizo debe: (1) redactar, adoptar y publicar un marco de IA fronteriza alineado con los estándares que establezca umbrales de capacidad, puertas de mitigación, criterios de evaluación de terceros y controles de seguridad de pesos de modelos; (2) operacionalizar un flujo de trabajo de transparencia en la implementación y un plan de incidentes críticos que satisfaga los plazos de informes de 15 días y 24 horas; y (3) implementar canales de denunciantes, avisos a empleados y salvaguardias contra represalias consistentes con las nuevas disposiciones del Código Laboral. La TFAIA, con su enfoque en la gestión de riesgos catastróficos y su alineación con los umbrales de computación federales, está posicionada para convertirse en la base de facto para la transparencia en la seguridad de IA en los Estados Unidos.
