— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cifras del cierre
Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7 Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7
/ trackers / digital-regulatory-risk-index
Riesgo país · Gobernanza digital

Índice de riesgo regulatorio digital por país

Índice comparado del estado real de la regulación digital país por país, diseñado como infraestructura de inteligencia regulatoria. No mide solo si un país tiene leyes de IA o protección de datos, sino la distancia entre tres capas que rara vez coinciden: la ley aprobada, la autoridad designada para aplicarla y el enforcement real (sanciones efectivamente impuestas). Esa brecha —entre legislar y aplicar— es la métrica que importa a quien evalúa el riesgo de operar tecnología en una jurisdicción. Cada registro perfila un país con el estado de su marco de IA, su régimen de protección de datos, su capacidad de enforcement y un nivel de riesgo regulatorio compuesto, con sus fuentes. Conecta con los rastreos por jurisdicción de Diálogo Ciudadano (AI Act, GDPR, DSA, leyes de IA de EE.UU. y América Latina).

Snapshot · 12 de junio de 2026
16
países perfilados
→ Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-ene-2026 + régimen de plataformas reescrito por el STF); 16 países cubiertos

Evolución

Análisis de los datos

Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.

Estado del marco de IA

En qué punto está cada país: ley integral en vigor, proyecto de ley, estrategia/voluntario, o sin marco.

Capacidad de enforcement

Si el país aplica sus normas con sanciones firmes (alta), de forma intermitente (media) o casi nunca (baja/simbólica).

Nivel de riesgo regulatorio

Riesgo regulatorio compuesto para quien opera tecnología: refleja previsibilidad, no calidad democrática.

Región

Distribución regional de los países perfilados en el índice.

Mapa de incidencia mundial

Coropleta por número de casos forense o judicialmente documentados. Los países sin casos públicos verificables permanecen en el color base — la ausencia de eventos no equivale a ausencia de vigilancia. Pasa el ratón o haz clic en un país coloreado para ver los casos.

Natural Earth 50m · Diálogo Ciudadano

Lectura de los datos

Para una empresa que despliega tecnología en varios países, la pregunta no es 'cuántas leyes digitales tiene cada uno', sino la distancia entre la ley escrita, la autoridad que debería aplicarla y las sanciones que de verdad caen. Este índice mide esa brecha en 16 jurisdicciones de seis regiones, porque ahí vive el riesgo regulatorio real.

AM
Alexandra A. Medina · Experta en tecnología · Ciudad de México
26 de mayo de 2026 · 6 min de lectura

Más de setenta países han lanzado ya más de mil iniciativas de política de IA, y casi todos tienen alguna forma de ley de protección de datos. Si uno se quedara en ese recuento, concluiría que el mundo está regulado. Pero ese recuento es engañoso, porque mete en el mismo saco una ley vinculante con multas del 7% de la facturación global y una estrategia voluntaria sin una sola sanción. Este índice se construye precisamente para deshacer ese engaño: separa tres capas que rara vez coinciden.

La primera capa es la ley: si existe un marco integral de IA en vigor, un proyecto en trámite, una estrategia voluntaria o nada. La segunda es la autoridad: si hay un organismo designado y operativo para aplicarla. La tercera, la decisiva, es el enforcement: si ese organismo impone sanciones firmes con regularidad o si la ley vive en el papel. Un país solo es regulatoriamente serio cuando las tres capas se alinean, y son sorprendentemente pocos los que lo logran.

La clave de lectura: 'riesgo regulatorio alto' no significa 'país mal gobernado'. La UE tiene el riesgo de sanción más alto del mundo —multas del 7%, enforcement activo— y es, a la vez, el entorno más previsible. El riesgo más difícil de gestionar no es el del país que sanciona mucho, sino el del que tiene muchas leyes sin aplicar: ahí la imprevisibilidad lo vuelve todo opaco.

