— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cifras del cierre
Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7 Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7
/ trackers / brecha-tecnologia-regulacion
Tecnología y regulación

Brecha tecnología ↔ regulación

Mide el desfase entre el momento en que una tecnología se vuelve masiva y el momento en que una jurisdicción la regula de forma vinculante. Cada hito registra los años transcurridos —la brecha— entre la disponibilidad de la tecnología y la respuesta legal.

Snapshot · 12 de junio de 2026
26
hitos regulatorios
↑ +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025-PCM), la respuesta vinculante más rápida de América Latina; Brasil y Chile siguen con la brecha abierta

Evolución

Análisis de los datos

Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.

Mayores brechas: años entre tecnología y regulación

Cuántos años transcurrieron entre la masificación de cada tecnología y la entrada en vigor de su regulación. La brecha es la noticia.

Calculado sobre 26 de 26 eventos con dato disponible

Hitos por jurisdicción

Distribución geográfica de los casos de desfase tecnología-regulación documentados.

Regulaciones por año de entrada en vigor

Cuándo entraron en vigor las regulaciones rastreadas, según su fecha de aplicación.

Mapa de incidencia mundial

Coropleta por número de casos forense o judicialmente documentados. Los países sin casos públicos verificables permanecen en el color base — la ausencia de eventos no equivale a ausencia de vigilancia. Pasa el ratón o haz clic en un país coloreado para ver los casos.

Natural Earth 50m · Diálogo Ciudadano

Lectura de los datos

Veinticinco hitos miden cuántos años pasan entre que una tecnología se vuelve masiva y que una ley vinculante la alcanza. El desfase típico va de tres a quince años, y ChatGPT —masivo desde noviembre de 2022— aparece como referencia en seis regulaciones que aún corren detrás.

YV
Yaneth Vickari S. · Experta en regulación digital · Madrid
29 de mayo de 2026 · 4 min de lectura

La ley siempre llega tarde a la tecnología; la pregunta interesante es cuánto. Este rastreo intenta responderla con un método sencillo: fija la fecha en que una tecnología se volvió masiva, la fecha en que una jurisdicción la reguló de forma vinculante y mide la distancia entre ambas. El resultado son veinticinco hitos que convierten una queja vaga —«la regulación no sigue el ritmo»— en un número concreto por cada caso.

Las brechas más repetidas son de tres, siete y quince años, pero hay de todo. La Unión Europea encabeza el número de hitos (seis), seguida de Estados Unidos a nivel federal (cinco) y China (tres), lo que refleja que estas tres jurisdicciones son las que con más frecuencia producen normas vinculantes sobre tecnología digital.

ChatGPT, masivo desde noviembre de 2022, aparece como tecnología de referencia en seis de los veinticinco hitos. Es el caso más vivo de la brecha: una herramienta que cientos de millones de personas ya usan mientras buena parte de las regulaciones que la mencionan siguen en fase de aprobación o aplicación escalonada.

La brecha no siempre es pereza

Conviene resistir la lectura simplista de que toda brecha es negligencia. Algunos desfases largos son deliberados: una ley aplicada por fases —como el propio Reglamento de IA europeo— tarda más en ser vinculante precisamente para dar margen de adaptación. Otros reflejan que regular demasiado pronto, sobre una tecnología que aún cambia rápido, puede congelar un estándar que quedará obsoleto. El tracker señala con un campo específico qué regulaciones se aplican por fases, justo para no confundir la cautela con la inacción.

También hay casos en que Estados Unidos sí legisló pronto y a nivel federal —la ley GINA sobre datos genéticos, por ejemplo—, lo que desmiente la idea de que una jurisdicción siempre es lenta y otra siempre rápida. La brecha depende de la tecnología, del país y del momento político, no de un rasgo fijo de cada sistema legal.

Nota metodológica

Cada hito fija una fecha de referencia tecnológica y una fecha de aplicación regulatoria vinculante; la brecha es aproximada porque «volverse masiva» es un juicio inevitablemente cualitativo. Se indica con un campo aparte si la regulación se aplica por fases. Las fechas y normas citadas remiten a la fuente oficial correspondiente.

