El 1 de enero de 2026, el Dubai International Financial Centre comenzó a aplicar la Regulation 10 de su ley de protección de datos, la primera norma vinculante del Golfo que trata a un sistema de IA en sí mismo, y no solo a los datos personales que procesa, como objeto de regulación. Cualquier entidad registrada en la DIFC que ejecute una "High Risk Processing Activity" mediante un sistema autónomo o semiautónomo debe ahora contar con una evaluación de impacto sobre la protección de datos documentada, designar un Autonomous Systems Officer y producir, previa solicitud, evidencia algorítmica de los desencadenantes de intervención humana. Dieciséis días antes, el 16 de enero de 2026, la autoridad de datos de Arabia Saudita confirmó algo casi igual de relevante: 48 decisiones sancionadoras emitidas contra organizaciones por infringir la ley de protección de datos personales del Reino, con multas de hasta 5 millones de SAR por infracción, que se duplican en caso de reincidencia.

Ninguno de estos desarrollos proviene de una única "Middle East AI Act", porque no existe tal ley en ninguna parte de la región. Lo que existe, en cambio, son cuatro jurisdicciones avanzando a ritmos distintos sobre bases jurídicas distintas: los Emiratos Árabes Unidos superponiendo normas específicas de IA propias de sus zonas francas a una ley federal de privacidad que sigue sin sus reglamentos de ejecución más de cuatro años después, Arabia Saudita aplicando con firmeza su ley de datos mientras mantiene su marco de IA mayormente voluntario, Qatar canalizando el cumplimiento de la IA a través de una ley de datos de 2016 y directrices no vinculantes de la NCSA, e Israel reformando por completo su estatuto de privacidad de una sola vez y aplicándolo ahora de forma activa.

El 16 de abril de 2026, la SDAIA saudí lanzó la MENA AI Harmonisation Initiative junto con los Emiratos Árabes Unidos, Qatar y Omán, un intento de alinear la notificación de incidentes, los principios de despliegue ético y las normas de flujo transfronterizo de datos sin fusionar las leyes nacionales en un único texto. Para un equipo de cumplimiento, eso significa cuatro reguladores, cuatro posturas de aplicación y un proyecto de convergencia emergente pero aún incompleto que seguir al mismo tiempo.

¿Qué reguladores impulsan realmente la gobernanza de la IA y los datos en Oriente Medio?

Cuatro organismos con cuatro mandatos distintos. En los Emiratos Árabes Unidos, la UAE Data Office federal administra el Federal Decree-Law No. 45 of 2021 en el territorio continental, mientras que el DIFC Commissioner of Data Protection aplica la Regulation 10 específicamente para la IA dentro de la zona franca DIFC, y el Abu Dhabi Global Market gestiona un régimen paralelo bajo sus propias Data Protection Regulations. En Arabia Saudita, la Saudi Data and Artificial Intelligence Authority aplica la vinculante Personal Data Protection Law a través de sus Committees for Reviewing Violations y, a la vez, publica el no vinculante AI Adoption Framework y las Generative AI Guidelines, que cada vez más condicionan el acceso a contratos públicos. En Qatar, el Compliance and Data Protection Department de la National Cyber Security Agency aplica la Personal Data Privacy Protection Law y publicó las directrices de seguridad de IA de 2024, mientras que el Qatar Central Bank añade obligaciones vinculantes en materia de IA para las entidades financieras autorizadas. En Israel, la Privacy Protection Authority aplica la recién reformada Privacy Protection Law y trata sus propias directrices como derecho de facto vinculante. Determinar cuál de estos cuatro reguladores rige realmente un despliegue de IA concreto es exactamente el tipo de pregunta, jurisdicción por jurisdicción, que la vigilancia regulatoria de Obsidian está diseñada para responder con citas fundamentadas y fechadas, en lugar de una impresión general de "regulación de la IA en el Golfo".

¿Tienen realmente los Emiratos Árabes Unidos una ley vinculante sobre IA?

