La IA generativa pasó de ser un experimento académico a tecnología de consumo masivo en menos de 18 meses. Esto ha acelerado esfuerzos regulatorios en todo el mundo, con Europa, Estados Unidos y Reino Unido tomando enfoques significativamente distintos. Para equipos que integran LLMs en producto, entender el panorama regulatorio emergente es ya tarea de producto, no solo legal.
EU AI Act: el enfoque más comprehensivo
La EU AI Act, propuesta por la Comisión en 2021 y actualmente en proceso de trílogo entre Comisión, Parlamento y Consejo, es la regulación más completa en preparación. Algunos puntos clave del borrador (agosto 2023):
- Sistema de niveles de riesgo. Cuatro categorías: inaceptable (prohibido), alto (regulación estricta), limitado (transparencia), mínimo (sin obligaciones especiales).
- Foundation models. Incorporados en la propuesta del Parlamento de junio 2023: obligaciones de transparencia sobre datos de entrenamiento, evaluación de riesgos, gestión de incidentes.
- Multas hasta 6% de facturación global para incumplimientos graves — más severo que el RGPD.
Fecha objetivo de aprobación: finales de 2023 o principios de 2024, con entrada en vigor 18-24 meses después. Equipos que desarrollan o integran IA en productos comerciales en la UE deberían ir mapeando cuáles de sus casos de uso caerán en “alto riesgo” (empleo, crédito, educación, servicios esenciales, justicia).
Estados Unidos: executive order y NIST framework
EEUU ha tomado un camino más fragmentado. Componentes relevantes:
- Voluntary commitments (julio 2023): siete grandes laboratorios de IA (OpenAI, Anthropic, Google, Microsoft, Meta, Amazon, Inflection) firmaron compromisos voluntarios — red-teaming externo, marcado de contenido generado, investigación en seguridad. No es ley, pero establece expectativas.
- NIST AI Risk Management Framework (enero 2023): marco técnico para evaluar y mitigar riesgos de sistemas de IA. Voluntario, pero referenciado en adquisiciones gubernamentales.
- Executive order pendiente: la administración Biden ha indicado que preparará una orden ejecutiva más amplia en los próximos meses.
Para empresas tech con presencia en EEUU, el riesgo no es tanto multa inmediata como demandas civiles y litigation — varias demandas ya activas sobre uso de datos con copyright para entrenamiento (NY Times, Getty Images).
Reino Unido: enfoque “pro-innovación”
El White Paper del gobierno británico (marzo 2023) propone una alternativa al enfoque europeo: en vez de una ley transversal, cinco principios aplicados por reguladores sectoriales existentes (ICO, FCA, CMA, Ofcom, HSE). Los principios:
- Seguridad y robustez.
- Transparencia y explicabilidad.
- Equidad.
- Responsabilidad y gobernanza.
- Contestabilidad y recurso.
Este enfoque es más ligero, teóricamente ágil, pero crítico: deja huecos entre reguladores y crea incertidumbre sobre qué regulador aplica a qué caso.
Obligaciones concretas emergentes
Varias obligaciones aparecen repetidamente en borradores de múltiples jurisdicciones:
Marcado de contenido generado
Content Authenticity Initiative, C2PA y watermarking de modelos específicos (Stable Diffusion, Midjourney) están siendo promovidos como estándares. La EU AI Act lo exige explícitamente para deepfakes.
Transparencia sobre datos de entrenamiento
El borrador europeo exige publicar resumen “suficientemente detallado” de datos protegidos por copyright usados en entrenamiento. Cómo interpretar “suficientemente detallado” está abierto.
Derechos de sujetos afectados
Impugnación de decisiones automatizadas, explicación, rectificación. Esto ya existe parcialmente en RGPD artículo 22, pero EU AI Act refuerza.
Assessment de riesgos
Documentación sistemática de casos de uso, riesgos identificados, medidas de mitigación. El NIST AI RMF da plantilla útil.
Qué hacer ahora como equipo de producto
Tres acciones prácticas independientes del país concreto:
- Inventariar casos de uso de IA generativa en tu producto. Identificar cuáles procesan datos personales, toman decisiones sobre personas, o generan contenido que podría engañar.
- Documentar limitaciones y comportamiento esperado. No sustituye assessment formal, pero crea base para cumplimiento cuando la regulación concrete.
- Canales de feedback y corrección. Si tu IA se equivoca, el usuario debe poder reportarlo, que sea investigado y corregido. Esto será requisito formal en casi todos los marcos.
Relacionado, ver nuestra cobertura sobre la directiva NIS2 — ciberseguridad y regulación de IA convergen en muchas obligaciones operativas.
Conclusión
La regulación de IA generativa está en fase incipiente pero avanza rápido. Europa lidera con la propuesta más comprehensiva; EEUU se mueve por vía voluntaria y jurisprudencial; Reino Unido intenta un enfoque intermedio. Para cualquier producto que use IA, empezar a documentar casos de uso, riesgos y mitigaciones ahora es inversión en la regulación que sí llegará en 2024-2026.
Síguenos en jacar.es para más sobre regulación tecnológica, IA responsable y estrategia de producto.
