Regulación de IA en EE. UU. 2026: órdenes federales, leyes estatales y qué cumplir ya

Estados Unidos sigue sin tener una ley federal integral de IA. El Congreso ha celebrado audiencias, lanzado propuestas y debatido durante años, pero no ha aprobado nada vinculante. Si estás esperando un único reglamento claro, vas a esperar un rato.

Eso no significa que la IA esté sin regular. Lo que ha pasado en realidad es más desordenado: órdenes ejecutivas tirando en una dirección, legislaturas estatales empujando en otra, agencias federales aplicando leyes existentes contra empresas de IA y marcos voluntarios como el NIST AI RMF ganando peso operativo real. Tus obligaciones de cumplimiento ahora dependen de dónde operas, en qué sector estás y qué hacen realmente tus sistemas de IA.

Hemos publicado un whitepaper completo que cubre este entorno regulatorio en profundidad. Este post recorre los hallazgos clave.

Sin ley federal de IA, pero mucha actividad federal

Que no haya legislación ómnibus no significa vacío regulatorio. El gobierno federal ha estado activo mediante órdenes ejecutivas, aplicación por agencias y marcos voluntarios. El cuadro solo es más difícil de leer que una sola ley.

La administración Trump firmó 2 órdenes ejecutivas que fijaron el tono federal. La primera, en enero de 2025 (Executive Order 14179), revocó la orden sobre seguridad de IA de la era Biden y dirigió a las agencias a eliminar barreras a la adopción de IA. La segunda, en diciembre de 2025, fue más lejos: creó una AI Litigation Task Force para impugnar las leyes estatales de IA, encargó al Departamento de Comercio evaluar qué leyes estatales chocan con los objetivos federales y amenazó con retirar fondos federales a estados con leyes de IA consideradas «onerous».

La orden de diciembre de 2025 pesa más. Establece mecanismos para que el gobierno federal pueda contestar la regulación estatal, pero no crea por sí misma estándares ni requisitos federales de IA. Las leyes estatales de IA existentes siguen en vigor mientras no sean impugnadas con éxito en los tribunales.

Hay excepciones que merece la pena conocer. La orden ejecutiva exime 3 áreas de la preemption: seguridad infantil en contextos de IA, infraestructura de cómputo y centros de datos para IA, y la contratación pública de IA por gobiernos estatales. Si operas en alguna de estas áreas, asume autoridad de aplicación estatal continuada.

Los estados están llenando el hueco, rápido

Con la legislación federal estancada, los estados se han convertido en los impulsores principales de la regulación vinculante de IA. El ritmo se aceleró en 2025 y 2026, con varias leyes entrando en vigor el 1 de enero de 2026 y más por llegar a lo largo del año.

Colorado AI Act (derogado y sustituido por SB 26-189)

Colorado había aprobado con SB 24-205 la ley estatal de gobernanza de IA más completa del país, dirigida a desarrolladores y deployers de sistemas de IA «de alto riesgo» que toman decisiones consequential en educación, empleo, servicios gubernamentales, sanidad, vivienda, seguros o servicios jurídicos. Exigía programas de gestión de riesgos, divulgaciones al consumidor y mitigación de la discriminación algorítmica. Originalmente fijada para el 1 de febrero de 2026, la aplicación se pospuso al 30 de junio de 2026 tras la presión de la industria.

Nunca llegó a entrar en vigor. En mayo de 2026, Colorado derogó y sustituyó la ley por SB 26-189, un estatuto más estrecho que regula la tecnología de toma de decisiones automatizada (ADMT) que influye materialmente en decisiones consequential, en vigor el 1 de enero de 2027. Los programas de gestión de riesgos, las evaluaciones de impacto y el deber de diligencia desaparecen; en su lugar hay avisos al consumidor previos al uso, explicaciones en 30 días ante resultados adversos, derechos a una revisión humana significativa y deberes de documentación para los desarrolladores. Mira la actualización de junio de 2026 más abajo y nuestra guía de cumplimiento Colorado SB 26-189 actualizada.

