El 22 de enero de 2026 entró en vigor la AI Basic Act de Corea del Sur, convirtiéndola en el primer país del mundo con una ley horizontal integral sobre IA fuera de la Unión Europea. Tres semanas antes, la enmienda a la Cybersecurity Law de China ya había elevado el techo de las multas relacionadas con la IA a 50 millones de yuanes o el 5% de la facturación del año anterior. Solo en febrero de 2026, los reguladores chinos sancionaron 13.421 cuentas y eliminaron más de 543.000 piezas de contenido por no etiquetar material generado por IA conforme al estándar nacional obligatorio GB 45438-2025.
En ningún otro lugar la regulación de la IA y de los datos avanza a este ritmo, ni en tantas direcciones a la vez. China aplica la ley mediante campañas al estilo de barridas bajo leyes de ciberseguridad y de datos ya existentes, en lugar de multas específicas de IA. Japón optó por una ley promocional sin sanciones directas de ningún tipo. Corea del Sur legisló primero, pero retrasó un año su propia aplicación. India notificó su largamente esperado reglamento de protección de datos, pero postergó las obligaciones sustantivas hasta mayo de 2027. Singapur, Australia y Hong Kong siguen trabajando con marcos voluntarios, documentos de consulta y proyectos de enmienda estancados.
Para un equipo de cumplimiento que cubre la región, la pregunta práctica nunca es "¿tiene este país una ley de IA?". Es qué instrumento resulta realmente exigible hoy, contra qué conducta, y en qué fecha eso cambia.
¿Qué países de Asia-Pacífico aplican activamente hoy reglas específicas de IA?
China es el único que opera una maquinaria de sanciones y cierres construida específicamente en torno al contenido y los modelos de IA, mientras que Corea del Sur tiene una ley específica de IA en vigor pero en pausa. Las Interim Measures for the Administration of Generative AI Services de China, en vigor desde el 15 de agosto de 2023, exigen que todo servicio de IA generativa de acceso público complete una evaluación de seguridad y un registro de algoritmos ante la Cyberspace Administration of China antes de su lanzamiento. Al 17 de marzo de 2026, 796 servicios se habían registrado a nivel nacional y 481 más a nivel local. A los proveedores que omiten el registro se les ordena desconectarse; el modelo de campaña "Qinglang", cuya acción especial más reciente duró cuatro meses desde abril de 2026 y estuvo dirigida a modelos grandes no registrados y contenido sintético sin etiquetar, aplica la CSL, la Personal Information Protection Law y la Data Security Law, en lugar de las propias Generative AI Measures, cuyo techo sancionador propio no supera los 100.000 yuanes.
La AI Basic Act de Corea del Sur, en vigor desde el 22 de enero de 2026, establece multas administrativas de hasta 30 millones de wones por no notificar a los usuarios que interactúan con IA, por no designar un representante local, o por incumplir una orden correctiva. El Ministerio de Ciencia y TIC aplica un período de gracia formal de un año sobre las investigaciones de comprobación de hechos y las multas, reservado en ese intervalo a casos que impliquen un daño social grave o violaciones de derechos humanos, con la aplicación normal prevista a partir de alrededor del 22 de enero de 2027.
¿Qué exige realmente a las empresas la AI Promotion Act de Japón?
Casi nada exigible directamente, y ese es precisamente el objetivo. La Act on Promotion of Research and Development, and Utilization of AI-related Technology se promulgó el 28 de mayo de 2025 y entró plenamente en vigor el 1 de septiembre de 2025, estableciendo un AI Strategic Headquarters presidido por el primer ministro y ordenando un AI Basic Plan, adoptado el 23 de diciembre de 2025. La ley no contiene multas ni prohibiciones directas; las únicas herramientas del gobierno son las solicitudes de cooperación, las orientaciones y la divulgación pública de conductas no conformes.
Las obligaciones vinculantes para el despliegue de IA en Japón siguen proviniendo del derecho sectorial existente, principalmente de la Act on the Protection of Personal Information (APPI), junto con las AI Governance Guidelines for Business no vinculantes del METI y el MIC (versión 1.1, marzo de 2025). El Cabinet Office completó en enero de 2026 una consulta pública sobre unos Principles and Code on Generative AI, que se espera se publiquen como orientación adicional no vinculante sobre propiedad intelectual y transparencia de datos. En 2026, una empresa que opera IA en Japón es evaluada por su cumplimiento de la APPI y su alineación con las directrices voluntarias, no por la propia AI Act.
