Regulacion de la IA en Oriente Medio: 14 paises evaluados, comparados y mapeados

No hay una ley de IA unica. La regulacion ya esta aqui.

Si esperas un equivalente del EU AI Act para Oriente Medio, vas a esperar bastante. La region construye su gobernanza de IA por 3 canales separados: estrategias nacionales y cartas eticas de IA (en su mayoria no vinculantes, pero con peso creciente), leyes de proteccion de datos (vinculantes y cada vez mas aplicadas), y reguladores sectoriales (especialmente bancos centrales) que emiten orientaciones operativas sobre IA.

Investigamos 14 jurisdicciones, las evaluamos en 10 dimensiones de gobernanza y organizamos los resultados en 3 niveles.

Los 3 canales de la gobernanza de IA

El primer canal son las estrategias nacionales y cartas eticas de IA. Todos los paises de Tier 1 y la mayoria de Tier 2 las han publicado. Establecen expectativas de transparencia, equidad, supervision humana y rendicion de cuentas. Generalmente no son vinculantes. Pero estan ganando peso real a traves de lo que llamamos "endurecimiento del soft law": los equipos de adquisiciones publicas las referencian en licitaciones, los reguladores las integran en marcos de examen, y las grandes empresas las incluyen en contratos con proveedores. Considerar estos documentos como "solo aspiracionales" subestima el riesgo de cumplimiento.

El segundo canal es el derecho de proteccion de datos. Este es el nucleo vinculante. EAU, Arabia Saudita, Qatar, Oman, Egipto, Bahrain, Jordania y Kuwait han promulgado o estan implementando leyes de proteccion de datos personales. Para los sistemas de IA que procesan datos personales, estas leyes imponen obligaciones concretas: base juridica de tratamiento, minimizacion de datos, controles de seguridad, restricciones de transferencia transfronteriza, y en algunos casos salvaguardas para decisiones automatizadas.

El tercer canal son los reguladores sectoriales. Los reguladores financieros van a la cabeza. La orientacion del Banco Central de EAU de 2026 sobre uso responsable de IA/ML, la directriz de IA del Banco Central de Qatar y las disposiciones del ADGM sobre IA y analisis de datos masivos son los instrumentos mas especificos de cumplimiento que encontramos. Crean expectativas de supervision que van mas alla de las cartas nacionales: marcos de gobernanza, procesos de aprobacion, monitoreo, transparencia y gestion de quejas de consumidores.

Puntuaciones de madurez para 14 paises

Evaluamos cada pais en 10 dimensiones en una escala de 0-5 (maximo 50 puntos):

1. Presencia y especificidad de la estrategia nacional de IA
2. Directrices o marcos eticos publicados especificos de IA
3. Regulaciones vinculantes especificas de IA
4. Madurez y aplicabilidad del regimen de proteccion de datos
5. Orientacion de IA de reguladores sectoriales
6. Estandares de adquisicion publica de IA
7. Instituciones dedicadas a la gobernanza de IA
8. Capacidad de aplicacion demostrada
9. Reglas de gobernanza de datos transfronterizos
10. Disponibilidad de herramientas operativas y plantillas

Los resultados se dividen en 3 niveles:

Tier 1 (Avanzado/Operativo, 27-36 puntos): EAU (36), Arabia Saudita (35), Israel (31), Qatar (30), Oman (28), Egipto (27). Estos paises tienen regimenes vinculantes de proteccion de datos, instrumentos de gobernanza de IA publicados y actividad regulatoria sectorial. Difieren en su enfoque: EAU opera un ecosistema de multiples reguladores, Arabia Saudita centraliza a traves de SDAIA, Qatar canaliza los controles de IA por su banco central, Israel se inclina por el soft law y la gestion de riesgos del sector publico.

Tier 2 (Emergente, 18-26 puntos): Bahrain (26), Jordania (22), Kuwait (18). Bases solidas de proteccion de datos, menos instrumentos operativos especificos de IA. Bahrain esta mas cerca del Tier 1 con un PDPL dedicado y orientacion de IA para adquisiciones desarrollada con el Foro Economico Mundial.

Tier 3 (Temprano, 1-12 puntos): Libano (12), Irak (7), Palestina (5), Siria (4), Yemen (1). Marcos digitales parciales, inestabilidad politica en algunos casos y fuentes primarias accesibles limitadas.

Como se comparan los 3 primeros paises

EAU y Arabia Saudita lideran, pero sus enfoques son diferentes en la practica. La fortaleza de EAU esta en la amplitud: puntuaciones consistentes en estrategia, orientaciones de IA, reglas sectoriales, IA del sector publico y herramientas. Arabia Saudita concentra el poder en SDAIA y puntua mas alto en estructura institucional. Las puntuaciones de Qatar son mas ajustadas: fuerte en estrategia, proteccion de datos y reglas sectoriales (por su banco central), pero mas debil en herramientas y gobernanza transfronteriza.