Tres perfiles de riesgo, no una escala

El índice revela que los países no se ordenan en una sola escala de 'más a menos regulado', sino en perfiles distintos. Están los de alto enforcement previsible —la UE, Corea del Sur—, donde el riesgo es de sanción pero las reglas son claras. Están los de imprevisibilidad —Estados Unidos con su mosaico estatal en disputa, México con su marco en reforma—, donde el problema no es la dureza sino no saber qué norma aplica. Y están los de control estatal —China a la cabeza—, donde la regulación de datos se entrelaza con la localización forzosa y la soberanía digital.

Para un equipo de compliance, un fondo que evalúa una inversión o un proveedor que vende software a gobiernos, esta distinción de perfiles es más accionable que cualquier ranking lineal. No se gestiona igual el riesgo de operar en un entorno estricto y previsible que en uno laxo pero impredecible. El índice está diseñado para esa decisión: cruzar las tres capas por país y, sobre todo, conectarse con los rastreos específicos de cada jurisdicción —el del AI Act, el del GDPR por país, el del patchwork de EE.UU.— para bajar del perfil general al caso concreto.

El patrón asiático: del control estatal al equilibrio de Singapur

La ampliación del índice a Asia-Pacífico revela que la región es la más heterogénea de todas. En un extremo, China combina endurecimiento normativo con localización forzosa de datos. En el otro, Singapur exhibe el equilibrio más fino entre innovación y regulación, con gobernanza de IA voluntaria pero sofisticada. Entre ambos, India operacionalizó en 2025 su ley de datos con una autoridad única —el Data Protection Board— pero optó por gobernar la IA con principios, no con una ley integral; Japón y Australia se quedan en marcos voluntarios; e Indonesia y Vietnam consolidan apenas ahora sus regímenes de datos.

Esa diversidad asiática confirma la tesis del índice: no existe 'un' nivel de regulación, sino perfiles. Dos países con el mismo 'sin ley integral de IA' —India y Estados Unidos— pueden tener riesgos opuestos según su autoridad de datos y su enforcement. Por eso el índice no ordena en una escala, sino que perfila capa a capa, y deja que cada usuario pondere las capas según le importen.

Nota metodológica

Cada país se perfila en tres capas (marco de IA, protección de datos, enforcement) a partir de fuentes comparadas (GDPR Local, Forcepoint, OneTrust, AskAjay) y de los rastreos por jurisdicción de Diálogo Ciudadano. El nivel de riesgo regulatorio compuesto refleja previsibilidad para quien opera tecnología, NO la calidad democrática del país. La clasificación es una lectura comparada y revisable, no un dato oficial único; se atribuye cada capa a su fuente. No se imputan datos no publicados. La cobertura inicial prioriza las grandes jurisdicciones tecnológicas y se ampliará trimestralmente.

Este índice es infraestructura de inteligencia regulatoria, no asesoría jurídica ni un rating soberano. Está diseñado para alimentar análisis de riesgo, due diligence y monitorización regulatoria, conectándose con los rastreos específicos por norma y jurisdicción.

Eventos documentados (16)

26 de mayo de 2026 VN confirmed

Vietnam: nueva ley integral de protección de datos desde enero de 2026

Vietnam aprobó en 2025 varias leyes, incluida una ley integral de protección de datos personales en vigor desde el 1 de enero de 2026, que formaliza derechos, obligaciones de los responsables y restricciones de transferencia, junto a normas de clasificación y seguridad de datos. Enforcement aún por consolidar.

26 de mayo de 2026 US confirmed

Estados Unidos: sin ley federal, un mosaico estatal en disputa

EE.UU. no tiene ley federal de IA ni de privacidad: opera con un mosaico estatal (California, Texas, Colorado…) y leyes de privacidad por estado. La preempción federal y los litigios añaden imprevisibilidad. El riesgo no es de sanción alta, sino de no saber qué norma aplica ni si seguirá vigente.

