Log in
Sign up
Gouache illustration of a heavy stone legal seal carved with overlapping continental borders, symbolising the global compliance landscape for artificial intelligence laws

Sections

Leyes de inteligencia artificial en 2026: el mapa global de cumplimiento

Lo esencial

  • Los Estados Unidos siguen sin contar con una ley federal integral sobre inteligencia artificial en 2026. Una orden ejecutiva de diciembre de 2025 reivindica la prelación federal sobre las leyes estatales que obligarían a los modelos a alterar sus salidas veraces, y la ley insignia de Colorado SB 24-205 fue suspendida por un magistrado federal en abril de 2026.
  • El Reglamento europeo de IA se convierte en la referencia mundial el 2 de agosto de 2026, fecha en la que se aplican las obligaciones sobre sistemas de alto riesgo y se activan las sanciones de la Comisión.
  • Tres roles, y no tres banderas, determinan sus obligaciones: proveedor, responsable del despliegue y proveedor de modelos de IA de propósito general. El mismo rol acarrea deberes similares, ya sea que usted introduzca productos en la Unión, en Corea o en Brasil.
  • La norma ISO/IEC 42001 y el NIST AI Risk Management Framework constituyen el denominador operativo que satisface la mayor parte de las jurisdicciones en un solo movimiento.
  • AI Sigil traduce este mapa en controles operativos, evidencias e inventario de IA, de modo que el trayecto que va del texto regulatorio al expediente listo para auditoría se convierte en un flujo de trabajo, no en un proyecto de investigación.

El mapa jurídico de la IA en 2026

El panorama global se lee hoy en dos registros. De un lado, los regímenes integrales basados en el riesgo estructuran las obligaciones de IA en torno al uso del sistema: el Reglamento europeo de IA, la AI Basic Act coreana con efecto desde el 22 de enero de 2026 y el proyecto brasileño PL 2338/2023. De otro, un mosaico sectorial y estatal se apoya en la protección del consumidor, los derechos civiles y la regulación financiera existentes para cubrir los riesgos de IA: Estados Unidos, Reino Unido y Canadá a nivel federal. La consecuencia práctica es que las empresas presentes en varios mercados necesitan un único modelo interno de cumplimiento, capaz de encajar en cualquiera de los dos tipos de régimen. La geografía ha dejado de dictar el contenido de las obligaciones. Lo hace el rol desempeñado en la cadena de valor de la IA. Esa es también la razón por la que importa la orden ejecutiva estadounidense de diciembre de 2025 sobre política nacional de IA. Su señal es clara: los Estados Unidos resistirán una fragmentación estado por estado y se apoyarán en agencias federales sectoriales, principalmente la FTC, la EEOC, el CFPB y el HHS. La orden encarga al ejecutivo identificar las leyes estatales que obligarían a los modelos a alterar sus salidas veraces y promover acciones legales para desactivarlas.

El Reglamento europeo de IA, referencia mundial

El Reglamento europeo de IA entró en vigor el 1 de agosto de 2024 y se aplica según un calendario escalonado. Su estructura descansa en cuatro niveles de riesgo y un régimen paralelo para los modelos de IA de propósito general.

Los niveles de riesgo

Las prácticas prohibidas, recogidas en el artículo 5, prohíben la IA manipuladora o explotadora, la puntuación social por autoridades públicas, el barrido no dirigido de imágenes faciales, la inferencia de emociones en el lugar de trabajo y en el centro educativo, y la casi totalidad de la identificación biométrica en tiempo real en espacios públicos. Estas prohibiciones se aplican desde el 2 de febrero de 2025. Los sistemas de alto riesgo figuran en el anexo III y abarcan, entre otros, la identificación biométrica, las infraestructuras críticas, la evaluación en la educación y la formación profesional, la selección y gestión del personal, el acceso a servicios esenciales, la aplicación de la ley, la migración y la administración de justicia y de los procesos democráticos. Sus obligaciones se aplican a partir del 2 de agosto de 2026. Los sistemas de riesgo limitado activan deberes de transparencia conforme al artículo 50: el usuario debe saber que interactúa con una IA y los contenidos sintéticos deben llevar marcas legibles por máquina. El periodo de gracia para el etiquetado de contenidos sintéticos finaliza el 2 de diciembre de 2026. Los modelos de IA de propósito general, estén o no introducidos en el mercado de la Unión, están sometidos desde el 2 de agosto de 2025 a deberes de documentación y de transparencia en materia de derechos de autor. Los modelos clasificados como de riesgo sistémico afrontan además evaluaciones de modelo, ejercicios de red-teaming y notificación de incidentes graves.

Obligaciones del proveedor y del responsable del despliegue

Un proveedor de un sistema de alto riesgo en la Unión debe operar un proceso de gestión del riesgo, mantener documentación técnica alineada con el anexo IV, garantizar la calidad y la gobernanza de los datos, integrar transparencia y supervisión humana, realizar una evaluación de la conformidad, registrar el sistema en la base de datos de la Unión cuando proceda y operar una vigilancia poscomercialización. Un responsable del despliegue debe asegurar la supervisión humana en el funcionamiento, respetar las instrucciones de uso del proveedor, realizar una evaluación de impacto sobre los derechos fundamentales cuando lo exija el artículo 27 y registrar las operaciones automatizadas. El Consejo y el Parlamento europeos alcanzaron un acuerdo el 7 de mayo de 2026 sobre un paquete de simplificación destinado a reducir solapamientos con la legislación sectorial de seguridad de los productos y a precisar la documentación GPAI. La estructura basada en el riesgo, los hitos de agosto de 2026 y las categorías de rol permanecen sin cambios.

Sanciones

Las sanciones administrativas máximas alcanzan 35 millones de euros o el 7 por ciento de la facturación mundial anual, lo que sea mayor, para las prácticas prohibidas. Las demás infracciones se exponen hasta 15 millones de euros o el 3 por ciento. La información engañosa facilitada a las autoridades acarrea hasta 7,5 millones de euros o el 1 por ciento. Las facultades ejecutivas de la Comisión sobre los proveedores GPAI se activan el 2 de agosto de 2026.

Estados Unidos: prelación federal y aplicación sectorial

No existe ley federal integral de IA en 2026. El Congressional Research Service describe el panorama federal como una estratificación de órdenes ejecutivas, normativa de agencias y leyes sectoriales.

Acción federal

La orden ejecutiva 14110, firmada en 2023, fue revocada a comienzos de 2025. La orden ejecutiva de diciembre de 2025 sobre el marco nacional de política de IA la sustituyó. La orden encarga al Fiscal General evaluar las leyes estatales que interfieran con los intereses federales, en particular las que obligarían a los modelos a alterar sus salidas veraces. Esta orden es la causa directa de la suspensión federal de la ley de Colorado SB 24-205 el 27 de abril de 2026. La aplicación federal corre a cargo de autoridades generalistas. La Federal Trade Commission emplea la sección 5 de la FTC Act para sancionar prácticas de IA desleales o engañosas. La Equal Employment Opportunity Commission aplica el Título VII y la Americans with Disabilities Act a las decisiones de empleo asistidas por IA. El Consumer Financial Protection Bureau supervisa la IA en crédito y suscripción. El Department of Health and Human Services aplica HIPAA y la sección 1557 a la asistencia a la decisión clínica.

Leyes estatales y municipales

La actividad estatal alcanzó su pico en 2024 y 2025, y desde entonces ha disminuido bajo presión federal. Las medidas más citadas son:

  • Colorado SB 24-205, primera ley estatal integral de IA. Su entrada en vigor estaba prevista para el 1 de febrero de 2026, fue aplazada al 30 de junio de 2026 por SB 25B-004 y suspendida por un magistrado federal el 27 de abril de 2026. La legislatura de Colorado aprobó un texto sustitutivo, SB 189, entre el 7 y el 9 de mayo de 2026.
  • Local Law 144 de la ciudad de Nueva York, que impone una auditoría anual de sesgo y la notificación al candidato para herramientas automatizadas de decisión laboral.
  • Illinois Artificial Intelligence Video Interview Act, que exige el consentimiento para el análisis con IA de las entrevistas.
  • California SB 53, que impone la divulgación por desarrolladores de grandes modelos de IA.
  • Tennessee ELVIS Act, que protege la voz y la imagen frente al clonado mediante IA.
  • Utah Artificial Intelligence Policy Act, que añade deberes de divulgación para la IA generativa en profesiones reguladas.

Las leyes estatales sobreviven en ámbitos más reducidos: auditorías de sesgo, divulgación de deepfakes y protección de voz e imagen. Los regímenes estatales integrales afrontan un viento federal en contra más severo.

El resto del mundo: comparable, pero no idéntico

Una mirada global confirma que las obligaciones por rol viajan bien. Reino Unido mantiene un régimen basado en principios, sin ley general de IA. Los reguladores existentes, la Competition and Markets Authority, la Financial Conduct Authority, la Information Commissioner’s Office y Ofcom, aplican cinco principios comunes a la IA en sus sectores. La ICO conserva la fuerza sancionadora más alta, con multas de hasta 17,5 millones de libras o el 4 por ciento de la facturación mundial conforme al UK GDPR. China dispone del cuerpo más denso de reglas específicas de IA. Las reglas de gestión de algoritmos de recomendación (2022), las disposiciones sobre síntesis profunda (2023) y las medidas provisionales sobre servicios de IA generativa (2023) imponen etiquetado, registro y moderación de contenidos. Los proveedores registran sus algoritmos ante la Cyberspace Administration of China y aplican verificación de identidad real. Japón ha pasado de una estrategia de soft law al AI Promotion Act de 2025. El régimen privilegia la innovación y el seguimiento voluntario de las directrices del Ministerio de Economía, Comercio e Industria. Los deberes duros recaen sobre la transparencia de la IA generativa y la contratación pública. Brasil examina el PL 2338/2023, un texto basado en el riesgo que reproduce la estructura europea con umbrales adaptados. Se espera su aprobación en 2026 con un periodo transitorio. Corea del Sur ha promulgado la AI Basic Act, convertida en la primera ley integral asiática el 22 de enero de 2026. Introduce una categoría de IA de alto impacto sustancialmente alineada con la categoría europea de alto riesgo y exige gestión del riesgo, transparencia y evaluación de impacto. Canadá ha pausado su acción federal: la Artificial Intelligence and Data Act incluida en el Bill C-27 decayó con la prórroga parlamentaria. La Ley 25 de Quebec sigue regulando las decisiones automatizadas que afectan significativamente a los individuos. En España, la AEPD y la AESIA son las autoridades sectoriales de referencia para la aplicación del Reglamento europeo, en coordinación con el INCIBE para los aspectos de ciberseguridad.

Mapa de obligaciones: proveedor, responsable del despliegue y proveedor GPAI

La lectura multi-jurisdiccional revela que las obligaciones se agrupan por rol. Los proveedores de sistemas de IA soportan la mayor carga documental. A través del Reglamento europeo, la AI Basic Act coreana y el espíritu de la aplicación sectorial estadounidense, deben:

  • Operar un proceso de gestión del riesgo a lo largo de todo el ciclo de vida del sistema.
  • Mantener documentación técnica que trace las decisiones de diseño, la gobernanza de los datos de entrenamiento, los resultados de evaluación y los límites conocidos.
  • Aplicar una gobernanza de datos centrada en procedencia, representatividad y control de sesgos.
  • Diseñar para la transparencia hacia el responsable del despliegue, con instrucciones de uso, finalidad prevista y restricciones conocidas.
  • Realizar una evaluación de conformidad o de impacto antes de introducir el sistema en el mercado.
  • Operar vigilancia poscomercialización y notificar los incidentes graves a las autoridades.

Los responsables del despliegue asumen los deberes operativos:

  • Utilizar el sistema solo dentro de la finalidad establecida por el proveedor.
  • Mantener una supervisión humana proporcional al riesgo.
  • Realizar una evaluación de impacto sobre los derechos fundamentales cuando proceda, por ejemplo conforme al artículo 27 del Reglamento para organismos públicos y ciertos responsables privados de sistemas de alto riesgo.
  • Registrar las salidas automatizadas para permitir auditoría y respuesta a incidentes.
  • Informar a las personas afectadas cuando la IA participe de forma determinante en una decisión que les concierna, si la ley nacional lo exige.

Los proveedores de modelos GPAI se sitúan sobre ambas capas:

  • Documentar el diseño del modelo, una panorámica de los datos de entrenamiento y la postura en derechos de autor.
  • Apoyar a los proveedores posteriores con tarjetas de modelo y resúmenes de capacidades.
  • Para los modelos de riesgo sistémico, realizar evaluaciones de modelo, ejercicios de red-teaming, evaluaciones de ciberseguridad y notificaciones de incidentes graves.

Una misma empresa puede asumir varios roles a la vez. Un editor SaaS que afina un modelo abierto y lo integra en una herramienta de selección de personal es a la vez proveedor, responsable del despliegue e integrador GPAI aguas abajo. Cada deber se aplica en su propia columna.

Sanciones comparadas

Cuantificar la exposición aclara la priorización:

  • Reglamento europeo de IA: hasta 35 millones de euros o el 7 por ciento de la facturación mundial anual por prácticas prohibidas; hasta 15 millones de euros o el 3 por ciento por infracciones de alto riesgo y GPAI; hasta 7,5 millones de euros o el 1 por ciento por información engañosa a las autoridades.
  • Estados Unidos, aplicación sectorial federal: las sanciones de la FTC se suman por infracción y pueden combinarse con disgorgement; los remedios de la EEOC incluyen atrasos salariales, reincorporación y daños compensatorios; las consent orders de la CFPB superan con frecuencia los 10 millones de dólares en servicios financieros.
  • Reino Unido, ICO: hasta 17,5 millones de libras o el 4 por ciento de la facturación mundial.
  • China, CAC: órdenes de cese, censura pública, multas proporcionales al ingreso y responsabilidad personal de los representantes legales.
  • Corea, AI Basic Act: multas de hasta 30 millones de wones por incumplimientos procedimentales y multas proporcionales por incumplimientos sustantivos, con sanciones reputacionales mediante un registro público.

Las cifras varían, pero el coste operativo domina el cuadro: cada régimen exige la misma pila de evidencias, y la empresa capaz de mostrarla a demanda gana auditorías en todas partes.

Por qué ISO/IEC 42001 y NIST AI RMF son los denominadores operativos

La convergencia entre regímenes no es accidental. Los reguladores a ambos lados del Atlántico se nutrieron de la misma literatura técnica al redactar sus reglas, y esa literatura se cristalizó en dos normas. La norma ISO/IEC 42001:2023 especifica un sistema de gestión de IA, estructuralmente idéntico a ISO/IEC 27001 para la seguridad de la información y a ISO 9001 para la calidad. Una organización que opera un AIMS conforme a ISO/IEC 42001 ya cuenta con política de IA, un ámbito definido, un proceso de evaluación del riesgo y del impacto, un catálogo de controles en el anexo A, supervisión de proveedores y un ciclo de auditoría interna. Los análisis independientes estiman que esto cubre cerca del 70 por ciento de las obligaciones documentales de alto riesgo del Reglamento europeo. El NIST AI Risk Management Framework en su versión 1.0, publicado en enero de 2023, organiza la fiabilidad de la IA en torno a cuatro funciones: Govern, Map, Measure, Manage. El Generative AI Profile (NIST AI 600-1) de julio de 2024 superpone 12 categorías de riesgo propias de la IA generativa y más de 400 acciones de mitigación. Los reguladores coreano y singapurense citan el NIST AI RMF en sus propias guías. Los reguladores sectoriales estadounidenses lo utilizan como parámetro razonable de buena práctica. Dos normas armonizadas europeas próximas completan el cuadro. CEN-CENELEC prEN 18228 aborda la gestión de riesgos de IA y prEN 18282 aborda la ciberseguridad de la IA. Una vez publicadas, otorgarán a los proveedores europeos de sistemas de alto riesgo una presunción de conformidad con los artículos correspondientes del Reglamento. La consecuencia operativa es que una organización que opera con seriedad un AIMS ISO/IEC 42001, lo mapea sobre las funciones del NIST AI RMF y evidencia sus controles en un inventario de IA único ha completado el 80 por ciento del trabajo que necesita para cumplir en la Unión, bajo la aplicación sectorial estadounidense, en Corea, en el Reino Unido y bajo los regímenes brasileño y japonés en preparación. El 20 por ciento restante corresponde a documentación, registros y notificaciones específicos de cada jurisdicción.

