La regulación de la IA: el dilema entre proteger y no quedarse atrás


Por qué los gobiernos no se ponen de acuerdo y qué implica eso para ti

Ilustración conceptual sobre el dilema de la regulación de la inteligencia artificial entre proteger a la sociedad y no frenar la innovación

Artículo de lectura independiente agrupado en la serie “La IA y tú”.

Hay dos maneras de acabar mal con la regulación de la IA:

  • Regulación deficiente: regular demasiado pronto, con reglas que no entienden la tecnología, y acabar exportando la ventaja competitiva a quien no las tiene.
  • Omisión de regulación: no regular nada y descubrir, tarde, que los daños que se podrían haber prevenido ya lo están sufriendo millones de personas.

Ningún gobierno del mundo ha resuelto este dilema todavía. Lo que hay es un mapa de respuestas muy distintas que están emergiendo en paralelo: Europa con el enfoque más sistemático y más criticado, EEUU con el más volátil, China con el más intervencionista y el resto del mundo observando y copiando fragmentos de cada modelo.

Este artículo no defiende ninguna postura. Analiza las opciones, sus consecuencias reales y qué implica para cualquier persona que trabaje con IA, la construya o simplemente la use.

Un aviso honesto antes de empezar: este es un tema que me interesa y que toca mi campo de trabajo, así que he intentado ser riguroso con cada dato y cada fecha, contrastándolos contra fuentes primarias siempre que ha sido posible. Pero no soy jurista ni regulador, y es razonable que algo se me haya escapado o lo haya interpretado mal. Lo que sigue es información general organizada con criterio personal, no asesoramiento legal ni una interpretación autorizada de ninguna norma. Si tienes que tomar una decisión real de cumplimiento normativo, consulta con un profesional y verifica tú mismo las fuentes citadas: no me responsabilizo de las decisiones que se tomen a partir de este texto. Si encuentras un error, te agradezco que me lo digas para poder corregirlo.

Ilustración del dilema regulatorio de la IA: regular demasiado pronto y exportar la ventaja competitiva, o no regular nada y permitir daños evitables a millones de personas

Dónde se puede regular

La pregunta más importante que un legislador tendría que responder es más difícil de lo que parece: ¿qué exactamente estás regulando? Y es difícil no solo porque quien regula no entiende la profundidad de la tecnología, sino que quienes sabemos todavía estamos definiendo, descubriendo y volviendo a empezar en un ciclo evolutivo sin aparente fin.

La IA no es un producto con una forma definida. Es, según el contexto, un modelo matemático, un servicio de software, un sistema de toma de decisiones o una herramienta de comunicación. Dependiendo de en qué capa pongas la norma, el efecto es completamente diferente:

Capa 1 — El modelo base: regular los laboratorios que entrenan los modelos fundacionales (OpenAI, Anthropic, Google/Alphabet, Mistral, Alibaba). El impacto es alto porque pocas organizaciones construyen los modelos más avanzados. El problema: casi todas están en EEUU y China; la regulación europea choca con la soberanía de otro estado.

Capa 2 — La aplicación: regular a quien despliega la IA en un producto concreto (una aseguradora que usa IA para evaluar riesgos, una empresa de RRHH que la usa para filtrar currículos). Es la capa del EU AI Act: el legislador regula el uso, no el modelo. El reto: el mismo modelo puede desplegarse para usos de muy distinto riesgo.

Capa 3 — Los datos de entrenamiento: regular qué datos pueden usarse para entrenar modelos, con qué consentimiento y con qué derecho de supresión. El problema técnico es real: eliminar un dato concreto de un modelo ya entrenado es, hoy, técnicamente muy costoso y en algunos casos imposible sin reentrenar el modelo entero —es el problema que el campo del machine unlearning intenta resolver, sin solución satisfactoria a escala todavía—.

Capa 4 — Los outputs: regular qué puede decir o hacer un sistema de IA. Es la capa más difícil: el sistema genera sus salidas en tiempo real ante un sinfín de preguntas que no se pueden prever. Hacer responsable a una empresa de cada respuesta que devuelva su IA a cualquier usuario en cualquier idioma y contexto es, en la práctica, exigir un control imposible.

Casi toda la regulación existente mezcla estas cuatro capas sin separar bien cuál aplica en cada caso. Las consecuencias de esa imprecisión son los bugs jurídicos que luego generan litigios o parálisis.

Hay una Capa 5 que ningún marco regulatorio nombra como tal, porque no es técnica del sistema de IA sino del contrato comercial entre quien lo provee y quien lo paga: cuotas, créditos, cambios de precio, la distancia entre lo que se promete y lo que se entrega. La añadimos aquí como categoría propia —no es una capa oficial de ningún marco existente, es una observación— porque, como veremos más adelante, es donde está apareciendo el primer litigio real contra un proveedor de IA de frontera (y posiblemente no el único, ya que el resto de proveedores están actuando de manera semejante).

Diagrama de las cinco capas de regulación de la IA: modelo base, aplicación donde actúa el EU AI Act, datos de entrenamiento, outputs en tiempo real, y capa 5 de contrato comercial sin marco dedicado

Las capas 1 a 4 son una estructura analítica de uso habitual en el debate de política de IA. La capa 5 es una observación propia de este artículo, no una categoría reconocida en la literatura regulatoria.

El EU AI Act: el primer gran intento sistemático

La Unión Europea publicó el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) el 12 de julio de 2024 en el Diario Oficial. Entró en vigor el 1 de agosto de 2024, con una implementación escalonada:

  • 2 de febrero de 2025: prohibición absoluta de los usos de mayor riesgo (sistemas de puntuación social estatal, identificación biométrica en tiempo real en espacios públicos con excepciones tasadas, manipulación subliminal).
  • 2 de agosto de 2025: plena aplicabilidad de las normas para modelos de propósito general (GPAI), incluido GPT-4 o Claude. El Código de Buenas Prácticas GPAI —la herramienta voluntaria de la Comisión para demostrar cumplimiento— fue firmado en julio de 2025 por Anthropic, Google, IBM, Microsoft, Mistral, OpenAI y Cohere, entre otros; Meta no lo firmó, y xAI solo suscribió el capítulo de seguridad.
  • 2 de diciembre de 2027 (originalmente 2 de agosto de 2026): requisitos completos para los sistemas de IA de alto riesgo listados en el Anexo III (infraestructura crítica, empleo, educación, servicios esenciales, aplicación de ley, migración, justicia).
  • 2 de agosto de 2028 (originalmente 2 de agosto de 2027): sistemas de IA que sean componentes de seguridad en productos ya regulados por legislación sectorial europea preexistente (Anexo II: dispositivos médicos, maquinaria industrial, aviación civil, vehículos, ferroviario, equipos de protección individual). Estos productos tienen un doble cumplimiento: el sector que ya los regula más el AI Act encima.

Lo que viene en concreto para agosto de 2026: el Artículo 50 impone obligaciones de transparencia para cuatro escenarios concretos:

  • Contenido sintético: todo audio, imagen, vídeo o texto generado por IA debe incluir un marcado legible por máquina y detectable como generado por IA.
  • Chatbots y asistentes virtuales: aviso explícito de que el usuario interactúa con una IA, no con una persona.
  • Deepfakes: revelación obligatoria de su origen artificial, sin excepciones salvo investigación policial o seguridad nacional autorizadas.
  • Análisis emocional y biométrico: notificación al usuario antes de proceder a la categorización.

