La misma pregunta, tres respuestas incompatibles
Todos los gobiernos del mundo se enfrentan a la misma pregunta —cómo gestionar los riesgos y los beneficios de la inteligencia artificial— y han llegado a respuestas radicalmente distintas. No es un matiz de grado: son tres filosofías regulatorias que chocan entre sí, y una empresa que despliega IA en varios continentes debe cumplir las tres a la vez. Diálogo Ciudadano sigue cada una con su propio rastreo; esta pieza las pone una al lado de la otra.
La diferencia no es académica. Un algoritmo de contratación perfectamente legal en un estado de EE.UU. puede exigir una evaluación de conformidad en Bruselas y caer en un vacío de aplicación en América Latina. Quien quiera entender el riesgo regulatorio real de la IA en 2026 no puede mirar un solo modelo: tiene que mirar los tres y cómo divergen.
Modelo 1 — La Unión Europea: una ley para gobernarlos a todos
El modelo europeo es el más ambicioso y el más maduro. El AI Act (Reglamento UE 2024/1689) es la primera ley integral y vinculante de IA del mundo, aplicable a los veintisiete Estados miembros con un enfoque basado en el riesgo: clasifica los sistemas en cuatro niveles —inaceptable, alto, limitado y mínimo— e impone obligaciones proporcionales. Sus multas son las más altas del panorama: hasta 35 millones de euros o el 7% de la facturación global. Y su alcance es extraterritorial: una empresa de cualquier país que sirva a usuarios europeos queda sujeta.
La consecuencia de esta madurez es el llamado efecto Bruselas: como ya ocurrió con el GDPR, el modelo europeo se está convirtiendo en la plantilla global por defecto. Quien cumple el AI Act cumple, de paso, buena parte de lo que exigen las demás jurisdicciones. Corea del Sur, segundo país del mundo con ley integral de IA en vigor desde enero de 2026, copió las categorías de riesgo europeas.
Modelo 2 — Estados Unidos: cincuenta legisladores y una guerra civil regulatoria
Estados Unidos hace exactamente lo contrario. No tiene ley federal integral de IA; en su ausencia, cada estado legisla por su cuenta, creando un mosaico que las empresas deben mapear jurisdicción por jurisdicción. California regula la transparencia de la IA de frontera; Texas, el uso responsable; Illinois, la discriminación en el empleo; Colorado aprobó la ley estatal más completa, centrada en los sistemas de alto riesgo.
Pero el modelo estadounidense vive en 2026 una tensión que ningún otro tiene: una guerra entre niveles de gobierno. En diciembre de 2025, una orden ejecutiva federal propuso preemptar las leyes estatales “excesivas” —citando por nombre la de Colorado—, y en abril de 2026 un tribunal federal congeló esa misma ley semanas antes de entrar en vigor. El resultado para las empresas es la peor combinación: obligaciones que existen sobre el papel pero cuya aplicabilidad real depende de litigios y de un pulso político.
Modelo 3 — América Latina: la copia que aún no muerde
América Latina ha elegido un tercer camino, casi por gravedad: importar el modelo europeo. Los grandes proyectos de ley de la región —el PL 2338 de Brasil a la cabeza— adoptan el enfoque basado en el riesgo del AI Act, con clasificación de sistemas y prohibición de ciertas prácticas. Hay más de 150 iniciativas identificadas en la región. La convergencia con Bruselas es deliberada y revela hasta dónde llega el efecto Bruselas: incluso donde no hay obligación de seguir a la UE, se la sigue.
Pero aquí aparece la brecha característica de la región: entre el proyecto que se anuncia y la ley que de verdad obliga media un abismo. Brasil aprobó su marco en el Senado en diciembre de 2024, pero el proyecto sigue sin aprobación final, con un impulso incierto. La mayoría de las “regulaciones de IA” latinoamericanas son todavía estrategias, principios o proyectos en trámite, no normas con enforcement.
Los tres modelos, en una tabla
| Dimensión | Unión Europea | Estados Unidos | América Latina |
|---|---|---|---|
| Forma jurídica | Ley única integral y vinculante | Mosaico de leyes estatales | Proyectos de ley (mayoría sin aprobar) |
| Enfoque | Basado en el riesgo (4 niveles) | Variable por estado | Copia del enfoque de riesgo de la UE |
| Sanción máxima | 35 M€ o 7% facturación global | Variable (ej. Colorado, 20.000 $/infracción) | Por definir en la mayoría |
| Madurez del enforcement | Alta (prohibiciones sancionables) | Media y en disputa (preempción + litigios) | Baja (pocas normas en vigor) |
| Alcance | Extraterritorial | Estatal | Nacional |
| Tendencia 2026 | Consolidación (con debate de simplificación) | Tensión federal-estatal | Convergencia lenta hacia la UE |
Qué significa esto para quien despliega IA
La lección práctica que extraen los analistas de compliance es contundente: no tiene sentido perseguir el mínimo cumplimiento en cada jurisdicción por separado. El camino pragmático es construir un marco único de gobernanza de IA alineado con el listón más alto —en la práctica, el europeo— y adaptarlo hacia abajo donde haga falta. Quien cumple el AI Act tiene buena parte del camino hecho en las demás regiones.
Pero esa estrategia tiene un punto ciego que solo se ve mirando los tres modelos a la vez: la inestabilidad. El modelo estadounidense puede cambiar de forma según resuelvan los tribunales la preempción federal; el latinoamericano, según se aprueben o no los proyectos pendientes; incluso el europeo discute una simplificación (el Digital Omnibus) que podría retrasar sus obligaciones de alto riesgo. Regular la misma máquina de tres maneras incompatibles no es un estado final, sino un equilibrio precario que hay que vigilar norma a norma. Para eso existen los rastreos que enlaza esta pieza. Y para ver el cuadro completo —cómo se compara el riesgo regulatorio digital país por país, más allá de estos tres modelos— está el índice de riesgo regulatorio digital por país.
Nota metodológica
La comparación se apoya en los tres rastreos de regulación de IA de Diálogo Ciudadano (régimen sancionador del AI Act, patchwork estatal de EE.UU., proyectos de ley en América Latina) y en análisis comparados de despachos y observatorios especializados (Brookings, Dataversity, OneTrust). Cada afirmación sobre una jurisdicción se atribuye a su fuente. La clasificación de “madurez del enforcement” es una lectura comparada, no un juicio de calidad de cada modelo. Diálogo Ciudadano no presta asesoría jurídica; esta pieza es infraestructura informativa.