Eventos documentados (26)

3 de octubre de 2008 US confirmed

EE. UU. (Illinois) · BIPA: la primera ley del país sobre datos biométricos y reconocimiento facial

La Ley de Privacidad de Información Biométrica de Illinois (BIPA), promulgada en octubre de 2008, fue la primera norma de Estados Unidos en establecer un lenguaje regulatorio sobre reconocimiento facial y datos biométricos. Surgió tras el caso de una empresa que recogía huellas dactilares en cajas registradoras y, al quebrar, intentó vender esos datos como activo. La ley define como identificador biométrico el escaneo de retina o iris, la huella, la voz o la geometría de la mano o el rostro, y exige consentimiento escrito para recogerlos. Su rasgo más potente es que otorga a la persona un derecho privado de acción, con daños de 1.000 dólares por infracción negligente y 5.000 por intencional —lo que ha llevado a empresas a frenar o pedir consentimiento explícito para el uso de biometría—. Tomando como referencia la llegada de la tecnología biométrica comercial (principios de los 2000), la brecha es corta: Illinois reguló de forma temprana y pionera, aunque la norma solo aplica a entidades privadas (no a agencias gubernamentales) y EE. UU. sigue sin una ley federal de biometría.

21 de noviembre de 2009 US confirmed

EE. UU. · GINA: ley federal contra la discriminación genética, antes de los test de ADN masivos

La Ley de No Discriminación por Información Genética (GINA), promulgada el 21 de mayo de 2008 y en vigor desde el 21 de noviembre de 2009, prohíbe la discriminación basada en información genética en el ámbito del seguro médico y el empleo. Sus impulsores la llamaron 'la primera ley de derechos civiles del siglo XXI'. Protege el historial genético familiar, los resultados de test genéticos y la participación en investigación genética, e impide que empleadores y aseguradoras soliciten o accedan a esa información sin consentimiento. Es un caso notable en el registro por dos razones: primero, EE. UU. SÍ legisló a nivel federal (a diferencia de sus brechas abiertas en privacidad de datos o IA); segundo, llegó relativamente pronto: la preocupación nació con el avance de la genética en los años noventa y la secuenciación del genoma humano, antes de la explosión de los test de ADN directos al consumidor (23andMe y similares, masificados en la década de 2010). Tomando como referencia el avance de la genómica (años noventa), la brecha ronda los quince años, pero anticipándose al uso masivo comercial.

29 de agosto de 2016 US confirmed

EE. UU. · La FAA regula los drones comerciales (Part 107): reglas del cielo para los no tripulados

La regla 14 CFR Part 107 de la Administración Federal de Aviación (FAA), conocida como 'Small UAS Rule', entró en vigor el 29 de agosto de 2016 y reguló por primera vez de forma sistemática las operaciones comerciales y gubernamentales de drones de menos de 25 kg en el espacio aéreo estadounidense. Establece, entre otras reglas, mantener el dron a la vista, no volar de forma temeraria y evitar las aeronaves tripuladas, además de exigir certificación a los pilotos remotos. Tomando como referencia la masificación de los drones comerciales y de consumo (alrededor de 2013, con la llegada de modelos asequibles), la brecha hasta un marco federal específico ronda los tres años: una respuesta relativamente rápida, en parte porque los drones operan en un espacio —el aéreo— ya fuertemente regulado, lo que facilitó encajar la nueva tecnología en una autoridad existente (la FAA). Contrasta con los vehículos autónomos, que circulan por carreteras y siguen sin marco federal integral.

1 de enero de 2020 US confirmed

EE. UU. (California) · El CCPA entra en vigor: primera ley de privacidad de consumidores fuerte del país

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020, inspirada en parte en el GDPR europeo. Otorgó a los residentes de California el derecho a acceder, eliminar y rechazar la venta de sus datos personales, y es la única de su tipo que establece una acción legal privada y un regulador dedicado (la California Privacy Protection Agency). Frente a una industria de datos de consumidores que llevaba más de dos décadas operando en EE. UU. sin una ley federal de privacidad —que sigue sin existir—, California actuó como sustituto estatal. Para 2026, diecinueve estados tienen ya leyes integrales de privacidad.

2 de noviembre de 2021 US confirmed

EE. UU. · BRECHA ABIERTA: vehículos autónomos en las calles sin regulación federal integral

Este registro documenta otra brecha ABIERTA. Pese a que los vehículos autónomos operan ya en pruebas y servicios comerciales en varias ciudades estadounidenses, no existe a la fecha una regulación federal integral de esta tecnología. La ausencia de un marco federal ha creado un mosaico de regulaciones estatales: fabricantes y desarrolladores se concentran en estados con regulación moderada como Arizona y Florida, mientras otros estados imponen reglas distintas o ninguna. Tanto la Cámara de Representantes como el Senado han presentado legislación bipartidista para regular la industria, sin que se haya aprobado un marco nacional. Analistas del sector señalan la paradoja: la falta de certidumbre regulatoria federal puede frenar tanto la seguridad como la inversión. La fecha de este registro es indicativa del debate legislativo en curso; la brecha seguirá contándose hasta que exista un marco federal. Este registro se actualizará.

25 de junio de 2024 US confirmed

EE. UU. · BRECHA ABIERTA: ~25 años de datos masivos sin ley federal de privacidad

Este registro documenta una brecha que sigue ABIERTA: a la fecha de esta entrada, Estados Unidos no tiene una ley federal integral de privacidad de datos, pese a que la economía del dato de consumidores opera en el país desde finales de los años noventa. Los intentos legislativos más ambiciosos fracasaron: la American Data Privacy and Protection Act (ADPPA), introducida en 2022, superó el comité pero no avanzó en el Congreso; y la American Privacy Rights Act (APRA), de 2024, también se estancó. En ambos casos el bloqueo se debió a dos desacuerdos persistentes: la preemption (si la ley federal anularía las leyes estatales más fuertes, como la de California) y el derecho privado de acción (si los ciudadanos podrían demandar). En ausencia de norma federal, casi veinte estados han aprobado sus propias leyes, creando un mosaico regulatorio fragmentado. La fecha de este registro corresponde al ciclo legislativo de la APRA (2024); la brecha de ~25 años seguirá contándose hasta que exista una ley federal. Este registro se actualizará cuando, y si, esa ley llega.

30 de junio de 2025 US confirmed

EE. UU. · BRECHA ABIERTA: la IA avanza sin ley federal; debate sobre frenar a los estados

Este registro documenta una segunda brecha ABIERTA. A diferencia de la Unión Europea (AI Act) o China (medidas de IA generativa), Estados Unidos no tiene a la fecha una ley federal integral que regule la inteligencia artificial. La acción federal ha sido limitada, lo que ha llevado a varios estados a legislar por su cuenta. En junio de 2025, la Cámara de Representantes aprobó una moratoria de diez años sobre la aplicación de leyes estatales dirigidas a la IA y los sistemas de decisión automatizada; esa disposición fue eliminada por el Senado en las enmiendas finales al proyecto presupuestario, pero el episodio reveló un debate abierto: si frenar la legislación estatal sin un estándar nacional que llene el vacío. Como señalan los analistas, una pausa a las leyes estatales podría llegar sin una base nacional que cubra las lagunas, una desviación de la lógica habitual de la preemption. La fecha de este registro corresponde a ese episodio legislativo de mediados de 2025. La brecha sigue contándose; este registro se actualizará si surge una ley federal de IA.

25 de julio de 2025 GB confirmed

Reino Unido · La Online Safety Act se aplica: deberes de seguridad en línea ~20 años después de las redes sociales

La Online Safety Act, aprobada con la sanción real (Royal Assent) el 26 de octubre de 2023 tras siete años de tramitación, comenzó su aplicación efectiva de forma gradual a través del regulador Ofcom durante 2025: el programa de fiscalización de los deberes sobre contenido ilegal arrancó el 3 de marzo de 2025, y los códigos de protección de menores y las medidas de verificación de edad entraron en vigor el 25 de julio de 2025. La ley impone responsabilidades legales a redes sociales, buscadores y plataformas para proteger a los usuarios —en especial a los menores— de contenido ilegal y dañino, con multas de hasta el 10% de la facturación global. Tomando como referencia el nacimiento de las redes sociales modernas (mediados de la década de 2000), la brecha hasta una respuesta regulatoria vinculante sobre seguridad en línea ronda las dos décadas. Para febrero de 2026, Ofcom había abierto más de 80 investigaciones a sitios para adultos por las reglas de verificación de edad.

2 de julio de 2014 SG confirmed

Singapur · La PDPA entra en pleno vigor: protección de datos de 'mano ligera' en Asia

La Ley de Protección de Datos Personales (PDPA), aprobada por el Parlamento de Singapur el 15 de octubre de 2012, entró en pleno vigor el 2 de julio de 2014 en su componente de protección de datos. Regula la recogida, uso y divulgación de datos personales por organizaciones privadas, con alcance extraterritorial, y estableció el registro 'Do Not Call' contra el telemarketing. A diferencia del GDPR, es un régimen descrito como de 'mano ligera': ofrece cierto control a los individuos pero sin un derecho privado de acción (las personas reclaman ante la comisión de protección de datos, la PDPC). Una enmienda de 2020 añadió la obligación de notificar brechas de datos. Tomando como referencia la consolidación de la economía digital en Singapur (finales de los noventa y primeros 2000), la brecha hasta un marco vinculante de protección de datos ronda los quince años. Singapur fue además pionero en Asia con un modelo de gobernanza de IA voluntario.

9 de septiembre de 2025 PE confirmed

Perú · Reglamento general de IA (DS 115-2025-PCM): ~3 años desde la masificación de la IA generativa

El Decreto Supremo 115-2025-PCM (9-sep-2025) reglamentó la Ley 31814 y convirtió a Perú en el primer país de América Latina con un reglamento general de inteligencia artificial vinculante: clasificación en tres niveles de riesgo, principios obligatorios (transparencia, supervisión humana, no discriminación) y cronograma escalonado para el sector privado. La brecha medida: desde la masificación de la IA generativa (noviembre de 2022) hasta el reglamento aplicable transcurrieron unos 2,8 años — la respuesta vinculante más rápida de la región a esta tecnología, aunque con aplicación por fases que extiende el cierre real de la brecha. El contraste regional dimensiona el dato: Brasil (PL 2338) y Chile (Boletín 16.821) siguen en trámite legislativo, con brechas aún abiertas que superan los 3 años y contando.

22 de enero de 2026 KR confirmed

Corea del Sur · La AI Basic Act entra en vigor: segunda ley integral de IA del mundo

La Ley Marco sobre el Desarrollo de la Inteligencia Artificial y el Establecimiento de una Base de Confianza (AI Basic Act), aprobada por la Asamblea Nacional el 27 de diciembre de 2024, entró en vigor el 22 de enero de 2026 junto a su decreto de aplicación. Es la segunda ley integral de IA del mundo tras el AI Act europeo, y la primera de Asia. Combina la promoción de la industria de IA con requisitos vinculantes de seguridad, confianza y rendición de cuentas, y tiene alcance extraterritorial. El Ministerio de Ciencia y TIC (MSIT) puede investigar, emitir órdenes correctivas y multas de hasta 30 millones de wones, aunque concedió un periodo de gracia de un año antes de imponer sanciones. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha hasta la entrada en vigor ronda los tres años, en línea con el ritmo acelerado de la regulación de IA frente a otras tecnologías.

28 de mayo de 2025 JP confirmed

Japón · La AI Promotion Act: enfoque 'innovación primero', sin sanciones estrictas

El Parlamento de Japón aprobó la Ley de Promoción de la IA el 28 de mayo de 2025, con un enfoque deliberadamente distinto al europeo: 'innovación primero', basado en principios y de mano ligera, diseñado para impulsar la adopción mientras orienta el comportamiento. La ley faculta al gobierno a emitir advertencias pero carece de sanciones punitivas estrictas, priorizando el desarrollo sobre las garantías de seguridad rígidas. Como matizan los analistas, 'no punitivo' no significa 'no serio': el modelo se apoya en presión reputacional, orientación y deberes de cooperación. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha ronda los dos años y medio. El caso de Japón es valioso en el registro porque muestra que regular pronto no implica regular con dureza: ilustra una vía regulatoria distinta tanto de la europea (integral y sancionadora) como de la china (de control), centrada en la promoción.