El primer borrador del Código de Buenas Prácticas sobre marcado de contenido se publicó en diciembre de 2025; la versión final se publicó el 10 de junio de 2026, justo antes de que la obligación entre en vigor. El 8 de mayo, la Comisión publicó además un borrador de directrices de interpretación sobre el alcance completo del Artículo 50: no vinculantes, pero el primer documento oficial que concreta qué sistemas quedan dentro y qué forma deben tener los avisos. Los sistemas ya desplegados antes de esa fecha tienen un periodo de gracia hasta el 2 de diciembre de 2026 para cumplirlo. Esta obligación no se ha visto afectada por el retraso que se explica a continuación.

Lo que ya se retrasó, no lo que podría retrasarse: en noviembre de 2025, la Comisión Europea propuso, mediante el paquete Digital Omnibus, desvincular las fechas de cumplimiento estricto de los requisitos de alto riesgo y ligarlas a la disponibilidad real de las herramientas de soporte que las empresas necesitan. El 7 de mayo de 2026, el Consejo de la UE y el Parlamento Europeo cerraron el acuerdo definitivo: los requisitos de alto riesgo del Anexo III pasan de agosto de 2026 a diciembre de 2027 (16 meses de retraso), los componentes de seguridad del Anexo II pasan de agosto de 2027 a agosto de 2028 (un año), y la obligación de cada Estado miembro de tener operativo un sandbox regulatorio nacional pasa de agosto de 2026 a agosto de 2027. Las fechas de esta sección ya incorporan ese acuerdo; si ves “agosto de 2026” citado como plazo en otras fuentes, es probable que estén usando el calendario original, ya superado.

Línea de tiempo del EU AI Act: desde la publicación en julio de 2024 hasta 2031, con el retraso de los requisitos de alto riesgo del Anexo III a diciembre de 2027 acordado en mayo de 2026

Calendario oficial vigente a fecha de este artículo (julio de 2026), ya con el retraso de mayo de 2026 incorporado. Entre 2028 y 2031 el reglamento fija además varios hitos puramente administrativos —revisiones periódicas de la Comisión cada 3-4 años, evaluación de la Oficina de IA, expiración de poderes delegados en 2029— sin nuevas obligaciones sustantivas para empresas; se omiten aquí por simplicidad. Línea temporal interactiva y siempre actualizada en AI Act Explorer.

Las sanciones del propio reglamento, fijadas en su Artículo 99, se organizan en tres tramos: hasta 35 millones de euros o el 7% de la facturación global anual (el mayor de los dos) para las prácticas prohibidas del Artículo 5; hasta 15 millones o el 3% para el resto de incumplimientos de operadores y organismos notificados —incluidas las obligaciones de transparencia del Artículo 50, que caen en este tramo intermedio, no en el máximo—; y hasta 7,5 millones o el 1% por proporcionar información incorrecta o incompleta a las autoridades. Para pymes y startups, se aplica siempre el importe menor entre el fijo y el porcentual.

El mecanismo central del EU AI Act es la clasificación por riesgo en cuatro niveles:

Árbol de decisión de los cuatro niveles de riesgo del EU AI Act: riesgo inaceptable prohibido, alto riesgo con certificación obligatoria, riesgo limitado con transparencia obligatoria, y riesgo mínimo sin obligaciones adicionales

Esquema simplificado de los cuatro niveles de riesgo del EU AI Act. Fuente: Reglamento UE 2024/1689.

La lógica es razonable: concentrar la regulación donde el daño es mayor. El problema es que la mayoría de los sistemas reales son difíciles de clasificar con certeza hasta que se usa en un contexto concreto. Una IA de redacción de contratos ¿es alto riesgo si el contrato implica condiciones de trabajo? ¿Y si solo sugiere borradores que siempre revisa un abogado?

España y la AESIA

España fue el primer país de la Unión Europea en crear un organismo dedicado exclusivamente a supervisar la IA: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), adscrita al Ministerio de Asuntos Económicos y Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Su estatuto se aprobó por el Real Decreto 729/2023, de 22 de agosto (publicado en el BOE el 2 de septiembre de 2023).

La AESIA actúa como autoridad nacional competente para aplicar el EU AI Act en España. Sus funciones principales son la supervisión, la investigación de posibles incumplimientos y la coordinación con las agencias equivalentes de otros estados miembros.

Lo que todavía no está resuelto es el reparto de competencias con otros organismos ya existentes: la Agencia Española de Protección de Datos (AEPD, que sigue siendo la autoridad para todo lo relacionado con datos personales), el Banco de España (para sistemas financieros), la Agencia Española de Medicamentos (para IA médica) o la Comisión Nacional del Mercado de Valores. El EU AI Act prevé expresamente que los organismos sectoriales existentes sean las autoridades de supervisión para los sistemas de alto riesgo en su sector. El mapa de quién supervisa qué empezó a definirse con más detalle a mediados de 2026, como se ve a continuación.

Esa indefinición empezó a resolverse el 12 de junio de 2026, cuando el Gobierno presentó el proyecto de Ley Orgánica de Inteligencia Artificial, la norma que aterriza el AI Act en el ordenamiento español con autoridades, procedimientos y sanciones concretas. AESIA queda como autoridad de vigilancia de mercado, punto de contacto único ante la Comisión Europea y gestora del sandbox regulatorio obligatorio, pero el modelo sigue siendo compartido: la Dirección General de IA, la AEPD, el Consejo General del Poder Judicial y los supervisores sectoriales mantienen competencias específicas dentro de su ámbito.

El régimen sancionador nacional añade un cuarto escalón que el AI Act europeo no tiene:

  • Infracciones muy graves por prácticas prohibidas, hasta 35 millones de euros o el 7% de la facturación mundial.
  • Otras infracciones muy graves, 15 millones o el 3%; infracciones graves, 7,5 millones o el 1%.
  • Infracciones leves, 500.000 euros o el 0,5% —una categoría que no existe como tal en el reglamento europeo y que España añade para sancionar incumplimientos menores sin recurrir directamente a las multas más severas.

El proyecto introduce además inventarios nacionales de sistemas de IA, la figura del delegado de IA en las administraciones públicas, y protecciones reforzadas específicas contra deepfakes. El plazo para reportar incidentes graves a AESIA es de 72 horas, el mismo umbral intermedio que exige NIS2 para el aviso detallado.

La capacidad de AESIA para crear sandboxes regulatorios no es nueva —ya está en su estatuto fundacional de 2023 (Artículo 10.1.a)—; lo que añade el calendario europeo y la Ley Orgánica es la obligación, con plazo concreto, de tener uno operativo. La agencia ya tiene un caso de uso real que mostrar: en junio de 2026 cerró el primer sandbox de IA de España —y uno de los primeros de Europa—, financiado con 4,3 millones de euros del Plan de Recuperación y desarrollado en colaboración con la Oficina de IA de la Comisión Europea. Recibió 44 solicitudes (18 pymes, seis startups y una empresa francesa) y publicó las primeras guías técnicas para cumplir con las obligaciones de alto riesgo, llenando un vacío mientras los estándares armonizados europeos siguen en construcción.

El retraso de los requisitos laborales a diciembre de 2027 ya ha tenido la primera respuesta política explícita: el 25 de junio, la vicepresidenta segunda y ministra de Trabajo, Yolanda Díaz, anunció en Oxford su intención de regular la IA en el ámbito laboral por encima de los mínimos europeos —selección de personal, evaluación del desempeño, despidos, monitorización— sin esperar a que los requisitos comunitarios sean obligatorios. La propuesta todavía no tiene forma normativa concreta, pero señala un patrón que otros estados miembros podrían seguir: el Digital Omnibus abrió el calendario para las empresas y, al mismo tiempo, el espacio para que algunos países llenen el vacío por su cuenta antes de 2027.

Más allá del AI Act: NIS2 y DORA

El EU AI Act regula la IA según el riesgo del uso. Pero hay dos marcos europeos que se superponen con él y que afectan a cualquier organización que use IA en infraestructuras críticas o servicios financieros: NIS2 y DORA. Ninguno es específico de IA —regulan la ciberseguridad operativa—, pero cubren exactamente los vectores de ataque que describe el artículo anterior sobre “A velocidad de máquina: cómo la IA ha roto el equilibrio en ciberseguridad”.

NIS2 (Directiva UE 2022/2555, transpuesta en España a partir de octubre de 2024) amplía el alcance de la regulación de ciberseguridad a miles de entidades que antes no estaban cubiertas: energía, transporte, banca, salud, infraestructura digital y proveedores de servicios TIC, entre otros. Sus dos obligaciones más directas para quienes despliegan IA son: gestionar el riesgo de la cadena de suministro —incluidos los proveedores de herramientas de IA— y reportar incidentes significativos en 24 horas (aviso inicial), 72 horas (informe detallado) y un mes (informe final). Las sanciones para entidades esenciales alcanzan los 10 millones de euros o el 2% del volumen de negocio global anual, el que sea mayor; para entidades importantes, 7 millones o el 1,4%.

DORA (Reglamento UE 2022/2554, de plena aplicación desde enero de 2025) hace lo equivalente para el sector financiero: bancos, aseguradoras, empresas de inversión, proveedores de criptoactivos y sus proveedores TIC críticos. Añade una exigencia específica: pruebas de resiliencia operativa periódicas (TLPT, Threat-Led Penetration Testing), que evalúan los sistemas frente a las mismas técnicas que usan atacantes reales. Los sistemas de IA usados en operaciones financieras caen directamente dentro del marco de gestión de riesgos TIC que DORA exige.

La conexión con el AI Act es práctica: una aplicación de IA de alto riesgo en el sector sanitario puede caer simultáneamente bajo el AI Act (por el tipo de sistema) y bajo NIS2 (por el sector donde opera). El cumplimiento no es uno u otro; es la intersección de ambos. Para las organizaciones en ese alcance, la gobernanza de IA no es una decisión estratégica discrecional: es una obligación legal con plazos y sanciones propias.

Más allá de la UE: el primer tratado internacional vinculante sobre IA

Mientras el EU AI Act regula el mercado único europeo, hay un marco distinto que cruza fronteras que el AI Act no toca: el Convenio Marco del Consejo de Europa sobre Inteligencia Artificial y Derechos Humanos, Democracia y Estado de Derecho, abierto a firma el 5 de septiembre de 2024 en Vilna (Lituania) —de ahí que se le conozca informalmente como “Convenio de Vilna”.

Es, según el propio Consejo de Europa, el primer tratado internacional jurídicamente vinculante sobre IA. La diferencia de enfoque con el AI Act es real: donde el reglamento europeo es una norma de mercado centrada en la seguridad del producto y la clasificación de riesgo comercial, el Convenio de Vilna persigue otra cosa —que el ciclo de vida de los sistemas de IA respete derechos humanos, democracia y Estado de derecho—, y exige a los estados firmantes evaluaciones de impacto antes de desplegar sistemas, el derecho a saber cuándo se interactúa con un sistema automatizado, y vías de impugnación judicial frente a decisiones algorítmicas sesgadas.

Lo que hace distinto a este convenio es quién lo firmó el primer día: junto a la Unión Europea y varios estados del Consejo de Europa (Andorra, Georgia, Islandia, Moldavia, Noruega, San Marino), también lo firmaron el Reino Unido, Israel y, de forma notable, Estados Unidos —el mismo país que, como se ha visto en este artículo, no tiene marco federal de regulación de IA para el sector privado. La aparente contradicción se explica por el alcance: el convenio se centra sobre todo en el uso de IA por el sector público, con flexibilidad de adaptación para el sector privado. EEUU puede firmar un compromiso sobre IA y derechos humanos en la administración pública sin que eso implique ceder en su postura de no regular el desarrollo comercial de modelos.

La lista de firmantes ha crecido desde entonces: Canadá y Japón se sumaron el 11 de febrero de 2025, ya como duodécimo y decimotercer firmante. Y hay un paso legal más fuerte que firmar: ratificar. La Unión Europea ratificó el convenio el 15 de mayo de 2026, durante la 135.ª sesión del Comité de Ministros en Chisináu (Moldavia). El convenio entrará en vigor cuando lo hayan ratificado cinco firmantes, al menos tres de ellos estados del Consejo de Europa —un umbral que, a fecha de este artículo, todavía no se ha alcanzado—. Firmar es una declaración de intención; ratificar es el paso que convierte esa intención en obligación jurídica interna para el firmante.

El problema de hacer responsable de lo imposible

Hay una crítica legítima que conviene no esquivar: parte de la regulación actual exige a las empresas responder de cosas que no pueden controlar.

Ilustración del problema de exigir responsabilidad por lo imposible: contenido generado por usuarios a escala, respuestas dañinas en tiempo real y derecho al olvido en datos de entrenamiento de modelos ya entrenados

Los casos más nítidos:

  • Contenido generado por usuarios: una plataforma que permite a sus usuarios crear o modificar contenido con IA ¿es responsable de cada imagen, texto o vídeo que genere cualquier usuario? Revisar en tiempo real todo el contenido generado con IA antes de que aparezca en la plataforma es técnicamente inviable a escala.

  • Respuestas dañinas en tiempo real: si un sistema de IA devuelve a un usuario una respuesta que resulta ser ilegal o dañina en un contexto concreto, ¿quién es responsable? El regulador está en una tensión real: si solo responsabiliza al usuario, el fabricante no tiene incentivos para filtrar. Si solo responsabiliza al fabricante, la empresa tiene que prever los miles de contextos posibles de uso.

  • Derecho al olvido en datos de entrenamiento: el GDPR reconoce el derecho a que una empresa elimine tus datos personales. Aplicado a un modelo entrenado con esos datos, la pregunta técnica es si los datos “están” realmente en el modelo o si el modelo simplemente los ha generalizado. La respuesta técnica es ambigua; la jurídica, todavía más.

  • IA en decisiones judiciales: el caso más citado es State v. Loomis (Tribunal Supremo de Wisconsin, 2016). Eric Loomis recibió una pena de seis años de prisión basada en parte en la evaluación del software COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), que clasifica el riesgo de reincidencia. Una investigación de ProPublica con datos de Florida demostró que el algoritmo asignaba puntuaciones de alto riesgo a acusados negros con mayor frecuencia que a blancos en situaciones comparables. La empresa fabricante disputó esa interpretación. El Tribunal Supremo de Wisconsin avaló el uso del algoritmo pero exigió que las sentencias incluyeran advertencias explícitas sobre sus limitaciones y su posible sesgo racial. El resultado es una situación donde nadie responde claramente: ni el fabricante del algoritmo, ni el juez que lo usó, ni el estado que lo autorizó.

Nada de esto significa que la regulación sea innecesaria. Significa que la regulación mal calibrada puede generar obligaciones que incentivan uno de dos comportamientos igualmente malos: o empresas que abandonan el mercado regulado (y entonces las usan de todos modos desde fuera), o empresas que generan documentación de cumplimiento sin que nada cambie en la práctica.

El vacío que nadie regula: cuotas, créditos y publicidad de los planes de IA

Esta es la quinta capa que mencionábamos al principio del artículo, la única de las cinco que todavía no tiene ningún marco regulatorio dedicado.

En junio de 2026, Karl Kahn presentó una demanda colectiva contra Anthropic ante el Tribunal de Distrito de EEUU para el Distrito Norte de California. La demanda alega publicidad engañosa: Anthropic promocionaba el plan Claude Max 20x (200 $/mes) como “20 veces más uso” que el plan Pro, y el Max 5x (100 $/mes) como “5 veces más uso” —pero según el escrito, el Max 20x entrega en la práctica entre 6 y 8 veces el uso de Pro, y el Max 5x, alrededor de 3,5 veces. La demanda también acusa a Anthropic de afirmar falsamente que el plan Max 20x ofrece un “50% de ahorro”. Kahn relata que una sola sesión de cinco horas de trabajo de programación consumió el 15% de su límite semanal, haciendo matemáticamente imposible alcanzar el multiplicador anunciado en un uso sostenido. La demanda, representada por la abogada Kati Daffan, busca certificación de clase para todos los suscriptores de Max 5x y Max 20x desde el 9 de abril de 2025, además de indemnización, restitución y medidas cautelares.

El caso no es aislado ni exclusivo de Anthropic. Cualquier desarrollador que haya seguido la transición de GitHub Copilot a usage-based billing en junio de 2026, o los cambios de cuota de JetBrains AI Assistant en agosto de 2025 —de un nivel gratuito generoso que parecía inagotable a un plan de pago donde dos consultas podían consumir ya todo el crédito semanal, con el AI Pro fijando 10 créditos por cada dólar real de consumo de tokens— parece un patrón semejante. El coste real de la inferencia es variable y, según ha reconocido el propio sector, difícil de prever incluso para el proveedor: un cliente empresarial de Anthropic llegó a acumular 500 millones de dólares en un solo mes —según el relato de un consultor a Axios, sin empresa confirmada públicamente—. Frente a esa variabilidad, los “planes ilimitados” o “multiplicadores fijos” tienden a ajustarse —casi siempre a la baja— con el tiempo, con poco preaviso y letra pequeña que casi nadie lee hasta que choca contra el límite. Profundizo en esta dimensión económica —por qué el coste real de la IA diverge del precio anunciado de la suscripción, y cómo eso separa a quien puede permitirse el uso intensivo de quien no— en El coste real de la IA: de la promesa democrática al modelo enterprise, un artículo independiente que trata el problema desde el ángulo empresarial en lugar del regulatorio.

Esto es, técnicamente, un problema de protección al consumidor y de publicidad —no de seguridad de la IA ni de clasificación de riesgo—, así que ningún marco de los descritos en este artículo lo cubre. El EU AI Act regula el riesgo del sistema, no la claridad de un plan de suscripción; NIS2 y DORA regulan la resiliencia operativa, no la transparencia comercial. Es un vacío regulatorio real y, a juzgar por el primer litigio, ya activo —simplemente menos visible que el debate sobre deepfakes o sesgo algorítmico.

El modelo de EEUU: de la orden ejecutiva a la desregulación

El 30 de octubre de 2023, la administración Biden firmó la Orden Ejecutiva 14110, el marco regulatorio más ambicioso que había tenido la IA en EEUU hasta la fecha: requisitos de notificación para sistemas de gran escala, uso de la Ley de Producción de Defensa para exigir transparencia a los laboratorios, coordinación federal en IA.

El 20 de enero de 2025, el primer día de la administración Trump, esa orden ejecutiva fue revocada. La nueva política federal pasó a ser, explícitamente, el crecimiento de la IA sin restricciones federales como prioridad de defensa nacional y competitividad económica. Durante buena parte de 2025, la regulación quedó, en la práctica, en manos de los estados (con California a la vanguardia, con legislación propia activa).

Esa delegación a los estados no duró mucho: el 11 de diciembre de 2025, Trump firmó una nueva orden ejecutiva que invierte el rumbo. Crea un grupo de litigio en el Departamento de Justicia (AI Litigation Task Force) para impugnar judicialmente las leyes estatales de IA, condiciona fondos federales de banda ancha a que los estados suspendan la aplicación de normas que choquen con la política federal, y encarga a la FTC justificar la preempción de leyes estatales por la vía de la prohibición de prácticas desleales. A fecha de este artículo, el choque institucional entre Washington y los estados —California en primera línea— sigue abierto en los tribunales, sin resolución firme.

El resultado es que, en 2026, EEUU tiene la mayor concentración de laboratorios de IA del mundo, el mayor capital privado invertido en el sector y prácticamente ningún marco federal de supervisión de los modelos más potentes que se despliegan: lo que existe no es ausencia de movimiento regulatorio, sino una pugna por centralizarlo en sentido contrario al europeo —no para imponer obligaciones de seguridad, sino para eliminar las que los estados habían empezado a imponer.

El argumento a favor: la velocidad de innovación americana se mantiene porque no hay barreras regulatorias que frenen la experimentación. El argumento en contra: si los daños se materializan a escala, no habrá mecanismos institucionales para responder a tiempo.

La IA como activo geopolítico: cuando te desconectan de la noche a la mañana

El 13 de junio de 2026, la política americana de “crecimiento sin restricciones” mostró su otra cara.

El secretario de Comercio, Howard Lutnick, envió una directiva a Anthropic ordenando la suspensión inmediata del acceso a sus modelos más avanzados —Fable 5 y Mythos 5— para cualquier ciudadano extranjero, incluidos los propios empleados extranjeros de la empresa. El detonante: otra empresa afirmó haber encontrado un jailbreak (una técnica para saltarse las restricciones de seguridad del modelo y conseguir que genere contenido que normalmente bloquearía) de Fable 5. Eso bastó para activar controles de exportación sobre un modelo de IA comercial por primera vez en la historia.

Anthropic, ante la imposibilidad técnica de discriminar usuarios por nacionalidad en tiempo real, desactivó los modelos para todos sus clientes sin excepción. La empresa acató la orden pero no estuvo de acuerdo. En su comunicado oficial: “Nos oponemos a que el hallazgo de un jailbreak potencial estrecho justifique retirar un modelo comercial desplegado a cientos de millones de personas. La resistencia perfecta a jailbreaks probablemente no es posible actualmente para ningún proveedor.”

El episodio ocurre después de que Anthropic llevara meses en tensión con el Departamento de Defensa americano, que utilizaba sus modelos en operaciones militares activas. Dario Amodei, CEO de Anthropic, había fijado dos líneas rojas que convirtieron la relación en disputa abierta: sus modelos no se usarían para espionaje masivo de ciudadanos ni para gestión de armas autónomas sin supervisión humana. El Pentágono llegó a clasificar a la empresa como “riesgo para la cadena de suministro” —categoría que impide contratar con la administración federal.

Para Europa, el episodio fue algo diferente: un recordatorio concreto de lo que significa la dependencia tecnológica.

Las reacciones institucionales llegaron rápido desde distintos países:

  • Bruno Retailleau (Francia): “Una nación que depende de otros para su tecnología puede ser desconectada de la noche a la mañana.”
  • Al Carns (Reino Unido): “El modelo más avanzado del planeta ha sido apagado por un gobierno extranjero. Investigadores británicos lo estaban usando.”
  • Comisión Europea: se limitó a “tomar nota”, reconociendo que los modelos avanzados “plantean graves preocupaciones en materia de ciberseguridad.”