Checklist de cumplimiento 2026 para proveedores y responsables del despliegue de IA

A fecha del 2 de agosto de 2026, todo sistema de IA introducido en el mercado de la Unión o que afecte a usuarios de la Unión debe satisfacer el régimen de alto riesgo, si cae dentro del anexo III, y el régimen GPAI, si procede. El movimiento mínimo para llegar a tiempo:

  1. Inventario. Construya un inventario único de IA que liste cada sistema, cada variante de modelo, cada contexto de despliegue y cada conjunto de datos. El inventario es la columna vertebral de toda auditoría futura.
  2. Clasificar. Para cada entrada, determine su rol (proveedor, responsable del despliegue, proveedor GPAI, importador, distribuidor) y el nivel de riesgo conforme al Reglamento (prohibido, alto, limitado, mínimo, GPAI, GPAI de riesgo sistémico). Repita el ejercicio bajo la AI Basic Act coreana y toda ley estatal estadounidense aplicable.
  3. Documentar. Para cada entrada de alto riesgo y GPAI, elabore un expediente técnico alineado con el anexo IV. Reutilice los controles del anexo A de ISO/IEC 42001 como columna vertebral y complete las secciones específicas de la Unión (finalidad prevista, métricas de precisión, uso indebido previsible).
  4. Evaluar. Realice una evaluación de impacto sobre los derechos fundamentales para los sistemas de alto riesgo utilizados en contextos del artículo 27. Reutilice la evaluación para las auditorías de sesgo de Local Law 144 de NYC, los deberes de no discriminación algorítmica estilo Colorado y la evaluación de impacto coreana.
  5. Conformar. Complete la vía de evaluación de la conformidad aplicable a cada sistema de alto riesgo. Para la mayoría de sistemas del anexo III será la vía de control interno; para identificación biométrica y ciertas infraestructuras críticas, hará falta un organismo notificado.
  6. Registrar. Inscriba cada sistema de alto riesgo que lo requiera en la base de datos de la Unión. Inscriba a los responsables del despliegue públicos en la sub-base correspondiente.
  7. Formar. Forme al personal hasta el nivel de alfabetización en IA exigido por el artículo 4, aplicable desde el 2 de febrero de 2025. Forme a los responsables del despliegue en las instrucciones de uso del proveedor.
  8. Etiquetar. Implemente las marcas legibles por máquina sobre los contenidos sintéticos antes del 2 de diciembre de 2026, fin del periodo de gracia del artículo 50.
  9. Vigilar. Opere una vigilancia poscomercialización sobre todo sistema de alto riesgo en producción. Canalice la notificación de incidentes graves hacia un único punto de entrada.
  10. Auditar. Cadencie el ciclo de auditoría interna de modo que cada control AIMS sea muestreado al menos una vez al año y que las conclusiones alimenten la revisión por la dirección.

La mayoría de estos pasos son idénticos en Seúl, Brasilia o Bruselas. Las diferencias se sitúan en los registros, en la redacción de las plantillas de evaluación de impacto y en el idioma de las notificaciones a los usuarios.

