Perspectivas Regulatorias de Inteligencia Artificial en Nuestra Región
Por Lisandro Frene (*)
Richards, Cardinal, Tützer, Zabala & Zaefferer

En recientes encuestas importantes en el mundo del derecho (las realizadas por la International Bar Association y la Association of Corporate Counsel, por ejemplo), los abogados han identificado la Inteligencia Artificial (“IA”) como el desafío número uno al que se enfrenta nuestra profesión. Actualmente, la IA es casi la materia excluyente en todas las áreas del derecho; diría que en todas las industrias y profesiones.

 

¿Qué deberíamos esperar en Latinoamérica, en términos de regulación de IA, en los próximos meses? ¿Tendrá la Ley de IA de la Unión Europea (“UE”) un impacto concreto en nuestra región? ¿Los países sudamericanos copiarán lo sustancial de la ley de IA europea?; ¿emitirán leyes localmente diseñadas, con un enfoque diferente?; ¿o quizás dejen la cuestión sin legislación específica, como ha sucedido hasta ahora con muchas de las nuevas tecnologías? Y lo más importante, ¿Cómo deberíamos los abogados abordar las transacciones, cláusulas y políticas corporativas (‘AI Governance’) que involucran sistemas de IA?

 

Hagamos una fugaz reseña del estado legislativo actual s/ IA para poder después especular con más fundamento acerca de las tendencias avizoradas para el futuro inmediato; y las cuestiones jurídicas predominantes en cuestiones q impliquen la implementación de sistemas de IA. 

 

Status Legal Actual de la IA en Latam: Muchos países han emitido diferentes tipos de regulaciones de 'soft law': “Estrategias Nacionales”, “Marcos”, “Principios Éticos”, “Directrices para una IA confiable”, etc. En América Latina este es el caso de Argentina, Chile, Perú, Colombia, Brasil y Uruguay, por nombrar algunos. Repasemos brevemente algunos de estas normas por países para tener una idea precisa de dónde estamos parados:

 

Perú es el primer país de América Latina en contar con una Ley de IA. En 2023 se sancionó la ley N.° 31814, titulada “Ley que promueve el uso de la inteligencia artificial (IA) en favor del desarrollo económico y social del país”. Una ley declarativa, de solo 5 artículos, que proclama principios, buenas intenciones y poco más que eso. Desde mediados de 2024 se intenta reglamentar esta ley mediante un reglamento abierto a consulta para darle mayor operatividad a la norma, pero esta fuertemente controvertido justamente porque al ser tan vaga y amplia la ley, se aduce que el reglamento procura ir más allá de lo establecido por la ley, haciendo una suerte de ‘ley paralela’ en lugar de reglamentarla.

 

- En Argentina, se promulgaron 4 directivas sobre IA el año pasado:

 

  • En junio de 2023, la Subsecretaría de Tecnologías de la Información de la Jefatura de Gabinete de Ministros de la Nación publicó la Regulación 2/2023 con ‘Recomendaciones para una IA Confiable’, dirigida al sector público.
  • Argentina suscribió la ‘Recomendación sobre la Ética de la Inteligencia Artificial’ emitida por la UNESCO.
  • A través de la Regulación 161/2023, la Agencia de Acceso a la Información Pública de Argentina emitió el “Programa para la Transparencia y protección en el uso de la IA”, cuyo objetivo es “Promover procesos de análisis, regulación y fortalecimiento de las capacidades gubernamentales necesarias para acompañar el desarrollo y uso de la IA, tanto en el sector público como en el privado”.
  • La Decisión Administrativa Nacional 750/2023, recientemente modificada por la Decisión 899/2024, creó la “Mesa Interministerial sobre IA” “con el propósito de diseñar una estrategia integral al respecto para ser aplicada por el Gobierno Federal”.
  • La Comunicación “A” 7724 del Banco Central de la República Argentina, en vigor desde septiembre de 2023, actualiza los “Requisitos técnicos mínimos de ciberseguridad” que deben cumplir las entidades financieras argentinas; estableciendo -entre varios y complejos requisitos- que las entidades financieras deberán “identificar y documentar el propósito del uso, por sí mismas o por terceros, de software que utilice IA o algoritmos de aprendizaje automático en sus procesos”. Esta es una de las pocas regulaciones operativas, directamente aplicables y centradas en la industria sobre IA en América Latina.

Colombia: El 21 de agosto de 2024, la Autoridad Colombiana de Protección de Datos emitió la Regulación 2/2024, que trata sobre las “Directrices para el Tratamiento de Datos Personales mediante sistemas de IA”, que entre otras disposiciones impone la obligación de realizar una evaluación de impacto en los casos en que los sistemas de IA puedan considerarse riesgosos para dicho propósito.

 

Brasil: El Tribunal Superior Electoral de Brasil, a través de la Regulación 23.610, actualizada por la Regulación 23.732 emitida el 27 de febrero de 2024, impone restricciones y requisitos obligatorios sobre el uso de herramientas de IA en campañas electorales. Básicamente, impone deberes de transparencia cuando se utilizan sistemas de IA para publicidad política (i.e. detallando modalidades de textos legales obligatorios para las comunicaciones proselitistas que usen IA) y restringe fuertemente el uso de chatbots que simulen un "diálogo" con los candidatos.