Desde el lado americano, la reacción de los mercados fue más comedida. Gary Tan, gestor de cartera en Allspring Global Investments, resumió la lógica imperante: los modelos de frontera estadounidenses son ya “activos estratégicos, con acceso estrictamente controlado”, una dinámica que probablemente persistirá mientras China siga rezagada en capacidad de frontera. Anthropic, valorada en más de 900.000 millones de dólares tras su Serie H de mayo de 2026, mantenía conversaciones privadas con funcionarios del Tesoro —incluido el propio secretario Scott Bessent— sobre las preocupaciones de seguridad que motivaron la directiva.

El argumento a favor de la decisión americana es el mismo que justifica el control de exportaciones de semiconductores avanzados: tecnología con capacidad dual —civil y militar— debe estar sujeta a supervisión estatal. Un modelo que puede encontrar vulnerabilidades zero-day de décadas de antigüedad en horas —como hace Mythos (véase el artículo anterior de “A velocidad de máquina: cómo la IA ha roto el equilibrio en ciberseguridad”)— no es, desde el punto de vista del control de exportaciones, un producto SaaS: es una herramienta de ciberofensiva (puede ser usado para atacar). Tratarlo de otro modo equivaldría a no controlar la exportación de ciertas herramientas de uso dual en otras industrias.

El argumento en contra es el de Anthropic, pero tiene implicaciones más amplias: si el criterio de restricción es que cualquier modelo se le puede hacer jailbreak de alguna manera, ese criterio es aplicable a cualquier modelo de frontera, indefinidamente. La línea entre “seguridad nacional” y “ventaja competitiva” empieza a difuminarse.

Lo que el caso deja claro es que los modelos de frontera ya no son solo productos tecnológicos. Son, para la administración americana, activos estratégicos sujetos a controles de exportación —exactamente igual que los chips de última generación. Europa, sin laboratorios propios en ese nivel de frontera, queda en una posición de dependencia que el EU AI Act, diseñado para regular el uso, no resuelve.

Cuatro días después de esa directiva, el 17 de junio de 2026, Dario Amodei viajó a Évian-les-Bains (Francia) para la reunión del G7 y, junto a Demis Hassabis (CEO de Google DeepMind) y Sam Altman (CEO de OpenAI), propuso a los líderes del G7 la creación de una coalición internacional de IA liderada por EEUU: estándares comunes de desarrollo seguro, coordinación en el acceso a modelos de frontera y restricciones comerciales de chips que excluyan a China. El primer ministro canadiense Mark Carney fue el primero en expresar su apoyo. No emergió ningún compromiso vinculante. La imagen resultante es difícil de ignorar: los mismos ejecutivos cuyos modelos más avanzados -y cuyo gobierno acababa de tratar como activos de seguridad nacional- son quienes piden a ese gobierno que lidere un marco internacional de cooperación. El vacío de regulación doméstica y la aspiración de liderazgo global resultan, para la administración americana, posiciones compatibles.

El caso sigue abierto: el 18 de junio, un grupo bipartidista de la Cámara de Representantes envió una carta formal a Lutnick exigiendo la base legal de los controles antes del 26 de junio —los legisladores cuestionan si EAR § 744.22, una norma diseñada para bienes físicos, cubre realmente el acceso a una API de inferencia—. Anthropic ha presentado al Departamento de Comercio una propuesta para levantar el bloqueo, y ambas partes trabajan hacia un acuerdo para restaurar los modelos. A fecha de este artículo, Fable 5 y Mythos 5 siguen suspendidos.

Mapa global de la regulación de la IA: pugna entre el modelo europeo del EU AI Act, la desregulación federal de EEUU y el control estatal chino, con Europa en posición de dependencia tecnológica

El modelo de China: regulación como instrumento de control

China tiene, paradójicamente, más regulación de IA que EEUU en algunas dimensiones. Las Medidas para la Gestión de Servicios de IA Generativa (julio 2023) exigen a los proveedores que sus modelos no generen contenido que “subvierta el poder estatal” o “dañe la imagen del Estado”, con obligaciones de registro previo al despliegue público.

La diferencia con el modelo europeo no es solo política: es estructural. En Europa, la regulación busca proteger a la persona frente al poder (empresas, administraciones). En China, la regulación busca proteger al Estado frente a la desinformación y la inestabilidad política. El ciudadano no aparece como sujeto de derechos en el mismo sentido.

Lo relevante para entender el panorama global: China no tiene problema en desplegar IA a escala masiva en vigilancia, reconocimiento facial y sistemas de scoring social —los mismos usos que el EU AI Act prohíbe taxativamente. El argumento de que “si Europa regula, China gana” tiene una respuesta: China y Europa no están construyendo el mismo tipo de IA para el mismo tipo de sociedad.

Más allá del triángulo: otros modelos regulatorios en marcha

Hablar de regulación de IA como si solo existieran tres actores —Europa, EEUU y China— es quedarse con la parte más visible del mapa. En 2025 y 2026 han entrado en juego marcos significativos en Asia y Latinoamérica que empiezan a configurar un paisaje más diverso. La diferencia entre ellos no es solo técnica: responde a tres filosofías distintas de por qué y para qué se regula.

La primera, derechos primero (Rights-Based): la IA debe demostrar que es segura antes de desplegarse. La UE es el ejemplo más elaborado, pero no el único. Corea del Sur aprobó en 2025 su AI Basic Act (Ley Marco de IA), que entró en vigor el 22 de enero de 2026 como el primer marco regulatorio integral de Asia-Pacífico: obliga a transparencia y etiquetado para IA generativa de alto impacto, pero sin prohibiciones absolutas y con sanciones económicas notablemente más moderadas que las europeas. Un intento de proteger los derechos sin encarecer la entrada al mercado para empresas como Samsung o Naver.

La segunda, innovación primero (Innovation-First): la regulación no debe frenar la experimentación; se apuesta por guías voluntarias y marcos de buenas prácticas, dejando que el mercado y los incidentes reales calibren los límites. Singapur publicó en el Foro Económico Mundial de enero de 2026 el primer marco de gobernanza global específico para IA agéntica, desarrollado por la IMDA: no es vinculante, pero define por primera vez cómo diseñar controles para sistemas que no solo generan texto sino que ejecutan acciones autónomas —el tipo de riesgo que el EU AI Act no había anticipado con suficiente detalle. Japón opera en la misma línea con el Proceso de Hiroshima, el marco multilateral de cooperación sobre IA que estableció a través del G7, basado en soft-law (guías y compromisos voluntarios sin fuerza jurídica vinculante, a diferencia de los reglamentos que sí pueden sancionarse). La tercera, control estatal (State-Directed), ya está descrita en la sección de China.

Un caso aparte que ilustra que la regulación puede morir antes de nacer: Canadá llevó tres años debatiendo la Artificial Intelligence and Data Act (AIDA). El 6 de enero de 2025, la disolución del Parlamento por la dimisión de Justin Trudeau mató el proyecto sin votación final. A mediados de 2026, Canadá sigue siendo el único país del G7 sin un marco federal vinculante de IA, con la regulación fragmentada en iniciativas provinciales voluntarias.

Jurisdicción Filosofía Carácter Rasgo más distintivo
Unión Europea Derechos primero Vinculante Clasificación por riesgo; hasta 35 M€ o el 7 % de la facturación anual mundial
Corea del Sur Derechos primero Vinculante Sin prohibiciones absolutas; en vigor desde enero 2026
Singapur Innovación primero Voluntario Primer marco mundial para IA agéntica
Japón Innovación primero Voluntario Soft-law vía G7 (Proceso Hiroshima)
EEUU En disputa Sin marco federal Pugna activa entre Washington y los estados
China Control estatal Vinculante Regulación de contenido; estabilidad política
Canadá Sin marco AIDA muerta en 2025; sin alternativa federal activa

Las tres filosofías (Rights-Based / Innovation-First / State-Directed) son una taxonomía analítica habitual en el debate de política de IA; no corresponden a ninguna clasificación oficial.

