Texas se convirtió en el primer estado de EE. UU. con una ley integral y vinculante sobre IA el 1 de enero de 2026, fecha en la que entró en vigor la Texas Responsible Artificial Intelligence Governance Act (TRAIGA). Ese mismo día también entró en vigor la California Transparency in Frontier Artificial Intelligence Act, que obliga a los desarrolladores de modelos de frontera a presentar evaluaciones de riesgo catastrófico ante la Office of Emergency Services del estado cada tres meses. Ninguna empresa que opere a nivel nacional puede elegir un solo régimen e ignorar el otro.
El gobierno federal dedicó 2025 y 2026 a intentar impedir exactamente este resultado, sin éxito. Una moratoria federal propuesta de 10 años sobre la regulación estatal de la IA fue eliminada del One Big Beautiful Bill Act después de que el Senado votara 99 a 1 a favor de retirarla en julio de 2025. Ante ese fracaso, el presidente Trump firmó la Executive Order 14365 el 11 de diciembre de 2025, creando un AI Litigation Task Force para impugnar las leyes estatales sobre IA directamente ante los tribunales y condicionando la financiación federal de banda ancha a la desregulación estatal. A mediados de 2026 se habían promulgado más de 145 leyes estatales sobre IA en todo el país, de más de 1.200 proyectos de ley presentados, y el impulso federal para dejarlas sin efecto todavía no había producido ni una sola impugnación judicial exitosa.
Al norte de la frontera, el cálculo es distinto pero igual de relevante. Canadá no cuenta con ninguna ley federal sobre IA: la Artificial Intelligence and Data Act murió en el orden del día en enero de 2025 cuando el Parlamento fue prorrogado, y el gobierno confirmó en 2025 que no será resucitada en su forma original. El cumplimiento normativo en Canadá se canaliza en cambio a través del derecho de privacidad, sobre todo la Ley 25 de Quebec, que ya prevé sanciones de hasta 25 millones de dólares canadienses o el 4% de la facturación mundial por infracciones relacionadas con la toma de decisiones automatizada.
¿Qué reguladores impulsan realmente la gobernanza de la IA y los datos en Norteamérica?
En Estados Unidos no existe un único regulador de la IA. La aplicación de la normativa se reparte entre los fiscales generales estatales, que actúan conforme a nuevas leyes específicas sobre IA, la Federal Trade Commission, que recurre a sus facultades existentes en materia de prácticas desleales y engañosas, y los reguladores sectoriales, que superponen normas sobre IA a la legislación bancaria, sanitaria y laboral. Desde que el presidente Trump revocó la Executive Order 14110 de la era Biden el 23 de enero de 2025 mediante la Executive Order 14179, no existe ningún marco federal vinculante sobre IA, solo el voluntario America's AI Action Plan, publicado en julio de 2025, y una campaña de anulación de las leyes estatales que aún no ha tenido éxito.
En Canadá, el panorama es más simple sobre el papel y más complejo en la práctica: no existe ninguna ley federal sobre IA, por lo que las obligaciones se derivan de la Personal Information Protection and Electronic Documents Act a nivel federal y de las leyes provinciales, principalmente la Ley 25 de Quebec, para todo lo relacionado con datos personales utilizados en decisiones automatizadas. Los sectores regulados a nivel federal añaden su propia capa, incluida la Office of the Superintendent of Financial Institutions para bancos y aseguradoras. Determinar qué régimen se aplica realmente a un despliegue de IA concreto, estatal, federal o provincial, es exactamente el tipo de pregunta transjurisdiccional que el monitoreo regulatorio de Obsidian está diseñado para responder con citas fechadas y verificables, en lugar de una impresión general de "regulación de la IA".
¿Qué exige realmente el TRAIGA de Texas a partir de 2026?
