3 de octubre de 2008 US confirmed
EE. UU. (Illinois) · BIPA: la primera ley del país sobre datos biométricos y reconocimiento facial
La Ley de Privacidad de Información Biométrica de Illinois (BIPA), promulgada en octubre de 2008, fue la primera norma de Estados Unidos en establecer un lenguaje regulatorio sobre reconocimiento facial y datos biométricos. Surgió tras el caso de una empresa que recogía huellas dactilares en cajas registradoras y, al quebrar, intentó vender esos datos como activo. La ley define como identificador biométrico el escaneo de retina o iris, la huella, la voz o la geometría de la mano o el rostro, y exige consentimiento escrito para recogerlos. Su rasgo más potente es que otorga a la persona un derecho privado de acción, con daños de 1.000 dólares por infracción negligente y 5.000 por intencional —lo que ha llevado a empresas a frenar o pedir consentimiento explícito para el uso de biometría—. Tomando como referencia la llegada de la tecnología biométrica comercial (principios de los 2000), la brecha es corta: Illinois reguló de forma temprana y pionera, aunque la norma solo aplica a entidades privadas (no a agencias gubernamentales) y EE. UU. sigue sin una ley federal de biometría.
21 de noviembre de 2009 US confirmed
EE. UU. · GINA: ley federal contra la discriminación genética, antes de los test de ADN masivos
La Ley de No Discriminación por Información Genética (GINA), promulgada el 21 de mayo de 2008 y en vigor desde el 21 de noviembre de 2009, prohíbe la discriminación basada en información genética en el ámbito del seguro médico y el empleo. Sus impulsores la llamaron 'la primera ley de derechos civiles del siglo XXI'. Protege el historial genético familiar, los resultados de test genéticos y la participación en investigación genética, e impide que empleadores y aseguradoras soliciten o accedan a esa información sin consentimiento. Es un caso notable en el registro por dos razones: primero, EE. UU. SÍ legisló a nivel federal (a diferencia de sus brechas abiertas en privacidad de datos o IA); segundo, llegó relativamente pronto: la preocupación nació con el avance de la genética en los años noventa y la secuenciación del genoma humano, antes de la explosión de los test de ADN directos al consumidor (23andMe y similares, masificados en la década de 2010). Tomando como referencia el avance de la genómica (años noventa), la brecha ronda los quince años, pero anticipándose al uso masivo comercial.
29 de agosto de 2016 US confirmed
EE. UU. · La FAA regula los drones comerciales (Part 107): reglas del cielo para los no tripulados
La regla 14 CFR Part 107 de la Administración Federal de Aviación (FAA), conocida como 'Small UAS Rule', entró en vigor el 29 de agosto de 2016 y reguló por primera vez de forma sistemática las operaciones comerciales y gubernamentales de drones de menos de 25 kg en el espacio aéreo estadounidense. Establece, entre otras reglas, mantener el dron a la vista, no volar de forma temeraria y evitar las aeronaves tripuladas, además de exigir certificación a los pilotos remotos. Tomando como referencia la masificación de los drones comerciales y de consumo (alrededor de 2013, con la llegada de modelos asequibles), la brecha hasta un marco federal específico ronda los tres años: una respuesta relativamente rápida, en parte porque los drones operan en un espacio —el aéreo— ya fuertemente regulado, lo que facilitó encajar la nueva tecnología en una autoridad existente (la FAA). Contrasta con los vehículos autónomos, que circulan por carreteras y siguen sin marco federal integral.
1 de enero de 2020 US confirmed
EE. UU. (California) · El CCPA entra en vigor: primera ley de privacidad de consumidores fuerte del país
La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020, inspirada en parte en el GDPR europeo. Otorgó a los residentes de California el derecho a acceder, eliminar y rechazar la venta de sus datos personales, y es la única de su tipo que establece una acción legal privada y un regulador dedicado (la California Privacy Protection Agency). Frente a una industria de datos de consumidores que llevaba más de dos décadas operando en EE. UU. sin una ley federal de privacidad —que sigue sin existir—, California actuó como sustituto estatal. Para 2026, diecinueve estados tienen ya leyes integrales de privacidad.
2 de noviembre de 2021 US confirmed
EE. UU. · BRECHA ABIERTA: vehículos autónomos en las calles sin regulación federal integral
Este registro documenta otra brecha ABIERTA. Pese a que los vehículos autónomos operan ya en pruebas y servicios comerciales en varias ciudades estadounidenses, no existe a la fecha una regulación federal integral de esta tecnología. La ausencia de un marco federal ha creado un mosaico de regulaciones estatales: fabricantes y desarrolladores se concentran en estados con regulación moderada como Arizona y Florida, mientras otros estados imponen reglas distintas o ninguna. Tanto la Cámara de Representantes como el Senado han presentado legislación bipartidista para regular la industria, sin que se haya aprobado un marco nacional. Analistas del sector señalan la paradoja: la falta de certidumbre regulatoria federal puede frenar tanto la seguridad como la inversión. La fecha de este registro es indicativa del debate legislativo en curso; la brecha seguirá contándose hasta que exista un marco federal. Este registro se actualizará.
25 de junio de 2024 US confirmed
EE. UU. · BRECHA ABIERTA: ~25 años de datos masivos sin ley federal de privacidad
Este registro documenta una brecha que sigue ABIERTA: a la fecha de esta entrada, Estados Unidos no tiene una ley federal integral de privacidad de datos, pese a que la economía del dato de consumidores opera en el país desde finales de los años noventa. Los intentos legislativos más ambiciosos fracasaron: la American Data Privacy and Protection Act (ADPPA), introducida en 2022, superó el comité pero no avanzó en el Congreso; y la American Privacy Rights Act (APRA), de 2024, también se estancó. En ambos casos el bloqueo se debió a dos desacuerdos persistentes: la preemption (si la ley federal anularía las leyes estatales más fuertes, como la de California) y el derecho privado de acción (si los ciudadanos podrían demandar). En ausencia de norma federal, casi veinte estados han aprobado sus propias leyes, creando un mosaico regulatorio fragmentado. La fecha de este registro corresponde al ciclo legislativo de la APRA (2024); la brecha de ~25 años seguirá contándose hasta que exista una ley federal. Este registro se actualizará cuando, y si, esa ley llega.
30 de junio de 2025 US confirmed
EE. UU. · BRECHA ABIERTA: la IA avanza sin ley federal; debate sobre frenar a los estados
Este registro documenta una segunda brecha ABIERTA. A diferencia de la Unión Europea (AI Act) o China (medidas de IA generativa), Estados Unidos no tiene a la fecha una ley federal integral que regule la inteligencia artificial. La acción federal ha sido limitada, lo que ha llevado a varios estados a legislar por su cuenta. En junio de 2025, la Cámara de Representantes aprobó una moratoria de diez años sobre la aplicación de leyes estatales dirigidas a la IA y los sistemas de decisión automatizada; esa disposición fue eliminada por el Senado en las enmiendas finales al proyecto presupuestario, pero el episodio reveló un debate abierto: si frenar la legislación estatal sin un estándar nacional que llene el vacío. Como señalan los analistas, una pausa a las leyes estatales podría llegar sin una base nacional que cubra las lagunas, una desviación de la lógica habitual de la preemption. La fecha de este registro corresponde a ese episodio legislativo de mediados de 2025. La brecha sigue contándose; este registro se actualizará si surge una ley federal de IA.
25 de julio de 2025 GB confirmed
Reino Unido · La Online Safety Act se aplica: deberes de seguridad en línea ~20 años después de las redes sociales
La Online Safety Act, aprobada con la sanción real (Royal Assent) el 26 de octubre de 2023 tras siete años de tramitación, comenzó su aplicación efectiva de forma gradual a través del regulador Ofcom durante 2025: el programa de fiscalización de los deberes sobre contenido ilegal arrancó el 3 de marzo de 2025, y los códigos de protección de menores y las medidas de verificación de edad entraron en vigor el 25 de julio de 2025. La ley impone responsabilidades legales a redes sociales, buscadores y plataformas para proteger a los usuarios —en especial a los menores— de contenido ilegal y dañino, con multas de hasta el 10% de la facturación global. Tomando como referencia el nacimiento de las redes sociales modernas (mediados de la década de 2000), la brecha hasta una respuesta regulatoria vinculante sobre seguridad en línea ronda las dos décadas. Para febrero de 2026, Ofcom había abierto más de 80 investigaciones a sitios para adultos por las reglas de verificación de edad.
2 de julio de 2014 SG confirmed
Singapur · La PDPA entra en pleno vigor: protección de datos de 'mano ligera' en Asia
La Ley de Protección de Datos Personales (PDPA), aprobada por el Parlamento de Singapur el 15 de octubre de 2012, entró en pleno vigor el 2 de julio de 2014 en su componente de protección de datos. Regula la recogida, uso y divulgación de datos personales por organizaciones privadas, con alcance extraterritorial, y estableció el registro 'Do Not Call' contra el telemarketing. A diferencia del GDPR, es un régimen descrito como de 'mano ligera': ofrece cierto control a los individuos pero sin un derecho privado de acción (las personas reclaman ante la comisión de protección de datos, la PDPC). Una enmienda de 2020 añadió la obligación de notificar brechas de datos. Tomando como referencia la consolidación de la economía digital en Singapur (finales de los noventa y primeros 2000), la brecha hasta un marco vinculante de protección de datos ronda los quince años. Singapur fue además pionero en Asia con un modelo de gobernanza de IA voluntario.
22 de enero de 2026 KR confirmed
Corea del Sur · La AI Basic Act entra en vigor: segunda ley integral de IA del mundo
La Ley Marco sobre el Desarrollo de la Inteligencia Artificial y el Establecimiento de una Base de Confianza (AI Basic Act), aprobada por la Asamblea Nacional el 27 de diciembre de 2024, entró en vigor el 22 de enero de 2026 junto a su decreto de aplicación. Es la segunda ley integral de IA del mundo tras el AI Act europeo, y la primera de Asia. Combina la promoción de la industria de IA con requisitos vinculantes de seguridad, confianza y rendición de cuentas, y tiene alcance extraterritorial. El Ministerio de Ciencia y TIC (MSIT) puede investigar, emitir órdenes correctivas y multas de hasta 30 millones de wones, aunque concedió un periodo de gracia de un año antes de imponer sanciones. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha hasta la entrada en vigor ronda los tres años, en línea con el ritmo acelerado de la regulación de IA frente a otras tecnologías.
28 de mayo de 2025 JP confirmed
Japón · La AI Promotion Act: enfoque 'innovación primero', sin sanciones estrictas
El Parlamento de Japón aprobó la Ley de Promoción de la IA el 28 de mayo de 2025, con un enfoque deliberadamente distinto al europeo: 'innovación primero', basado en principios y de mano ligera, diseñado para impulsar la adopción mientras orienta el comportamiento. La ley faculta al gobierno a emitir advertencias pero carece de sanciones punitivas estrictas, priorizando el desarrollo sobre las garantías de seguridad rígidas. Como matizan los analistas, 'no punitivo' no significa 'no serio': el modelo se apoya en presión reputacional, orientación y deberes de cooperación. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha ronda los dos años y medio. El caso de Japón es valioso en el registro porque muestra que regular pronto no implica regular con dureza: ilustra una vía regulatoria distinta tanto de la europea (integral y sancionadora) como de la china (de control), centrada en la promoción.
13 de noviembre de 2025 IN confirmed
India · La DPDP Act echa a andar: ~800 millones de usuarios bajo ley de privacidad, plena en 2027
La Ley de Protección de Datos Personales Digitales (DPDP Act), aprobada el 11 de agosto de 2023, vio notificadas sus reglas operativas el 13 de noviembre de 2025, fijando por fin el calendario: la ley será plenamente aplicable a todas las entidades y departamentos gubernamentales el 13 de mayo de 2027. Es la primera ley integral de privacidad digital de India, con un marco basado en el consentimiento y en derechos. Con su notificación, alrededor de 800 millones de usuarios de internet en India —cerca del 15% de la población digital mundial— quedaron bajo el ámbito de una ley de privacidad. Tomando como referencia la masificación de internet de consumo en India (mediados de la década de 2000, con la explosión móvil posterior a 2010), la brecha hasta un marco vinculante de protección de datos ronda las dos décadas. India sigue, además, un modelo regulatorio sectorial para la IA en lugar de una ley única.
30 de diciembre de 2024 EU confirmed
UE · MiCA regula los criptoactivos: marco vinculante ~15 años después de Bitcoin
El Reglamento de Mercados de Criptoactivos (MiCA) se hizo plenamente aplicable el 30 de diciembre de 2024 (las disposiciones sobre tokens referenciados a activos y de dinero electrónico desde el 30 de junio de 2024). Es el primer marco regulatorio integral y armonizado para los proveedores de servicios de criptoactivos en la UE, con un régimen único de autorización. Tomando como referencia el lanzamiento de Bitcoin en enero de 2009, la brecha hasta un marco regulatorio integral y vinculante ronda los quince años, un periodo durante el cual el sector creció, colapsó y volvió a crecer varias veces sin reglas armonizadas.
25 de mayo de 2018 EU confirmed
UE · El GDPR se aplica: la protección de datos alcanza a la era de internet, ~20 años después
El Reglamento General de Protección de Datos comenzó a aplicarse el 25 de mayo de 2018, reemplazando la Directiva de Protección de Datos de 1995, que había quedado obsoleta por el auge de internet y las nuevas tecnologías. Tomando como referencia la consolidación de la web comercial y la economía del dato a finales de los años noventa, la brecha entre la masificación del tratamiento masivo de datos personales y una respuesta regulatoria moderna y vinculante ronda las dos décadas. El GDPR introdujo multas de hasta el 4% de la facturación global y se convirtió en referencia mundial: más de dos tercios de los países tienen hoy leyes de protección de datos.
25 de noviembre de 2009 EU confirmed
UE · La 'ley de cookies': el consentimiento para el rastreo publicitario nace en 2009
La Directiva de privacidad y comunicaciones electrónicas (Directiva 2002/58/CE), conocida popularmente como la 'ley de cookies', fue adoptada en 2002 y enmendada de forma decisiva en 2009 (Directiva 2009/136/CE). Esa enmienda de 2009 introdujo el requisito de consentimiento previo (opt-in) para almacenar o acceder a información en el dispositivo del usuario —salvo cookies estrictamente necesarias—, lo que provocó la proliferación de los banners de cookies que hoy aparecen en prácticamente toda la web europea. Es la norma que regula directamente el rastreo publicitario y la creación de perfiles para anuncios dirigidos. Tomando como referencia la consolidación de la publicidad comportamental basada en cookies de terceros (principios de los 2000), la brecha hasta el requisito de consentimiento ronda los siete años. Como dato de contexto: su sucesora prevista, el Reglamento ePrivacy, lleva años sin aprobarse —fue retirado y sus reglas se plantearon dentro del propio GDPR—, lo que la convierte en un caso mixto: hay ley vigente, pero su modernización sigue pendiente.
25 de agosto de 2023 EU confirmed
UE · La DSA obliga a las grandes plataformas: control de contenidos ~19 años después de Facebook
La Ley de Servicios Digitales (DSA) comenzó a aplicarse a las plataformas y buscadores muy grandes (más de 45 millones de usuarios mensuales en la UE) el 25 de agosto de 2023, y al resto de servicios el 17 de febrero de 2024. Impone evaluaciones de riesgo sistémico, transparencia algorítmica y auditorías independientes a plataformas como Facebook, YouTube, TikTok o X. Tomando como referencia el nacimiento de las redes sociales modernas (Facebook, 2004), la brecha hasta una respuesta regulatoria vinculante sobre moderación de contenidos y riesgos sistémicos ronda los diecinueve años. Fue la primera vez que la UE ejerció poder regulatorio extraterritorial estructurado sobre las plataformas estadounidenses.
6 de marzo de 2024 EU confirmed
UE · La DMA somete a los 'guardianes': competencia digital tras dos décadas de concentración
La Ley de Mercados Digitales (DMA) se hizo plenamente aplicable a los 'guardianes' (gatekeepers) el 6 de marzo de 2024, designando 22 servicios de plataforma esenciales de seis grandes empresas. Obliga a la interoperabilidad de los servicios de mensajería, prohíbe favorecer los servicios propios y exige consentimiento para la publicidad dirigida. El 25 de marzo de 2024, apenas semanas después, la Comisión abrió investigaciones formales contra Alphabet, Apple y Meta por presunto incumplimiento. Frente a una concentración del mercado digital que se consolidó a lo largo de los años 2000 y 2010, la respuesta antimonopolio estructural específica para plataformas llegó con dos décadas de desarrollo del sector a cuestas.
1 de agosto de 2024 EU confirmed
UE · El AI Act entra en vigor: primera ley integral de IA del mundo, ~2 años tras ChatGPT
El Reglamento de Inteligencia Artificial (AI Act) entró en vigor el 1 de agosto de 2024, como el primer marco regulatorio integral para la IA del mundo. Sus obligaciones se aplican por fases: las prácticas prohibidas (como el 'social scoring') desde el 2 de febrero de 2025, las obligaciones para los modelos de propósito general (GPAI) desde el 2 de agosto de 2025, y los requisitos para sistemas de alto riesgo desde el 2 de agosto de 2026, con aplicación plena en agosto de 2027. Tomando como referencia el lanzamiento de ChatGPT en noviembre de 2022 —que masificó la IA generativa—, la brecha hasta la entrada en vigor es de menos de dos años: la más corta de este registro, reflejo de una reacción regulatoria inusualmente rápida ante una tecnología que se difundió a una velocidad sin precedentes.
15 de agosto de 2023 CN confirmed
China · Medidas sobre IA generativa: en vigor casi un año antes que el AI Act europeo
Las Medidas Provisionales para la Gestión de Servicios de Inteligencia Artificial Generativa, emitidas por la CAC junto a otras seis agencias, entraron en vigor el 15 de agosto de 2023. Fueron la primera regulación integral de IA generativa de China, con obligaciones sobre moderación de contenidos, requisitos de los datos de entrenamiento, etiquetado del contenido generado y protección de datos. El dato comparativo es revelador: estas medidas entraron en vigor el 15 de agosto de 2023, casi un año antes de que el AI Act europeo entrara en vigor (1 de agosto de 2024). Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha es de menos de un año, comparable o incluso más corta que la de la UE. La versión final resultó menos restrictiva que el borrador, en un esfuerzo por equilibrar control e innovación.
10 de enero de 2023 CN confirmed
China · Normas sobre 'deep synthesis': etiquetado obligatorio de deepfakes desde 2023
Las Disposiciones sobre la Administración del Deep Synthesis en Servicios de Información de Internet, emitidas conjuntamente por la CAC, el Ministerio de Industria y el de Seguridad Pública el 25 de noviembre de 2022, entraron en vigor el 10 de enero de 2023. Regulan las tecnologías de síntesis profunda (deepfakes) y exigen etiquetas visibles en el contenido generado o sintetizado de forma artificial, además de prohibir su uso para crear noticias falsas. Es notable el momento: la norma se finalizó el 25 de noviembre de 2022, apenas cinco días antes del lanzamiento de ChatGPT. Tomando como referencia la aparición de los deepfakes accesibles (alrededor de 2017-2019), la brecha ronda los cinco años. China fue de las primeras jurisdicciones del mundo en imponer el etiquetado obligatorio de contenido sintético.
1 de marzo de 2022 CN confirmed
China · Reglas sobre algoritmos de recomendación: control del 'feed' antes que Occidente
Las Disposiciones Administrativas sobre Algoritmos de Recomendación en Servicios de Información de Internet, emitidas por la Administración del Ciberespacio de China (CAC) y otros tres reguladores el 31 de diciembre de 2021, entraron en vigor el 1 de marzo de 2022. Obligan a los operadores a registrar sus algoritmos en un registro estatal, prohíben la discriminación excesiva de precios y protegen los derechos de los trabajadores sometidos a la programación algorítmica (como repartidores). Tomando como referencia la consolidación de los sistemas de recomendación que dominan el contenido en plataformas (mediados de la década de 2010), la brecha hasta una respuesta regulatoria vinculante específica ronda los siete años. China actuó sobre los algoritmos de recomendación antes que cualquier jurisdicción occidental con una norma dedicada de este alcance. Como en todas las normas digitales chinas, el control de la información y los 'valores socialistas centrales' son un objetivo declarado junto a la protección del consumidor.
25 de octubre de 2021 CL confirmed
Chile · Neuroderechos en la Constitución: el primer país del mundo en regular la neurotecnología
En octubre de 2021, Chile se convirtió en el primer país del mundo en incorporar los 'neuroderechos' a su Constitución, mediante una reforma del artículo 19 (Ley N° 21.383) que protege la integridad e indemnidad mental frente a los avances de las neurotecnologías. La iniciativa, impulsada por la Comisión de Desafíos del Futuro del Senado con apoyo de la Iniciativa de Neuroderechos de la Universidad de Columbia, busca dar a los datos cerebrales un estatus similar al de un órgano —que no puedan venderse ni manipularse— y proteger la privacidad mental, el libre albedrío y el acceso equitativo a la neurotecnología. Este es el caso más singular del registro porque la brecha es prácticamente nula o incluso negativa: Chile reguló una tecnología que aún está en su infancia (interfaces cerebro-máquina como las de Neuralink), anticipándose a su masificación en lugar de reaccionar tarde. En 2023, la Corte Suprema chilena dictó además la primera sentencia del mundo sobre 'neurodatos' (caso Girardi/Emotiv). Demuestra que regular antes de la masificación es posible, aunque también ha sido objeto de debate por legislar sobre una tecnología todavía incipiente.
6 de enero de 2025 CA confirmed
Canadá · BRECHA ABIERTA: su ley de IA (AIDA) murió en el Parlamento sin llegar a aprobarse
Este registro documenta una brecha ABIERTA con una particularidad: hubo un intento serio que fracasó. La Ley de Inteligencia Artificial y Datos (AIDA), introducida en 2022 como parte del proyecto C-27, buscaba establecer un marco regulatorio basado en el riesgo para los sistemas de IA de 'alto impacto'. Tras años de tramitación y críticas por su falta de especificidad, el proyecto murió el 6 de enero de 2025, cuando la dimisión del primer ministro Justin Trudeau y la prórroga del Parlamento hicieron decaer todos los proyectos en trámite. A la fecha, Canadá no tiene una ley general que regule la IA; el gobierno mantiene un código de conducta voluntario y provincias como Ontario avanzan normas propias. Analistas señalan que es improbable que Canadá apruebe una regulación federal de IA en los próximos años. Tomando como referencia el lanzamiento de ChatGPT (noviembre de 2022), la brecha sigue abierta y contándose. Este registro se actualizará si Canadá retoma y aprueba una ley de IA.
23 de junio de 2014 BR confirmed
Brasil · El Marco Civil da Internet: 'constitución de internet' pionera en el mundo (2014)
El Marco Civil da Internet (Ley 12.965/2014), sancionado por la presidenta Dilma Rousseff el 24 de abril de 2014 y vigente desde el 23 de junio de 2014, estableció por primera vez en Brasil derechos y obligaciones de usuarios y proveedores de internet. Considerado la 'Constitución de internet' o 'carta magna' digital brasileña, consagró principios de libertad de expresión, neutralidad de la red y protección de la privacidad, y limitó la responsabilidad de los proveedores por el contenido de terceros. Fue impulsado en parte tras las revelaciones de espionaje de Estados Unidos y se considera una de las legislaciones de derechos digitales más pioneras del mundo. Tomando como referencia la masificación de internet comercial en Brasil (finales de los noventa), la brecha hasta un marco de derechos digitales ronda los quince años, pero su carácter pionero a nivel global lo distingue: llegó años antes que normas equivalentes en la mayoría de países.
18 de septiembre de 2020 BR confirmed
Brasil · La LGPD entra en vigor: protección de datos integral inspirada en el GDPR
La Ley General de Protección de Datos (LGPD, Ley 13.709), promulgada en agosto de 2018, entró en vigor el 18 de septiembre de 2020 (las sanciones administrativas desde el 1 de agosto de 2021). Es la primera ley integral de protección de datos de Brasil y se alinea ampliamente con el GDPR europeo, regulando el tratamiento de datos personales por personas físicas y jurídicas. Su entrada en vigor sufrió varios aplazamientos por la pandemia de Covid-19. En febrero de 2022, Brasil dio un paso adicional al incorporar la protección de datos personales como derecho fundamental en su Constitución Federal. Tomando como referencia la consolidación de la economía del dato (finales de los noventa), la brecha ronda las dos décadas, en línea con la del GDPR europeo, del que la LGPD es heredera conceptual.
