Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

Por Danny Bradbury • 18 December 2025

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente adapta su legislación a las necesidades específicas de sus ciudadanos. En ningún otro ámbito es más cierto este enfoque fragmentado de la legislación que en el incipiente mundo de la IA.

Legisladores de los 50 estados firmado 118 Proyectos de ley relacionados con la IA Se convirtieron en ley este año, sumándose a las ya vigentes. Esto representa solo el 11% de las 1,080 leyes que las legislaturas estatales consideraron en 2025.

Las leyes adoptadas también se están volviendo más amplias. La de Colorado Texto 24-305 (vigente a partir del 30 de junio del próximo año) es el primer marco amplio de derechos de los consumidores de IA que afecta a las empresas privadas que desarrollan o utilizan “sistemas de IA de alto riesgo” en áreas como empleo, préstamos, atención médica y decisiones de vivienda.

Distintas leyes abordan el problema de forma diferente, lo que agrava el efecto de mosaico. Por ejemplo, la Ley de Gobernanza Responsable de la Inteligencia Artificial de Texas (TRAIGA), otro marco integral de protección al consumidor de IA firmado este año, vincula la responsabilidad a la intención, a diferencia del enfoque basado en resultados de Colorado. Mientras tanto, California cuenta con varias leyes, incluyendo una que se centra en... transparencia de los datos de entrenamiento.

Las alarmas sobre el cumplimiento normativo ya están sonando para las empresas estadounidenses. siete en diez Los líderes de TI ahora consideran el cumplimiento normativo entre los tres principales desafíos para la implementación de la IA generativa. Gartner (la fuente de las estadísticas) cree que las infracciones regulatorias en IA provocarán un aumento del 30 % en las disputas legales para las empresas tecnológicas. Si bien las empresas pueden comprender el riesgo, eso no significa que estén preparadas para afrontarlo. Menos de una cuarta parte confía en poder gestionar la gobernanza de la IA, según la empresa de análisis de mercado.

Lidiar con la regulación no es nada nuevo para las empresas estadounidenses, que tuvieron que digerir el RGPD (un poco como una serpiente que se traga una cabra) en 2018. Pero la IA se perfila para ser peor para ellas.

La táctica de la Orden Ejecutiva de Trump

Los ejecutivos asediados podrían buscar consuelo en la última misiva del presidente Trump. La semana pasada, la Casa Blanca emitió una Orden Ejecutiva buscando frenar la regulación estatal de la IA. Al hacerlo, intenta cumplir muchas de las promesas establecidas en su Plan de acción de IA, lanzado en julio.

La última Orden Ejecutiva nombra a la Fiscal General Pam Bondi como jefa de un Grupo de Trabajo sobre Litigios de IA, encargado de investigar las leyes estatales que considere ilegales. El Departamento de Comercio hará un seguimiento vinculando las propuestas de subvención con el panorama regulatorio de los estados.

La Orden Ejecutiva busca reemplazar las regulaciones estatales que desagradan al Fiscal General con un marco legal único, que será desarrollado por un Asesor Especial para IA y Criptomonedas (cargo que actualmente ocupa el exdirector de operaciones de PayPal, David Sacks). La Comisión Federal de Comunicaciones (FCC) también investigará la creación de un estándar federal único para la presentación de informes y la divulgación de modelos de IA.

Esto podría alegrar a algunas de esas empresas preocupadas por la complejidad de la legislación a nivel estatal, pero en la práctica, los expertos legales no creen que sea viable.

“Las agencias federales como el Departamento de Justicia y la Comisión Federal de Comercio no pueden invadir las regulaciones estatales legales sin una clara delegación del Congreso”. escribí Olivier Sylvain, profesor de Derecho en la Universidad de Fordham y miembro senior de políticas en el Instituto Knight de la Primera Enmienda de la Universidad de Columbia.

El Congreso no está cooperando. En julio, el Senado votó abrumadoramente a favor de eliminar de la legislación propuesta una moratoria de 10 años para la aplicación de las leyes estatales de inteligencia artificial. Más recientemente, los legisladores se negaron a añadir dicha moratoria a la Ley de Autorización de Defensa Nacional.

Las órdenes ejecutivas atañen al gobierno, no al sector privado, por lo que el último documento intenta utilizar el poder ejecutivo para arremeter contra los litigios estatales. Sin embargo, «sin una ley que se acerque a la regulación estatal de la IA, y mucho menos una que la prevalezca, un ataque del Departamento de Justicia o la FTC contra los estados probablemente fracasaría desde el principio», añadió Sylvain.

Los riesgos de una implementación de IA no conforme

Con esto en mente, las empresas deberían planificar el cumplimiento a largo plazo de la regulación estatal de la IA. Para ello, tres preguntas deberían ser obligatorias en los debates sobre IA en los consejos de administración: ¿Quién es responsable de las decisiones sobre IA? ¿Cómo se evalúan los riesgos? ¿Y qué sucede cuando los modelos fallan? Pero esto no está sucediendo. Solo el 49 % de los consejos de administración han evaluado la IA y el riesgo. según los estándares la Asociación Nacional de Directores Corporativos.

Los peligros de no evaluar el riesgo son múltiples. El mayor, con diferencia, según McKinsey, es una inexactitud, ya que el 30% de las empresas experimentan esto al menos una vez en proyectos de IA. En 2024, Air Canada pagó daños y perjuicios después de que su chatbot... descuentos por duelo inventados, pero estos palidecen en comparación con el daño a la reputación que causaron.

En segundo lugar en la lista de McKinsey se encuentra la explicabilidad, que ha afectado al 14% de las empresas en implementaciones de IA en el mundo real. No explicar por qué su modelo denegó un préstamo a alguien podría causarle problemas regulatorios. Otros riesgos incluyen violaciones de la privacidad y vulnerabilidades de ciberseguridad, cualquiera de las cuales podría generar posibles consecuencias regulatorias.

Las empresas no necesitan buscar mucho para encontrar ejemplos de implementaciones de IA fallidas. Un servicio de desarrollo de software basado en IA... eliminó la base de datos de producción de una persona, por ejemplo. Quizás el más preocupante de todos, sin embargo, fue el escándalo sobre la administración tributaria holandesa. mal uso de la IA para tomar decisiones sobre beneficios que afectan la vida.

La norma ISO/IEC 42001 ofrece una base para el cumplimiento de la IA

En tiempos volátiles como estos, donde el panorama regulatorio de la IA está lejos de ser uniforme, recurrir a estándares bien establecidos como ISO / IEC 42001 Ayuda a crear buenas prácticas de forma consistente. Publicado en diciembre de 2023, es un estándar internacional para sistemas de gestión de IA. Las organizaciones que estén considerando implementar IA pueden usarlo para facilitar las evaluaciones de riesgos e impacto. Es una herramienta para la gobernanza de la IA que funciona en múltiples jurisdicciones.

Las empresas pueden contribuir al desarrollo y mantenimiento de buenas prácticas sólidas en IA integrando medidas de cumplimiento en su estructura organizativa. Por ejemplo, asigne a un miembro de su equipo de cumplimiento la supervisión de las medidas de cumplimiento específicas para IA, impulsadas por la norma ISO 42001, e incorpore medidas periódicas de evaluación de riesgos en sus procesos de desarrollo, implementación y uso de IA.

Inundada por un océano turbulento de leyes estatales y con prioridades de cumplimiento federales cambiantes que ponen a prueba los límites legales de la regulación, la norma ISO 42001 es un salvavidas al que los departamentos de cumplimiento corporativo pueden aferrarse.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury