26 de mayo de 2026 VN confirmed
Vietnam: nueva ley integral de protección de datos desde enero de 2026
Vietnam aprobó en 2025 varias leyes, incluida una ley integral de protección de datos personales en vigor desde el 1 de enero de 2026, que formaliza derechos, obligaciones de los responsables y restricciones de transferencia, junto a normas de clasificación y seguridad de datos. Enforcement aún por consolidar.
26 de mayo de 2026 US confirmed
Estados Unidos: sin ley federal, un mosaico estatal en disputa
EE.UU. no tiene ley federal de IA ni de privacidad: opera con un mosaico estatal (California, Texas, Colorado…) y leyes de privacidad por estado. La preempción federal y los litigios añaden imprevisibilidad. El riesgo no es de sanción alta, sino de no saber qué norma aplica ni si seguirá vigente.
26 de mayo de 2026 GB confirmed
Reino Unido: enfoque por sectores y un regulador escéptico de las multas
El Reino Unido regula la IA delegando en los reguladores sectoriales y aplica el UK GDPR, modificado por la Data Use and Access Act (DUAA, 2025). Su autoridad (ICO) es deliberadamente escéptica de las multas. La Comisión Europea extendió su decisión de adecuación en diciembre de 2025. Riesgo medio, enfoque pragmático.
26 de mayo de 2026 SG confirmed
Singapur: el equilibrio entre innovación y regulación como modelo
Singapur destaca por equilibrar innovación y regulación, situándose entre los primeros del Oxford Government AI Readiness Index. Su gobernanza de IA es voluntaria pero sofisticada (Model AI Governance Framework), y su ley de datos (PDPA) tiene una autoridad activa. Perfil de baja fricción regulatoria con alta madurez institucional.
26 de mayo de 2026 SA confirmed
Arabia Saudí: 'Año de la IA' y un enforcement de datos en aceleración
Arabia Saudí declaró 2026 'Año de la IA' y combina legislación vinculante de datos (PDPL) con instrumentos de soft-law sobre IA gestionados por la autoridad SDAIA, que emitió 48 decisiones de enforcement de la PDPL en 2025. Régimen de transferencias modelado sobre el GDPR. Madurez regulatoria creciente.
26 de mayo de 2026 PE confirmed
Perú: una de las primeras leyes de IA de la región, con enforcement limitado
Perú aprobó y reglamentó la Ley 31814 de promoción del uso de la IA para el desarrollo económico y social, situándose entre los primeros de América Latina con una norma específica de IA. Su régimen de datos cuenta con autoridad. Pero la capacidad de enforcement es limitada: la ley es más promocional que sancionadora.
26 de mayo de 2026 MX confirmed
México: marco de datos en reforma y sin ley de IA
México carece de ley específica de IA y su marco de protección de datos está en reforma tras la reestructuración de su autoridad. La capacidad de enforcement es limitada. Alta exposición tecnológica con capacidad institucional en transición: riesgo medio-alto por imprevisibilidad.
26 de mayo de 2026 KR confirmed
Corea del Sur: segundo país del mundo con ley integral de IA en vigor
Corea del Sur se convirtió, con su Ley Marco de IA en vigor desde enero de 2026, en el segundo territorio del mundo tras la UE con legislación comprehensiva de IA, copiando las categorías de riesgo europeas. Combinada con su régimen de datos, es un entorno de alto enforcement y previsible.
26 de mayo de 2026 JP confirmed
Japón: enfoque voluntario y no vinculante para la IA
Japón apuesta por la autorregulación: su AI Promotion Act (en vigor desde junio de 2025) establece un marco no vinculante centrado en coordinación, transparencia e I+D, sin sanciones fuertes. Su régimen de datos sí está alineado con estándares internacionales. Riesgo medio: pocas obligaciones duras.
26 de mayo de 2026 IN confirmed
India: ley de datos operativa desde 2025, pero gobernanza de IA por principios
India operacionalizó en 2025 su Ley de Protección de Datos Personales Digitales (DPDP Act 2023) con sus Reglas, creando el Data Protection Board como autoridad única, con multas de hasta ~30 millones de dólares. Para la IA optó por un enfoque techno-legal por principios (Guías de Gobernanza de IA de nov-2025, no vinculantes) en lugar de una ley integral tipo UE. Enforcement aún incipiente.
26 de mayo de 2026 ID confirmed
Indonesia: ley de datos reciente y gobernanza de IA aún incipiente
Indonesia cuenta con una Ley de Protección de Datos Personales (PDP) relativamente reciente, con una autoridad en construcción, pero carece de un marco específico vinculante de IA. Alta exposición tecnológica y mercado digital en crecimiento con capacidad regulatoria en desarrollo: riesgo medio-alto por imprevisibilidad.
26 de mayo de 2026 EU confirmed
Unión Europea: el marco más completo y el enforcement más maduro
La UE combina el AI Act (primera ley integral de IA, en vigor desde agosto de 2024) con el GDPR y un enforcement activo: más de 7.100 millones de euros en multas de protección de datos y las primeras sanciones del DMA. El riesgo de sanción es alto, pero previsible: las reglas existen y se aplican.
26 de mayo de 2026 CN confirmed
China: el régimen de transferencia de datos más restrictivo del mundo
China endureció en enero de 2026 su Ley de Ciberseguridad con requisitos de IA y localización de datos, y tramita una Ley de IA que formalizaría obligaciones para sistemas de alto riesgo. Sus restricciones de transferencia de datos al exterior son las más estrictas del mundo, superando al GDPR. Riesgo crítico por localización y control estatal.
26 de mayo de 2026 CA confirmed
Canadá: pionera en estrategia de IA, pero su ley (AIDA) sigue en trámite
Canadá fue el primer país del mundo con una estrategia nacional de IA (2017) y propuso pronto una ley —la Ley de IA y Datos (AIDA)— que prevé un Comisionado de IA y Datos, pero sigue en trámite; mientras tanto rige un código de conducta voluntario para IA generativa. Su régimen de datos (PIPEDA) está consolidado. Brecha clásica: estrategia temprana, ley pendiente.
12 de junio de 2026 BR confirmed
Brasil: LGPD consolidada, pero la ley de IA sigue en trámite
Brasil tiene una ley de protección de datos consolidada (LGPD) con autoridad propia (ANPD), pero su proyecto de ley de IA (PL 2338, basado en el modelo europeo de riesgo) sigue sin aprobación final tras pasar por el Senado en diciembre de 2024. Brecha clásica de la región: datos sí, IA todavía no. Actualización 2026: el mapa cambió en dos capas. En datos, Brasil obtuvo la decisión de adecuación de la UE (26-ene-2026) — primer gran mercado latinoamericano con libre flujo desde Europa, corona del binomio LGPD/ANPD. En enforcement, el STF reescribió por vía judicial el régimen de responsabilidad de plataformas (26-jun-2025, Art. 19 del Marco Civil parcialmente inconstitucional: responsabilidad sin orden judicial en ciertos casos, deber de monitoreo proactivo y 'falla sistémica'), adelantando la capa de aplicación a la legislativa. En IA, el PL 2338 avanza en Diputados con vigencia esperada en 2026. El riesgo regulatorio brasileño ya no es de vacío sino de velocidad: la judicatura corre más que el Congreso.
26 de mayo de 2026 AU confirmed
Australia: enfoque en capacidades e infraestructura, sin ley vinculante de IA
Australia apuesta por el desarrollo de capacidades con su National AI Capability Plan (2024), centrado en competencias e infraestructura más que en obligaciones vinculantes. Su Privacy Act regula los datos con autoridad propia. Es un perfil pro-innovación con regulación de IA blanda.