IA Book
06 · Gobernanza y seguridad

Regulación y cumplimiento

EU AI Act, regulaciones en Latinoamérica y frameworks de gobernanza. Lo que necesitas saber para cumplir sin inventar todo desde cero.

Paso 5 de 5

La regulación de IA dejó de ser un tema futuro. El EU AI Act ya está en enforcement. Brasil tiene la legislación más avanzada de Latinoamérica y su sandbox regulatorio corre hasta diciembre de 2026. Colombia, México y Chile tienen proyectos de ley en diferentes etapas.

No necesitas convertirte en experto en regulación. Pero sí necesitas entender qué te aplica, qué riesgo corre tu empresa si no cumple, y qué frameworks te ayudan a organizar el cumplimiento sin inventar todo desde cero.

EU AI Act: lo esencial

El EU AI Act es la primera regulación integral de IA del mundo. Aunque tu empresa esté en Latinoamérica, te puede afectar si tus productos o servicios llegan a usuarios en la Unión Europea, o si usas sistemas de IA de proveedores europeos.

Qué regula

El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo:

NivelQué incluyeQué exige
InaceptableScoring social, manipulación subliminal, vigilancia biométrica masiva.Prohibido. No se puede usar ni desarrollar.
AltoIA en contratación, crédito, educación, infraestructura crítica, salud.Evaluación de riesgo, documentación técnica, supervisión humana, auditorías.
LimitadoChatbots, deepfakes, sistemas de recomendación.Transparencia: informar al usuario que interactúa con una IA.
MínimoFiltros de spam, videojuegos, herramientas de productividad genéricas.Sin obligaciones adicionales.

Fechas clave

  • Febrero 2025: prohibiciones de riesgo inaceptable ya están activas.
  • Agosto 2025: obligaciones de transparencia para riesgo limitado.
  • Agosto 2026: obligaciones completas para sistemas de alto riesgo. Esta es la fecha más importante para la mayoría de las empresas.

Penalizaciones

Las multas son serias: hasta 35 millones de euros o el 7% de la facturación global anual para violaciones de prohibiciones, y hasta 15 millones o el 3% para incumplimiento de obligaciones de alto riesgo.

La Comisión Europea propuso un posible aplazamiento

A finales de 2025, la Comisión Europea propuso un paquete "Digital Omnibus" que podría posponer las obligaciones de alto riesgo hasta diciembre de 2027. No está aprobado. Trata agosto de 2026 como tu fecha límite hasta que haya confirmación oficial de lo contrario.

Regulación en Latinoamérica

La región está en movimiento, aunque con velocidades distintas. La tendencia general es seguir un enfoque basado en riesgo, similar al EU AI Act, pero adaptado al contexto local.

Estado actual por país

Brasil. Es el país más avanzado de la región. Su propuesta exige una evaluación preliminar de riesgo para todo sistema de IA antes de introducirlo al mercado o desplegarlo. La Autoridad Nacional de Protección de Datos (ANPD) lanzó un sandbox regulatorio de IA y protección de datos que corre hasta diciembre de 2026. Si operas en Brasil, esto ya te afecta.

Colombia. Tiene tres proyectos de ley en revisión que buscan establecer un marco legal basado en autorregulación, ética, transparencia y protección de derechos fundamentales. Ninguno es ley todavía, pero el movimiento legislativo es activo.

México. Tiene dos proyectos de ley en revisión, pero ninguno ha mostrado avance significativo en el Congreso. El gobierno explora activamente un marco legal, sin fecha clara de implementación.

Chile. Trabaja en legislación basada en transparencia, equidad y supervisión humana, construida sobre su Política Nacional de IA.

Perú. Aprobó la primera ley de IA de la región y está en proceso de definir las regulaciones secundarias.

Qué significa esto para tu empresa

Si operas en varios países de Latinoamérica, la estrategia más práctica es diseñar tu gobernanza para el estándar más exigente que te aplique. Si cumples con el EU AI Act o con la propuesta brasileña, es muy probable que cumplas con lo que los demás países terminen aprobando.

Frameworks que te ayudan a cumplir

No necesitas inventar tu sistema de gobernanza desde cero. Dos frameworks internacionales te dan la estructura:

NIST AI RMF (Risk Management Framework)

Desarrollado por el Instituto Nacional de Estándares y Tecnología de EE.UU. Es voluntario, flexible y diseñado para adaptarse a cualquier contexto organizacional.

Te da el "qué" y el "por qué": cómo identificar, evaluar y mitigar riesgos de IA. Cuatro funciones principales:

  • Govern. Establecer la estructura de gobernanza, roles y responsabilidades.
  • Map. Identificar y documentar los contextos de uso de la IA.
  • Measure. Evaluar los riesgos con métricas concretas.
  • Manage. Implementar controles y monitorear su efectividad.

ISO/IEC 42001

El primer estándar internacional para sistemas de gestión de IA. Es certificable, lo que significa que un auditor externo puede verificar tu cumplimiento.

Te da el "cómo": una estructura formal para implementar, mantener y mejorar tu gestión de IA. Es más prescriptivo que NIST y más adecuado si tu empresa necesita demostrar cumplimiento a clientes o reguladores.

Cuál usar

SituaciónRecomendación
Empresa que empieza con gobernanza de IANIST AI RMF. Es más flexible y no requiere certificación.
Empresa que necesita demostrar cumplimiento a clientes o reguladoresISO 42001. La certificación es una señal verificable.
Empresa global con múltiples jurisdiccionesAmbos. Usa NIST como base de pensamiento y ISO como estructura de gestión. Hay crosswalks oficiales que mapean uno a otro.

No necesitas certificarte el primer año

Usa los frameworks como guías de pensamiento, no como listas de chequeo. Adopta la estructura de gobernanza de NIST (roles, inventario, evaluación de riesgo) y ve avanzando hacia ISO 42001 cuando tu madurez lo justifique. Empezar imperfecto es mejor que no empezar.

Plan de acción inmediato

Si estás empezando desde cero, estos son los primeros cinco movimientos:

  1. Haz el inventario de IA (ver paso 1). No puedes evaluar cumplimiento si no sabes qué sistemas de IA usas.
  2. Clasifica tus sistemas por nivel de riesgo usando las categorías del EU AI Act como referencia. La mayoría de los usos empresariales de IA generativa caen en riesgo limitado o mínimo.
  3. Revisa los contratos con tus proveedores de IA. Verifica que cubran procesamiento de datos, retención, uso para entrenamiento y cumplimiento regulatorio.
  4. Documenta tu política y tus decisiones. Los reguladores no esperan perfección. Esperan evidencia de que estás gestionando el riesgo de forma razonable.
  5. Asigna un responsable de seguimiento regulatorio. Alguien en el comité de gobernanza que monitoree cambios legislativos relevantes, al menos trimestralmente.

No esperes a que la ley te obligue

Las empresas que empiezan a gobernar IA antes de que la regulación las alcance tienen una ventaja clara: cuando la ley llegue, ya tienen la estructura, la documentación y la cultura. Las que esperan pagan el costo de implementar todo bajo presión y con plazo.

Señales de que este paso funciona

  • Sabes qué regulaciones te aplican hoy y cuáles te podrían aplicar en los próximos 12 meses.
  • Tus sistemas de IA de alto riesgo tienen documentación técnica y evaluación de riesgo.
  • Los contratos con proveedores de IA incluyen cláusulas de procesamiento de datos y cumplimiento.
  • Alguien en tu organización monitorea activamente los cambios regulatorios.
  • Tu gobernanza de IA está alineada con al menos un framework reconocido.

Comité de gobernanza de IA

Quién toma las decisiones sobre IA en tu empresa, cómo se estructura el comité y qué responsabilidades tiene cada rol.

En esta página

Paso 5 de 5EU AI Act: lo esencialQué regulaFechas clavePenalizacionesRegulación en LatinoaméricaEstado actual por paísQué significa esto para tu empresaFrameworks que te ayudan a cumplirNIST AI RMF (Risk Management Framework)ISO/IEC 42001Cuál usarPlan de acción inmediatoSeñales de que este paso funciona