 

Mexico, Chile (que cuenta con una “Política Nacional de IA” creada en 2021 y actualizada este año) y Uruguay (“Estrategia Nacional de IA” implementada por el Gobierno vía la “AGESIC” para promover el uso de la IA en el sector público), carecen -al igual que el resto de los países latinoamericanos antes nombrados- de una ley práctica operativa, operativa y aplicable sobre IA.

 

Como puede apreciarse, salvo por casos muy puntuales -como la regulación bancaria argentina o la electoral brasilera- todas estas las normas mencionadas establecen intenciones genéricas, abstractas y demasiado amplias. Pueden ser útiles para dar forma a futuras regulaciones, pero actualmente no tienen una implementación práctica. En casi todos estos países existen sí, varios proyectos de ley sobre IA en discusión parlamentaria, pero, en términos generales (quizás con excepción de Brasil y en menor medida Chile) con pocas posibilidades de que se promulgue una Ley de IA similar a la de la UE. Mas adelante veremos motivos posibles de esta circunstancia.

 

Unión Europea: La Ley de IA de la UE (Regulación UE 2024/1689, conocida como “EU AI Act”, en vigencia desde Agosto pasado) es una ley histórica, la primera de su tipo en este ámbito. Clasifica los sistemas de IA en categorías dependiendo de su riesgo y establece obligaciones vinculantes y programáticas en consecuencia, algunas de ellas muy específicas. Incluso prohíbe ciertas prácticas de IA. Esta última parte (prácticas de IA prohibidas) será aplicable desde febrero de 2025. A partir de entonces, comenzará a contar el plazo para todas las demás fechas legales, ya que hay un año más para que la Ley sea completamente aplicable; y otro año adicional (que finaliza en agosto de 2026) para la supervisión post-marketing, el intercambio de información y la vigilancia del mercado. Hace solo un par de meses, el Consejo de IA inició su trabajo con su primera reunión para el inicio de la efectiva implementación de la Ley de IA en la UE.

 

Estados Unidos: A diferencia de la UE, hasta ahora EE. UU., sin una ley federal de IA y con su complejo sistema de leyes estaduales, ha adoptado una metodología distinta en materia regulatoria de IA: un enfoque segmentado, con regulaciones específicas por industrias, para sectores o actividades puntuales (en oposición al enfoque genérico europeo). Ejemplos de estas regulaciones focalizadas pueden apreciarse en las siguientes leyes estaduales ya existentes en EE.UU:

 

Florida, que desde Junio de 2024 reguló la IA en las comunicaciones políticas y campañas publicitarias;

 

Michigan, con su Ley de Finanzas de Campaña de Michigan, con un alcance similar (mensajes políticos con IA), en vigencia desde febrero de 2024;

 

Utah, con su Ley de Política de IA de Utah (“UAIPA”), en vigor desde mayo de 2024 y orientada a la protección de consumidores, impone obligaciones de transparencia (“prominent, clear and conspicuous disclosure”) a las entidades que utilizan herramientas de IA generativa en mensajes publicitarios y/o interacción con consumidores (i.e. chatbots);

 

Illinois, con su “AI Video Interview Act”, orientada al derecho laboral, impone restricciones a los empleadores que utilizan sistemas de IA para entrevistar y seleccionar candidatos;

 

New York City, tiene una ley similar en la ciudad de New York, la “AI in Hiring Law”, vigente desde 2023, que también regula el uso de IA en el ámbito del derecho laboral, estableciendo obligaciones de transparencia y otras para los empleadores que utilizan herramientas de IA en la selección y/o análisis de candidatos o empleados;

 

California: En Septiembre de este año fue sancionada la “California AI Transparency Act” (que entrará en vigencia en enero de 2026) que -muy resumidamente- obliga a los proveedores de IA generativa a que pongan a disposición gratuitamente para los usuarios de sus sistemas de IA una herramienta de detección de IA; y ofrezcan a los adquirentes de los mismos la opción de incluir una herramienta que permita la divulgación manifiesta o latente -a opción del adquirente- de que el contenido es generado por IA. Hay aristas jurídicamente muy interesantes en esta norma, como las definiciones mismas de “IA” o las de “latent disclosure” o “manifest disclousure”, pero exceden el objeto de este artículo.

 

Colorado se presenta hasta ahora como una excepción dentro de EE. UU., ya que en mayo de este año promulgó la primera ley integral de IA en el país, aplicable solo a las empresas dentro de dicho estado y recién a partir de 2026, centrada en “Sistemas de IA de alto Riesgo” y con varios puntos en común con la EU IA Act.

