El Reino Unido y la UE: ¿Cómo resolver un problema como Grok?
El 3 de febrero, la Oficina del Comisionado de Información del Reino Unido abrió una investigación formal sobre xAI en relación con el procesamiento de datos personales en la creación de imágenes sexualizadas no consensuadas por parte de Grok. La ICO está evaluando si Grok cumplió con la legislación de protección de datos del Reino Unido. Si se determina que xAI ha procesado datos personales de manera ilegal, la ICO podrá imponer una multa de hasta £17.5 millones o el 4% de la facturación anual mundial de xAI (lo que sea mayor) bajo la Ley de Protección de Datos de 2018 y el RGPD del Reino Unido.
Esto sigue a la apertura de una investigación por parte de Ofcom bajo la Ley de Seguridad en Línea de 2023, que criminaliza la difusión de deepfakes íntimos sin consentimiento. También hay otra ley en juego en esta investigación: la Ley de Uso y Acceso de Datos de 2025, que convierte en delito crear o solicitar contenido deepfake de adultos en el Reino Unido. Hasta ahora, la tecnología que permite realizar deepfakes no ha sido responsable, aunque el Gobierno Laborista está buscando enmendar la ley.
La investigación sobre el cumplimiento de Grok con la legislación de protección de datos del Reino Unido sigue a la incursión de fiscales franceses de la oficina de cibercrimen en las oficinas de X en París el mismo día, y la Comisión Europea abrió formalmente una investigación sobre X bajo la Ley de Servicios Digitales para evaluar si la empresa mitigó los «riesgos sistémicos» vinculados a Grok, incluida la difusión de contenido ilegal y violencia de género.
Enfoques divergentes del Reino Unido y la UE
La acción de cumplimiento contra Grok muestra el enfoque diferente de los regímenes de protección de datos y seguridad en línea del Reino Unido y la UE. El enfoque del Reino Unido, típico de una jurisdicción de derecho común, se centra en abordar daños específicos. En contraste, el enfoque de la UE se enfoca en construir un marco preventivo para la gestión de riesgos sistémicos. Estos enfoques probablemente mostrarán su valor en diferentes etapas del desarrollo de una nueva tecnología, siendo el enfoque de derecho común mejor capaz de responder a la velocidad actual del desarrollo de IA, mientras que el potencial del sistema regulador de la UE para prevenir daños se ve temporalmente debilitado por el deseo de Europa de no quedarse atrás en la carrera de IA.
Un amplio régimen regulador al estilo europeo está diseñado para empoderar a un ejecutivo político actuando en nombre del público votante contra una clase industrial que actúa en el interés del capital privado. El problema central de Europa es que no tiene una clase industrial significativa (al menos en el sector de TI), pero sí tiene un gran mercado de consumo. Los legisladores europeos han intentado tradicionalmente aprovechar el poder adquisitivo del mercado consumidor de la UE para establecer estándares regulatorios globales, fenómeno denominado «Efecto Bruselas».
Retos en el marco regulatorio europeo
El Efecto Bruselas funcionó bien para abordar las preocupaciones de protección de datos de la era del «capitalismo de vigilancia», pero está luchando por mantenerse al día con la velocidad del desarrollo de IA. Esto llevó a la Comisión Europea a presentar la Propuesta de Regulación del «Digital Omnibus» en noviembre de 2025, para retrasar la aprobación de partes de la Ley de IA relacionadas con la identificación biométrica hasta diciembre de 2027 y modificar el RGPD para permitir que los modelos de IA se entrenen con datos europeos, en un movimiento ampliamente visto como un empuje hacia la desregulación. Sin embargo, debido a cómo está estructurado el aparato legislativo de la UE, le resultará mucho más difícil adaptarse a la velocidad del desarrollo de IA hasta que se estabilice.
El Artículo 50 de la Ley de IA de la UE establece normas de transparencia para el contenido producido por IA generativa, que estipulan que dicho contenido debe marcarse de una manera legible por máquina. Estas normas estaban programadas para entrar en vigor en agosto de 2026, pero la Comisión ha propuesto retrasar su implementación hasta 2027, como parte de su empuje por regular con un enfoque más ligero. Actualmente, el Reino Unido no tiene legislación que exija marcas de agua para imágenes generadas por IA, aunque la consulta del gobierno del Reino Unido en 2024 sobre Derechos de Autor e Inteligencia Artificial reconoció los beneficios del etiquetado de IA.
Diferencias en la ejecución y la regulación
La ICO del Reino Unido y Ofcom reaccionaron rápidamente ante el problema de los deepfakes, con la ICO dirigiéndose tanto a xAI (el desarrollador de la tecnología) como a X (la plataforma/distribuidor), lo que muestra la ejecución en diferentes niveles del ciclo de datos. Las dos empresas siguen siendo entidades legales distintas, a pesar de la reciente serie de fusiones. Debido a su herencia de derecho común, el Reino Unido es quizás más ágil en responder a instancias específicas de daño en línea, pero el sistema de la UE proporciona una mejor estructura para la ejecución de estándares uniformes contra grandes corporaciones a largo plazo.
Los enfoques del Reino Unido y la UE respecto a la ejecución siguen líneas similares en una variedad de áreas, no solo en protección de datos. En Competencia y Antimonopolio, por ejemplo, el enfoque es también de especificidad del Reino Unido y requisitos estructurales de la UE. En 2023, la Autoridad de Mercados y Competencia del Reino Unido bloqueó la fusión Microsoft-Activision por $69 mil millones, argumentando que Microsoft ya controlaba alrededor del 60% del mercado global de juegos en la nube. La CMA luego obligó a Microsoft a reestructurar los términos del acuerdo a nivel global para satisfacer al regulador del Reino Unido, lo cual Microsoft logró vendiendo los derechos de transmisión en la nube de todos los juegos de Activision lanzados en los próximos 15 años a un tercero independiente.
La Comisión Europea aprobó el acuerdo, aceptando las soluciones propuestas por Microsoft (que el Reino Unido rechazó), pero dejó en claro que Microsoft debe asegurarse de que el acuerdo no socave el propósito de la Ley de Mercados Digitales, que es mantener los mercados digitales abiertos y competitivos. Microsoft se convirtió en un «puerta de enlace» designado para servicios de plataformas centrales, lo que lo sometió a requisitos regulatorios adicionales como interoperabilidad, acceso a datos y tratamiento no preferencial de sus propios servicios.
Conclusión
El enfoque del Reino Unido es resolver un problema específico a medida que surge, mientras que el enfoque de la UE busca aumentar la influencia de la Comisión Europea a largo plazo. Cada enfoque tiene sus ventajas, y ambos pueden ser aprovechados de manera complementaria para responsabilizar a grandes empresas. Lejos de dificultar la ejecución después del Brexit, el Reino Unido puede haber encontrado una forma efectiva –y única– de vigilar los puntos ciegos del sistema anterior únicamente de la UE, brindando a los individuos más opciones y más acceso a la justicia en el mundo digital.
