7 min lecturaRegulacion IA

Mapa de regulaciones y marcos de IA que debes controlar

Mapa estrategico de normas, estandares y marcos de IA en Europa, Estados Unidos y seguridad tecnica para orientar cumplimiento y gobernanza.

AIA Human Reviewed

En este articulo

Regulacion IAAI ActGobernanza IA

A fecha 19 de mayo de 2026, este es el mapa que debes tener controlado.

1. Europa: núcleo duro

InstrumentoEstadoPor qué importa
EU AI ActEn vigor desde 1 agosto 2024; aplicación progresiva hasta 2026/2027Es la norma central: prácticas prohibidas, IA de alto riesgo, GPAI, transparencia, gobernanza, sanciones. (Estrategia Digital de Europa)
Código de buenas prácticas GPAIPublicado julio 2025; voluntario pero relevanteAyuda a proveedores de modelos de propósito general a demostrar cumplimiento. (Estrategia Digital de Europa)
AI Office / AI BoardOperativoEje de supervisión europea, especialmente para modelos GPAI. (Estrategia Digital de Europa)
Directiva de responsabilidad por productos defectuososEn vigor; transposición hasta diciembre 2026Incluye software, IA y servicios digitales relacionados como “producto”. (European Commission)
AI Liability DirectiveRetirada oficialmente en 2025Importante: no desaparece el debate sobre responsabilidad, pero esa vía concreta queda retirada. (Parlamento Europeo)
GDPR / RGPDVigenteBase transversal: datos personales, decisiones automatizadas, perfiles, minimización, DPIA, base jurídica.
Digital Services Act — DSAVigenteClave para plataformas, recomendadores, publicidad, transparencia algorítmica y riesgos sistémicos. (Estrategia Digital de Europa)
Digital Markets Act — DMAVigenteAfecta a gatekeepers; relevante para ecosistemas de IA integrados en grandes plataformas.
Data ActAplicable desde 12 septiembre 2025Acceso, uso y portabilidad de datos; muy relevante para IA entrenada o alimentada con datos industriales/IoT. (Estrategia Digital de Europa)
Cyber Resilience Act — CRAEn vigor; aplicación progresiva hasta 2027Ciberseguridad obligatoria para productos digitales/software, también cuando integran IA. (Estrategia Digital de Europa)
NIS2En transposición/aplicación nacionalCiberseguridad organizativa; clave para empresas críticas que adopten IA.
eIDAS 2 / European Digital Identity WalletEn despliegueIdentidad digital, firmas, confianza, wallets; relevante para agentes, autenticación y trazabilidad.
European Health Data Space — EHDSMarco europeo de datos sanitariosMuy relevante para IA médica, investigación, datos secundarios y gobernanza sanitaria.

2. Europa: tratados, estándares y marcos estratégicos

MarcoEstadoValor estratégico
Convenio Marco del Consejo de Europa sobre IA, derechos humanos, democracia y Estado de derechoAbierto a firma desde septiembre 2024Primer instrumento internacional jurídicamente vinculante sobre IA. (Estrategia Digital de Europa)
ISO/IEC 42001:2023PublicadaPrimer estándar de sistema de gestión de IA; clave para consultoría, auditoría y gobernanza. (ISO)
ISO/IEC 23894PublicadaGestión de riesgos de IA; muy complementaria a ISO 42001.
ISO/IEC 22989PublicadaConceptos y terminología de IA.
ISO/IEC 23053PublicadaMarco para sistemas de IA basados en aprendizaje automático.
CEN/CENELEC AI standardsEn desarrolloSerán importantes para armonizar cumplimiento técnico con AI Act.
OECD AI PrinciplesActualizados en mayo 2024Base internacional de IA confiable; incorpora mejor la IA generativa. (oecd.ai)
G7 Hiroshima AI ProcessMarco político internacionalPrincipios y código de conducta para IA avanzada.
UNESCO Recommendation on Ethics of AIVigenteMarco ético global, útil para discurso human-centered.

3. Estados Unidos: federal

InstrumentoEstadoPor qué importa
Executive Order 14179 — Removing Barriers to American Leadership in AIVigente desde enero 2025Sustituye el enfoque anterior y prioriza liderazgo e innovación en IA. (The White House)
National AI Policy Framework / Legislative RecommendationsPublicado marzo 2026Propone marco federal y reducción de fragmentación estatal. (The White House)
NIST AI RMF 1.0VigenteMarco de referencia principal en EE. UU. para gestión de riesgos de IA. (NIST)
NIST AI 600-1 Generative AI ProfilePublicado julio 2024Perfil específico para riesgos de IA generativa. (NIST)
FTC Act / enforcement sobre IA engañosaActivoLa FTC persigue claims falsos, dark patterns, discriminación, privacidad y usos abusivos.
EEOC guidance / algoritmos en empleoActivoDiscriminación algorítmica en selección, promoción y evaluación laboral.
HHS / FDA AI en saludActivoIA clínica, software médico, dispositivos, seguridad del paciente.
SEC / FINRAActivoUso de IA en servicios financieros, roboadvisors, riesgos para inversores.
Copyright Office / litigios de copyright e IA generativaEn evoluciónEntrenamiento, outputs, datasets, derechos de autor.

4. Estados Unidos: estados clave

Estado / normaEstadoPor qué importa
Colorado AI Act / SB24-205Aprobada; entrada en vigor revisada/debatidaPrimera ley estatal amplia sobre sistemas de alto riesgo y discriminación algorítmica. (leg.colorado.gov)
California SB 53 — Transparency in Frontier AI ActFirmada en septiembre 2025Transparencia, protocolos de seguridad y reporting para modelos frontier. (Governor of California)
California Training Data Transparency ActAplicable desde 2026Exige resúmenes de datasets de entrenamiento para IA generativa pública. (Reuters)
Texas TRAIGA / HB 149Firmada en junio 2025; aplica desde enero 2026Ley amplia de gobernanza responsable de IA en Texas. (DLA Piper)
Utah Artificial Intelligence Policy ActVigente desde mayo 2024Transparencia en uso de IA generativa y responsabilidad en interacciones con consumidores. (le.utah.gov)
NYC Local Law 144VigenteAuditoría de sesgo para herramientas automatizadas de empleo. (Gobierno de Nueva York)
Illinois BIPAVigenteBiométricos; muy relevante para IA facial, voz, identificación y autenticación.
Tennessee ELVIS ActVigenteProtección de voz/imagen frente a clonación con IA.
Leyes estatales sobre deepfakes electorales, pornografía sintética y transparenciaEn expansiónÁrea muy activa y fragmentada.

5. Otros marcos que debes conocer

MarcoTipoUso
NIST Secure Software Development Framework — SSDFSeguridad softwareAplicable a IA como producto software.
OWASP Top 10 for LLM ApplicationsSeguridad técnicaImprescindible para LLMs, agentes, RAG, prompt injection, data leakage.
OWASP AI Security and Privacy GuideSeguridad IABuen marco técnico-divulgativo.
MITRE ATLASAdversarial MLAmenazas, tácticas y técnicas contra sistemas de IA.
CSA AI Controls Matrix / Agentic AI workCloud/securityMuy útil para IA empresarial y agentes.
Model Cards / Data Cards / System CardsDocumentaciónBuenas prácticas para transparencia técnica.
Algorithmic Impact AssessmentsEvaluación de impactoClave para AI Act, derechos fundamentales y contratación pública.
AI Bill of Materials — AI BOM / Model BOMEmergenteTrazabilidad de modelos, datasets, dependencias y componentes.
Responsible Scaling PoliciesSectorial frontier AIProtocolos de despliegue seguro para modelos avanzados.

6. Lectura estratégica

Como resumen a la aplicación, podemos agruparlo en cinco grandes narrativas:

  1. Cumplimiento obligatorio: AI Act, GDPR, DSA, Data Act, CRA, Product Liability.
  2. Gobernanza certificable: ISO 42001, ISO 23894, NIST AI RMF.
  3. Riesgo humano y organizativo: sesgo, empleo, salud, educación, crédito, biometría.
  4. IA generativa y modelos frontier: GPAI, SB 53, NIST GenAI Profile, copyright, datasets.
  5. Human-Centered AI Governance: derechos fundamentales, ética, impacto social, transparencia y responsabilidad.

La oportunidad está en convertir la regulación de IA en criterio estratégico, técnico y humano para la empresa. Aquí es donde en AuditorIA te ayudamos, contacta con nosotros.

Referencias

  1. digital-strategy.ec.europa.eu
  2. commission.europa.eu
  3. europarl.europa.eu
  4. iso.org
  5. oecd.ai
  6. whitehouse.gov
  7. nist.gov
  8. leg.colorado.gov
  9. gov.ca.gov
  10. reuters.com
  11. dlapiper.com
  12. le.utah.gov
  13. nyc.gov