California y Nueva York Imponen las Leyes de IA Más Estrictas
California y Nueva York han activado las reglas de IA más estrictas del país, convirtiendo las salvaguardias voluntarias en obligaciones exigibles para las empresas que desarrollan e implementan modelos a gran escala. Los expertos legales afirman que este cambio otorga un verdadero peso a la transparencia y la seguridad sin congelar aún la innovación, mientras se establece un inevitable choque con los funcionarios federales que buscan un marco unificado más ligero.
Cambios en la Responsabilidad
Los desarrolladores de modelos y las principales plataformas de IA deben divulgar cómo planean mitigar riesgos catastróficos, reportar incidentes graves y proteger a los denunciantes que informen sobre problemas. Esto resulta en una nueva línea base de cumplimiento para cualquier empresa de IA con ambiciones nacionales, ya que ignorar los dos mercados tecnológicos más importantes del país no es una opción viable.
Lo Que Cambia Bajo la Ley SB 53 de California y la Ley RAISE de Nueva York
La SB 53 de California exige a los desarrolladores publicar planes de mitigación de riesgos para sus modelos más capaces y reportar «incidentes de seguridad», que son eventos que podrían permitir intrusiones cibernéticas, uso indebido químico o biológico, daños radiológicos o nucleares, lesiones corporales graves o pérdida de control sobre un sistema. Las empresas tienen 15 días para notificar al estado y enfrentan multas de hasta 1 millón de dólares por incumplimiento.
La Ley RAISE de Nueva York refleja las reglas de divulgación pero avanza más rápido y se extiende más en la aplicación. Los incidentes de seguridad deben ser reportados dentro de las 72 horas, y las multas pueden alcanzar los 3 millones de dólares tras una primera violación. También introduce auditorías anuales de terceros, añadiendo una verificación independiente que California no exige.
Ambas leyes apuntan a empresas con más de 500 millones de dólares en ingresos anuales brutos, atrayendo efectivamente a las grandes tecnológicas y grandes proveedores de IA, mientras que eximen a muchas startups en etapas iniciales. Los reguladores optaron por un enfoque de transparencia después de que una propuesta más robusta en California, la SB 1047, fracasara; esa ley anterior planteaba «interruptores de muerte» obligatorios y pruebas de seguridad para modelos que superaran un umbral de costo de entrenamiento elevado.
Impactos de Cumplimiento para Desarrolladores de IA y Empresas
En la práctica, las nuevas reglas obligan a construir una gobernanza de seguridad en lugar de detener la investigación y desarrollo. Las empresas necesitan manuales de respuesta a incidentes que definan qué cuenta como un evento de IA reportable, escalación en llamada y preservación de evidencia. Se espera una mayor rigurosidad en el red-teaming, registro centralizado del comportamiento del modelo y documentación formal del «caso de seguridad» que los equipos de producto y abogados puedan respaldar.
Como muchas empresas globales ya se alinean con la Ley de IA de la UE, los expertos legales afirman que el esfuerzo marginal puede ser menor de lo temido, especialmente en términos de divulgaciones. Los especialistas argumentan que las leyes no cambiarán drásticamente la investigación diaria, pero marcan un primer paso crucial al hacer que la supervisión de riesgos catastróficos sea exigible en los Estados Unidos.
Desafíos Federales y la Cuestión de la Preeminencia
La administración ha señalado un impulso para centralizar la gobernanza de la IA, advirtiendo que un mosaico de reglas estatales podría ralentizar la innovación y crear confusión por cumplimiento. El Departamento de Justicia está formando un Grupo de Trabajo de Litigios de IA para desafiar disposiciones estatales que se consideren incompatibles con un marco de política nacional.
Sin embargo, la preeminencia no es una conclusión inevitable. Los abogados señalan que, en ausencia de un estatuto federal que anule explícitamente a los estados, los tribunales a menudo permiten que los estados establezcan estándares más estrictos.
¿Qué Tan Estrictas Son Estas Reglas en la Práctica?
En comparación con el enfoque de «interruptor de muerte» retirado, la SB 53 y la Ley RAISE priorizan la transparencia y la trazabilidad sobre restricciones técnicas estrictas. Las auditorías independientes de Nueva York elevan la barra, pero actualmente ninguno de los estados exige evaluaciones de modelos de terceros antes de su lanzamiento. Esto deja una flexibilidad significativa para los laboratorios mientras hace más arriesgado ignorar modos de falla catastróficos.
Hay un compromiso legal. La documentación que estas leyes requieren puede surgir en descubrimientos o demandas colectivas. Con las protecciones para denunciantes en California, las empresas necesitarán políticas robustas contra represalias y canales más claros para plantear preocupaciones de seguridad de IA.
Conclusión
A medida que comienzan la aplicación y los desafíos, se deben observar las primeras acciones de cumplimiento, los desafíos federales y cómo las agencias estatales definen «incidentes de seguridad». Además, es importante rastrear la convergencia con la Ley de IA de la UE; muchas empresas buscarán un conjunto de controles armonizado que abarque divulgaciones, respuesta a incidentes y auditorías. Por ahora, se aconseja tratar estas leyes como el mínimo. Es fundamental construir un registro centralizado de incidentes, expandir la cobertura del red-team a usos catastróficos, registrar la procedencia del modelo y los datos de ajuste, establecer umbrales de riesgo a nivel de junta y reforzar la supervisión de denunciantes y proveedores.