La competitividad: ¿trampa o exageración?

El argumento más usado contra la regulación europea es que ralentiza la competitividad. Tiene una parte verdadera y una parte exagerada.

La parte verdadera: el cumplimiento regulatorio tiene un coste real. Los requisitos de documentación, auditoría, evaluación de riesgos y registro para sistemas de alto riesgo del EU AI Act no son triviales. Para una startup con diez personas y sin equipo legal, pueden ser una barrera de entrada.

La parte exagerada: el mercado europeo tiene casi 450 millones de consumidores. Ninguna empresa seria que quiera vender en Europa puede ignorar su regulación. El EU AI Act no prohíbe desplegar IA en Europa; exige cumplir ciertos requisitos antes de hacerlo en los casos de mayor riesgo. Y la certificación de cumplimiento puede, en mercados donde los usuarios se preocupan por la privacidad y la seguridad, convertirse en una ventaja competitiva real frente a quien no la tiene.

El problema más concreto no es que el EU AI Act mate la innovación. Es que crea incertidumbre durante años mientras se construye la jurisprudencia. Las empresas no saben exactamente qué nivel de riesgo tiene su sistema hasta que alguien lo evalúa, y esa incertidumbre es, por sí sola, costosa.

Lo que el argumento de la competitividad suele omitir es que Europa tampoco ha apostado únicamente por la regulación. El punto de partida es exigente: la UE representa apenas el 9% del mercado global de chips —muy lejos del objetivo del 20% para 2030— y tiene una dependencia estructural de proveedores no europeos en ciberseguridad. Desde esa posición, en febrero de 2025 la Comisión Europea lanzó la iniciativa InvestAI con un objetivo de movilizar 200.000 millones de euros para el desarrollo de la IA, de los que 20.000 millones se destinan específicamente a construir cinco gigafactorías de IA —instalaciones de cómputo de escala industrial con alrededor de 100.000 chips de última generación— que deberán estar operativas entre 2027 y 2028. Regular y apostar industrialmente no son estrategias contradictorias; la discusión real es si el ritmo de una frena el ritmo de la otra.

Quién pide menos regulación, y por qué

El argumento de la competitividad no siempre es neutral. En 2026, OpenAI publicó un manifiesto de —Política industrial para la era de la inteligencia— con una ambición redistributiva poco habitual en una empresa tecnológica: un Fondo Público de Riqueza financiado con los retornos de la IA, una semana laboral de 32 horas sin pérdida de salario, redes de seguridad social que se activan automáticamente si el desempleo tecnológico supera ciertos umbrales, y un desplazamiento de la carga fiscal de los salarios hacia el capital. El propio Sam Altman lo enmarcó como necesario “a la escala del New Deal”.

El documento reconoce abiertamente el riesgo que motiva sus propias propuestas: que “las ganancias económicas se concentren en un pequeño número de empresas” como la propia OpenAI. Lo que el manifiesto no destaca es la otra cara de la moneda. Según documentó el investigador de IA Eryk Salvaggio (Universidad de Cambridge) en Tech Policy Press, OpenAI presionó activamente para debilitar partes del EU AI Act que habrían aumentado la supervisión de sistemas de alto riesgo, y se opuso —incluyendo presión para un veto tras su aprobación en la legislatura estatal— al proyecto de ley californiano SB 1047, que proponía exigencias de gestión de riesgo similares a las que el propio Altman había pedido ante el Congreso de EEUU meses antes.

La contradicción no invalida el contenido de las propuestas: un fondo de riqueza pública o una semana laboral más corta pueden ser buenas ideas independientemente de quién las proponga. Pero sí ilustra un patrón estructural: las empresas que más se benefician de un vacío regulatorio rara vez piden activamente que se llene mientras ese vacío les beneficia, y reservan su entusiasmo regulatorio para los terrenos —como la redistribución fiscal, que no compromete su ventaja competitiva técnica— donde la regulación recaería sobre el conjunto de la sociedad, no sobre sí mismas.

Niveles de madurez: ¿cuándo regular qué?

Uno de los planteamientos que más consenso genera en el debate de política de IA es que la regulación debería escalarse con la capacidad del sistema y el riesgo del uso concreto, no aplicarse por igual a un clasificador de correos de spam y a un sistema que decide quién recibe un crédito hipotecario.

El EU AI Act intenta esto con su clasificación por riesgo. El resultado práctico es imperfecto: la frontera entre “alto riesgo” y “riesgo limitado” en casos intermedios no es obvia. Pero la lógica es correcta y probablemente es el modelo que adoptarán otros bloques.

Lo que la evidencia de otros sectores regulados sugiere:

  1. Regular el resultado, no el método: lo que importa es si el sistema de IA discrimina en la concesión de créditos, no cómo está construido internamente. La regulación orientada a resultados es más adaptable a medida que cambia la tecnología.

  2. Sandboxes regulatorios: espacios controlados donde una empresa puede probar un sistema nuevo bajo supervisión antes de desplegarlo masivamente. Reduce el riesgo sin bloquear la experimentación. España ya cerró el suyo en finanzas y, como se ha visto, también uno específico de IA gestionado por AESIA.

  3. Revisión periódica obligatoria: cualquier norma sobre IA escrita hoy debería tener fecha de revisión obligatoria en tres años, porque la tecnología habrá cambiado más que en una década normal.

Qué llevarte

La regulación de la IA no es una discusión entre los que quieren proteger y los que quieren innovar. Es una discusión sobre cómo proteger sin crear obligaciones que nadie puede cumplir, y cómo innovar sin externalizar los costes del riesgo a quienes menos capacidad tienen de asumirlos.

El EU AI Act es el marco más elaborado que existe hoy, con sus imperfecciones reales: criterios de clasificación que generarán litigios durante años, algunos requisitos imposibles de cumplir a escala para empresas pequeñas, y una curva de aprendizaje institucional para los organismos supervisores que todavía está en sus primeros años.

La alternativa no es “ninguna regulación”. Es, en todo caso, una apuesta de que el daño esperado sea menor que el coste de cumplimiento. Esa apuesta puede ser correcta en algunos contextos, pero no está validada todavía.

Y hay una capa que ni siquiera entra en el debate de fondo porque parece menor hasta que te toca: la letra pequeña de lo que pagas por usar la herramienta. Uno de los primeros litigios contra un proveedor de IA de frontera no fue por sesgo algorítmico ni por un deepfake; fue por una cuota de uso que no se correspondía con lo anunciado. La regulación seria que está por venir tendrá que cubrir también ese terreno, mucho menos vistoso que la seguridad nacional pero igual de tangible para quien paga la factura cada mes.

Lo que la regulación de la IA no puede hacer es resolver por decreto el problema técnico de fondo: que nadie sabe exactamente qué hace un modelo grande dentro de sí mismo. Hasta que eso cambie, la supervisión humana —imperfecta como es— sigue siendo el único mecanismo disponible para detectar cuando algo va mal.