Si despliegas ADMT que influye en cualquiera de esas categorías de decisión para consumidores de Colorado (una definición que incluye a empleados y candidatos residentes en Colorado), la nueva ley te aplica. El módulo project risk de VerifyWise sigue los sistemas de IA en las 7 fases del ciclo de vida, lo que respalda el trabajo de inventario, documentación y retención de registros que SB 26-189 espera.

California: el entorno de cumplimiento más complejo

California ha ido más lejos que cualquier otro estado en términos de mero volumen. Varias leyes entraron en vigor el 1 de enero de 2026:

La Transparency in Frontier AI Act (SB 53) exige a los desarrolladores de grandes modelos frontier (entrenados con más de 10^26 FLOPS) publicar marcos de riesgo, reportar incidentes de seguridad e implementar protecciones para denunciantes. Las sanciones pueden llegar a 1 M US$ por infracción para empresas con ingresos anuales superiores a 500 M US$.

La AI Training Data Transparency Act (AB 2013) obliga a los desarrolladores de sistemas de IA generativa a publicar resúmenes de sus datasets de entrenamiento, incluyendo fuentes, tipos, información de propiedad intelectual y detalles de datos personales.

La AI Transparency Act (SB 942) obliga a los proveedores de IA a divulgar cuando el contenido es generado por IA, incluso mediante watermarking. Las regulaciones californianas CCPA sobre toma de decisiones automatizada añaden requisitos de evaluación de riesgos en vigor el 1 de enero de 2026, con las disposiciones completas (avisos previos al uso, opt-outs del consumidor) previstas para el 1 de enero de 2027.

Si estás construyendo o desplegando IA en California, te enfrentas a un entorno de cumplimiento por capas donde múltiples leyes pueden aplicar simultáneamente.

Texas TRAIGA

Texas aprobó el Responsible AI Governance Act el 1 de enero de 2026. La versión final se estrechó significativamente durante el proceso legislativo. Elimina la mayoría de las obligaciones del sector privado y limita los requisitos de cumplimiento principalmente al uso gubernamental de IA.

Dicho esto, TRAIGA sigue imponiendo prohibiciones categóricas a los sistemas de IA diseñados para manipulación conductual, discriminación ilegal, incitación a la violencia o producción de deepfakes de material de abuso sexual infantil. También restringe que las entidades estatales usen IA para social scoring o identificación biométrica sin consentimiento, y establece un Texas Artificial Intelligence Council con un programa de sandbox regulatorio. Mira nuestro resumen del Texas AI Act para un desglose más profundo.

Illinois y Nueva York

Illinois exige que los empleadores notifiquen a los candidatos cuando la IA analiza entrevistas en vídeo, obtengan consentimiento antes de la evaluación por IA y sigan reglas de retención de datos. Estas disposiciones entraron en vigor en febrero de 2026.

La Local Law 144 de Nueva York continúa como una de las regulaciones locales de IA más operativamente significativas. Exige auditorías de sesgo para las herramientas automatizadas de decisiones de empleo y sigue aplicándose activamente. El estado de Nueva York se ha ampliado con la RAISE Act, requisitos de divulgación de intérpretes sintéticos y supervisión más amplia de las herramientas de decisión automatizadas.

Si tu organización usa IA en decisiones de contratación, probablemente estás sujeta a requisitos superpuestos de NYC Local Law 144, las reglas de entrevista en vídeo de Illinois, restricciones de Maryland y Nueva Jersey, las regulaciones del Civil Rights Department de California y los estatutos federales antidiscriminación.

Plazos clave de cumplimiento de un vistazo

La FTC no espera al Congreso

La Federal Trade Commission ha sido la agencia federal más activa en la aplicación de IA, usando su autoridad existente bajo la Sección 5 de la FTC Act para ir contra prácticas de IA injustas o engañosas. Esto está pasando con independencia de qué partido controle la Casa Blanca.

La iniciativa «Operation AI Comply» de la FTC, lanzada en septiembre de 2024, apunta a empresas que hacen afirmaciones no fundamentadas sobre productos de IA. Puedes leer más sobre el enfoque de la FTC en nuestra página de directrices de IA de la FTC. Acciones de aplicación destacadas:

Workado (Content at Scale AI) anunció su herramienta de detección de contenido IA como precisa al 98 %. Las pruebas mostraron aproximadamente un 53 % de precisión. La FTC emitió una consent order que obligaba a la empresa a dejar de hacer afirmaciones no fundamentadas.