13 de noviembre de 2025 IN confirmed

India · La DPDP Act echa a andar: ~800 millones de usuarios bajo ley de privacidad, plena en 2027

La Ley de Protección de Datos Personales Digitales (DPDP Act), aprobada el 11 de agosto de 2023, vio notificadas sus reglas operativas el 13 de noviembre de 2025, fijando por fin el calendario: la ley será plenamente aplicable a todas las entidades y departamentos gubernamentales el 13 de mayo de 2027. Es la primera ley integral de privacidad digital de India, con un marco basado en el consentimiento y en derechos. Con su notificación, alrededor de 800 millones de usuarios de internet en India —cerca del 15% de la población digital mundial— quedaron bajo el ámbito de una ley de privacidad. Tomando como referencia la masificación de internet de consumo en India (mediados de la década de 2000, con la explosión móvil posterior a 2010), la brecha hasta un marco vinculante de protección de datos ronda las dos décadas. India sigue, además, un modelo regulatorio sectorial para la IA en lugar de una ley única.

30 de diciembre de 2024 EU confirmed

UE · MiCA regula los criptoactivos: marco vinculante ~15 años después de Bitcoin

El Reglamento de Mercados de Criptoactivos (MiCA) se hizo plenamente aplicable el 30 de diciembre de 2024 (las disposiciones sobre tokens referenciados a activos y de dinero electrónico desde el 30 de junio de 2024). Es el primer marco regulatorio integral y armonizado para los proveedores de servicios de criptoactivos en la UE, con un régimen único de autorización. Tomando como referencia el lanzamiento de Bitcoin en enero de 2009, la brecha hasta un marco regulatorio integral y vinculante ronda los quince años, un periodo durante el cual el sector creció, colapsó y volvió a crecer varias veces sin reglas armonizadas.

25 de mayo de 2018 EU confirmed

UE · El GDPR se aplica: la protección de datos alcanza a la era de internet, ~20 años después

El Reglamento General de Protección de Datos comenzó a aplicarse el 25 de mayo de 2018, reemplazando la Directiva de Protección de Datos de 1995, que había quedado obsoleta por el auge de internet y las nuevas tecnologías. Tomando como referencia la consolidación de la web comercial y la economía del dato a finales de los años noventa, la brecha entre la masificación del tratamiento masivo de datos personales y una respuesta regulatoria moderna y vinculante ronda las dos décadas. El GDPR introdujo multas de hasta el 4% de la facturación global y se convirtió en referencia mundial: más de dos tercios de los países tienen hoy leyes de protección de datos.

25 de noviembre de 2009 EU confirmed

UE · La 'ley de cookies': el consentimiento para el rastreo publicitario nace en 2009

La Directiva de privacidad y comunicaciones electrónicas (Directiva 2002/58/CE), conocida popularmente como la 'ley de cookies', fue adoptada en 2002 y enmendada de forma decisiva en 2009 (Directiva 2009/136/CE). Esa enmienda de 2009 introdujo el requisito de consentimiento previo (opt-in) para almacenar o acceder a información en el dispositivo del usuario —salvo cookies estrictamente necesarias—, lo que provocó la proliferación de los banners de cookies que hoy aparecen en prácticamente toda la web europea. Es la norma que regula directamente el rastreo publicitario y la creación de perfiles para anuncios dirigidos. Tomando como referencia la consolidación de la publicidad comportamental basada en cookies de terceros (principios de los 2000), la brecha hasta el requisito de consentimiento ronda los siete años. Como dato de contexto: su sucesora prevista, el Reglamento ePrivacy, lleva años sin aprobarse —fue retirado y sus reglas se plantearon dentro del propio GDPR—, lo que la convierte en un caso mixto: hay ley vigente, pero su modernización sigue pendiente.

