La regulación de la inteligencia artificial ha entrado en una nueva fase.

Durante los últimos años, gran parte de la conversación mundial en torno a la IA se ha centrado en los principios: equidad, transparencia, responsabilidad, diseño ético. Esa fase ha terminado.

Ahora los reguladores están haciendo cumplir la ley.

En todas las jurisdicciones, las autoridades están aplicando los marcos jurídicos existentes -leyes de protección de los consumidores, leyes de seguridad en línea, regímenes de protección de datos y normativas sectoriales específicas- a los sistemas de IA ya desplegados a escala. Paralelamente, nuevas leyes específicas de la IA, como la Ley de IA de la UE y la Ley Básica de IA de Corea del Sur, están pasando de marco a obligación operativa.

Para las empresas que despliegan la IA, el paso del debate político a la realidad de la aplicación tiene consecuencias materiales.

La aplicación ya no es hipotética

Las recientes investigaciones y acciones reguladoras ilustran un tema constante: Los resultados generados por la IA no se tratan como fenómenos tecnológicos novedosos. Se tratan como conductas sujetas a las normas jurídicas vigentes.

Cuando la IA generativa produce contenidos ilícitos, los reguladores recurren a la ley de seguridad en línea.
Cuando los sistemas automatizados afectan a decisiones de empleo o crédito, se aplican las leyes de discriminación y protección del consumidor.
Cuando los sistemas de IA se basan en datos personales, rigen los marcos de protección de datos.

La ausencia de una ley única y exhaustiva sobre IA en una jurisdicción determinada no crea un puerto seguro reglamentario.

La brecha de la gobernanza

Muchas organizaciones han adoptado políticas de IA en los últimos dos años. Pocas han creado una arquitectura de gobernanza capaz de resistir la investigación reglamentaria.

Las lagunas más comunes son:

• No existe una clasificación formal de los riesgos de los sistemas de IA
• Falta de procedimientos documentados de supervisión de modelos
• Diligencia debida insuficiente de los proveedores de herramientas de IA de terceros
• Prácticas inadecuadas de registro y documentación
• Ausencia de estructuras de información a nivel directivo

Las políticas por sí solas no satisfacen las expectativas normativas. Lo hacen los mecanismos de documentación, supervisión y rendición de cuentas.

Complejidad transfronteriza

La IA rara vez opera dentro de una única jurisdicción.

Un sistema formado en un país, desplegado en otro y accesible en todo el mundo puede implicar simultáneamente:

• La Ley de IA de la UE
• Leyes estatales de EE.UU. sobre decisiones automatizadas
• Regímenes de seguridad en línea
• Doctrinas de propiedad intelectual
• Normas reglamentarias sectoriales

Las empresas deben pasar de un cumplimiento país por país a una cartografía jurisdiccional y unos marcos de gobernanza armonizados.

Del cumplimiento al control operativo

El reto práctico es la integración.

La gobernanza de la IA debe interactuar con:

• Seguridad de la información
• Protección de datos
• Gestión del riesgo empresarial
• Desarrollo de productos
• Adquisición de proveedores
• Respuesta a incidentes

Esto requiere procesos estructurados, no una revisión jurídica ad hoc.

Las organizaciones con visión de futuro son:

• Clasificación de los sistemas de IA según su exposición a la normativa
• Incorporación de protocolos de supervisión humana
• Implantación de controles de etiquetado de contenidos AI
• Establecimiento de vías de escalonamiento de los resultados perjudiciales
• Mantener la documentación lista para la auditoría

La gobernanza debe ser operativa, no teórica.

Implicaciones a nivel del Consejo

El riesgo de la IA ya no se limita a los equipos de TI o de producto.

Los reguladores consideran cada vez más la gobernanza de la IA como una cuestión de supervisión a nivel del consejo de administración. No aplicar controles razonables puede exponer a las organizaciones a acciones coercitivas, sanciones económicas, daños a la reputación y riesgo de litigios.

Las juntas deberían preguntarse:

• ¿Qué sistemas de IA se utilizan actualmente?
• ¿Cómo se clasifican en los marcos normativos aplicables?
• ¿Qué documentación respalda el cumplimiento?
• ¿Quién es responsable de la supervisión?
• ¿Cuál es el perfil de exposición reglamentaria en las distintas jurisdicciones?

El imperativo estratégico

La inteligencia artificial ofrece ventajas operativas. También introduce una exposición normativa que evoluciona rápidamente entre jurisdicciones.

Las organizaciones mejor posicionadas para 2026 y más allá no son las que despliegan la IA más rápidamente. Son las que despliegan la IA con estructuras de gobernanza documentadas y defendibles, capaces de resistir el escrutinio.

La gobernanza de la IA ya no es opcional.
Es una disciplina básica de cumplimiento.