Mil iniciativas, dos leyes que muerden
A comienzos de 2026, más de 72 países han lanzado más de 1.000 iniciativas de política de inteligencia artificial. La cifra impresiona hasta que se mira de cerca lo que esconde: la inmensa mayoría son estrategias nacionales, principios voluntarios o proyectos de ley que no obligan a nada. El número de jurisdicciones con una ley de IA comprehensiva y en vigor se cuenta con los dedos de una mano.
Este rastreo mide exactamente esa brecha —la distancia entre lo que un país dice que va a hacer con la IA y lo que realmente puede exigir y sancionar—. Es el dato que importa a cualquier empresa que despliegue IA en varios mercados: no “¿este país tiene política de IA?”, sino “¿este país tiene una norma que me obliga, una autoridad que la aplica y sanciones que se imponen?”.
La escalera de madurez regulatoria
No todas las “regulaciones de IA” pesan lo mismo. El rastreo las ordena en una escalera de madurez, porque la diferencia entre un peldaño y otro es la diferencia entre un riesgo de compliance real y una declaración de intenciones.
| Peldaño | Qué significa | Ejemplos a 2026 |
|---|---|---|
| Estrategia / principios voluntarios | Sin obligación jurídica | Japón (AI Promotion Act, no vinculante), EAU, Arabia Saudí |
| Proyecto de ley en trámite | Aún no obliga | Brasil (PL 2338), Canadá (AIDA) |
| Ley aprobada, no en vigor | Obligación futura | (transición) |
| Ley comprehensiva en vigor | Obliga y puede sancionar | UE (AI Act, por fases), Corea del Sur (desde ene-2026) |
| Enforcement real documentado | Sanciones efectivas | UE (prohibiciones art. 5 sancionables) |
El salto entre “proyecto de ley” y “ley en vigor” es el que más confunde al mercado. Brasil aprobó el PL 2338 en el Senado en diciembre de 2024 —un marco basado en riesgo, muy alineado con el AI Act europeo—, pero el proyecto sigue sin aprobación final en la Cámara, con un impulso incierto. Un país puede llevar años “regulando la IA” sin que exista todavía una sola obligación exigible.
Los dos modelos que se reparten el mundo
Cuando se ordenan las jurisdicciones con norma efectiva, emergen dos filosofías regulatorias enfrentadas, y el resto de países orbita entre ellas.
| Modelo | Lógica | Representantes |
|---|---|---|
| Basado en riesgo, centrado en derechos | Clasifica sistemas por riesgo, impone obligaciones, da derechos al ciudadano | UE (AI Act), Corea del Sur, Brasil (proyecto) |
| Light-touch / pro-innovación | Autorregulación, sin sanciones fuertes, foco en competir | Japón, Reino Unido (sector a sector), EE.UU. (patchwork estatal) |
| Control estatal | Prioriza interés nacional sobre derechos individuales | China (etiquetado de contenido IA, medidas sobre IA generativa) |
Corea del Sur se convirtió, con su Ley Marco de IA en vigor desde enero de 2026, en el segundo territorio del mundo —tras la UE— con legislación comprehensiva de IA, y su diseño imita las categorías de alto riesgo europeas. Esa convergencia es reveladora: el modelo europeo se está volviendo la plantilla global, el llamado efecto Bruselas aplicado a la IA. China, en cambio, regula sobre todo el etiquetado de contenido generado por IA y prioriza el control estatal. Y Estados Unidos no tiene ley federal: opera con un mosaico de normas estatales —California, Colorado, Texas— que las empresas deben mapear una a una. Ese patchwork, y la tensión con la preempción federal que busca anularlo, lo seguimos en detalle en el rastreo del patchwork de IA en EE.UU..
La brecha que importa: ley en los libros vs. enforcement real
El indicador decisivo del rastreo no es si existe una ley, sino si esa ley se aplica. Y ahí la mayoría de los países, incluso los que han legislado, están en una zona gris. China tiene varias regulaciones de IA en vigor pero, como Brasil, registra pocos casos públicos de enforcement. Japón, por diseño, no tiene mecanismo sancionador. Incluso en la UE, donde las prohibiciones del artículo 5 son sancionables desde febrero de 2025, al cierre de esta pieza no constan sanciones firmes bajo el AI Act —solo investigaciones abiertas—.
Esta es la pregunta de oro para un equipo de compliance multinacional: ¿en qué países el riesgo regulatorio de IA es real hoy, y en cuáles es todavía teórico? La respuesta no está en el titular “país X regula la IA”, sino en el cruce de cuatro variables —¿hay ley?, ¿está en vigor?, ¿hay autoridad designada?, ¿se ha sancionado?— que solo un rastreo estructurado puede sostener de forma comparable.
Para quién es este perfil
Un rastreo de riesgo regulatorio comparado de IA —país, estado de la norma, modelo regulatorio, autoridad competente, sanción máxima, enforcement documentado, fecha de corte— responde preguntas que ninguna noticia aislada puede. ¿Qué países me obligan ya y cuáles solo me obligarán? ¿Dónde el incumplimiento tiene consecuencias reales? ¿Qué jurisdicciones convergen con el modelo europeo y cuáles divergen? ¿Dónde hay alta actividad regulatoria pero baja implementación?
Cada respuesta tiene comprador claro: equipos de compliance multinacionales, legaltech, consultoras regulatorias, plataformas GRC, despachos, fondos que evalúan exposición regulatoria de empresas de IA. El valor no está en contar países, sino en hacer comparable, sobre una misma rejilla, el riesgo real de operar IA en cada jurisdicción. Porque la verdad estructural es que, aunque las normas divergen, todos los reguladores hacen las mismas preguntas de fondo: qué sistemas de IA operas, qué riesgos tienen, qué controles aplicas y si puedes demostrarlo. La complejidad está en el mapeo, no en el principio.
Nota metodológica
Las cifras de iniciativas proceden de rastreos especializados (IAPP Global AI Law Tracker, OneTrust, OCDE) con fecha de corte a comienzos de 2026 y son aproximadas por la velocidad del cambio normativo. Se distingue entre estrategia/principios voluntarios, proyecto de ley, ley aprobada, ley en vigor y enforcement real documentado. La clasificación de modelos regulatorios es una lectura comparada, no un juicio de calidad. Las sanciones citadas son máximos legales salvo indicación contraria. Diálogo Ciudadano no presta asesoría jurídica; este rastreo es infraestructura informativa.