Fuentes verificadas

  • Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024. Publicado en el Diario Oficial de la UE el 12 de julio de 2024. Entrada en vigor: 1 de agosto de 2024. eur-lex.europa.eu
  • Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA). Publicado en el BOE el 2 de septiembre de 2023. Adscripción confirmada al Ministerio de Asuntos Económicos y Transformación Digital (Art. 1.1); funciones de supervisión y sanción (Art. 10.1.k) y de creación de sandboxes regulatorios (Art. 10.1.a) desde su redacción original; sin mecanismo de coordinación explícito con AEPD, Banco de España, CNMV o AEMPS. boe.es
  • Orden Ejecutiva 14110 (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence), administración Biden, 30 de octubre de 2023. Revocada el 20 de enero de 2025 por Orden Ejecutiva 14148 de la administración Trump. federalregister.gov
  • Orden Ejecutiva “Ensuring a National Policy Framework for Artificial Intelligence”, administración Trump, 11 de diciembre de 2025. Crea el AI Litigation Task Force del Departamento de Justicia para impugnar leyes estatales de IA y condiciona fondos federales de banda ancha a su suspensión. whitehouse.gov — análisis legal confirmando alcance y mecanismos: Gibson Dunn, DLA Piper
  • Medidas para la Gestión de Servicios de Inteligencia Artificial Generativa (China). Promulgadas por la Administración del Ciberespacio de China (CAC), en vigor desde el 15 de agosto de 2023. cac.gov.cn
  • AESIA — sitio institucional: aesia.gob.es
  • Anthropic — Comunicado oficial sobre la directiva gubernamental para suspender Fable 5 y Mythos 5 (13 junio 2026). Posición pública de Anthropic ante la orden ejecutiva de control de exportaciones; incluye el argumento sobre proporcionalidad en la restricción y los planes para restaurar el acceso. anthropic.com
  • Anthropic — Serie H: $65.000 millones a valoración post-money de $965.000 millones (28 de mayo de 2026). Última ronda privada antes de la IPO prevista; situó a Anthropic como la startup de IA de mayor valoración. anthropic.com
  • Directiva (UE) 2022/2555 (NIS2), de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel de ciberseguridad. Plazo de transposición: 17 de octubre de 2024. eur-lex.europa.eu
  • Reglamento (UE) 2022/2554 (DORA), de 14 de diciembre de 2022, sobre resiliencia operativa digital del sector financiero. Plena aplicación: 17 de enero de 2025. eur-lex.europa.eu
  • Karl Kahn v. Anthropic PBC — demanda colectiva presentada el 14 de junio de 2026 ante el Tribunal de Distrito de EEUU para el Distrito Norte de California. Alega publicidad engañosa en los planes Claude Max 5x y Max 20x. Datos clave verificados vía cobertura especializada: Max 20x entrega 6-8x el uso de Pro (no 20x anunciado), Max 5x entrega ~3,5x (no 5x); periodo de clase desde el 9 de abril de 2025; representación legal de Kati Daffan (Vaca Daffan LLP). Engadget · PYMNTS
  • Council of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law (“Convenio de Vilna”). Abierto a firma el 5 de septiembre de 2024. Firmantes del primer día verificados: Andorra, Georgia, Islandia, Moldavia, Noruega, San Marino, Reino Unido, Israel, Estados Unidos y la Unión Europea; Canadá y Japón se sumaron el 11 de febrero de 2025. Entrada en vigor: cinco ratificaciones, al menos tres de estados del Consejo de Europa. coe.int
  • Propuesta de Decisión del Consejo de la UE para la firma del Convenio de Vilna (CELEX:52024PC0264) y ratificación por la Unión Europea (15 de mayo de 2026, 135.ª sesión del Comité de Ministros, Chisináu). eur-lex.europa.eu · coe.int
  • Comisión Europea — propuesta y acuerdo Digital Omnibus (propuesta: 19 de noviembre de 2025; acuerdo provisional Consejo-Parlamento: 7 de mayo de 2026). Retrasa los requisitos de alto riesgo del Anexo III de agosto de 2026 a diciembre de 2027 (16 meses), los del Anexo II de agosto de 2027 a agosto de 2028 (un año), y la obligación de sandbox regulatorio nacional de agosto de 2026 a agosto de 2027. Gibson Dunn · Hogan Lovells
  • AI Act Service Desk y Single Information Platform — Comisión Europea. Portal oficial de implementación técnica del AI Act, incluida la línea temporal de cumplimiento y los Códigos de Buenas Prácticas (marcado de contenido sintético, Artículo 50). ai-act-service-desk.ec.europa.eu
  • Código de Buenas Prácticas GPAI (General-Purpose AI Code of Practice). Herramienta voluntaria de la Comisión Europea para que los proveedores de modelos de propósito general demuestren cumplimiento con las obligaciones de transparencia, copyright y seguridad del Reglamento UE 2024/1689 (Capítulo V). Publicado en julio de 2025; signatarios principales: Anthropic, Google, IBM, Microsoft, Mistral, OpenAI y Cohere. Meta no firmó; xAI solo suscribió el capítulo de seguridad. code-of-practice.ai
  • Comisión Europea — Borrador de directrices de transparencia del Artículo 50 (8 de mayo de 2026). Primer documento oficial de la Comisión que concreta el alcance de las obligaciones del Art. 50: qué sistemas quedan dentro, qué forma deben tener los avisos a usuarios y cómo distinguir los usos exentos. No vinculante; complementa el Código de Prácticas (orientación técnica) con interpretación sobre alcance y aplicación. Consulta pública cerrada el 3 de junio de 2026. digital-strategy.ec.europa.eu
  • Reglamento UE 2024/1689 — Artículo 99 (Sanciones). Define los tres tramos de multas: 35M€/7% (prácticas prohibidas, Art. 5), 15M€/3% (resto de incumplimientos incl. transparencia del Art. 50), 7,5M€/1% (información incorrecta a autoridades). artificialintelligenceact.eu
  • Proyecto de Ley Orgánica de Inteligencia Artificial (España), presentado el 12 de junio de 2026. Implementa el AI Act a nivel nacional: reparto de competencias entre AESIA, Dirección General de IA, AEPD, CGPJ y supervisores sectoriales; régimen sancionador con cuatro escalones (incluida una categoría de infracción leve, 500.000€/0,5%, no presente como tal en el reglamento europeo); inventarios nacionales de sistemas de IA; delegados de IA en administraciones públicas. Economist & Jurist
  • Corea del Sur — Framework Act on the Development of Artificial Intelligence and Establishment of Trust (AI Basic Act). Promulgada en 2025, en vigor desde el 22 de enero de 2026. Primer marco regulatorio integral de IA de Asia-Pacífico: obliga a transparencia y etiquetado de IA generativa de alto impacto; sin prohibiciones absolutas. Library of Congress · aibasicact.kr
  • Singapur — Model AI Governance Framework for Agentic AI (IMDA). Publicado el 22 de enero de 2026 en el Foro Económico Mundial. Primer marco global específico para IA agéntica; voluntario; propone controles técnicos por capas (barrera de políticas determinista, capa semántica, registros de auditoría firmados). imda.gov.sg
  • Canadá — muerte del Artificial Intelligence and Data Act (AIDA). Bill C-27 (que contenía AIDA) decayó el 6 de enero de 2025 al disolverse el Parlamento canadiense tras la dimisión de Justin Trudeau. A mediados de 2026, único país del G7 sin marco federal vinculante sobre IA. Montreal AI Ethics Institute
  • Primer sandbox de IA de España, cerrado en junio de 2026. Gestionado por el Ministerio para la Transformación Digital con la Oficina de IA de la Comisión Europea; financiación de 4,3 M€ del Plan de Recuperación; 44 solicitudes (18 pymes, 6 startups, 1 empresa francesa); primeras guías técnicas de cumplimiento de alto riesgo publicadas. Zona Movilidad
  • State v. Loomis, 371 Wis.2d 235 (Tribunal Supremo de Wisconsin, 2016). Caso de referencia sobre uso de algoritmos de predicción de reincidencia (COMPAS) en sentencias penales; el Tribunal avaló su uso pero exigió advertencias explícitas sobre sus limitaciones y potencial sesgo racial. Justia
  • Iniciativa InvestAI — Comisión Europea (febrero 2025). Objetivo: movilizar 200.000 millones de euros para IA en Europa, con 20.000 millones dedicados a cinco gigafactorías de IA (~100.000 chips de última generación por instalación). Gestión vía EuroHPC JU; convocatoria oficial prevista para julio 2026. European Commission — AI Continent · EuroHPC JU — AI Gigafactories
  • G7 2026 — reunión con CEOs de laboratorios de IA (17 de junio de 2026, Évian-les-Bains, Francia). Sam Altman (OpenAI), Dario Amodei (Anthropic) y Demis Hassabis (Google DeepMind) presentaron a los líderes del G7 propuestas para una coalición de IA liderada por EEUU: estándares comunes, coordinación en acceso a modelos de frontera y restricciones de chips que excluyan a China. Mark Carney (Canadá) expresó su apoyo; no emergieron compromisos vinculantes. The Next Web · CNBC · Semafor