¿Qué cambia para el cumplimiento de datos personales en India entre ahora y 2027?
Las Digital Personal Data Protection Rules, 2025, notificadas el 13 de noviembre de 2025 en virtud de la DPDP Act 2023, entran en vigor en tres fases separadas en lugar de todas a la vez. Las Rules 1, 2 y 17 a 21, relativas a la creación del Data Protection Board y a su arquitectura normativa, surtieron efecto de inmediato el 13 de noviembre de 2025. La Rule 4, el marco de registro de los Consent Manager, y la correspondiente Section 6(9), entran en vigor el 13 de noviembre de 2026. Las obligaciones centrales que la mayoría de los equipos de cumplimiento están realmente esperando (los requisitos de aviso y consentimiento, la notificación de brechas, las protecciones de datos de menores, los deberes de los Significant Data Fiduciary, y la arquitectura de sanciones y recursos previstas en las Sections 3 a 17 y 28 a 34) no entran en vigor hasta el 13 de mayo de 2027.
Ese margen de dieciocho meses es deliberado, pero también es una trampa para los equipos que tratan la DPDP Act como "algo que todavía no es real". El Board ya está operativo y la elaboración normativa está activa ahora mismo; los sistemas construidos para resistir el escrutinio después de mayo de 2027 deben diseñarse durante 2026, no ensamblarse en el último trimestre antes del plazo.
¿Cómo regula Singapur la IA sin una ley de IA vinculante?
Enteramente mediante marcos voluntarios emitidos por la Infocomm Media Development Authority, ampliados más recientemente para cubrir agentes de IA autónomos. El Model AI Governance Framework for Agentic AI, lanzado el 22 de enero de 2026, es el primer marco de gobernanza en el mundo dirigido específicamente a sistemas agénticos, construido alrededor de cuatro dimensiones: acotar el riesgo desde el inicio mediante la selección de casos de uso y el acceso de mínimo privilegio, asignar una responsabilidad humana clara, incorporar controles técnicos a lo largo del ciclo de vida del agente, y habilitar la responsabilidad del usuario final. Nada de esto es jurídicamente vinculante, pero la IMDA ha declarado que la alineación con el marco ayuda a gestionar la exposición legal, ya que las organizaciones que despliegan IA agéntica siguen siendo responsables de sus acciones conforme al derecho vigente, independientemente del carácter voluntario del marco.
Singapur superpone esto al Model AI Governance Framework for Generative AI de 2024 y al conjunto de herramientas de pruebas AI Verify, desarrollado conjuntamente con la Personal Data Protection Commission. En febrero de 2026, el primer ministro Lawrence Wong anunció un nuevo National AI Council y un conjunto de National AI Missions dirigidas a la manufactura, la conectividad, las finanzas y la salud, señalando que la apuesta regulatoria de Singapur a corto plazo sigue siendo el derecho blando combinado con misiones sectoriales, en lugar de una ley horizontal de IA.
¿Qué resulta realmente exigible en Australia y Hong Kong en este momento?
En Australia ya hay una fecha límite concreta en el calendario: a partir del 10 de diciembre de 2026, la Privacy and Other Legislation Amendment Act 2024 exige a las entidades sujetas a las APP que divulguen, en sus políticas de privacidad, los tipos de información personal utilizados por cualquier programa informático que tome, o respalde de manera sustancial y directa, una decisión capaz de afectar significativamente los derechos o intereses de una persona. La obligación abarca tanto a los sistemas habilitados por IA como a las herramientas basadas en reglas, se aplica incluso cuando un humano permanece formalmente en el proceso, y alcanza a las decisiones tomadas a partir de esa fecha, sin importar cuándo se haya desplegado el sistema subyacente. La Office of the Australian Information Commissioner abrió una consulta pública sobre la guía de implementación el 18 de mayo de 2026, que cerró el 15 de junio de 2026, con la guía definitiva prevista para septiembre de 2026, dejando a las entidades a comenzar el trabajo de cumplimiento sin ella.
