Normativa mundial sobre IA y su impacto en la gestión de riesgos de terceros

Los gobiernos y organismos normativos de todo el mundo han comenzado a responder a las tecnologías de IA con nuevas normativas y marcos de cumplimiento, lo que tendrá un amplio impacto en la gestión de riesgos de terceros en el futuro.

Matthew Delman
Matthew Delman Abril 3, 2025 15 minutos de lectura
Regulaciones globales sobre IA TPRM
La tecnología de inteligencia artificial está siendo regulada en todo el mundo. Los organismos reguladores han propuesto o finalizado documentos que hacen hincapié en restricciones absolutas, desarrollo consciente y procesos de aprobación. Los diferentes enfoques en múltiples geografías crean un mosaico de complejidad regulatoria para los gestores de riesgos de terceros y los profesionales de la ciberseguridad que buscan lograr un equilibrio entre el aumento de la eficiencia y el desarrollo responsable.

En esta publicación se examinarán los avances normativos y las directrices en materia de IA de los Estados Unidos, el Reino Unido, la Unión Europea y Canadá. Además, se analizará el impacto de cada normativa en el panorama de la gestión de riesgos de terceros.

Ley de Inteligencia Artificial de la Unión Europea

El 1 de agosto de 2024 entró en vigor la Ley de IA de la UE. Esta legislación convierte a los reguladores europeos en los primeros en contar con leyes exhaustivas que regulan la IA generativa y cualquier desarrollo futuro de la IA. No es algo inusual para Europa. En 2016, fueron los primeros en contar con normas exhaustivas de privacidad de datos con el Reglamento General de Protección de Datos (RGPD). La Ley de IA marca la continuación del bloque como líder mundial con normativas ejemplares.

La Ley de Inteligencia Artificial de la Unión Europea, oficialmente denominada «Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión», se propuso inicialmente en 2021.

Las normas de esta ley están diseñadas para:

  • Abordar los riesgos específicos creados por las aplicaciones de IA.
  • Proponer una lista de aplicaciones de alto riesgo.
  • Establecer requisitos claros para los sistemas de IA destinados a aplicaciones de alto riesgo.
  • Definir obligaciones específicas para los usuarios de IA y los proveedores de aplicaciones de alto riesgo.
  • Proponer una evaluación de conformidad antes de que el sistema de IA se ponga en servicio o se comercialice.
  • Proponer la aplicación de la ley después de que dicho sistema de IA se haya comercializado.
  • Proponer una estructura de gobernanza a nivel europeo y nacional.

El Parlamento Europeo adoptó un enfoque basado en el riesgo para la regulación. Definió cuatro categorías de riesgo, esbozadas mediante un modelo piramidal como se muestra a continuación.

Fuente: Comisión Europea 
Fuente: Comisión Europea

Estos cuatro niveles se definen como:

  • Riesgo inaceptable: este nivel se refiere a cualquier sistema de IA que la UE considere una amenaza clara para la seguridad, los medios de vida y los derechos de los ciudadanos de la UE. Dos ejemplos son la puntuación social por parte de los gobiernos, que parece prohibir uno de los usos comunes de la IA en China, y los juguetes que utilizan la asistencia por voz para fomentar comportamientos peligrosos.
  • Alto riesgo: los sistemas de IA marcados como de alto riesgo son aquellos que pueden operar en casos de uso que son cruciales para la sociedad. Esto puede incluir la IA utilizada en el acceso a la educación, las prácticas laborales, la aplicación de la ley, el control fronterizo y la inmigración, las infraestructuras críticas, el acceso a la educación y otras situaciones en las que se puedan vulnerar los derechos de las personas.
  • Riesgo limitado: esta categoría se refiere a las aplicaciones de IA con obligaciones específicas de transparencia. Piensa, por ejemplo, en un chatbot en un sitio web. En ese caso concreto, los consumidores deben ser conscientes de que están interactuando con un programa de software o una máquina, para que puedan tomar decisiones informadas sobre si participar o no.
  • Riesgo mínimo: también denominados «sin riesgo», son sistemas de IA utilizados en medios como videojuegos o filtros de correo basura habilitados para IA. Parece ser que estos constituyen la mayor parte de la IA actual en la UE.

Los sistemas de IA de alto riesgo deben cumplir unas normas específicas y estrictas antes de poder salir al mercado. Según el documento de la UE sobre la Ley de IA, los sistemas de alto riesgo deben cumplir las siguientes normas:

  • Sistemas adecuados de evaluación y mitigación de riesgos;
  • Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios.
  • Registro de la actividad para garantizar la trazabilidad de los resultados.
  • Documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades puedan evaluar su conformidad.
  • Información clara y adecuada para el usuario;
  • Medidas adecuadas de supervisión humana para minimizar el riesgo.
  • Alto nivel de solidez, seguridad y precisión.

