La ley de protección de datos de Egipto deja de ser un ejercicio teórico el 1 de noviembre de 2026. El Senado de Kenia debate un proyecto de Ley de Inteligencia Artificial dedicado que crearía un Comisionado de Inteligencia Artificial con la facultad de imponer multas de hasta 5 millones de chelines a los infractores. El regulador de Nigeria ya ha advertido a los responsables de datos que una auditoría de cumplimiento no presentada puede costar 10 millones de nairas o el 2% de los ingresos brutos anuales, lo que sea mayor. Sin embargo, solo 16 de los 55 Estados miembros de la Unión Africana han ratificado el único tratado destinado a armonizar todo esto, la Convención de Malabo, y ninguna de las cuatro mayores economías del continente, Sudáfrica, Nigeria, Kenia o Egipto, figura entre ellos.
Esa brecha entre la ambición continental y la realidad nacional es el rasgo que define la gobernanza de la IA y los datos en África en 2026. Los equipos de cumplimiento no pueden apoyarse en un único marco normativo como cada vez más ocurre en la UE. En su lugar, deben seguir cuatro o cinco regímenes nacionales que avanzan a ritmos distintos, una estrategia de la Unión Africana todavía en su fase inicial de implementación, y una Ley de IA de la UE cuyo alcance extraterritorial ya afecta a empresas africanas que atienden a clientes europeos.
Nada de esto es teórico. Determina si el modelo de calificación crediticia de una fintech de Lagos necesita una evaluación de impacto sobre protección de datos antes de su lanzamiento, si una empresa de tecnología sanitaria de Johannesburgo puede seguir vendiendo software de diagnóstico a un grupo hospitalario europeo, y si el sistema automatizado de decisión de préstamos de una entidad de crédito de Nairobi pronto responderá ante un regulador de IA dedicado y no solo ante una oficina de protección de datos.
¿Existe una única ley africana que regule la IA y los datos?
No. La Estrategia Continental de Inteligencia Artificial de la Unión Africana, respaldada por el Consejo Ejecutivo en Accra los días 18 y 19 de julio de 2024, marca una orientación política más que normas vinculantes, y su propio calendario de implementación establece que la Fase 1, la creación de estructuras de gobernanza y estrategias nacionales, transcurre de 2025 a 2026, mientras que la ejecución de los proyectos principales no comenzará hasta 2028. El único instrumento con fuerza legal real, la Convención de Malabo sobre Ciberseguridad y Protección de Datos Personales, entró en vigor el 8 de junio de 2023 tras la ratificación de Mauritania como decimoquinto Estado, pero en 2026 solo 16 de los 55 miembros de la UA la han ratificado. Las empresas que operan a través de fronteras en África siguen, por tanto, navegando la legislación nacional país por país, y no un régimen continental armonizado.
¿Qué exige la Ley de Protección de Datos de Nigeria en 2026?
La Ley de Protección de Datos de Nigeria de 2023 otorgó a la Comisión de Protección de Datos de Nigeria facultades sancionadoras estatutarias autónomas, reforzadas por la Directiva General de Aplicación e Implementación que entró en vigor en septiembre de 2025. Toda organización clasificada como Responsable o Encargado del Tratamiento de Datos de Importancia Mayor debe registrarse ante la Comisión y presentar un Informe Anual de Auditoría de Cumplimiento en materia de Protección de Datos, cuyo plazo ordinario vence el 31 de marzo, aunque la Comisión amplió el ciclo de presentación de 2025 hasta el 30 de mayo de 2026. Las autoridades han señalado que las sanciones por un informe de auditoría no presentado o deficiente pueden alcanzar ahora los 10 millones de nairas o el 2% de los ingresos brutos anuales, lo que sea mayor, un cambio notable respecto a la postura meramente orientativa del anterior Reglamento de Protección de Datos de Nigeria. Todavía no existe una norma específica sobre IA, por lo que la toma de decisiones automatizada que involucra datos personales se rige por las disposiciones generales de la Ley sobre tratamiento lícito y derechos de los titulares de los datos.
¿Sudáfrica regula la IA, o solo los datos?