25 de agosto de 2023 EU confirmed

UE · La DSA obliga a las grandes plataformas: control de contenidos ~19 años después de Facebook

La Ley de Servicios Digitales (DSA) comenzó a aplicarse a las plataformas y buscadores muy grandes (más de 45 millones de usuarios mensuales en la UE) el 25 de agosto de 2023, y al resto de servicios el 17 de febrero de 2024. Impone evaluaciones de riesgo sistémico, transparencia algorítmica y auditorías independientes a plataformas como Facebook, YouTube, TikTok o X. Tomando como referencia el nacimiento de las redes sociales modernas (Facebook, 2004), la brecha hasta una respuesta regulatoria vinculante sobre moderación de contenidos y riesgos sistémicos ronda los diecinueve años. Fue la primera vez que la UE ejerció poder regulatorio extraterritorial estructurado sobre las plataformas estadounidenses.

6 de marzo de 2024 EU confirmed

UE · La DMA somete a los 'guardianes': competencia digital tras dos décadas de concentración

La Ley de Mercados Digitales (DMA) se hizo plenamente aplicable a los 'guardianes' (gatekeepers) el 6 de marzo de 2024, designando 22 servicios de plataforma esenciales de seis grandes empresas. Obliga a la interoperabilidad de los servicios de mensajería, prohíbe favorecer los servicios propios y exige consentimiento para la publicidad dirigida. El 25 de marzo de 2024, apenas semanas después, la Comisión abrió investigaciones formales contra Alphabet, Apple y Meta por presunto incumplimiento. Frente a una concentración del mercado digital que se consolidó a lo largo de los años 2000 y 2010, la respuesta antimonopolio estructural específica para plataformas llegó con dos décadas de desarrollo del sector a cuestas.

1 de agosto de 2024 EU confirmed

UE · El AI Act entra en vigor: primera ley integral de IA del mundo, ~2 años tras ChatGPT

El Reglamento de Inteligencia Artificial (AI Act) entró en vigor el 1 de agosto de 2024, como el primer marco regulatorio integral para la IA del mundo. Sus obligaciones se aplican por fases: las prácticas prohibidas (como el 'social scoring') desde el 2 de febrero de 2025, las obligaciones para los modelos de propósito general (GPAI) desde el 2 de agosto de 2025, y los requisitos para sistemas de alto riesgo desde el 2 de agosto de 2026, con aplicación plena en agosto de 2027. Tomando como referencia el lanzamiento de ChatGPT en noviembre de 2022 —que masificó la IA generativa—, la brecha hasta la entrada en vigor es de menos de dos años: la más corta de este registro, reflejo de una reacción regulatoria inusualmente rápida ante una tecnología que se difundió a una velocidad sin precedentes.

15 de agosto de 2023 CN confirmed

China · Medidas sobre IA generativa: en vigor casi un año antes que el AI Act europeo

Las Medidas Provisionales para la Gestión de Servicios de Inteligencia Artificial Generativa, emitidas por la CAC junto a otras seis agencias, entraron en vigor el 15 de agosto de 2023. Fueron la primera regulación integral de IA generativa de China, con obligaciones sobre moderación de contenidos, requisitos de los datos de entrenamiento, etiquetado del contenido generado y protección de datos. El dato comparativo es revelador: estas medidas entraron en vigor el 15 de agosto de 2023, casi un año antes de que el AI Act europeo entrara en vigor (1 de agosto de 2024). Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha es de menos de un año, comparable o incluso más corta que la de la UE. La versión final resultó menos restrictiva que el borrador, en un esfuerzo por equilibrar control e innovación.