No una independiente, pero ya existen dos instrumentos vinculantes que alcanzan indirectamente a la IA. La PDPL federal, el Federal Decree-Law No. 45 of 2021, entró en vigor el 2 de enero de 2022 y se aplica extraterritorialmente a cualquier tratamiento de datos personales de residentes emiratíes, incluidos los datos que los sistemas de IA usan para el entrenamiento, la elaboración de perfiles y las decisiones automatizadas. Sus reglamentos de ejecución debían publicarse en los seis meses siguientes a la publicación de la ley, es decir, hacia marzo de 2022, y a mediados de 2026 seguían sin publicarse, dejando los importes de las sanciones, citados por comentaristas jurídicos en un rango de entre 50.000 AED y 5 millones de AED por infracción, sin un baremo estatutario definitivo.

Dentro de la zona franca DIFC, esa laguna no existe. La Regulation 10 de la DIFC Data Protection Law, en vigor desde 2023 y activamente aplicada desde el 1 de enero de 2026, exige a cualquier Controller o Processor que despliegue un sistema autónomo o semiautónomo completar una evaluación de impacto sobre la protección de datos antes del despliegue, mantener un registro de las actividades de tratamiento vinculadas a la IA y, en el caso de High Risk Processing, designar además un Autonomous Systems Officer y conservar evidencia de los algoritmos que activan la intervención humana. Una empresa que utilice la misma herramienta de scoring crediticio basada en IA a través de una entidad DIFC y de una entidad emiratí continental se enfrenta, por un lado, a la obligación documentada de DPIA y de designación de officer prevista en la Regulation 10 y, por otro, a las obligaciones generales de la PDPL federal, cuyos reglamentos de ejecución siguen pendientes.

¿Es real la aplicación de la PDPL saudí o sigue siendo mayormente teórica?

Real, y en aceleración. La PDPL, promulgada por el Royal Decree No. M/19 of 2021 y modificada en marzo de 2023, entró en pleno vigor el 14 de septiembre de 2023, con un período de gracia de un año que expiró el 14 de septiembre de 2024. La SDAIA confirmó el 16 de enero de 2026 que sus Committees for Reviewing Violations habían emitido 48 decisiones sancionadoras durante el año anterior, citando como tipos de infracción recurrentes la recopilación o el tratamiento ilícitos sin base jurídica válida, la divulgación no autorizada, medidas de seguridad técnicas insuficientes y el marketing sin consentimiento. Las multas administrativas alcanzan los 5 millones de SAR por infracción, duplicándose a 10 millones de SAR en caso de reincidencia, y la divulgación intencionada de datos personales sensibles conlleva sanciones penales independientes de hasta dos años de prisión y una multa de 3 millones de SAR. Las organizaciones notificadas de una infracción disponen a veces de tan solo cinco días para responder.

La gobernanza de la IA en sí misma sigue siendo derecho más blando. El AI Adoption Framework de la SDAIA y sus Generative AI Guidelines de 2024 no son jurídicamente vinculantes para la mayoría de los usos del sector privado, pero la acreditación SDAIA respecto a ese marco es cada vez más una condición previa para ganar contratos públicos, y Arabia Saudita designó 2026 como su "Year of Artificial Intelligence", una señal de que la capa voluntaria es la que con mayor probabilidad se endurecerá a continuación.

Comparación de los regímenes de gobernanza de la IA y los datos en Oriente Medio, mediados de 2026

JurisdicciónLey de datos vinculanteNorma vinculante específica de IAPostura de aplicación en 2026
EAU (federal)PDPL, Decree-Law 45/2021, vigente desde 2022, reglamentos de ejecución aún pendientesNinguna a nivel federalOrientación y actuaciones caso por caso de la Data Office
EAU (DIFC)DIFC Data Protection LawRegulation 10, aplicada desde el 1 de enero de 2026Activa, con verificación de obligaciones de DPIA y de officer
Arabia SauditaPDPL, plenamente exigible desde septiembre de 2024Ninguna vinculante; AI Adoption Framework voluntarioActiva, 48 decisiones confirmadas a enero de 2026
QatarPDPPL, Law No. 13 of 2016Ninguna vinculante a nivel central; las normas del QCB vinculan solo a los bancosGuiada por directrices fuera del sector financiero
IsraelPrivacy Protection Law, Amendment 13 desde agosto de 2025Ninguna específica; cubierta por los deberes generales de privacidadActiva desde enero de 2026, aplicación de la obligación de DPO en vigor

¿Qué exige realmente Qatar a un sistema de IA que trata datos personales?

