Reglas y derechos

IA global, reglas fragmentadas

La IA se desarrolla y se usa globalmente, pero las reglas siguen naciendo por países, bloques y organismos con intereses distintos. Entender esa diferencia ayuda a no confundir ley, estándar, agencia y principio ético.

Una tecnología global

Un modelo puede entrenarse con datos de muchos países, desplegarse desde una nube extranjera, integrarse en una app cotidiana y afectar a una persona en España. Por eso la gobernanza de la IA no puede pensarse solo como asunto local.

Europa puede aprobar el AI Act, España puede crear AESIA, NIST puede publicar marcos de riesgo y UNESCO u OCDE pueden proponer principios. Todo eso importa, pero no tiene el mismo peso ni la misma fuerza legal.

Un ejemplo sencillo: una ley puede obligar, una agencia puede supervisar, un estándar puede orientar cómo medir riesgos y una recomendación internacional puede marcar principios compartidos.

No todo es lo mismo

AI Act

Reglamento europeo vinculante basado en niveles de riesgo. Entró en vigor el 1 de agosto de 2024 y se aplica por fases hasta 2027.

AESIA

Agencia española de supervisión. No es la ley: es una autoridad que ayuda a aplicar y supervisar el marco de IA en España.

NIST

Marco técnico de gestión del riesgo. Muy influyente, especialmente en organizaciones, pero no equivale a una ley europea.

UNESCO, OCDE y ONU

Principios, recomendaciones y espacios de consenso internacional. Dan legitimidad y lenguaje común, pero suelen depender de adopción nacional.

El riesgo de la fragmentación

La Unión Europea prioriza derechos fundamentales y regulación horizontal. Estados Unidos tiende a combinar innovación, liderazgo económico y enfoques más sectoriales. China regula de forma más vertical, con fuerte peso del control estatal, la estabilidad social y la competencia tecnológica.

El resultado puede ser un mosaico difícil de entender: normas diferentes, estándares incompatibles, empresas adaptándose solo donde les conviene y usuarios con derechos distintos según dónde vivan.

La solución no tiene por qué ser una ley única mundial. Pero una tecnología global necesita mínimos comunes: seguridad, transparencia, responsabilidad, protección de menores, privacidad, auditoría y vías reales de reclamación.

Privacidad real, no solo aviso legal

Informar no siempre significa dar poder. Muchas veces el usuario acepta porque no tiene alternativa práctica: si quiere usar el servicio, debe aceptar condiciones largas, difíciles de verificar y con poca capacidad de negociación.

El problema se agrava cuando los datos ya han sido usados para entrenamiento, análisis, inferencias, copias internas o terceros. Pedir eliminación puede borrar una cuenta, pero no siempre deshacer derivados, métricas, modelos o decisiones ya tomadas.

También conviene vigilar propuestas que, en nombre de la seguridad o la protección de menores, empujan hacia escaneo de comunicaciones, verificaciones de edad invasivas o identidades digitales que crean nuevas bases de datos sensibles.

Un mínimo común posible

Un consenso global no debería borrar diferencias culturales o políticas, pero sí establecer líneas compartidas: no vigilancia masiva injustificada, no discriminación automatizada sin recurso, protección reforzada de menores, auditoría de sistemas de alto impacto, transparencia significativa y responsabilidad clara.

La pregunta de fondo no es si regular o innovar. Es si podemos innovar sin entregar cada vez más poder a sistemas opacos que nadie puede revisar desde fuera.

Pregúntate

  • ¿Esta norma me da derechos reales o solo me informa de que mis datos se usarán?
  • ¿Puedo reclamar ante una decisión automatizada que me perjudica?
  • ¿Quién supervisa el sistema: la empresa, una agencia, una auditoría externa o nadie?
  • ¿Qué datos exige esta medida de seguridad y quién los conservará?
  • ¿Qué mínimos deberían aceptar empresas y países aunque compitan entre sí?