Preguntas frecuentes

¿Existe una ley de IA en los Estados Unidos en 2026? No existe ley federal integral. La IA se regula a través de la FTC, la EEOC, el CFPB, el HHS y otras agencias sectoriales, así como mediante un mosaico en retroceso de leyes estatales. La orden ejecutiva federal de diciembre de 2025 sobre política nacional de IA reivindica la prelación sobre las leyes estatales que obligarían a los modelos a alterar sus salidas veraces y ya ha desencadenado la suspensión de la SB 24-205 de Colorado. ¿Cuál es la ley de IA más estricta en 2026? El Reglamento europeo de IA contempla las sanciones administrativas más elevadas, hasta el 7 por ciento de la facturación mundial por prácticas prohibidas, y se aplica de forma extraterritorial cuando la IA afecta a personas de la Unión. La AI Basic Act coreana es estructuralmente similar con cifras más modestas. El régimen chino es el más prescriptivo en contenidos, aunque limita su alcance transfronterizo. ¿Qué ley se aplica si construyo un modelo en Estados Unidos y lo vendo en la Unión Europea? Ambas. El Reglamento europeo se aplica de forma extraterritorial al amparo del artículo 2, apartado 1, letra c) cuando la salida del sistema se utiliza en la Unión. Usted se convierte en proveedor en la Unión, con independencia del lugar de desarrollo del modelo. El derecho sectorial estadounidense sigue aplicando en paralelo. ¿Cuándo comienza el Reglamento europeo a sancionar? Las multas por prácticas prohibidas están disponibles desde el 2 de agosto de 2025. Las facultades ejecutivas de la Comisión sobre proveedores GPAI se activan el 2 de agosto de 2026. La aplicación sobre sistemas de alto riesgo arranca también el 2 de agosto de 2026. ¿Deben las pymes cumplir el Reglamento europeo de IA? Sí, cuando introducen u operan un sistema de alto riesgo en el mercado de la Unión. El Reglamento incluye cláusulas de proporcionalidad y exenciones para componentes libres y abiertos que no son de alto riesgo, pero no exime a las pymes de las obligaciones de alto riesgo. El paquete de simplificación de mayo de 2026 añade medidas adicionales de proporcionalidad. ¿Qué diferencia hay entre proveedor y responsable del despliegue de IA? El proveedor desarrolla el sistema, o lo manda desarrollar, y lo introduce en el mercado a su nombre. El responsable del despliegue utiliza el sistema en un contexto profesional. Una misma empresa puede ser ambos a la vez, en cuyo caso se aplican los dos conjuntos de deberes. ¿La certificación ISO/IEC 42001 equivale a cumplir el Reglamento europeo de IA? No, pero acerca mucho. ISO/IEC 42001 cubre cerca del 70 por ciento de las obligaciones documentales de alto riesgo. La evaluación de la conformidad según el Reglamento, el registro en la base de datos de la Unión y las obligaciones de transparencia del artículo 50 siguen siendo tareas independientes. Las futuras normas armonizadas prEN 18228 y prEN 18282 cerrarán una parte del trecho restante.

Conclusión

Leer las leyes de IA país por país en 2026 es una partida perdida de antemano. Los mismos deberes viajan entre jurisdicciones y se agrupan en torno a tres roles. Las organizaciones que ganan sus auditorías este año son las que han construido un inventario de IA único, un proceso único de evaluación del riesgo y del impacto, un único conjunto de controles y una única biblioteca de evidencias, para después proyectar sobre esa columna vertebral el Reglamento europeo, la aplicación sectorial estadounidense, la AI Basic Act coreana, las reglas chinas y los principios británicos. AI Sigil opera exactamente sobre esa columna vertebral. La plataforma transforma el texto regulatorio en entradas de inventario de IA, clasificación de roles, controles, evidencias, pistas de auditoría y expedientes documentales listos para superar las evaluaciones de conformidad. Si los próximos doce meses se medirán por lo que usted pueda mostrar un día de auditoría, el momento de convertir el cumplimiento de IA en flujo de trabajo, no en proyecto de investigación, es ahora.

Elena Vargas

Leyes de inteligencia artificial en 2026: el mapa global de cumplimiento

¿Proveedor, responsable del despliegue o modelo GPAI? Así encajan el Reglamento europeo de IA, las leyes de EE.UU., NIST AI RMF e ISO 42001 en 2026.

Marco de gobernanza de la IA: la guía completa

Compara NIST AI RMF, ISO 42001, el Reglamento IA y los principios OCDE. Descubre qué marco se adapta a tu organización y cómo implementarlos juntos.

Human-in-the-Loop vs Human-on-the-Loop: guía de supervisión de la IA

Elegir entre human-in-the-loop y human-on-the-loop: 7 ejes de decisión, lectura del artículo 14 del Reglamento de IA y anclaje en ISO/IEC 42001.

Marcos de gobernanza de la IA: NIST AI RMF, ISO 42001, Reglamento de IA y principios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Reglamento de IA y principios OCDE comparados, con mapeo de controles y árbol de decisión para elegir el marco adecuado.

ISO 42001 no cubre el Reglamento de IA: la pila de normas que realmente necesita

Una certificación ISO 42001 no le pone en regla con el Reglamento de IA. Estas son las normas armonizadas que cuentan de verdad y cómo desplegarlas.