10 de enero de 2023 CN confirmed

China · Normas sobre 'deep synthesis': etiquetado obligatorio de deepfakes desde 2023

Las Disposiciones sobre la Administración del Deep Synthesis en Servicios de Información de Internet, emitidas conjuntamente por la CAC, el Ministerio de Industria y el de Seguridad Pública el 25 de noviembre de 2022, entraron en vigor el 10 de enero de 2023. Regulan las tecnologías de síntesis profunda (deepfakes) y exigen etiquetas visibles en el contenido generado o sintetizado de forma artificial, además de prohibir su uso para crear noticias falsas. Es notable el momento: la norma se finalizó el 25 de noviembre de 2022, apenas cinco días antes del lanzamiento de ChatGPT. Tomando como referencia la aparición de los deepfakes accesibles (alrededor de 2017-2019), la brecha ronda los cinco años. China fue de las primeras jurisdicciones del mundo en imponer el etiquetado obligatorio de contenido sintético.

1 de marzo de 2022 CN confirmed

China · Reglas sobre algoritmos de recomendación: control del 'feed' antes que Occidente

Las Disposiciones Administrativas sobre Algoritmos de Recomendación en Servicios de Información de Internet, emitidas por la Administración del Ciberespacio de China (CAC) y otros tres reguladores el 31 de diciembre de 2021, entraron en vigor el 1 de marzo de 2022. Obligan a los operadores a registrar sus algoritmos en un registro estatal, prohíben la discriminación excesiva de precios y protegen los derechos de los trabajadores sometidos a la programación algorítmica (como repartidores). Tomando como referencia la consolidación de los sistemas de recomendación que dominan el contenido en plataformas (mediados de la década de 2010), la brecha hasta una respuesta regulatoria vinculante específica ronda los siete años. China actuó sobre los algoritmos de recomendación antes que cualquier jurisdicción occidental con una norma dedicada de este alcance. Como en todas las normas digitales chinas, el control de la información y los 'valores socialistas centrales' son un objetivo declarado junto a la protección del consumidor.

25 de octubre de 2021 CL confirmed

Chile · Neuroderechos en la Constitución: el primer país del mundo en regular la neurotecnología

En octubre de 2021, Chile se convirtió en el primer país del mundo en incorporar los 'neuroderechos' a su Constitución, mediante una reforma del artículo 19 (Ley N° 21.383) que protege la integridad e indemnidad mental frente a los avances de las neurotecnologías. La iniciativa, impulsada por la Comisión de Desafíos del Futuro del Senado con apoyo de la Iniciativa de Neuroderechos de la Universidad de Columbia, busca dar a los datos cerebrales un estatus similar al de un órgano —que no puedan venderse ni manipularse— y proteger la privacidad mental, el libre albedrío y el acceso equitativo a la neurotecnología. Este es el caso más singular del registro porque la brecha es prácticamente nula o incluso negativa: Chile reguló una tecnología que aún está en su infancia (interfaces cerebro-máquina como las de Neuralink), anticipándose a su masificación en lugar de reaccionar tarde. En 2023, la Corte Suprema chilena dictó además la primera sentencia del mundo sobre 'neurodatos' (caso Girardi/Emotiv). Demuestra que regular antes de la masificación es posible, aunque también ha sido objeto de debate por legislar sobre una tecnología todavía incipiente.

6 de enero de 2025 CA confirmed

Canadá · BRECHA ABIERTA: su ley de IA (AIDA) murió en el Parlamento sin llegar a aprobarse

Este registro documenta una brecha ABIERTA con una particularidad: hubo un intento serio que fracasó. La Ley de Inteligencia Artificial y Datos (AIDA), introducida en 2022 como parte del proyecto C-27, buscaba establecer un marco regulatorio basado en el riesgo para los sistemas de IA de 'alto impacto'. Tras años de tramitación y críticas por su falta de especificidad, el proyecto murió el 6 de enero de 2025, cuando la dimisión del primer ministro Justin Trudeau y la prórroga del Parlamento hicieron decaer todos los proyectos en trámite. A la fecha, Canadá no tiene una ley general que regule la IA; el gobierno mantiene un código de conducta voluntario y provincias como Ontario avanzan normas propias. Analistas señalan que es improbable que Canadá apruebe una regulación federal de IA en los próximos años. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha sigue abierta y contándose. Este registro se actualizará si Canadá retoma y aprueba una ley de IA.