DoNotPay acordó en enero de 2025 por comercializar un chatbot de IA como «world's first robot lawyer» sin pruebas adecuadas. Growth Cave resolvió alegaciones en enero de 2026 sobre la representación errónea de las capacidades de automatización de su software de IA.

El liderazgo actual de la FTC bajo el presidente Andrew Ferguson ha señalado una filosofía de aplicación más estrecha que la administración anterior, pero la aplicación contra el «AI washing» continúa de forma bipartidista. La conclusión práctica: toda afirmación que hagas sobre las capacidades, precisión o rendimiento de tu sistema de IA debe estar respaldada por evidencia documentada.

Las organizaciones tienen que tratar las afirmaciones de marketing de IA con el mismo rigor que las divulgaciones financieras. El evidence center de VerifyWise proporciona un repositorio centralizado de evidencia de cumplimiento con registro de auditoría completo de todas las operaciones de archivos, lo que hace sencillo mantener la sustanciación documentada que la aplicación de la FTC ahora exige.

NIST AI RMF: el marco voluntario con dientes crecientes

El NIST AI Risk Management Framework, publicado en enero de 2023, se ha convertido en el estándar operativo de facto para la gobernanza de IA en EE. UU. Es voluntario, pero su influencia se extiende mucho más allá de la adopción opcional.

El marco se construye sobre 4 funciones principales: Govern (estructuras organizativas y responsabilidad), Map (identificar contexto, riesgos e impactos), Measure (evaluar riesgos cuantitativa y cualitativamente) y Manage (implementar tratamiento y monitorización).

A los contratistas federales se les espera cada vez más una gobernanza alineada con NIST. Las legislaturas estatales referencian el marco en sus leyes. Los organismos reguladores internacionales lo usan como complemento técnico para el cumplimiento del EU AI Act. El marco del Departamento del Tesoro para servicios financieros de febrero de 2026 traduce los principios del NIST AI RMF en 230 objetivos de control mapeados para instituciones financieras.

Los desarrollos recientes incluyen el Generative AI Profile (NIST-AI-600-1), un borrador de Cyber AI Profile (NIST IR 8596) y actualizaciones esperadas vía AI RMF 1.1 con perfiles ampliados y metodologías de evaluación durante 2026.

Si estás eligiendo un único marco para anclar tu programa de gobernanza de IA, el NIST AI RMF es la apuesta más sólida para las organizaciones con base en EE. UU. Se alinea con los requisitos estatales actuales y te posiciona bien para la legislación federal que acabe emergiendo. También puedes explorar nuestra herramienta de evaluación NIST AI RMF para evaluar dónde estás.

El pulso federal vs estatal

Este es probablemente el desarrollo más consecuente en la gobernanza de IA en EE. UU. ahora mismo. El gobierno federal y los estados se dirigen a un enfrentamiento sobre quién puede regular la IA.

La posición federal: la regulación estado por estado crea desafíos de cumplimiento inviables y amenaza la competitividad de EE. UU. La orden ejecutiva de diciembre de 2025 identifica 3 preocupaciones. Primera: 50 regímenes regulatorios distintos hacen el cumplimiento desproporcionadamente costoso, especialmente para startups. Segunda: ciertas leyes estatales pueden obligar a los sistemas de IA a producir resultados inexactos para satisfacer requisitos antidiscriminación. Tercera: algunas leyes estatales regulan más allá de sus fronteras, invadiendo el comercio interestatal.

Los estados han respondido con fuerza. Varios funcionarios estatales sostienen que la orden ejecutiva se excede sobre los poderes de policía tradicionales y la autoridad de protección al consumidor de los estados. Varios estados han señalado que seguirán aplicando sus leyes de IA pase lo que pase.

Esto es lo que importa para la planificación del cumplimiento: la orden ejecutiva no suspende ni invalida ninguna ley estatal. Aunque estatutos de IA específicos se enfrenten a impugnaciones federales, los fiscales generales estatales conservan la capacidad de aplicar el cumplimiento bajo estatutos generales de protección al consumidor y antimonopolio. Hasta que los tribunales resuelvan las disputas de preemption, tienes que mantener el cumplimiento con todos los requisitos estatales existentes.

El Congreso también ha entrado en el debate. En mayo de 2025, los republicanos de la Cámara intentaron insertar una cláusula que prohibiría las leyes estatales de IA durante 10 años en una ley de gasto. La propuesta encontró fuerte oposición y no avanzó. El alcance de cualquier eventual legislación federal sigue siendo profundamente incierto.

Regulaciones sectoriales que no puedes ignorar

Más allá de las leyes estatales amplias, la regulación de IA también está ocurriendo por canales sectoriales. Si operas en empleo, sanidad, servicios financieros o sectores de cara al consumidor, te enfrentas a obligaciones adicionales.

El empleo es el área más fuertemente regulada. Las organizaciones que usan IA en decisiones de contratación, promoción o plantilla deben navegar los requisitos de auditoría de sesgo de NYC Local Law 144, las disposiciones de consentimiento en entrevistas de vídeo de Illinois, las restricciones en Maryland y Nueva Jersey, las regulaciones del Civil Rights Department de California sobre el uso discriminatorio de IA y los estatutos federales antidiscriminación (Title VII, ADA, ADEA) aplicados por la EEOC a la toma de decisiones algorítmica.

Los servicios financieros enfrentan las expectativas regulatorias más maduras. El marco del Departamento del Tesoro de febrero de 2026 mapea los principios del NIST AI RMF en 230 objetivos de control operativos que cubren la gobernanza del ciclo de vida del modelo, la resolución de identidad, la gobernanza de datos y la integración con SOC 2 y el NIST Cybersecurity Framework.

La sanidad cuenta con el Health Care Services AI Act de California que obliga a los proveedores que usan IA generativa para comunicaciones con pacientes a divulgar ese hecho y proporcionar instrucciones para contactar con un humano. Varios estados están considerando regulaciones adicionales para apoyo a la decisión clínica y procesamiento de reclamaciones de seguros. Las organizaciones que manejan datos de salud también deberían revisar sus obligaciones HIPAA aplicadas a los sistemas de IA.

La protección al consumidor abarca múltiples estados con requisitos de divulgación de chatbots, protocolos de seguridad para usos de IA de alto riesgo que involucran menores y restricciones sobre el uso de datos personales en precios algorítmicos.

Qué debería hacer tu organización ahora

Estos son los pasos prácticos que más importan dado el entorno regulatorio actual.

Construye un inventario de IA completo. Documenta cada sistema de IA en uso, incluyendo propiedad, contexto de despliegue, clasificación de riesgo y estado de gobernanza. Esta es una expectativa de base entre múltiples leyes estatales y marcos voluntarios. No puedes gobernar lo que no puedes ver, por eso la detección de Shadow AI debe formar parte de tu programa de gobernanza desde el primer día.

Mapea los requisitos específicos de cada jurisdicción. Para cada sistema de IA, identifica qué requisitos estatales y federales aplican en función de dónde se desarrolla, despliega y usa. Un único estándar de cumplimiento no servirá. La página de regulaciones globales de IA de nuestro sitio puede ayudarte a comparar marcos entre jurisdicciones.

Adopta el NIST AI RMF como base operativa. Se alinea con los requisitos estatales actuales, te posiciona para los estándares federales previstos y proporciona el enfoque estructurado que auditores y reguladores esperan ver. Nuestra herramienta de mapeo NIST AI RMF puede ayudarte a empezar.

Prepárate para la incertidumbre de preemption. Construye programas de cumplimiento que puedan adaptarse rápido. Sigue cumpliendo con todas las leyes estatales existentes mientras monitorizas las actividades de la DOJ Task Force, las evaluaciones del Departamento de Comercio y los desarrollos del Congreso.

Documéntalo todo. Evaluaciones de riesgo, resultados de pruebas de sesgo, evaluaciones de impacto, divulgaciones de transparencia, decisiones de gobernanza. La documentación es el hilo común a través de casi cualquier regulación actual y propuesta de IA. Las organizaciones que usan el sistema de reporting automatizado de VerifyWise pueden generar documentación de cumplimiento en más de 10 categorías de informes en minutos en lugar de los días o semanas que requiere la compilación manual.

Sustancia tus afirmaciones de marketing de IA. La aplicación bipartidista de la FTC sobre AI washing significa que cada afirmación sobre capacidades, precisión o rendimiento necesita evidencia rigurosa y documentada detrás.

Vigila el calendario. Fechas clave próximas: declaraciones de política de la FTC sobre la aplicación de la Sección 5 a la IA (marzo 2026), evaluación de las leyes estatales de IA por el Departamento de Comercio (marzo 2026), disposiciones del TAKE IT DOWN Act (mayo 2026), la ley ADMT Colorado SB 26-189 (1 de enero de 2027) y disposiciones ADM del CCPA californiano (enero 2027).

La conclusión

El panorama de gobernanza de IA en EE. UU. en 2026 está definido por la tensión: ambiciones federales desreguladoras vs legislación estatal agresiva, marcos voluntarios vs mandatos exigibles, promoción de la innovación vs protección al consumidor.

Si gestionas sistemas de IA, la ausencia de una ley federal integral no te libra. Entre los estatutos estatales, la aplicación por agencias federales bajo autoridades existentes y la influencia creciente de marcos como el NIST AI RMF, te enfrentas a una red de obligaciones que solo seguirá expandiéndose.

Las organizaciones que navegan esto mejor serán las que traten la gobernanza de IA como una capacidad estratégica en lugar de como una casilla de cumplimiento. Gestión sistemática de riesgos, documentación exhaustiva y capacidad de adaptarse a los cambios regulatorios no es solo para evitar sanciones. Es como construyes el tipo de confianza que clientes, reguladores y partes interesadas exigen cada vez más.

Para el análisis completo con desgloses detallados de leyes estatales, plazos de cumplimiento y guía sectorial, descarga el whitepaper completo aquí.

Actualización junio 2026

Desarrollos a destacar desde que se publicó este post.

Colorado derogó y sustituyó su AI Act. El 14 de mayo de 2026, el gobernador Polis firmó SB 26-189, que deroga SB 24-205 antes de que llegara a entrar en vigor y lo sustituye por una ley de tecnología de toma de decisiones automatizada (ADMT) en vigor el 1 de enero de 2027. Las evaluaciones de impacto, los programas obligatorios de gestión de riesgos y la affirmative defense NIST/ISO desaparecen; las nuevas obligaciones se centran en avisos al consumidor previos al uso, explicaciones en 30 días ante resultados adversos, revisión humana significativa y documentación de los desarrolladores, con un periodo de subsanación de 60 días y aplicación exclusiva del Attorney General. Mira nuestra guía de cumplimiento Colorado SB 26-189 actualizada.

La auditoría de Ontario sube el listón del sector público. Aunque no es de EE. UU., la Office of the Auditor General of Ontario publicó una auditoría de desempeño del uso de IA en el gobierno de Ontario en mayo de 2026. Marcó 10 lagunas de gobernanza que se mapean casi directamente a controles del NIST AI RMF y la ISO 42001: acceso a Shadow AI en webs, ausencia de pruebas de sesgo en sistemas de reconocimiento facial, fallos de evaluación de proveedores y ausencia de compromiso de inversión para la estrategia. Los compradores del sector público en EE. UU. deberían esperar auditorías similares a medida que se ponen en marcha las oficinas estatales de IA.

El impulso de aplicación de la FTC continúa. El patrón es constante: la FTC sigue usando la Sección 5 como herramienta principal contra las afirmaciones de IA que sobrevaloran las capacidades o se basan en el procesamiento no divulgado de datos del consumidor por IA. Si comercializas funcionalidades de IA, la guía de la FTC sobre afirmaciones de IA es el documento a estudiar.

Este análisis está actualizado a marzo de 2026 y está sujeto a cambios a medida que el entorno regulatorio evolucione. Las organizaciones deberían consultar a asesoría jurídica cualificada sobre obligaciones específicas de cumplimiento.