26 de mayo de 2026 GB confirmed

Reino Unido: enfoque por sectores y un regulador escéptico de las multas

El Reino Unido regula la IA delegando en los reguladores sectoriales y aplica el UK GDPR, modificado por la Data Use and Access Act (DUAA, 2025). Su autoridad (ICO) es deliberadamente escéptica de las multas. La Comisión Europea extendió su decisión de adecuación en diciembre de 2025. Riesgo medio, enfoque pragmático.

26 de mayo de 2026 SG confirmed

Singapur: el equilibrio entre innovación y regulación como modelo

Singapur destaca por equilibrar innovación y regulación, situándose entre los primeros del Oxford Government AI Readiness Index. Su gobernanza de IA es voluntaria pero sofisticada (Model AI Governance Framework), y su ley de datos (PDPA) tiene una autoridad activa. Perfil de baja fricción regulatoria con alta madurez institucional.

26 de mayo de 2026 SA confirmed

Arabia Saudí: 'Año de la IA' y un enforcement de datos en aceleración

Arabia Saudí declaró 2026 'Año de la IA' y combina legislación vinculante de datos (PDPL) con instrumentos de soft-law sobre IA gestionados por la autoridad SDAIA, que emitió 48 decisiones de enforcement de la PDPL en 2025. Régimen de transferencias modelado sobre el GDPR. Madurez regulatoria creciente.

26 de mayo de 2026 PE confirmed

Perú: una de las primeras leyes de IA de la región, con enforcement limitado

Perú aprobó y reglamentó la Ley 31814 de promoción del uso de la IA para el desarrollo económico y social, situándose entre los primeros de América Latina con una norma específica de IA. Su régimen de datos cuenta con autoridad. Pero la capacidad de enforcement es limitada: la ley es más promocional que sancionadora.

26 de mayo de 2026 MX confirmed

México: marco de datos en reforma y sin ley de IA

México carece de ley específica de IA y su marco de protección de datos está en reforma tras la reestructuración de su autoridad. La capacidad de enforcement es limitada. Alta exposición tecnológica con capacidad institucional en transición: riesgo medio-alto por imprevisibilidad.

26 de mayo de 2026 KR confirmed

Corea del Sur: segundo país del mundo con ley integral de IA en vigor

Corea del Sur se convirtió, con su Ley Marco de IA en vigor desde enero de 2026, en el segundo territorio del mundo tras la UE con legislación comprehensiva de IA, copiando las categorías de riesgo europeas. Combinada con su régimen de datos, es un entorno de alto enforcement y previsible.

26 de mayo de 2026 JP confirmed

Japón: enfoque voluntario y no vinculante para la IA

Japón apuesta por la autorregulación: su AI Promotion Act (en vigor desde junio de 2025) establece un marco no vinculante centrado en coordinación, transparencia e I+D, sin sanciones fuertes. Su régimen de datos sí está alineado con estándares internacionales. Riesgo medio: pocas obligaciones duras.

26 de mayo de 2026 IN confirmed

India: ley de datos operativa desde 2025, pero gobernanza de IA por principios

India operacionalizó en 2025 su Ley de Protección de Datos Personales Digitales (DPDP Act 2023) con sus Reglas, creando el Data Protection Board como autoridad única, con multas de hasta ~30 millones de dólares. Para la IA optó por un enfoque techno-legal por principios (Guías de Gobernanza de IA de nov-2025, no vinculantes) en lugar de una ley integral tipo UE. Enforcement aún incipiente.

26 de mayo de 2026 ID confirmed

Indonesia: ley de datos reciente y gobernanza de IA aún incipiente

Indonesia cuenta con una Ley de Protección de Datos Personales (PDP) relativamente reciente, con una autoridad en construcción, pero carece de un marco específico vinculante de IA. Alta exposición tecnológica y mercado digital en crecimiento con capacidad regulatoria en desarrollo: riesgo medio-alto por imprevisibilidad.

26 de mayo de 2026 EU confirmed

Unión Europea: el marco más completo y el enforcement más maduro

La UE combina el AI Act (primera ley integral de IA, en vigor desde agosto de 2024) con el GDPR y un enforcement activo: más de 7.100 millones de euros en multas de protección de datos y las primeras sanciones del DMA. El riesgo de sanción es alto, pero previsible: las reglas existen y se aplican.