Solo los datos, por ahora, y aun así la orientación es escasa en lo que respecta a la IA. El artículo 71 de la Ley de Protección de la Información Personal restringe las decisiones basadas exclusivamente en un tratamiento automatizado que produzcan efectos jurídicos o de importancia similar, una disposición estructuralmente cercana al artículo 22 del RGPD, pero el Regulador de la Información de Sudáfrica no había emitido, a principios de 2026, ninguna orientación específica, jurisprudencia ni posición de aplicación al respecto. El Regulador ha confirmado que publicará orientaciones sobre las evaluaciones de impacto en materia de información personal durante el ejercicio fiscal 2026/27, concebidas para servir también como vehículo de evaluación de riesgos de IA. Por separado, el Departamento de Comunicaciones y Tecnologías Digitales abrió su Borrador de Política Nacional de IA a consulta pública en abril de 2026, proponiendo un modelo de gobierno integral en el que los reguladores existentes, el Regulador de la Información, ICASA, la Comisión de Competencia y los reguladores financieros, mantienen sus mandatos actuales y se coordinan a través de un nuevo Foro Nacional de Regulación de la IA en lugar de una autoridad única de IA. Las facultades sancionadoras siguen siendo reales bajo la propia POPIA: la multa administrativa máxima es de 10 millones de rands por infracción, y el Regulador de la Información impuso su primera multa, 5 millones de rands al Departamento de Justicia y Desarrollo Constitucional, en julio de 2023.
¿Qué tan cerca está Kenia de una ley de IA dedicada?
Más cerca que la mayor parte del continente, pero todavía no ha llegado. El Proyecto de Ley de Inteligencia Artificial de Kenia de 2026, presentado por la senadora Karen Nyamu, crearía una Oficina independiente del Comisionado de Inteligencia Artificial con facultades para inspeccionar sistemas de IA, mantener un registro público de sistemas de alto riesgo y aplicar un régimen basado en riesgos inspirado en parte en la Ley de IA de la UE. El Proyecto de Ley vincula explícitamente las obligaciones para la IA de alto riesgo con la Ley de Protección de Datos de 2019 vigente, exigiendo a los proveedores realizar evaluaciones de impacto sobre protección de datos y, cuando las decisiones automatizadas produzcan efectos jurídicos o de importancia similar, garantizar un derecho a la intervención humana. Todavía necesita la aprobación de la Asamblea Nacional y la sanción presidencial antes de convertirse en ley. Hasta entonces, la Oficina del Comisionado de Protección de Datos, que opera bajo la Ley de Protección de Datos y la Estrategia Nacional de Inteligencia Artificial de Kenia 2025 a 2030, sigue siendo el único organismo que supervisa activamente el tratamiento relacionado con la IA, con facultades para investigar e imponer sanciones administrativas por infracciones.
¿Qué cambia para las empresas cuando la ley de datos de Egipto entre en pleno vigor?
La Ley de Protección de Datos Personales de Egipto, vigente desde 2020 pero nunca plenamente operativa sin normas de desarrollo, finalmente obtuvo su Reglamento de Ejecución mediante el Decreto n.º 816 de 2025 del Ministro de Telecomunicaciones, publicado en noviembre de 2025. Esa publicación inició un periodo de gracia de un año que vence el 1 de noviembre de 2026, tras el cual el Centro de Protección de Datos Personales adquiere plena autoridad para conceder licencias, inspeccionar y sancionar a las organizaciones que traten datos personales en Egipto. El Reglamento aborda la IA de forma directa pero limitada: los responsables que utilicen datos personales para entrenar u operar modelos de IA deben tratarlos conforme a estándares "reconocidos local, regional e internacionalmente", una referencia a la Carta Egipcia para una Inteligencia Artificial Responsable, no vinculante, emitida por el Consejo Nacional de Inteligencia Artificial. Egipto sigue sin contar con una norma autónoma sobre IA, por lo que la Carta funciona como orientación no vinculante superpuesta a una legislación de protección de datos de carácter obligatorio.
¿Por qué le importa la Ley de IA de la UE a una empresa sin oficina en la UE?