Lecturas opinables

  • Artificial intelligence: definition and use cases — European Parliament Research Service. Informe de contexto (no vinculante) sobre el estado de la regulación de IA a nivel global. europarl.europa.eu
  • Explicando la AESIA — El Español (Quincemil), 9 de septiembre de 2023. Fuente de la afirmación de que AESIA es la primera agencia estatal de supervisión de IA de la Unión Europea; ni AESIA ni el BOE hacen esa afirmación superlativa de sí mismos en sus textos fundacionales. elespanol.com
  • Anthropic suspende el acceso a sus modelos más avanzados de inteligencia artificial por el veto de EE UU a los extranjeros — Jesús Sérvulo González, El País, 13 de junio de 2026. Cobertura del caso Fable 5/Mythos 5, con contexto sobre la tensión Anthropic-Pentágono y las implicaciones para el sector. elpais.com
  • La prohibición de acceso global a la IA de Anthropic alarma a Silicon Valley — Bloomberg / Perfil, junio de 2026. Reacción del sector financiero americano (Gary Tan, Allspring Global Investments) y confirmación de las conversaciones de Anthropic con el Departamento del Tesoro. perfil.com
  • OpenAI quiere crear un fondo público para gestionar la riqueza que genere ChatGPT — Business Insider España, 2026. Cobertura del manifiesto Política industrial para la era de la inteligencia de OpenAI. businessinsider.es
  • The Doublespeak in OpenAI’s ‘Industrial Policy for the Intelligence Age’ — Eryk Salvaggio, Tech Policy Press. Análisis crítico de la coherencia entre el manifiesto redistributivo de OpenAI y su historial de lobby contra el EU AI Act y el proyecto de ley californiano SB 1047. Fuente de mayor rigor analítico que la cobertura periodística general; el autor es investigador de IA en la Universidad de Cambridge. techpolicy.press
  • El coste real de la IA: de la promesa democrática al modelo enterprise — Ramón, jarroba.com. Artículo propio sobre la divergencia entre el precio anunciado y el coste real de la IA, con casos concretos de GitHub Copilot, JetBrains y Anthropic. Profundiza desde el ángulo empresarial el mismo fenómeno que este artículo trata desde el ángulo regulatorio.
  • Toque de atención en Europa por el cierre de Anthropic al acceso a Fable 5 y Mythos 5 — Euronews, 13 de junio de 2026. Reacciones institucionales europeas y debate sobre soberanía tecnológica. es.euronews.com
  • Anthropic Pulls Its Most Powerful AI Models After U.S. Bars Foreign Access — Time, 13 de junio de 2026. time.com
  • Scoop: Trump admin blocks foreign access to Anthropic’s most powerful AI — Axios, 12 de junio de 2026. axios.com
  • Bruselas aplaza a julio la presentación de candidaturas de gigafactorías de IA — El Mundo, 17 de junio de 2026. Cobertura detallada del proceso de candidaturas (76 propuestas de 16 estados), el consorcio español de Tarragona (Santander, ACS, Telefónica, SEPI Digital) y la inversión prevista de ~4.000 millones de euros. elmundo.es
  • La UE representa el 9% del mercado global de chips: la ciberseguridad depende de proveedores no europeos — El Diario, junio 2026. Datos de la Comisión Europea sobre la brecha tecnológica: UE al 9% del mercado global de chips (objetivo 20% para 2030), dependencia estructural en ciberseguridad y escasez de talento TI (5% del empleo, objetivo 10%). Contexto directo del porqué de la apuesta InvestAI. eldiario.es
  • La inteligencia artificial exige que el derecho vaya siempre un paso por delante — Entrevista con Pablo Sánchez Molina (prof. Derecho Constitucional, Universidad de Málaga), Diario Sur, 16 de junio de 2026. Perspectiva jurídica sobre cajas negras, sesgos algorítmicos en decisiones judiciales (caso Loomis), concentración de poder en grandes corporaciones y regulación europea. diariosur.es
  • Los directores de Anthropic y Google DeepMind piden en el G7 una coalición de IA liderada por EEUU — Sergio Delgado, Estrategias de Inversión, 18 de junio de 2026. Crónica de la reunión privada del G7 con una docena de líderes tecnológicos: propuesta de Amodei y Hassabis de una coalición internacional con EEUU a la cabeza, estándares comunes y restricciones de chips. estrategiasdeinversion.com
  • One company spent half a billion dollars on Claude in a single month — Fast Company / Axios, 2026. Relato de un consultor (empresa no confirmada públicamente): cliente empresarial sin límites de uso en licencias acumula 500M$ en un mes en llamadas a la API de Claude. Contexto de los costes reales de la adopción masiva de IA. fastcompany.com
  • House members want answers on export controls placed on Anthropic’s Fable — Washington Post, 18 de junio de 2026. Carta bipartidista de cuatro representantes a Lutnick cuestionando la base legal de los controles de exportación (EAR § 744.22) aplicados al acceso a la API de Fable 5 y Mythos 5. washingtonpost.com
  • Anthropic floats proposal to Commerce Secretary Lutnick to end US ban of Fable and Mythos — Bloomberg/AOL · Trump officials working toward deal to restore Fable 5 and Mythos 5 — Globe and Mail, junio de 2026. Detalles de la propuesta de Anthropic y las negociaciones con la administración Trump para restaurar el acceso a los modelos. aol.com · theglobeandmail.com
  • Yolanda Díaz defiende la regulación de la IA y los algoritmos en el mercado de trabajo y en las relaciones laborales — La Moncloa, 25 de junio de 2026. Declaraciones en Oxford: intención de regular la IA laboral en España por encima de los mínimos del AI Act, sin esperar al plazo europeo de 2027; referencia a la ley rider como precedente. lamoncloa.gob.es

← Artículo anterior: A velocidad de máquina: la IA ha roto el equilibrio en ciberseguridad · Volver al índice: Presentación de la serie

Comparte esta entrada en:
Safe Creative #1401310112503
La regulación de la IA: el dilema entre proteger y no quedarse atrás por "www.jarroba.com" esta bajo una licencia Creative Commons
Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License.
Creado a partir de la obra en www.jarroba.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies