Il 1° dicembre 2026 entra pienamente in vigore la Ley 21.719 cilena, che crea la prima autorità dedicata alla protezione dei dati del paese e un regime sanzionatorio che arriva fino a 20.000 UTM, circa 1,4 miliardi di pesos cileni, per infrazione gravissima. Cinque mesi prima, il Congresso brasiliano corre contro un calendario elettorale che chiude la finestra legislativa ad agosto 2026, termine entro il quale il Marco Legal da Inteligência Artificial deve superare la Camera dei Deputati o slittare al 2027. Il Messico, nel frattempo, ha già sciolto del tutto la propria autorità di controllo sulla protezione dei dati.
Nessun paese sudamericano dispone ancora di una legge dedicata all'IA in vigore. Il PL 2338/2023 brasiliano è stato approvato dal Senato a dicembre 2024 ed è bloccato in una commissione speciale della Camera dal aprile 2025. Il PL 043/2025 colombiano porta un messaggio di urgenza presidenziale e propone una nuova autorità per l'IA all'interno del MinCiencias, ancora in commissione. L'Argentina ha diversi disegni di legge concorrenti in Diputados, nessuno approvato. Questa assenza di una normativa specifica sull'IA non significa assenza di esposizione: leggi esistenti sulla protezione dei dati, circolari settoriali e un regolatore appena sciolto stanno già svolgendo il lavoro di applicazione, in modo diseguale, paese per paese.
Il risultato è una regione in cui le cinque maggiori giurisdizioni si muovono su cinque orologi diversi, e in cui il divario tra "nessuna legge sull'IA ancora" e "nessuna responsabilità legata all'IA ancora" è dove si verifica la maggior parte delle violazioni di conformità.
Quali paesi sudamericani hanno già una legge specifica sull'IA in vigore?
Nessuna delle cinque maggiori giurisdizioni, a metà 2026. Il Marco Legal da Inteligência Artificial brasiliano, PL 2338/2023, è stato approvato dal Senato Federale il 10 dicembre 2024 con voto simbolico, poi inviato alla Camera dei Deputati, che ha istituito una Commissione Speciale il 4 aprile 2025 sotto la relatrice, il Deputato Aguinaldo Ribeiro. A metà 2026 il disegno di legge attende ancora la relazione del relatore, e le elezioni presidenziali brasiliane del 4 ottobre 2026 creano una finestra legislativa di fatto che si chiude intorno ad agosto 2026; se la Camera non vota entro allora, gli osservatori si aspettano che il disegno di legge slitti al 2027.
L'iniziativa colombiana, PL 043/2025 al Senato e PL 324/2025 alla Camera, è stata presentata tra settembre e ottobre 2025, con un messaggio di urgenza presidenziale allegato lo stesso mese. Propone una classificazione basata sul rischio modellata sull'EU AI Act, un sandbox normativo e una nuova Autoridad Nacional para la IA presso il Ministero della Scienza, della Tecnologia e dell'Innovazione, e resta nelle Comisiones Sextas congiunte di Senado e Cámara. L'Argentina ha molteplici proposte parallele, della Senatrice Silvia Sapag e del Deputato Daniel Gollán, che classificano i sistemi di IA per livello di rischio e vietano il social scoring e i sistemi manipolativi, nessuna approvata. Il Messico non ha alcun disegno di legge sull'IA vicino all'approvazione; proposte per modificare l'Articolo 73 della Costituzione al fine di attribuire un'esplicita competenza legislativa federale sull'IA sono state presentate nel 2025 e restano pendenti.
Cosa succede quando la Ley 21.719 cilena entra pienamente in vigore il 1° dicembre 2026?
Il Cile ottiene la sua prima autorità dedicata e autonoma per la protezione dei dati, l'Agencia de Protección de Datos Personales, dotata di reale potere sanzionatorio su qualsiasi organizzazione che tratti dati personali di persone in Cile, indipendentemente da dove abbia sede. La Ley 21.719 è stata pubblicata sul Diario Oficial il 13 dicembre 2024, dopo che una Comisión Mixta ha conciliato le versioni del Senato e della Camera, e prevede una vacatio legis di 24 mesi che termina il 1° dicembre 2026. Una Commissione consultiva interministeriale per l'attuazione, creata per decreto nel 2025, ha redatto le istruzioni vincolanti iniziali dell'Agenzia, e il Consiglio Direttivo nominato per guidarla era ancora in attesa di conferma da parte del Senato a maggio 2026, con un insediamento previsto intorno a ottobre 2026, poche settimane prima dell'inizio della piena applicazione.