26 de mayo de 2026 CN confirmed

China: el régimen de transferencia de datos más restrictivo del mundo

China endureció en enero de 2026 su Ley de Ciberseguridad con requisitos de IA y localización de datos, y tramita una Ley de IA que formalizaría obligaciones para sistemas de alto riesgo. Sus restricciones de transferencia de datos al exterior son las más estrictas del mundo, superando al GDPR. Riesgo crítico por localización y control estatal.

26 de mayo de 2026 CA confirmed

Canadá: pionera en estrategia de IA, pero su ley (AIDA) sigue en trámite

Canadá fue el primer país del mundo con una estrategia nacional de IA (2017) y propuso pronto una ley —la Ley de IA y Datos (AIDA)— que prevé un Comisionado de IA y Datos, pero sigue en trámite; mientras tanto rige un código de conducta voluntario para IA generativa. Su régimen de datos (PIPEDA) está consolidado. Brecha clásica: estrategia temprana, ley pendiente.

12 de junio de 2026 BR confirmed

Brasil: LGPD consolidada, pero la ley de IA sigue en trámite

Brasil tiene una ley de protección de datos consolidada (LGPD) con autoridad propia (ANPD), pero su proyecto de ley de IA (PL 2338, basado en el modelo europeo de riesgo) sigue sin aprobación final tras pasar por el Senado en diciembre de 2024. Brecha clásica de la región: datos sí, IA todavía no. Actualización 2026: el mapa cambió en dos capas. En datos, Brasil obtuvo la decisión de adecuación de la UE (26-ene-2026) — primer gran mercado latinoamericano con libre flujo desde Europa, corona del binomio LGPD/ANPD. En enforcement, el STF reescribió por vía judicial el régimen de responsabilidad de plataformas (26-jun-2025, Art. 19 del Marco Civil parcialmente inconstitucional: responsabilidad sin orden judicial en ciertos casos, deber de monitoreo proactivo y 'falla sistémica'), adelantando la capa de aplicación a la legislativa. En IA, el PL 2338 avanza en Diputados con vigencia esperada en 2026. El riesgo regulatorio brasileño ya no es de vacío sino de velocidad: la judicatura corre más que el Congreso.

26 de mayo de 2026 AU confirmed

Australia: enfoque en capacidades e infraestructura, sin ley vinculante de IA

Australia apuesta por el desarrollo de capacidades con su National AI Capability Plan (2024), centrado en competencias e infraestructura más que en obligaciones vinculantes. Su Privacy Act regula los datos con autoridad propia. Es un perfil pro-innovación con regulación de IA blanda.

Metodología

Tipo
event-log
Construcción
Multi-fuente verificada
Cadencia
trimestral

Cada registro perfila un país en tres capas: (1) estado del marco de IA (ley integral en vigor, proyecto, estrategia/voluntario, sin marco); (2) estado de la protección de datos (ley tipo GDPR con autoridad activa, ley sin enforcement fuerte, sin ley); (3) capacidad de enforcement (alta = sanciones firmes frecuentes, media, baja/simbólica). De ahí se deriva un nivel de riesgo regulatorio compuesto que NO juzga la calidad democrática del país, sino la previsibilidad regulatoria para quien opera tecnología: un país puede tener leyes muy estrictas y alto enforcement (riesgo de sanción alto pero previsible) o muchas leyes sin aplicar (riesgo de imprevisibilidad). Cada capa se atribuye a su fuente. La clasificación es una lectura comparada, revisable, no un dato oficial único. No se imputan datos no publicados.

Fuentes consultadas

  1. GDPR Local — AI Regulations Around the World 2026 ↗ academic
  2. Forcepoint / OneTrust — Global Data Protection Laws 2026 ↗ academic
  3. Diálogo Ciudadano — rastreos por jurisdicción (AI Act, GDPR, DSA, US/LATAM AI) ↗ official