Hong Kong no tiene un plazo equivalente. Las enmiendas propuestas a la Personal Data (Privacy) Ordinance, incluida la notificación obligatoria de brechas, multas administrativas vinculadas a la facturación, y la regulación directa de los procesadores de datos, se debatieron en el Legislative Council en 2025 pero, a mediados de 2026, siguen siendo propuestas y no ley promulgada, presuntamente estancadas por preocupaciones sobre la carga que impondrían a las empresas. En su ausencia, el Privacy Commissioner for Personal Data regula la IA mediante el no vinculante Model Personal Data Protection Framework de 2024 y una lista de verificación de marzo de 2025 para el uso de IA generativa por parte de empleados, mientras que la, por otra parte, no relacionada Protection of Critical Infrastructures (Computer Systems) Ordinance entró en pleno vigor el 1 de enero de 2026, añadiendo deberes de ciberseguridad para los operadores de infraestructuras críticas designadas.
| Jurisdicción | Instrumento vinculante específico de IA | Estado de aplicación a mediados de 2026 | Próxima fecha clave |
|---|---|---|---|
| China | Generative AI Measures (2023) + etiquetado GB 45438-2025 | Activo, por campañas, vía CSL/PIPL/DSL | Barridas Qinglang trimestrales en curso |
| Corea del Sur | AI Basic Act | En vigor, multas bajo período de gracia | El período de gracia finaliza hacia el 22 de enero de 2027 |
| Japón | AI Promotion Act | En vigor, sin sanciones directas | Fase II del AI Basic Plan en desarrollo |
| India | DPDP Act + DPDP Rules 2025 | Board operativo; deberes centrales aún no vigentes | Las obligaciones centrales entran en vigor el 13 de mayo de 2027 |
| Singapur | Ninguno (marcos MGF voluntarios) | No vinculante, ligado al derecho sectorial vigente | Despliegue del National AI Council durante 2026 |
| Australia | Privacy Act 1988 (enmienda ADM) | Aún no en vigor | El deber de transparencia ADM entra en vigor el 10 de diciembre de 2026 |
| Hong Kong | PDPO (sin enmendar) | Enmiendas estancadas desde 2025 | Sin calendario confirmado |
Seguir siete trayectorias regulatorias en paralelo, en mandarín, coreano, japonés e inglés, y revisar cada una de ellas cada vez que un ministerio emite una nueva circular o una legislatura saca un proyecto de ley de comisión, no es una tarea que ningún responsable de cumplimiento pueda sostener manualmente en toda una cobertura de Asia-Pacífico. El seguimiento por jurisdicción de Obsidian rastrea cada fuente oficial, desde el registro de presentaciones de la CAC hasta las notificaciones del Boletín Oficial de India, en el momento mismo de su publicación, y señala la medida concreta que afecta a un marco normativo que la empresa ya tiene en su lista de seguimiento.
Para los equipos que necesitan la misma respuesta con fuentes dentro de un flujo de trabajo en lugar de un panel, el MCP permite que un asistente de IA que ya gestiona otras tareas de cumplimiento confirme si el período de gracia del MSIT realmente ha terminado, o si la OAIC ya ha publicado su guía sobre toma de decisiones automatizada, sin que una persona tenga que verificar primero la fuente original. La IA de Obsidian actúa en ese intercambio como una compañera regulatoria, no como un sustituto del responsable de cumplimiento que firma la respuesta; simplemente hace llegar el dato con fuente antes del plazo, en lugar de después.
Qué debería hacer a continuación un equipo de gobernanza de IA y datos en Asia-Pacífico
Ordene el trabajo según la fecha exigible, no según el titular. Un equipo con exposición en China necesita tener al día ahora mismo su registro de IA generativa y su etiquetado GB 45438, ya que las barridas de aplicación se realizan trimestralmente. Un equipo en Corea necesita una base de cumplimiento de la AI Basic Act lista antes de que se levante el período de gracia, hacia enero de 2027. Un equipo en India necesita diseñar durante 2026 su arquitectura de consentimiento y notificación de brechas, para que resista el escrutinio del Board una vez que las obligaciones centrales de la DPDP entren en vigor en mayo de 2027. Un equipo en Australia necesita tener listo el lenguaje de su política de privacidad y su inventario de decisiones antes del 10 de diciembre de 2026, no después.
Los planes de Obsidian están diseñados precisamente para seguir este tipo de calendario asíncrono y multijurisdiccional de gobernanza de IA y datos, fuente oficial por fuente oficial, de modo que el próximo aviso de la CAC, directriz del MSIT o determinación de la OAIC llegue al equipo de cumplimiento antes de convertirse en titular.