Lo esencial
- No existe una única ley mundial de inteligencia artificial. Cumplir implica seguir un mosaico de normas regionales y nacionales, cuyo tono marca el reglamento europeo.
- El reglamento europeo de IA (
EU AI Act) sigue siendo el régimen de referencia mundial: clasificación por nivel de riesgo, alcance extraterritorial y multas de hasta 35 millones de euros o el 7 por ciento de la facturación mundial. - Estados Unidos carece de una ley federal integral. Funciona mediante un mosaico de estados en rápida evolución, con Colorado y Texas a la cabeza.
- Las normas voluntarias,
ISO/IEC 42001y elNIST AI RMF, forman la columna vertebral que permite que un solo conjunto de controles responda a varias leyes. - La respuesta duradera no es un rastreador jurídico más, sino un único modelo operativo: inventariar los sistemas de IA, clasificarlos, vincular las obligaciones a controles y conservar las pruebas.

Qué abarca la ley de inteligencia artificial en 2026
Detrás de la búsqueda de información sobre la ley de inteligencia artificial se esconden en realidad tres capas de reglas que hoy se superponen. La primera capa es el derecho vinculante: los textos que prevén sanciones, como el reglamento europeo de IA, las leyes de los estados de EE. UU. o las medidas chinas sobre algoritmos y contenidos. La segunda capa reúne las normas certificables, encabezadas por la norma ISO/IEC 42001, referencia internacional de un sistema de gestión de la IA que un organismo acreditado puede auditar. La tercera capa comprende los marcos voluntarios, como el NIST AI RMF y los principios de la OCDE, que no son leyes pero moldean cada vez más lo que esperan los reguladores y los clientes. La magnitud del fenómeno explica lo que está en juego. A comienzos de 2026, más de 72 países habían puesto en marcha más de 1.000 iniciativas de política pública sobre IA, según un análisis regulatorio comparado. Solo dos jurisdicciones, la Unión Europea y Corea del Sur, han adoptado una ley horizontal integral. En el resto, la IA se rige por una mezcla de reglas sectoriales, el derecho de protección de datos y textos más acotados dirigidos a las ultrafalsificaciones, la selección de personal o las elecciones. En España, la AEPD y la nueva AESIA acompañan esta evolución con sus propias orientaciones. Para un equipo de gobernanza, la consecuencia práctica es clara: la ley de inteligencia artificial nunca se lee texto por texto. Un mismo sistema de IA utilizado en varios mercados puede activar a la vez el reglamento europeo, una ley estatal estadounidense y un regulador sectorial. El resto de esta guía pasa por ello del mapa de las reglas a una forma de operar capaz de resistir ante todas. Para las organizaciones que parten de cero, la plataforma AI Sigil transforma este panorama en un único registro de obligaciones.
El mapa mundial de las leyes de IA
La regulación de la IA en 2026 se agrupa en cuatro grandes modelos. Cada uno trata la misma tecnología de manera distinta, de modo que el modelo aplicable depende del lugar donde se diseñan, comercializan y utilizan sus sistemas.
Unión Europea: el reglamento de IA
El reglamento europeo de IA es la ley más completa en vigor. Clasifica los sistemas en cuatro niveles de riesgo: inaceptable (prohibido), alto (muy regulado), limitado (obligaciones de transparencia) y mínimo (prácticamente libre). Las obligaciones entran en aplicación por fases. Las prohibiciones y el deber de alfabetización en IA se aplicaron primero, las obligaciones relativas a la IA de propósito general (GPAI) rigen desde el 2 de agosto de 2025 y los deberes para los sistemas de alto riesgo llegan después. En virtud del acuerdo provisional denominado Digital Omnibus del 7 de mayo de 2026, las obligaciones para los sistemas autónomos de alto riesgo del anexo III se aplazaron del 2 de agosto de 2026 al 2 de diciembre de 2027, mientras que la IA integrada en productos sigue en 2027, como indica el calendario oficial de aplicación. El texto rebasa las fronteras de la Unión: un proveedor o un responsable del despliegue establecido fuera de la UE queda cubierto cuando el resultado del sistema se utiliza en la Unión. Las multas alcanzan hasta 35 millones de euros o el 7 por ciento de la facturación mundial para las prácticas prohibidas, y hasta 15 millones de euros o el 3 por ciento para las infracciones de alto riesgo, como expone el resumen de alto nivel.
Estados Unidos: vacío federal y mosaico de estados
Estados Unidos no tiene una ley federal integral sobre IA. Son los estados los que legislan. En diciembre de 2025, la Casa Blanca dictó una orden sobre un marco nacional de política de IA destinada a limitar los obstáculos de las leyes estatales, lo que añade una cuestión de prevalencia sin eliminar el mosaico. Mientras el punto no se resuelva, quien opere en varios estados deberá cumplir con cada uno de ellos.