 

Políticas Corporativas Sobre IA: Mientras discurren las discusiones sobre políticas regulatorias de IA, el uso de esta última crece exponencialmente. El derecho suele correr detrás de los hechos, casi siempre ha sido así, solo que en esta materia se hace casa vez más evidente por el contraste entre la rapidez del avance tecnológico y la lentitud regulatoria. Durante los últimos 3 años, las empresas han estado utilizando sistemas de IA, desarrollando sus propias políticas y cláusulas, a veces orgánicamente, otras veces de hecho. Se han implementado cambios sustanciales en cláusulas sobre propiedad intelectual (particularmente complejas en los sistemas de IA generativa), confidencialidad, privacidad de datos, cumplimiento de regulaciones locales obligatorias, ciberseguridad, limitación de responsabilidad, indemnidad; y por supuesto, las "declaraciones y garantías ". Los estándares contractuales sobre estos temas han ido cambiando -y continúan haciéndolo- en función de las nuevas y muchas veces inesperadas contingencias que plantea el uso de sistemas de IA.

 

Tendencia Regulatorias para 2025. Con el escenario legislativo antes reseñado, ¿Qué cabrá razonablemente esperar en Latinoamérica, en términos de regulación de IA para el próximo año?

 

En términos muy generales, considero bastante improbable que los países de Latinoamérica adopten el modelo de la Ley de IA de la UE. Esta norma pionera tendrá su impacto, por supuesto, especialmente a partir de 2026; pero personalmente dudo mucho que tenga la fuerte influencia que tuvo el Reglamento General de Datos Personales (GDPR) de la EU, por citar un ejemplo análogo. Con algunas excepciones como podría llegar a ser Brasil o quizás Chile, los países latinoamericanos parecen estar, por ahora, adoptando un enfoque normativo más segmentado respecto de la IA, con una metodología legal diferente del de la UE: normas particulares que regulan usos específicos de la IA para áreas del derecho, industrias o incluso circunstancias puntuales (en oposición al enfoque integral y omnicomprensivo de la Ley de IA europea).

 

Pienso que, por el momento, en términos prácticos, existe en Latinoamérica una renuencia -por así decirlo- a contar con una ley genérica sobre IA. Varias circunstancias podrían aducirse al respecto. Todos estaremos de acuerdo en que la IA es bastante nueva en términos de regulación. En nuestra región hay varios países que están muy rezagados en el mundo en términos de legislación sobre IT (en Argentina, así como en muchos otros países sudamericanos, por ejemplo, ni siquiera tenemos leyes que regulen la responsabilidad de los Proveedores de Servicios de Internet). Se ha alegado también que una ley genérica de IA se volvería obsoleta en pocos años, y que pretender ‘regular la IA sería como pretender regular la química’, entre muchas otras razones que exceden el marco de este artículo. Pero en esencia, creo que hay dos factores clave que, de momento, influyen decisivamente en contra de una ley genérica sobre IA en los países sudamericanos:

 

- Las grandes empresas tecnológicas (y también las medianas vinculadas con el sector tecnológico) están en contra de tales leyes genéricas sobre IA; y

 

- Los requisitos de leyes genéricas como la Ley de IA de la UE serían caros y difíciles de implementar, incluso para las autoridades gubernamentales que deban controlar su cumplimiento. Esto representa un serio obstáculo en países con economías débiles, que desean atraer inversiones extranjeras; y en los que sus empresas encontrarían dificultades para cumplir con obligaciones legales sobre IA que son complejas y costosas.

 

Estos motivos (entre otros y en un contexto distinto) fueron argumentados por quienes respaldaron el controvertido veto -que finalmente ocurrió, el 29 de Septiembre de este año- a la ley Californiana de Seguridad de Inteligencia Artificial.

 

A diferencia de lo sucedido en la UE, es probable que en 2025 en Latinoamérica presenciemos un panorama legislativo con un enfoque más gradual y segmentado de la IA (con las posibles excepciones de Brasil y quizás Chile, antes apuntadas). Algo más parecido a lo que ya estamos experimentando en EE.UU a nivel estadual y en casos puntuales en otros países: regulaciones sobre usos específicos de IA focalizadas por industria, fundamentalmente en las áreas de finanzas, salud, consumidor, laboral y privacidad de datos.

 

Desde ya que cada país vive su propia circunstancia político-legislativa; y que cambios regulatorios globales (por ej., el grado de impacto de la EU AI Act desde 2026) podrían precipitar distintas tendencias en nuestra región. De momento, este enfoque sectorizado en cuanto a la regulación de la IA parece ser el más probable y el que mejor se adapta a la realidad actual de los países latinoamericanos.

 

 

RICHARDS CARDINAL TÜTZER ZABALA & ZAEFFERER S.C.
Ver Perfil
Citas

(*) socio a cargo del Departamento de IT en Richards, Cardinal, Tuzer, Zabala & Zaefferer SC, Chair del subcomité de Plataformas Digitales de la International Bar Association (IBA), ex Chair del Subcomité de Inteligencia Artificial de la International Bar Association; y profesor de privacidad de datos en la Facultad de Derecho de la Universidad Austral.

Opinión

RIGI. Un incentivo a largo plazo
Por Maximiliano Zatta (*)
Eskenazi Corp
detrás del traje
Martín Chindamo
De CEROLINI & FERRARI ABOGADOS
Nos apoyan