Todos los sistemas biométricos remotos, por ejemplo, se consideran de alto riesgo. El uso de la biometría remota en espacios públicos para la identificación (por ejemplo, el reconocimiento facial) en la aplicación de la ley estará prohibido en virtud de esta ley.

La Ley de IA establece un marco jurídico para revisar y aprobar aplicaciones de IA de alto riesgo, con el objetivo de proteger los derechos de los ciudadanos, minimizar los sesgos en los algoritmos y controlar los impactos negativos de la IA.

¿Qué implica la Ley de IA de la UE para los programas de gestión de riesgos de terceros?

Las empresas ubicadas en la UE o aquellas que hacen negocios con organizaciones de la UE deben conocer y cumplir con las leyes tras el periodo de notificación aplicable. Dada la amplia definición de «alto riesgo» en la ley, puede ser conveniente hacer preguntas más concretas a los proveedores y distribuidores sobre cómo utilizan la IA y cómo cumplen con las demás normativas pertinentes.

Las organizaciones también deben examinar minuciosamente sus propias prácticas de implementación de la IA. Siguen siendo aplicables otras leyes tecnológicas europeas, por lo que las organizaciones que deban cumplir con el RGPD también deben explorar formas de integrar el cumplimiento de la Ley de IA en su flujo de trabajo.

Gobernanza de la inteligencia artificial en los Estados Unidos

Aunque actualmente no existen regulaciones federales oficiales sobre IA en los Estados Unidos, los organismos de normalización han publicado amplias directrices en forma de marcos de gobernanza y la administración actual ha publicado recientemente un memorándum sobre el uso federal de la IA, centrado en la innovación, la gobernanza y la confianza pública. Mientras tanto, numerosas jurisdicciones de todo el país han propuesto y promulgado leyes que abordan múltiples casos de uso de la IA.

El Marco de Gestión de Riesgos de IA (AI RMF) del Instituto Nacional de Estándares y Tecnología (NIST), presentado en enero de 2023, proporciona una metodología para elaborar una estrategia de gobernanza de la IA dentro de su organización. Siguiendo este marco general, el 26 de julio de 2024, el NIST publicó el NIST-AI-600-1, Marco de gestión de riesgos de la inteligencia artificial: Perfil de la inteligencia artificial generativa. Este perfil profundiza en los riesgos específicos asociados a la IA generativa y destaca las medidas recomendadas para gestionar esos riesgos en consonancia con el AI RMF.

El RMF de IA del NIST y la gestión de riesgos de terceros

El marco de IA del NIST ofrece orientación sobre cómo elaborar una estrategia de gobernanza de la IA en su organización. El RMF se divide en dos partes. La parte 1 incluye una descripción general de los riesgos y las características de lo que el NIST denomina «sistemas de IA fiables». La parte 2 describe cuatro funciones que ayudan a las organizaciones a abordar los riesgos de los sistemas de IA: gobernar, mapear, medir y gestionar. La siguiente ilustración repasa las cuatro funciones.

Ilustración de los dominios de gobernanza del NIST AI RMF con los colores corporativos de Mitratech.
Las funciones del marco de gestión de riesgos de IA del NIST. 

Las organizaciones deben tener en cuenta los principios de gestión de riesgos para minimizar los posibles impactos negativos de los sistemas de IA, como las alucinaciones, la privacidad de los datos y las amenazas a los derechos civiles. Esta consideración también se extiende al uso de sistemas de IA de terceros o al uso de sistemas de IA por parte de terceros. Los posibles riesgos del uso indebido de la IA por parte de terceros incluyen:

  • Vulnerabilidades de seguridad en la propia aplicación de IA. Sin una gobernanza y unas medidas de protección adecuadas, su organización podría verse expuesta a riesgos para el sistema o los datos.
  • Falta de transparencia en las metodologías o mediciones del riesgo de la IA. Las deficiencias en la medición y la notificación podrían dar lugar a una subestimación del impacto de los posibles riesgos de la IA.
  • Políticas de seguridad de IA que son incompatibles con otros procedimientos de gestión de riesgos existentes. La incompatibilidad da lugar a auditorías complicadas y que requieren mucho tiempo, lo que podría acarrear posibles consecuencias negativas en materia legal o de cumplimiento normativo.

Según el NIST, el RMF ayudará a las organizaciones a superar estos riesgos potenciales.

Gobernanza de la IA basada en el estado

En lugar de una legislación federal, muchos estados individuales están implementando regulaciones en torno a la inteligencia artificial. Otros estados, como Massachusetts, han aclarado cómo se aplican sus leyes existentes a los desarrolladores, proveedores y usuarios de inteligencia artificial. Entre las leyes estatales sobre gobernanza de la IA recientemente promulgadas se encuentran la Ley de Política de IA de Utah, que entró en vigor en mayo de 2024, la Ley de IA de Colorado (en vigor desde febrero de 2026) y las leyes AB 2013 y SB 942 de California (en vigor desde enero de 2026). Estas leyes exigen una mayor transparencia en el desarrollo y el uso de los sistemas de IA, requieren una información clara para los consumidores y prohíben explícitamente la discriminación algorítmica.

Algunos temas comunes incluyen:

  • Transparencia y divulgación clara: Verificar que nuestros proveedores divulguen claramente el uso de la IA y sean sinceros con los consumidores sobre las decisiones importantes impulsadas por la IA.
  • Equidad y no discriminación: Evaluar si los proveedores comprueban y abordan periódicamente los sesgos algorítmicos.
  • Documentación y evaluaciones de impacto: Se requiere documentación detallada sobre el cumplimiento, incluyendo conjuntos de datos de formación, evaluaciones de impacto y prácticas de protección del consumidor.
  • Protección de datos: Haga hincapié en los controles de seguridad que los proveedores deben implementar para proteger la información personal.
  • Alineación normativa: Animar a los proveedores a alinearse con normas reconocidas (como el Marco de gestión de riesgos de IA del NIST) para facilitar el cumplimiento normativo.

Las regulaciones estatales actuales pueden aplicarse a la inteligencia artificial.

El 16 de abril de 2024, el fiscal general de Massachusetts aclaró que las leyes vigentes de protección al consumidor se aplican a la IA. La guía advierte contra las afirmaciones falsas sobre las capacidades, la fiabilidad o la seguridad de los sistemas de IA y refuerza el cumplimiento de las leyes de privacidad y antidiscriminación. También destaca los requisitos de divulgación en virtud de la Ley de Igualdad de Oportunidades de Crédito cuando se utiliza la IA en las decisiones crediticias. Los gestores de riesgos externos deben esperar tendencias de aplicación similares en otros estados y asegurarse de que las herramientas de IA de los proveedores cumplan con las normas legales y éticas.

Los equipos de gestión de riesgos deben verificar que los proveedores externos revelen claramente cuándo los clientes interactúan con la IA, comprueben periódicamente que sus sistemas no presenten sesgos y cumplan con las estrictas normas de protección del consumidor y seguridad de los datos. El uso de normas como el Marco de Gestión de Riesgos de IA del NIST puede ayudar a mitigar los riesgos de responsabilidad civil en virtud de estas nuevas regulaciones.

Proyecto de ley sobre regulación de la inteligencia artificial del Reino Unido

En el Reino Unido, Lord Holmes de Richmond presentó un Proyecto de ley sobre regulación de la IA en la Cámara de los Lores. Este es el segundo proyecto de ley presentado en el Parlamento destinado a regular el uso de la inteligencia artificial en el Reino Unido. El factura inicial, que abordaba tanto la IA como los derechos de los trabajadores, se presentó en la Cámara de los Comunes hacia el final de la sesión legislativa de 2022 a 2023, pero se suspendió en mayo de 2023 debido a la conclusión de la sesión.

Este nuevo proyecto de ley sobre IA, presentado en noviembre de 2023, tiene un enfoque más amplio. Lord Holmes presentó la normativa para establecer ciertas salvaguardias en torno al desarrollo de la IA y definir quién sería responsable de establecer las futuras restricciones legislativas sobre la IA en el Reino Unido.

Hay algunas características clave del proyecto de ley, que tuvo su primera lectura en la Cámara de los Lores el 22 de noviembre de 2023. Entre ellas se incluyen:

  • La creación de una Autoridad de IA encargada principalmente de garantizar un enfoque coherente en materia de inteligencia artificial en todo el Gobierno del Reino Unido. También se encarga de adoptar un enfoque prospectivo en materia de IA y de garantizar que cualquier marco regulador futuro se ajuste a los marcos internacionales.
  • La definición de los principios reguladores clave, que establecen las salvaguardias en torno a las regulaciones que la Autoridad de IA propuesta puede y debe crear. Según el proyecto de ley, cualquier regulación de IA que se establezca debe adherirse a los principios de transparencia, responsabilidad, gobernanza, seguridad, equidad y competitividad. El proyecto de ley también señala que las aplicaciones de IA deben cumplir con la legislación en materia de igualdad, ser inclusivas por diseño y satisfacer las necesidades de «las clases socioeconómicas más bajas, las personas mayores y las personas con discapacidad».
  • Definir la necesidad de establecer entornos de pruebas reguladores que permitan a los reguladores y las empresas colaborar para probar de manera eficaz nuevas aplicaciones de inteligencia artificial. Estos «entornos de pruebas» también pueden ofrecer a las empresas una forma de comprender y determinar las medidas de protección adecuadas para los consumidores a la hora de hacer negocios en el Reino Unido.
  • Promover la figura del responsable de IA en cada empresa que desee hacer negocios en el Reino Unido. La función de este responsable es garantizar que cualquier aplicación de IA en la empresa sea lo más imparcial y ética posible, al tiempo que se asegura de que los datos utilizados en la IA sigan siendo imparciales.
  • Directrices sobre transparencia, obligaciones en materia de propiedad intelectual y etiquetado, que estipulan que las empresas que utilizan IA deben proporcionar un registro de todos los datos de terceros utilizados para entrenar su modelo de IA, cumplir con todas las leyes pertinentes en materia de propiedad intelectual y derechos de autor, y etiquetar claramente su software como software que utiliza IA. Este componente también concede a los consumidores el derecho a optar por que sus datos no se utilicen en el entrenamiento de modelos de IA.

Esta propuesta de reglamento se encuentra aún en las primeras fases de negociación. Podría adoptar una forma muy diferente tras la segunda lectura en la Cámara de los Lores, seguida de una lectura posterior en la Cámara de los Comunes.

Dependiendo de la parte del proyecto de ley que supere el proceso legislativo, podría tener un impacto sustancial en cómo se utiliza la IA en el Reino Unido, cómo se entrenan los modelos y la transparencia del proceso general de recopilación de datos. Cada una de estas áreas tiene un impacto directo en el uso de tecnologías de IA por parte de terceros proveedores o distribuidores.

Ley de Inteligencia Artificial y Datos (Canadá)

En junio de 2022, el Gobierno de Canadá comenzó a estudiar la Ley de Inteligencia Artificial y Datos (AIDA) como parte del proyecto de ley C-27, la Ley de Implementación de la Carta Digital de 2022. El proyecto de ley C-27, de mayor alcance, tiene por objeto modernizar la legislación vigente en materia de privacidad y tecnología digital. Incluye tres subleyes: la Ley de Protección de la Privacidad del Consumidor, la Ley de Inteligencia Artificial y Datos y la Ley del Tribunal de Protección de Datos y Información Personal.

El objetivo principal de la AIDA es añadir coherencia a las regulaciones sobre IA en todo Canadá. En el documento complementario de la ley se identifican algunas lagunas normativas, tales como:

  • Mecanismos como las comisiones de derechos humanos proporcionan reparación en casos de discriminación. Sin embargo, es posible que las personas que sufren el sesgo de la IA nunca se den cuenta de que ha ocurrido.
  • Dada la amplia gama de usos de los sistemas de IA en toda la economía, muchos casos de uso sensibles no entran dentro del ámbito de competencia de los reguladores sectoriales existentes.
  • Se necesitan normas mínimas, una mayor coordinación y conocimientos especializados para garantizar una protección coherente a los canadienses en todos los contextos de uso.

La ley se encuentra actualmente en fase de debate, y el Gobierno canadiense prevé que se tardará aproximadamente dos años en aprobarla y ponerla en práctica. En el documento complementario a la AIDA se identificaron seis principios fundamentales, que se resumen en la siguiente tabla:

Principio rector Cómo lo describe AIDA Lo que podría significar para TPRM
Supervisión y control humanos La supervisión humana significa que los sistemas de IA de alto impacto deben diseñarse y desarrollarse de manera que las personas que gestionan las operaciones del sistema puedan ejercer una supervisión significativa. Esto incluye un nivel de interpretabilidad adecuado al contexto.

La supervisión, mediante la medición y la evaluación de los sistemas de IA de alto impacto y sus resultados, es fundamental para respaldar una supervisión humana eficaz.

 Los proveedores y distribuidores deben establecer métodos fácilmente medibles para supervisar el uso de la IA en sus productos y flujos de trabajo.

Tras la posible aprobación de la AIDA, las organizaciones deberán comprender cómo sus terceros supervisan el uso de la IA e incorporar la IA en sus políticas generales de gobernanza y supervisión.

Otra forma de garantizar una supervisión y un control humanos más exhaustivos es incorporar revisiones humanas en los flujos de trabajo de generación de informes para comprobar la precisión y la imparcialidad.
Transparencia La transparencia significa proporcionar al público información adecuada sobre cómo se utilizan los sistemas de IA de alto impacto.

La información proporcionada debe ser suficiente para que el público comprenda las capacidades, limitaciones y posibles repercusiones de los sistemas.

 Las organizaciones deberían preguntar a sus proveedores y distribuidores cómo utilizan la IA y qué tipo de datos se incluyen en los modelos. También deben estar al tanto de cómo se integra.
Justicia y equidad La imparcialidad y la equidad implican crear sistemas de IA de alto impacto siendo conscientes de la posibilidad de que se produzcan resultados discriminatorios.

Se deben tomar las medidas adecuadas para mitigar los resultados discriminatorios para las personas y los grupos.

 Las organizaciones deben preguntar cómo controlan sus terceros los posibles sesgos en el uso de la IA.

Podría haber un impacto adicional en términos de nuevas regulaciones ESG netas.
Seguridad La seguridad implica que los sistemas de IA de alto impacto deben evaluarse de forma proactiva para identificar los daños que podrían derivarse de su uso, incluido el uso indebido razonablemente previsible.

Se deben tomar medidas para mitigar el riesgo de daños.

 AIDA podría introducir nuevas regulaciones sobre el uso de datos en el contexto de la IA.

Prepárese para nuevos requisitos de seguridad en las herramientas de IA y asegúrese de que los proveedores actuales y potenciales respondan a preguntas sobre la seguridad del uso de la IA, incluyendo controles básicos como la seguridad de los datos, la gestión de activos y la gestión de identidades y accesos.
Rendición de cuentas La rendición de cuentas significa que las organizaciones deben establecer los mecanismos de gobernanza necesarios para garantizar el cumplimiento de todas las obligaciones legales de los sistemas de IA de alto impacto en el contexto en el que se utilizarán.

Esto incluye la documentación proactiva de las políticas, los procesos y las medidas implementadas.

 Es probable que se aprueben nuevas regulaciones, lo que llevará a las empresas a consultar con terceros sobre el cumplimiento de los nuevos requisitos y mandatos de presentación de informes.
Validez y solidez La validez significa que un sistema de IA de alto impacto funciona de manera coherente con los objetivos previstos.

La robustez significa que un sistema de IA de alto impacto es estable y resistente en diversas circunstancias.

 Las organizaciones deben preguntar a sus terceros sobre cualquier problema de validez con los modelos de IA en sus operaciones, una preocupación que puede ser relevante para los proveedores de tecnología y que podría extenderse a la cadena de suministro física.

En última instancia, el Gobierno canadiense está estudiando detenidamente cómo regular el uso de la IA en todo el país. Habrá nuevos mandatos y leyes que cumplir, pase lo que pase. Por lo tanto, tiene sentido que las empresas que operan en Canadá o que trabajan con empresas canadienses comprendan los requisitos que se avecinan a medida que se acerca la aprobación de la AIDA.

Reflexiones finales: Regulaciones sobre IA y gestión de riesgos de terceros

Los gobiernos de todo el mundo están debatiendo activamente cómo regular la tecnología de inteligencia artificial y su desarrollo. Los debates normativos se han centrado en casos de uso específicos identificados como los que podrían tener un mayor impacto a nivel social, lo que sugiere que las leyes sobre IA abordarán una combinación de cuestiones relacionadas con la privacidad, la seguridad y los criterios ESG.

Estamos viendo rápidamente cómo las organizaciones de todo el mundo deben adaptar sus programas de gestión de riesgos de terceros a la tecnología de IA. Las empresas están integrando rápidamente la IA en sus operaciones, y los gobiernos responderán de la misma manera. En este momento, adoptar un enfoque más cauteloso y considerado con respecto a la IA en las operaciones y hacer preguntas a los proveedores y distribuidores es la opción correcta para los gestores de riesgos de terceros.

Para obtener más información sobre cómo Mitratech incorpora tecnologías de IA en nuestras soluciones de gestión de riesgos de terceros para garantizar la transparencia, la gobernanza y la seguridad, descargue el informe técnico «Cómo aprovechar el poder de la IA en la gestión de riesgos de terceros » o solicite una demostración hoy mismo.

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.