Mapa de calor de cobertura regulatoria

El mapa de calor muestra donde se concentra la gobernanza y donde quedan vacios.

• La proteccion de datos es la dimension mas consistente. Los paises de Tier 1 obtienen 3-4 en proteccion de datos, lo que convierte al derecho de proteccion de datos en el ancla de cumplimiento mas fiable de la region.
• La regulacion vinculante especifica de IA apenas existe. Ningun pais supera 2 en esta dimension. La region gobierna la IA a traves del derecho de proteccion de datos y orientaciones sectoriales, no a traves de leyes dedicadas de IA.
• Las herramientas y orientaciones operativas varian ampliamente. EAU e Israel obtienen 4 en herramientas (plantillas, herramientas de autoevaluacion, guias de implementacion). La mayoria de los demas paises se situan en 1-2.
• El Tier 3 es debil en general. Irak y Palestina tienen actividad institucional (Comite Supremo de IA, ley de ciberdelitos) pero casi nada en aplicacion, reglas sectoriales o herramientas operativas.

Desglose de puntuaciones del Tier 1

El desglose en barras apiladas muestra como cada pais del Tier 1 construye su puntuacion total. Proteccion de datos y estrategia son consistentemente fuertes. La variacion proviene de reglas sectoriales, herramientas y estructura institucional. El umbral "Avanzado" (35 puntos) solo lo cruzan EAU y Arabia Saudita.

La aplicacion llega por proteccion de datos, no por ley de IA

Los reguladores no esperan legislacion especifica de IA para actuar. La aplicacion viene primero por canales de proteccion de datos:

• Aplicacion en zonas francas. El Comisionado de Proteccion de Datos del DIFC ha emitido decisiones de aplicacion. La Oficina de Proteccion de Datos del ADGM ha publicado orientaciones de cumplimiento y realizado revisiones de supervision. Son las capacidades de aplicacion mas estructuradas para obligaciones de IA relacionadas con datos en la region.
• Supervision de bancos centrales. Los reguladores financieros pueden integrar expectativas de IA en los ciclos de examen estandar. Las orientaciones del Banco Central de EAU de 2026 crean expectativas de proteccion al consumidor e IA responsable para cada institucion financiera autorizada.
• Activacion de PDPL. La SDAIA de Arabia Saudita ha comenzado a operativizar la aplicacion del PDPL. Los reglamentos ejecutivos de Egipto (Decreto 816/2025) crean un calendario de cumplimiento. La Autoridad de Proteccion de Datos de Bahrain tiene poderes de aplicacion bajo la Ley 30/2018.

Si tu sistema de IA procesa datos personales en cualquiera de estas jurisdicciones, ya estas dentro del alcance de un regulador activo.

Hitos regionales

La linea temporal muestra una aceleracion desde 2021. Antes, la region publicaba principalmente estrategias y cartas. Desde 2021: EAU promulgo su PDPL federal, Arabia Saudita operativizo su PDPL y reglamentos de implementacion, Oman promulgo su PDPL, Jordania aprobo un nuevo PDPL, Egipto emitio reglamentos ejecutivos, y el Banco Central de EAU publico sus orientaciones de IA. El ritmo de instrumentos vinculantes se acelera.

Que significa esto para los equipos de cumplimiento

Si gestionas gobernanza de IA en Oriente Medio:

1. Empieza por la proteccion de datos. El derecho de proteccion de datos es la capa vinculante en todas partes. Mapea tus sistemas de IA al regimen de proteccion de datos aplicable en cada jurisdiccion (y atencion a la fragmentacion: solo EAU tiene 3 regimenes: federal, DIFC, ADGM).
2. Anade requisitos sectoriales encima. En servicios financieros, las orientaciones del Banco Central de EAU y del Banco Central de Qatar crean expectativas de supervision reales. No las trates como opcionales.
3. No ignores el soft law. Las cartas y principios eticos nacionales de IA se estan convirtiendo en obligatorios en la practica a traves de adquisiciones, supervision y clausulas contractuales.
4. Usa el NIST AI RMF para coherencia entre jurisdicciones. Las funciones GOVERN, MAP, MEASURE, MANAGE ofrecen una base que funciona en toda la region y tambien se mapea a la estructura basada en riesgo del EU AI Act.
5. Construye evidencia lista para reguladores ahora. La aplicacion llega primero por proteccion de datos, despues por supervision de IA sectorial. Tener documentacion preparada es mejor que improvisar tras una consulta de supervision.

Descargar el informe completo

La investigacion completa cubre los 14 dossiers de paises, analisis sectoriales (servicios financieros, sector publico, salud), tablas comparativas regulatorias, mapeo de frameworks EU AI Act y NIST AI RMF, y estudios de caso de aplicacion.

Descargar el libro blanco completo (PDF)