Prohíbe el uso indebido intencionado en lugar de exigir evaluaciones de riesgo para todos los sistemas. El TRAIGA, en vigor desde el 1 de enero de 2026, prohíbe la IA desarrollada o desplegada con la intención de discriminar ilegalmente, vulnerar derechos constitucionales o manipular el comportamiento de una manera que cause daño. El fiscal general de Texas tiene la autoridad exclusiva de aplicación y debe emitir una notificación escrita con un plazo de subsanación de 60 días antes de imponer sanciones. Las infracciones que no se subsanen dentro de ese plazo conllevan sanciones civiles de 10.000 a 12.000 dólares para las infracciones subsanables, de 80.000 a 200.000 dólares para las no subsanables, y de 2.000 a 40.000 dólares por día para las infracciones continuadas. El TRAIGA también deja sin efecto las ordenanzas locales sobre IA en todo el estado y crea un entorno regulatorio controlado (sandbox) de 36 meses, pero no otorga a los particulares ningún derecho de acción privada, por lo que todos los casos pasan por la oficina del fiscal general.
¿Llegó a entrar en vigor la Colorado AI Act, y qué la ha sustituido?
No, y su sustitución cambia por completo el objeto del cumplimiento normativo. La Colorado AI Act original, aprobada en 2024, estaba prevista para entrar en vigor el 30 de junio de 2026 y habría impuesto obligaciones de discriminación algorítmica y programas obligatorios de gestión de riesgos a los desarrolladores y usuarios de sistemas de IA de "alto riesgo". El gobernador Jared Polis firmó en su lugar la SB 26-189 el 14 de mayo de 2026, derogando esa ley antes de que llegara a entrar en vigor y sustituyéndola por una norma más restringida que regula la tecnología de toma de decisiones automatizada utilizada en "decisiones consecuentes". La nueva ley elimina las obligaciones de gestión de riesgos y evaluación de impacto en favor de avisos previos al consumidor, un derecho a una explicación posterior a la decisión y una revisión humana significativa. Entra en vigor el 1 de enero de 2027, el mismo día en que las propias normas de la CCPA de California sobre tecnología de toma de decisiones automatizada se vuelven exigibles, lo que significa que dos de las normas más relevantes del país en materia de IA entran en vigor en la misma fecha.
Fechas clave de gobernanza de la IA y los datos en Norteamérica, 2026 a 2027
| Fecha | Régimen | Qué cambia |
|---|---|---|
| 1 de enero de 2026 | TRAIGA (Texas) | Entra en vigor la primera ley estatal integral sobre IA; comienza la aplicación por parte del fiscal general |
| 1 de enero de 2026 | SB 53 (TFAIA), California | Los desarrolladores de modelos de frontera deben publicar marcos de seguridad de IA e informes de transparencia; comienza el reporte trimestral de riesgo catastrófico al Cal OES |
| 11 de diciembre de 2025 | Executive Order 14365 | Se pone en marcha el AI Litigation Task Force para impugnar las leyes estatales sobre IA ante los tribunales |
| 14 de mayo de 2026 | SB 26-189 (Colorado) | Se deroga la Colorado AI Act original y se sustituye por una ley ADMT más restringida |
| 1 de enero de 2027 | SB 26-189 (Colorado) / normas ADMT de la CCPA (California) | Ambos regímenes de toma de decisiones automatizada se vuelven exigibles en la misma fecha |
¿Puede realmente Washington anular las leyes estatales sobre IA?
Todavía no, pese a dos intentos. El primero, una moratoria federal propuesta de 5 a 10 años sobre la regulación estatal y local de la IA, se incluyó en una versión temprana de la Cámara de Representantes del One Big Beautiful Bill Act en mayo de 2025 y se retiró tras un voto del Senado de 99 a 1 en contra en julio de 2025. El segundo, la Executive Order 14365, firmada el 11 de diciembre de 2025, optó por la vía judicial en lugar de la legislativa: ordena al Department of Justice identificar leyes estatales sobre IA "excesivamente onerosas" e impugnarlas ante los tribunales, y ordena a las agencias federales condicionar la financiación del despliegue de banda ancha a que los estados no apliquen leyes consideradas excesivas. Ninguno de los dos mecanismos había producido, a mediados de 2026, una sentencia que anulara el TRAIGA, la SB 53 o la SB 26-189 de Colorado, lo que significa que los equipos de cumplimiento aún deben planificar en torno a las tres como leyes plenamente vigentes, y no como objetivos de una eventual anulación federal. Se puede pedir a la IA de Obsidian que extraiga el estado de aplicación actual de cualquiera de estas leyes bajo demanda, con fuentes tomadas directamente del texto normativo monitoreado en lugar de comentarios que pueden haber quedado desactualizados con la próxima presentación judicial.