23 de junio de 2014 BR confirmed

Brasil · El Marco Civil da Internet: 'constitución de internet' pionera en el mundo (2014)

El Marco Civil da Internet (Ley 12.965/2014), sancionado por la presidenta Dilma Rousseff el 24 de abril de 2014 y vigente desde el 23 de junio de 2014, estableció por primera vez en Brasil derechos y obligaciones de usuarios y proveedores de internet. Considerado la 'Constitución de internet' o 'carta magna' digital brasileña, consagró principios de libertad de expresión, neutralidad de la red y protección de la privacidad, y limitó la responsabilidad de los proveedores por el contenido de terceros. Fue impulsado en parte tras las revelaciones de espionaje de Estados Unidos y se considera una de las legislaciones de derechos digitales más pioneras del mundo. Tomando como referencia la masificación de internet comercial en Brasil (finales de los noventa), la brecha hasta un marco de derechos digitales ronda los quince años, pero su carácter pionero a nivel global lo distingue: llegó años antes que normas equivalentes en la mayoría de países.

18 de septiembre de 2020 BR confirmed

Brasil · La LGPD entra en vigor: protección de datos integral inspirada en el GDPR

La Ley General de Protección de Datos (LGPD, Ley 13.709), promulgada en agosto de 2018, entró en vigor el 18 de septiembre de 2020 (las sanciones administrativas desde el 1 de agosto de 2021). Es la primera ley integral de protección de datos de Brasil y se alinea ampliamente con el GDPR europeo, regulando el tratamiento de datos personales por personas físicas y jurídicas. Su entrada en vigor sufrió varios aplazamientos por la pandemia de Covid-19. En febrero de 2022, Brasil dio un paso adicional al incorporar la protección de datos personales como derecho fundamental en su Constitución Federal. Tomando como referencia la consolidación de la economía del dato (finales de los noventa), la brecha ronda las dos décadas, en línea con la del GDPR europeo, del que la LGPD es heredera conceptual.

Metodología

Tipo
event-log
Construcción
Construcción periodística DC
Cadencia
trimestral

Cada evento es un hito regulatorio vinculante real, fechado por su fuente oficial. El atributo central es la 'brecha': los años transcurridos entre una fecha de referencia de masificación de la tecnología (primer producto masivo, adopción amplia o hito técnico que la fuente documenta) y la fecha en que la regulación se vuelve aplicable —no la fecha en que se propone o se aprueba, sino aquella en que obliga—. Cuando una norma se aplica por fases, se registra la fecha de la primera obligación sustantiva y se anota el calendario completo. La fecha de masificación es, por naturaleza, una aproximación razonada y documentada, no un instante exacto; se elige el hito más citado por las fuentes y se hace explícito cuál es. No se mide si la regulación es buena o mala, ni si la tecnología es deseable: solo el desfase temporal entre ambas, que es un dato objetivo. Una brecha grande no implica negligencia (regular bien lleva tiempo) ni una pequeña implica acierto; el dato se ofrece para que el lector juzgue. Además de las brechas 'cerradas' (la ley llegó), el registro documenta brechas ABIERTAS: tecnologías masificadas que a la fecha siguen sin una regulación federal vinculante (por ejemplo, la ausencia de una ley federal de privacidad o de IA en Estados Unidos). En esos casos no hay fecha de aplicación —se anota como tal— y la brecha mide los años transcurridos sin ley; el registro se actualiza si y cuando la norma llega. Una brecha abierta no es un juicio sobre si debería existir una ley, sino la constatación de un hecho: la tecnología está y la regulación federal vinculante, todavía no.

Fuentes consultadas

  1. EUR-Lex — Diario Oficial de la Unión Europea ↗ official

    Fuente oficial de los textos legales de la UE: fechas de publicación, entrada en vigor y aplicación de cada reglamento (AI Act, DSA, DMA, GDPR, MiCA).

  2. Comisión Europea — Shaping Europe's digital future ↗ official

    Portal oficial de la estrategia digital europea con calendarios de aplicación y preguntas frecuentes de cada norma.

  3. California Privacy Protection Agency / Legislative Information ↗ official

    Autoridad oficial de privacidad de California, encargada del CCPA/CPRA.