Primero el cumplimiento de la ley de datos de 2016, después las directrices específicas de IA. La Personal Data Privacy Protection Law, el estatuto original de Qatar de 2016 y la primera ley integral de protección de datos del CCG, sigue siendo el suelo vinculante, aplicado por la National Cyber Governance and Assurance Affairs, división dentro de la National Cyber Security Agency. Las Guidelines for Secure Adoption and Usage of Artificial Intelligence de la NCSA, de febrero de 2024, son voluntarias pero abordan específicamente, para los sistemas de IA, la minimización de datos, la limitación de la finalidad, los controles de sesgo y la auditabilidad, y la agencia ha advertido de que ignorarlas puede seguir generando exposición conforme a la vinculante PDPPL. El único ámbito en el que el cumplimiento de la IA ya es obligatorio, y no meramente orientativo, es el de los servicios financieros, donde la directriz de IA del Qatar Central Bank impone obligaciones vinculantes de transparencia, consentimiento y tratamiento de datos a las entidades autorizadas, mientras que la Qatar Financial Markets Authority difundió en mayo de 2025 un borrador de reglamento de IA que ampliaría aún más la cobertura vinculante. Las entidades registradas en el Qatar Financial Centre responden, a su vez, ante un tercer régimen, las QFC Data Protection Regulations de 2021, que se superpone a la PDPPL o a las directrices de la NCSA que también resulten aplicables.

¿Por qué la aplicación de la normativa de privacidad en Israel se volvió repentinamente agresiva en 2026?

Porque una ley de cuatro décadas de antigüedad fue reescrita de una sola vez, y sus períodos de gracia ya han expirado. La Amendment 13 a la Privacy Protection Law, 1981, entró en vigor el 14 de agosto de 2025, introduciendo la designación obligatoria de un Data Protection Officer para las organizaciones que cumplan los requisitos, una definición ampliada de datos sensibles que alcanza a la información tratada por IA, y sanciones administrativas pecuniarias que la Privacy Protection Authority puede imponer sin un proceso judicial previo. La PPA concedió un período de gracia temporal específicamente sobre la obligación de DPO, que expiró el 31 de octubre de 2025, y ella misma reconoce haber pasado de la orientación a la aplicación proactiva, incluyendo auditorías, investigaciones y remisiones penales, desde enero de 2026 en adelante. Las sanciones pueden alcanzar millones de shékels con multiplicadores en caso de tratamiento a gran escala o de datos sensibles, y las personas físicas pueden reclamar indemnizaciones legales de hasta 100.000 ILS sin necesidad de probar un daño real, un umbral más bajo que el de la mayoría de los demás regímenes de privacidad de la región.

¿Qué debe hacer a continuación un equipo de gobernanza de la IA y los datos en Oriente Medio?

Separar las entidades sometidas a una aplicación estricta de aquellas que aún operan bajo meras directrices. Una entidad DIFC que ejecute IA sobre datos personales ya se encuentra dentro de un régimen activamente aplicado, con una obligación documentada de DPIA; una entidad saudí ajena al sector financiero se enfrenta hoy a una aplicación firme de la PDPL pero solo a directrices de IA voluntarias, por ahora; una entidad qatarí ajena a la banca todavía dispone de un margen real en materia de normas específicas de IA, aunque su ley de datos subyacente sea plenamente vinculante; y cualquier operación israelí necesita resolver de inmediato su cuestión de DPO, no dejarla para una hoja de ruta futura.

Nada de esto exige esperar a que la MENA AI Harmonisation Initiative termine de alinear cuatro sistemas jurídicos que nunca iban a fusionarse en uno solo. Obsidian sigue a la UAE Data Office, al DIFC Commissioner, a la SDAIA, a la NCSA, a la QFMA y a la PPA israelí como fuentes separadas de nivel tier-0, a nivel de jurisdicción y de marco normativo, de modo que un plazo de certificación de la Regulation 10 o una nueva decisión sancionadora de la SDAIA llegue al responsable de cumplimiento correcto la misma semana de su publicación. El compañero de IA responde a preguntas transjurisdiccionales como "necesita nuestra entidad DIFC un Autonomous Systems Officer para esta herramienta concreta" con una cita fundamentada en lugar de una impresión general, y los equipos que ya utilizan sus propios asistentes de IA pueden conectar los mismos datos verificados a través del MCP de Obsidian. Descubra cómo funciona la cobertura completa de la gobernanza de la IA, los datos y lo digital en la página de planes, diseñada exactamente para este tipo de exposición a múltiples reguladores.