Il regime sanzionatorio è graduato secondo gli Articoli da 34 bis a 35: le infrazioni leve comportano un avvertimento scritto o una multa fino a 5.000 UTM; le infrazioni grave, come il trattamento di dati personali senza una base giuridica valida o la mancata notifica all'Agenzia di una violazione entro 72 ore, comportano fino a 10.000 UTM; e le infrazioni gravísima, incluso il trattamento di dati sensibili come informazioni sanitarie, biometriche o sull'appartenenza sindacale senza una base giuridica, comportano fino a 20.000 UTM. Violazioni gravísima ripetute da parte di aziende più grandi possono invece essere sanzionate fino al 4% del fatturato annuo cileno, qualora questo superi il tetto del triplo moltiplicatore. Per l'IA in particolare, la legge aggiunge diritti azionabili relativi al processo decisionale automatizzato e alla profilazione, assenti nella Ley 19.628 dell'era 1999 che viene sostituita.
Cosa regola l'IA in Brasile mentre il Marco Legal resta bloccato in Congresso?
La Lei Geral de Proteção de Dados, principalmente attraverso l'Articolo 20, che conferisce a qualsiasi interessato il diritto di richiedere il riesame di una decisione presa esclusivamente tramite trattamento automatizzato di dati personali, incluse le decisioni che formano il profilo di consumo, creditizio o professionale di una persona. Un tentativo del 2019 di imporre che tale riesame fosse condotto da una persona fisica è stato vetato dal presidente, e il Congresso ha confermato quel veto con un solo voto al Senato il 2 ottobre 2019, cosicché la LGPD non impone esplicitamente un riesame umano, sebbene l'ANPD e i tribunali brasiliani abbiano generalmente interpretato gli obblighi di trasparenza dell'Articolo 20 come richiedenti un controllo umano significativo e documentato, non una conferma pro forma.
L'applicazione della legge è maturata ben oltre la prima sanzione pubblica dell'ANPD nel luglio 2023. In base alle regole di dosimetria della Resolução CD/ANPD 4/2023, l'ANPD può imporre una multa fino al 2% del fatturato brasiliano dell'azienda inadempiente nell'ultimo esercizio fiscale, con un tetto di 50 milioni di reais per infrazione, oltre a multe giornaliere per la mancata conformità continuata. Le cause più comuni nei procedimenti ANPD sono le mancate notifiche di violazione ai sensi dell'Articolo 48, il trattamento senza una base giuridica valida ai sensi dell'Articolo 7 e la mancanza di un Responsabile della Protezione dei Dati ai sensi dell'Articolo 41. Le aziende che oggi impiegano l'IA in Brasile vengono giudicate secondo il regolamento decennale della LGPD, non secondo i livelli di rischio che il Marco Legal introdurrebbe.
Come regola la Colombia l'IA senza ancora una legge dedicata?
Attraverso la Circular Externa 002 della Superintendencia de Industria y Comercio del 21 agosto 2024, vincolante già oggi anche se il PL 043/2025 è ancora in commissione. La SIC, agendo come autorità nazionale colombiana per la protezione dei dati ai sensi della Ley 1581 de 2012, ha utilizzato la circolare per stabilire che i principi dell'Habeas Data si applicano pienamente ai dati personali trattati all'interno dei sistemi di IA, indipendentemente dalla tecnologia sottostante, e richiede alle organizzazioni di dimostrare idoneidad, necesidad, razonabilidad e proporcionalidad ogniqualvolta dati personali alimentino un modello di IA o una decisione automatizzata.
Ciò significa che un'azienda che impiega l'IA in Colombia ha già un obbligo di conformità documentato, derivante dalla Ley 1581 unita alla Circular 002/2024, ben prima che arrivino la classificazione del rischio e la nuova autorità per l'IA previste dal PL 043/2025. Il disegno di legge propone categorie ad alto rischio definite in base all'uso previsto e alla gravità del danno potenziale, oltre a un sandbox normativo che consenta alla futura Autoridad Nacional para la IA di autorizzare test controllati. Fino alla sua approvazione, il regolamento vincolante colombiano su IA e dati resta la circolare della SIC, ed è quello che i regolatori applicano concretamente.
Cosa ha cambiato la soppressione dell'INAI messicano per l'applicazione della protezione dei dati?
Ha eliminato il regolatore indipendente e costituzionalmente autonomo del paese in materia di privacy, trasferendone le funzioni a un organo interno al potere esecutivo. Una riforma costituzionale del 28 novembre 2024 ha soppresso sette organismi autonomi, incluso l'Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, e il 20 febbraio 2025 il Messico ha pubblicato nuove versioni della Ley Federal de Protección de Datos Personales en Posesión de los Particulares e della Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, entrambe entrate in vigore il 21 marzo 2025. Le risorse, i procedimenti aperti e le funzioni di applicazione dell'INAI sono stati trasferiti alla Secretaría Anticorrupción y Buen Gobierno, che ora indaga sui reclami e impone sanzioni ai sensi di entrambe le leggi.
