Phase 18 - Lesson 24
Marcos Regulatorios — UE, EE. UU., Reino Unido, Corea
Cuatro regímenes regulatorios principales definen el panorama de la gobernanza de la IA en 2026. Ley de IA de la UE (EU AI Act, en vigor desde el 1 de agosto de 2024) — prácticas prohibidas y alfabetización en IA desde el 2 de febrero de 2025; obligaciones de GPAI desde el 2 de agosto de 2025; aplicabilidad total y transparencia del Artículo 50 el 2 de agosto de 2026; GPAI heredado y sistemas de alto riesgo integrados el 2 de agosto de 2027; sanciones de hasta 15 millones de euros o el 3% de la facturación global. Código de Prácticas de GPAI (10 de julio de 2025): tres capítulos — Transparencia, Derechos de Autor, Seguridad y Protección — 12 compromisos; la aplicación de la ley comienza en agosto de 2026. UK AISI -> AI Security Institute (febrero de 2025): el cambio de nombre indica un alcance más limitado. US AISI -> CAISI (junio de 2025): Center for AI Standards and Innovation bajo el NIST; cambio hacia una postura pro-crecimiento. Ley del Marco de IA de Corea (aprobada en diciembre de 2024, en vigor en enero de 2026): el Artículo 12 establece el AISI bajo el MSIT; exige representantes locales para empresas extranjeras de IA, evaluación de riesgos y medidas de seguridad para la IA generativa y de alto impacto.
Tipo: Learn Lenguajes: -- Prerrequisitos: Phase 18 · 18 (frontier frameworks), Phase 18 · 27 (data governance) Tiempo: ~75 minutos
Objetivos de Aprendizaje
- Describir los niveles de riesgo de la Ley de IA de la UE (prohibido, alto riesgo, propósito general, riesgo limitado) y el cronograma de agosto de 2025 / agosto de 2026 / agosto de 2027.
- Describir los tres capítulos del Código de Prácticas de GPAI y a qué proveedores vincula cada uno.
- Describir los cambios de nombre de 2025: UK AISI -> AI Security Institute; US AISI -> CAISI; y lo que implica cada reestructuración sobre el rumbo de las políticas.
- Indicar la disposición central de la Ley del Marco de IA de Corea.
El Problema
Las directrices de laboratorio (Lección 18) son voluntarias. Los marcos regulatorios son obligatorios. El período 2024-2026 vio la entrada en vigor de la primera ola de regulaciones integrales de IA. Los desarrolladores deben mapear los controles técnicos con las obligaciones regulatorias; dicho mapeo varía según la jurisdicción.
El Concepto
Ley de IA de la UE (EU AI Act)
En vigor desde el 1 de agosto de 2024. Estructura por niveles de riesgo:
- Prácticas prohibidas (Artículo 5). Puntuación social, identificación biométrica remota en tiempo real en espacios públicos (con excepciones para las fuerzas de seguridad), manipulación explotadora de grupos vulnerables. Aplicado desde el 2 de febrero de 2025.
- Sistemas de alto riesgo (Anexo III). Empleo, educación, crédito, aplicación de la ley, justicia, migración. Requieren evaluación de conformidad, gestión de riesgos, registro de actividad (logs) y transparencia.
- Modelos de IA de Propósito General (GPAI). Aplicado desde el 2 de agosto de 2025. Todos los proveedores de GPAI tienen obligaciones; los de GPAI con riesgo sistémico (>1e25 FLOP de cómputo de entrenamiento) tienen obligaciones adicionales.
- Sistemas de riesgo limitado. Obligaciones de transparencia bajo el Artículo 50 (etiquetado de contenido generado por IA). Aplicado desde el 2 de agosto de 2026.
Cronograma:
- 2 de feb de 2025: prácticas prohibidas + alfabetización en IA.
- 2 de ago de 2025: GPAI + gobernanza.
- 2 de ago de 2026: aplicabilidad total + transparencia del Artículo 50 + sanciones de hasta 15 millones de euros / 3% de la facturación global.
- 2 de ago de 2027: GPAI heredado + alto riesgo integrado.
La Comisión propuso ajustar el cronograma de alto riesgo a 16 meses a finales de 2025.
Código de Prácticas de GPAI
Publicado el 10 de julio de 2025. Tres capítulos:
- Transparencia. Todos los proveedores de GPAI.
- Derechos de Autor. Todos los proveedores de GPAI.
- Seguridad y Protección. Proveedores de GPAI con riesgo sistémico (estimado en 5-15 empresas).
12 compromisos en total. Un Grupo de Trabajo de Firmantes presidido por la Oficina de IA (AI Office) gestiona la implementación. La aplicación de la ley comienza el 2 de agosto de 2026; hasta entonces, se acepta el cumplimiento de buena fe.
Código de Transparencia para el Artículo 50
Primer borrador el 17 de diciembre de 2025. Segundo borrador en marzo de 2026. Versión final en junio de 2026. Cubre el etiquetado de contenido generado por IA, incluidos los deepfakes — la capa regulatoria que requiere la tecnología de marca de agua de la Lección 23.
UK AI Security Institute (Febrero de 2025)
Renombrado de AI Safety Institute. El cambio de nombre limita el alcance: elimina los enfoques de sesgo algorítmico y libertad de expresión; se centra en la seguridad de las capacidades de frontera. Publicó como código abierto la herramienta de evaluación Inspect (mayo de 2024). Colabora con Redwood (Lección 10) en casos de seguridad de control.
US CAISI (Junio de 2025)
La administración Trump transforma el AI Safety Institute del NIST en el Center for AI Standards and Innovation. Cambio de rumbo hacia "políticas de IA pro-crecimiento" según los comentarios del vicepresidente Vance en la Cumbre de Acción sobre IA de París. Menor énfasis en la evaluación previa a la implementación; énfasis en los estándares y el apoyo a la innovación. Contrapeso nacional a la postura regulatoria de la Ley de IA de la UE.
Ley del Marco de IA de Corea (Korean AI Framework Act)
Aprobada en diciembre de 2024. Promulgada en enero de 2025. En vigor desde enero de 2026. Consolida 19 proyectos de ley de IA diferentes.
El Artículo 12 establece un AISI bajo el Ministerio de Ciencia y TIC (MSIT). Obliga a:
- Representantes locales para empresas extranjeras de IA que operan en Corea.
- Evaluación de riesgos para sistemas de IA de "alto impacto".
- Medidas de seguridad para la IA generativa y de alto impacto.
Primera jurisdicción asiática con una regulación horizontal integral de la IA.
Dinámicas entre jurisdicciones
- UE: estricta, clasificada por niveles de riesgo, fuertes sanciones. Punto de referencia para la regulación adyacente a la privacidad.
- EE. UU.: favorable a la innovación, descentralizada, los estados (por ejemplo, la ley AB 2013 de California — Lección 27) llenan los vacíos federales.
- Reino Unido: enfoque limitado a la seguridad, sólida infraestructura de evaluación.
- Corea: liderada por el MSIT, enfocada en proveedores extranjeros.
Filosofías regulatorias en competencia. Los desarrolladores en múltiples jurisdicciones tienen que cumplir con la más estricta, que en 2026 suele ser la Ley de IA de la UE.
Dónde encaja esto en la Fase 18
La Lección 18 es gobernanza voluntaria de laboratorios; la Lección 24 es regulatoria; la Lección 25 trata sobre una clase emergente de CVEs para sistemas de IA; las Lecciones 26-27 cover documentation (cards) y la gobernanza de los datos de entrenamiento.
Use It
Sin código. Lee las fuentes primarias de la Ley de IA de la UE: el texto del reglamento, el Código de Prácticas de GPAI y el marco Inspect del AISI del Reino Unido. Mapea tu implementación con las obligaciones aplicables para cada jurisdicción.
Ship It
Esta lección produce outputs/skill-regulatory-map.md. Dada una descripción de la implementación, mapea las jurisdicciones aplicables, las clasificaciones de niveles en cada una, las obligaciones por jurisdicción y el cronograma de plazos.
Ejercicios
Lee la Ley de IA de la UE (reglamento 2024/1689) y el Código de Prácticas de GPAI (10 de julio de 2025). Identifica tres obligaciones que se apliquen a todos los proveedores de GPAI y tres que se apliquen solo a GPAI con riesgo sistémico.
Una empresa estadounidense realiza una implementación que se ejecuta en infraestructura de la UE y sirve a usuarios coreanos. ¿Las normas de qué tres jurisdicciones se aplican y qué norma prevalece en cada cuestión de fondo?
El cambio de nombre del AI Security Institute del Reino Unido limita su alcance. Argumenta a favor y en contra de este enfoque más limitado. Identifica la premisa política de la que depende cada postura.
El enfoque "pro-crecimiento" de CAISI supone un alejamiento del modelo de instituto de seguridad de IA de 2022-2024. Identifica dos cambios medibles en las políticas que se derivarían de este enfoque.
La Ley del Marco de IA de Corea exige representantes locales para los proveedores extranjeros. Describe las implicaciones operativas para una empresa de la Bay Area que preste servicios a usuarios coreanos.
Términos Clave
| Término | Lo que dice la gente | Lo que realmente significa |
|---|---|---|
| Ley de IA de la UE | "el reglamento" | Regulación horizontal de IA basada en niveles de riesgo; en vigor en ago. de 2024 |
| GPAI | "IA de propósito general" | Grandes modelos fundacionales; el subconjunto de riesgo sistémico tiene obligaciones adicionales |
| Artículo 50 | "obligaciones de transparencia" | Etiquetado de contenido generado por IA; se aplica en ago. de 2026 |
| UK AISI | "AI Security Institute" | Renombrado en feb. de 2025; enfoque más limitado a la seguridad en la frontera |
| CAISI | "centro estadounidense de estándares de IA" | Renombrado en jun. de 2025 a partir del AI Safety Institute; postura pro-crecimiento |
| Ley del Marco de IA de Corea | "regulación horizontal del MSIT" | Primera ley integral de IA en Asia; en vigor desde ene. de 2026 |
| GPAI con riesgo sistémico | "el umbral de 1e25 FLOP" | Nivel de obligaciones adicionales; vincula a un número estimado de 5 a 15 empresas |
Lecturas Adicionales
- Texto de la Ley de IA de la UE (Reglamento 2024/1689) — el reglamento y el cronograma
- Código de Prácticas de GPAI (10 de julio de 2025) — código de tres capítulos
- UK AI Security Institute (renombrado en feb. de 2025) — página oficial
- CSET — South Korea AI Framework Act Analysis (2025) — análisis del marco coreano