Porque la Ley regula los resultados, no las sedes. En virtud del artículo 2, apartado 1, letra c), la Ley de IA de la UE se aplica a los proveedores y responsables del despliegue situados fuera de la Unión siempre que el resultado de su sistema de IA se utilice dentro de ella, la misma lógica extraterritorial que convirtió al RGPD en una referencia de cumplimiento global y no meramente europea. Una fintech nigeriana que gestiona calificación crediticia mediante IA para clientes de la diáspora europea, o una empresa sudafricana de diagnóstico que licencia su software a un grupo hospitalario europeo, entran dentro del ámbito de aplicación con independencia de dónde se ubiquen sus servidores. Las obligaciones para los proveedores de modelos de IA de propósito general ya entraron en vigor en agosto de 2025, y el principal plazo de cumplimiento para los sistemas de alto riesgo, que abarca decisiones de empleo, crédito y seguros entre otras, llega el 2 de agosto de 2026. Estas obligaciones se suman, en lugar de sustituir, a la legislación nacional de protección de datos ya aplicable.
| Jurisdicción | Ley principal | Regulador | Hito 2026 |
|---|---|---|---|
| Nigeria | Ley de Protección de Datos 2023 + GAID 2025 | Comisión de Protección de Datos de Nigeria | Informes de auditoría 2025 vencen el 30 de mayo de 2026, multas de hasta 10 millones de nairas o 2% |
| Sudáfrica | POPIA, Borrador de Política Nacional de IA | Regulador de la Información | Orientación PIIA sobre IA prevista para el ejercicio fiscal 2026/27 |
| Kenia | Ley de Protección de Datos de 2019, Proyecto de Ley de IA de 2026 pendiente | Oficina del Comisionado de Protección de Datos | Proyecto de Ley de IA pendiente de aprobación de la Asamblea Nacional y sanción presidencial |
| Egipto | Ley de Protección de Datos Personales 151/2020 + Reglamento | Centro de Protección de Datos Personales | El periodo de gracia termina el 1 de noviembre de 2026, seguido de plena aplicación |
¿Qué deben hacer los equipos de cumplimiento antes de que la estrategia de la UA los alcance?
Seguir cada jurisdicción según sus propios términos en lugar de esperar una armonización continental que, según el propio calendario de la UA, no madurará antes de 2028. El Protocolo sobre Comercio Digital del AfCFTA, cuyos ocho anexos de apoyo sobre flujos de datos, identidad digital y tecnologías emergentes se adoptaron en febrero de 2025, apunta hacia una transferencia transfronteriza de datos más libre, pero su periodo de transición de cinco años implica que las normas nacionales seguirán rigiendo el cumplimiento diario durante años. Obsidian hace seguimiento de cada uno de estos regímenes, la NDPA y la GAID de Nigeria, la POPIA de Sudáfrica y su política de IA en evolución, la Ley de Protección de Datos de Kenia y su Proyecto de Ley de IA pendiente, la PDPL de Egipto y su plazo de noviembre de 2026, además de los instrumentos de la UA y del AfCFTA que se sitúan por encima, frente a sus fuentes oficiales de nivel 0, con alertas en el momento en que cambia el estado de una gaceta, un reglamento o un proyecto de ley. Para los equipos que también necesitan razonar sobre cómo interactúan estos regímenes con la Ley de IA de la UE o el RGPD, el compañero de IA de Obsidian responde preguntas a partir de esa misma base de fuentes verificadas en lugar de la conjetura de un modelo genérico, y la integración MCP coloca los mismos datos regulatorios directamente dentro de los asistentes de IA que los equipos de cumplimiento y legal ya utilizan a diario.
Los próximos doce meses separarán a las jurisdicciones que pasan del documento de política a la aplicación efectiva de las que aún están redactando normas. El periodo de gracia de Egipto termina en noviembre, el Proyecto de Ley de Kenia podría aprobarse antes de fin de año, y el Regulador de la Información de Sudáfrica se ha comprometido a publicar su primera orientación relevante en materia de IA. Esperar a que el marco continental de la Unión Africana resuelva estas diferencias no es una estrategia de cumplimiento. El seguimiento continuo por jurisdicción sí lo es, y vale la pena comprobar cuánto cuesta un plan construido exactamente para esta cobertura antes de que llegue el próximo plazo.