Nella sostanza, il quadro dei diritti ARCO e le basi giuridiche per il trattamento sono rimasti in gran parte invariati, ma nessuna delle due leggi è stata scritta pensando al processo decisionale automatizzato, all'opacità algoritmica o all'addestramento massivo su dati web pubblici, poiché entrambe derivano da testi risalenti al 2010 e al 2017. Proposte per modificare l'Articolo 73 della Costituzione, al fine di conferire al Congresso una competenza esplicita a legiferare sull'IA, sono state presentate nel 2025 e restano pendenti. Per ora, un'azienda che opera con l'IA e tratta dati personali messicani risponde a una segreteria che applica una normativa sulla protezione dei dati scritta prima che l'IA generativa esistesse.
Come dovrebbe un team di conformità monitorare cinque regimi non coordinati contemporaneamente?
Iniziare separando ciò che è "già applicabile" da ciò che è "in sospeso". La Ley 21.719 cilena diventa applicabile il 1° dicembre 2026; l'Articolo 20 della LGPD brasiliana e le regole di dosimetria dell'ANPD sono applicabili già oggi; la Circular 002/2024 della SIC colombiana è applicabile già oggi; le leggi messicane sulla protezione dei dati del 2025 sono applicabili già oggi sotto un nuovo regolatore; e ogni disegno di legge dedicato all'IA nella regione, in Brasile, Colombia e Argentina allo stesso modo, resta pendente.
| Giurisdizione | Strumento attuale rilevante per l'IA | Stato della legge dedicata all'IA | Data chiave 2026 |
|---|---|---|---|
| Brasile | LGPD Art. 20 (decisioni automatizzate) + dosimetria ANPD (Res. 4/2023) | PL 2338/2023, in sospeso in commissione alla Camera | La finestra legislativa si chiude intorno ad agosto 2026 |
| Cile | Ley 19.628 (fino alla sostituzione) | Nessun disegno di legge dedicato all'IA; la legge sui dati copre la profilazione | Ley 21.719 pienamente in vigore il 1° dicembre 2026 |
| Colombia | Circular Externa 002/2024 della SIC + Ley 1581/2012 | PL 043/2025S, in sospeso nelle Comisiones Sextas | Messaggio di urgenza presidenziale attivo da settembre 2025 |
| Argentina | Ley 25.326 (2000) | Molteplici disegni di legge pendenti, nessuno approvato | Bozze di riforma allineate all'AAIP in Congresso fino al 2026 |
| Messico | LFPDPPP e LGPDPPSO, entrambe in vigore dal 21 marzo 2025 | Nessun disegno di legge dedicato all'IA vicino all'approvazione | La Secretaría Anticorrupción y Buen Gobierno è ora l'unico ente applicativo |
Manualmente, ciò significa leggere in parallelo cinque gazzette ufficiali e riverificare ciascuna ogni volta che una commissione presenta una nuova bozza di legge o un regolatore emette una nuova circolare. Il monitoraggio per giurisdizione di Obsidian è stato costruito proprio per questo carico di lavoro: traccia ogni fonte ufficiale nel momento della pubblicazione, segnala la specifica resolução, circular, ley o decreto che riguarda un framework già presente nella watchlist di un'azienda, e trasforma cinque percorsi nazionali non coordinati in un'unica dashboard con avvisi datati.
Per i team che necessitano della stessa risposta documentata all'interno di un flusso di lavoro anziché di una dashboard, questi dati sono disponibili anche tramite l'MCP, cosicché un assistente IA già impegnato in altre attività di conformità possa verificare se l'Agenzia cilena ha già pubblicato la sua prima istruzione vincolante, senza che una persona debba riverificare prima la fonte. In questo scambio, l'IA di Obsidian funge da companion normativo, mai da sostituto del responsabile della conformità che firma la risposta finale, si limita a portare il fatto documentato a destinazione prima della scadenza anziché dopo.
Cosa dovrebbe fare ora un team di governance IA e dati
Mappare l'esposizione per strumento, non per etichetta nazionale. Un team in Cile ha bisogno di un piano di preparazione alla Ley 21.719 costruito attorno alla data di applicazione del 1° dicembre 2026. Un team in Brasile ha bisogno di un processo di revisione dell'Articolo 20 della LGPD che regga al controllo dell'ANPD già oggi, indipendentemente dal destino del Marco Legal. Un team in Colombia deve documentare fin da ora idoneidad, necesidad e proporcionalidad ai sensi della Circular 002/2024, non solo quando il PL 043/2025 diventerà legge. Un team in Messico deve sapere che il proprio regolatore è ora una segreteria interna al potere esecutivo, non un istituto autonomo, il che cambia il modo in cui un reclamo viene effettivamente gestito.
I piani di Obsidian sono concepiti proprio per questo tipo di monitoraggio multi-giurisdizionale su IA e governance dei dati, fonte ufficiale dopo fonte ufficiale, in modo che la prossima risoluzione dell'ANPD, circolare della SIC o istruzione dell'Agencia de Protección de Datos raggiunga il team di conformità prima di raggiungere un titolo di giornale.