Asia-Pacífico: modelos integrales y centrados en el contenido
La ley marco surcoreana de IA entró en vigor el 22 de enero de 2026, convirtiendo a Corea del Sur en la segunda jurisdicción después de la UE con una ley integral. China aplica un modelo distinto, basado en medidas vinculantes: registro de algoritmos ante la administración del ciberespacio, etiquetado obligatorio de los contenidos generados por IA y autoevaluaciones de seguridad. Singapur y Japón prefieren marcos y herramientas de prueba antes que leyes rígidas.
Reino Unido y regímenes basados en principios
El Reino Unido ha optado por un enfoque basado en principios, dirigido por los reguladores, sin una ley específica de IA, apoyándose en el derecho existente, según una comparación de 2026 de los principales regímenes. Varias otras economías siguen este mismo patrón adaptativo, que mantiene reglas flexibles pero deja más interpretación a la organización.
Qué reglas se le aplican
Antes de leer cualquier texto, responda a dos preguntas: cuál es su papel y dónde se utiliza el resultado. Estos dos ejes determinan la mayor parte de sus obligaciones. El papel es el primer eje. El reglamento europeo, y la mayoría de las leyes que se inspiran en él, distinguen al proveedor, que desarrolla o introduce en el mercado un sistema, del responsable del despliegue, que lo utiliza bajo su propia autoridad. El proveedor soporta la carga mayor: documentación técnica, evaluación de conformidad y registro. El responsable del despliegue asume deberes más ligeros pero reales. Con arreglo al artículo 26, un responsable del despliegue debe utilizar un sistema de alto riesgo conforme a las instrucciones del proveedor, encomendar la supervisión humana a personas competentes, vigilar el funcionamiento y suspender el uso ante un riesgo, y conservar los registros generados automáticamente durante al menos seis meses, como recuerda el resumen del reglamento. Muchas organizaciones son a la vez responsables del despliegue de herramientas de terceros y proveedores de sus propios sistemas, por lo que acumulan ambas series de deberes. El territorio es el segundo eje. El alcance extraterritorial significa que la pregunta no es dónde tiene su sede, sino dónde aterriza el resultado del sistema. Si ese resultado se utiliza en la UE, el reglamento europeo puede aplicarse. Si una decisión afecta a un residente de Colorado o Texas, puede aplicarse la ley de ese estado. Las capas sectoriales añaden un tercer nivel: las finanzas, la sanidad y el empleo tienen sus propias reglas pertinentes para la IA, con independencia de la ley horizontal. Una breve lista de comprobación de aplicabilidad: enumere cada sistema de IA, indique si lo suministra o lo despliega, anote todos los mercados donde se utiliza su resultado y señale todo sector regulado afectado. Esa sola tabla le dice cuáles de las reglas de esta guía están activas para usted y se convierte en el esqueleto del modelo operativo descrito más adelante. Un registro estructurado de gestión de riesgos de IA hace que el ejercicio sea repetible en lugar de puntual.
Leyes de los estados de EE. UU.: el frente más cambiante
La pregunta más frecuente detrás de la ley de inteligencia artificial es estadounidense: qué estados regulan la IA. El ritmo es intenso. Los estados aprobaron 145 textos sobre IA en 2025, según el resumen legislativo de la NCSL, y 29 estados legislaron en 2026, con más de 38 estados que ya cuentan con al menos una ley más acotada, a menudo dirigida a las ultrafalsificaciones o a los contenidos electorales, como muestra un balance de mediados de 2026. Dos estados muestran con qué rapidez se mueve el terreno. Colorado había aprobado la ley SB 24-205, un amplio texto de protección del consumidor, con efecto desde el 30 de junio de 2026 tras un aplazamiento desde el 1 de febrero de 2026. En mayo de 2026, el estado la derogó y la sustituyó por la ley SB 26-189, más acotada, sobre tecnologías de decisión automatizada, con efecto desde el 1 de enero de 2027, según el seguimiento del despacho Cooley. Texas tomó otra vía con la Texas Responsible AI Governance Act (TRAIGA, HB 149), firmada el 22 de junio de 2025 y con efecto desde el 1 de enero de 2026, centrada en una breve lista de usos prohibidos y en reglas para la IA de las administraciones, según una guía estado por estado. La lección para los equipos de cumplimiento es que las leyes estatales son objetivos móviles. Las fechas de efecto se desplazan, los ámbitos se estrechan y las definiciones cambian de una sesión a otra. Seguir el texto es necesario pero no suficiente. Lo que perdura es una capa de controles capaz de absorber una nueva ley estatal sin reconstruir todo, objeto de la siguiente sección.
Del texto jurídico a los controles operativos
Aquí es donde la mayoría de los rastreadores jurídicos se detienen y donde un equipo de gobernanza debe empezar. Las leyes describen resultados esperados, no se ejecutan dentro de su empresa. Para convertir la ley de inteligencia artificial en práctica diaria, adopte un modelo operativo de cuatro pasos. El primer paso es el inventario. No se gobierna lo que no se ve. Construya un único registro de cada sistema de IA, incluidas las herramientas de terceros y las adoptadas de forma informal, para que la IA en la sombra no quede fuera del perímetro. Cada entrada anota la finalidad, los datos utilizados, el responsable y los mercados donde se emplea el resultado. El registro de AI Sigil está concebido para ser esa fuente de verdad. El segundo paso es la clasificación. A partir de ese registro, clasifique cada sistema por riesgo y por papel. Vincúlelo a los niveles del reglamento europeo, indique si es proveedor o responsable del despliegue y marque las jurisdicciones afectadas. La clasificación convierte la tabla de aplicabilidad de la sección anterior en una carga de trabajo priorizada. El tercer paso es la asignación de controles. Es el punto que cambia la economía del cumplimiento. La mayoría de las reglas piden los mismos comportamientos de fondo: evaluación del riesgo, gobernanza de los datos, supervisión humana, registro de actividad, transparencia y gestión de incidentes. En lugar de escribir un conjunto de controles por ley, defina una única biblioteca de controles y vincule cada control a las obligaciones que satisface en varios textos. Un solo control de supervisión humana puede responder al reglamento europeo, a una ley estatal estadounidense y a una política interna a la vez. El cuarto paso es la prueba. Los reguladores y los auditores no aceptan intenciones, sino rastros. Cada control necesita un responsable, una cadencia y pruebas conservadas: evaluaciones, aprobaciones, registros y autorizaciones. Cuando la prueba se captura a medida que se trabaja, una auditoría se convierte en una consulta en lugar de una carrera contrarreloj. Aquí se trata de cobertura y exhaustividad de los controles, no de una única puntuación ponderada.
Las normas como columna vertebral del cumplimiento: ISO 42001 y NIST AI RMF
La biblioteca de controles del tercer paso no hay que inventarla. Dos normas ya la proporcionan, y es su uso lo que permite que un solo programa responda a muchas leyes. La norma ISO/IEC 42001 es la referencia internacional de un sistema de gestión de la IA. Es certificable: un organismo acreditado puede auditar su programa y emitir un certificado reconocido por clientes y reguladores. Aporta la estructura de gobernanza: política, funciones, proceso de riesgo, controles y mejora continua. El NIST AI RMF es un marco estadounidense voluntario organizado en torno a cuatro funciones, gobernar, mapear, medir y gestionar, más concreto sobre el cómo del trabajo de riesgo. Ambos encajan: ISO/IEC 42001 aporta el sistema de gestión auditable y el NIST AI RMF el método de riesgo que lo anima, como describe una comparación en lenguaje claro de los tres regímenes. La ventaja es la reutilización de una jurisdicción a otra. El NIST publica tablas de correspondencia de su marco con la recomendación de la OCDE y con ISO/IEC 42001, y ambas normas se alinean estrechamente con las expectativas del reglamento europeo en materia de gestión del riesgo, documentación y supervisión. Construya su biblioteca de controles en torno a estas normas y gran parte de sus obligaciones, con arreglo al reglamento europeo, a las leyes estatales estadounidenses y a los regímenes de Asia-Pacífico, quedará cubierta por las mismas pruebas. Mantiene un solo programa, no uno por ley. AI Sigil entrega su biblioteca de controles ya vinculada a ISO/IEC 42001 y al NIST AI RMF precisamente por esta razón.
Construir un modelo operativo de cumplimiento de IA
Ensamblar las piezas produce un método que sobrevive a las nuevas leyes. Comience por el registro como fuente única de verdad para cada sistema de IA en uso. Superponga niveles de riesgo para que los sistemas de alto riesgo reciban la mayor atención. Separe sus controles en dos grupos: los controles fundamentales que valen para toda la organización, como una política de IA o un programa de alfabetización, y los controles de sistema propios de un caso de uso, como la prueba de sesgos o la supervisión humana de un modelo de selección. La gobernanza necesita un anclaje. Encomiende a un comité o a un responsable identificado una autoridad real para aprobar los usos de alto riesgo, examinar los incidentes y validar las pruebas. Fije una cadencia de vigilancia para que los controles se reatestigüen según un calendario, y no se verifiquen una vez y se olviden, porque la ley de inteligencia artificial y sus propios sistemas evolucionan entre una revisión y otra. La ventaja de este modelo es que una nueva ley se convierte en una actualización, no en un proyecto. Cuando llega la siguiente ley estatal o el siguiente acto delegado, vincula sus requisitos a controles ya en marcha, cierra las brechas y continúa. Es la diferencia entre perseguir el texto jurídico y operar un programa de gobernanza. La plataforma AI Sigil está diseñada para hacer girar este ciclo de principio a fin, del registro a la prueba.
Preguntas frecuentes
¿Cuáles son las leyes que regulan la IA? Las leyes que regulan la IA son los textos vinculantes que rigen su desarrollo y uso, completados por normas y marcos que moldean las expectativas. El texto vinculante más claro es el reglamento europeo de IA. A él se suman las leyes estatales estadounidenses, las medidas chinas sobre algoritmos y contenidos, y la ley marco surcoreana. Junto a ellos figuran normas certificables como ISO/IEC 42001 y marcos voluntarios como el NIST AI RMF, que no son leyes pero a menudo deciden lo que aceptan reguladores y clientes. ¿Qué estados de EE. UU. tienen leyes de IA? Más de 38 estados de EE. UU. cuentan con al menos una ley de IA, y 29 estados legislaron en 2026. Muchos de estos textos se dirigen a temas acotados como las ultrafalsificaciones o los contenidos electorales. Un grupo más reducido dispone de reglas amplias y transversales, con Colorado y Texas como ejemplos más conocidos. Como las fechas de efecto y los ámbitos cambian con frecuencia, el recuento debe leerse como una cifra móvil y no como una lista fija. ¿Existe una ley mundial de IA? No. No existe una única ley mundial de IA ni un regulador planetario. El punto de referencia más cercano es el reglamento europeo, porque su alcance extraterritorial obliga a muchas organizaciones no europeas a cumplirlo y porque otros gobiernos retoman su estructura por niveles de riesgo. Normas globales como ISO/IEC 42001 también crean una base común, pero son voluntarias y no vinculantes. ¿Qué es el reglamento europeo de IA y a quién se aplica? El reglamento europeo de IA es la ley integral de la Unión. Ordena los sistemas por nivel de riesgo e impone los deberes más exigentes a los usos de alto riesgo. Se aplica a los proveedores y a los responsables del despliegue, incluso fuera de la UE cuando el resultado del sistema se utiliza en la Unión. Las multas alcanzan hasta 35 millones de euros o el 7 por ciento de la facturación mundial para las prácticas prohibidas. ¿Cuáles son las nuevas leyes de IA en 2026? En 2026 entró en vigor la ley marco surcoreana, la TRAIGA de Texas pasó a ser efectiva el 1 de enero y Colorado sustituyó su ley inicial por un texto más acotado sobre decisión automatizada previsto para 2027. La UE, además, aplazó parte del calendario de alto riesgo a diciembre de 2027. Al mismo tiempo, decenas de estados estadounidenses aprobaron medidas más acotadas, manteniendo el panorama en movimiento constante. ¿Cómo se cumplen las leyes de IA en varios países? La vía eficiente es un único modelo operativo en lugar de un proyecto por ley. Inventaríe cada sistema de IA, clasifíquelo por riesgo y por papel, vincule las obligaciones a una biblioteca de controles construida sobre ISO/IEC 42001 y el NIST AI RMF, y conserve la prueba de cada control. Como estas normas se alinean con la mayoría de las leyes, los mismos controles y los mismos rastros satisfacen varios regímenes a la vez, de modo que una nueva ley se convierte en una actualización y no en una reconstrucción.
Conclusión
El rasgo definitorio de la ley de inteligencia artificial en 2026 es la fragmentación. Ningún cuerpo normativo mundial único, un reglamento europeo que encabeza la marcha mientras ve desplazarse su propio calendario, y un mosaico de estados estadounidenses que cambia sesión tras sesión. Querer seguir el ritmo ley por ley es una carrera perdida de antemano. Las organizaciones que se mantienen conformes tratan el mosaico como una condición duradera y le responden con estructura: un único registro de IA, una clasificación clara de los riesgos, una biblioteca de controles vinculada a ISO/IEC 42001 y al NIST AI RMF, y pruebas capturadas a medida que se trabaja. Ese modelo operativo convierte cada nuevo texto en una actualización manejable en lugar de una urgencia. Para construirlo en una sola plataforma, del registro a la prueba lista para auditoría, empiece con AI Sigil.