¿Por qué Canadá sigue sin tener una ley federal sobre IA, y qué llena ese vacío?
Porque su único intento serio colapsó junto con el gobierno que lo redactó. La Artificial Intelligence and Data Act, integrada en el proyecto de ley C-27 junto con un paquete federal de modernización de la privacidad, superó la segunda lectura en abril de 2023 pero nunca llegó a una votación final antes de que el Parlamento fuera prorrogado en enero de 2025, lo que hizo decaer el proyecto de ley. El ministro de Industria Evan Solomon confirmó en 2025 que la AIDA no volvería en su forma original, y la estrategia "AI for All" del gobierno para 2026 optó explícitamente por un modelo de gobernanza distribuida en lugar de una única ley de IA, apoyándose en cambio en el derecho existente de privacidad, derechos humanos y normativa sectorial.
En la práctica, esto significa que la Ley 25 de Quebec funciona como el suelo de cumplimiento vinculante en materia de IA más cercano que tiene Canadá para cualquier organización que trate datos personales allí. El artículo 12.1 exige, desde septiembre de 2023, que quien tome una decisión basada exclusivamente en un tratamiento automatizado informe a la persona afectada, le explique la decisión si esta lo solicita y le permita que sea revisada por una persona. La Commission d'acces a l'information du Quebec aplica activamente esta disposición, con sanciones administrativas pecuniarias que alcanzan los 10 millones de dólares canadienses o el 2% de la facturación mundial, y multas penales que alcanzan los 25 millones de dólares o el 4% de la facturación mundial, la que sea mayor en cada tramo. Las entidades reguladas a nivel federal añaden las reglas de consentimiento y limitación de la finalidad de la PIPEDA, de modo que una única herramienta automatizada de contratación utilizada en Quebec, Ontario y en la banca regulada a nivel federal puede generar tres obligaciones de cumplimiento distintas procedentes de tres fuentes diferentes, ninguna de las cuales se etiqueta como "ley de IA".
¿Qué debe hacer realmente un equipo de cumplimiento ante este mosaico normativo?
Mapear cada sistema de IA en función de los estados y provincias donde realmente está desplegado, no de un único estándar nacional, porque no existe ninguno a ambos lados de la frontera. Una herramienta de contratación activa solo en Texas, California y Colorado ya necesita cumplir las prohibiciones basadas en la intención del TRAIGA, las obligaciones de transparencia de la SB 53 si involucra un modelo de frontera y, a partir del 1 de enero de 2027, las normas superpuestas de divulgación sobre toma de decisiones automatizada de Colorado y California, tres regímenes con desencadenantes, reguladores y estructuras sancionadoras distintas. Un despliegue en Canadá añade la PIPEDA y, si se ven afectados residentes de Quebec, los requisitos más estrictos de divulgación y revisión humana de la Ley 25.
Obsidian monitorea estas fuentes de nivel 0, las oficinas de los fiscales generales estatales, el Cal OES, la CAI de Quebec, y las órdenes ejecutivas federales que están remodelando el panorama a su alrededor, a nivel de jurisdicción y marco normativo, con alertas cuando llega una fecha de entrada en vigor o cambia una postura de aplicación. Consulta los planes diseñados para equipos de gobernanza de IA y protección de datos que enfrentan exactamente este tipo de exposición multijurisdiccional, o conecta el MCP de Obsidian a tus propias herramientas para que la respuesta a "cuál de nuestros sistemas de IA está expuesto al TRAIGA" llegue con una cita, no con una suposición.