Decálogo para regular bien la IA

Regular la inteligencia artificial (IA) es el mayor desafío que los legisladores y hacedores de política pública enfrentan en nuestro tiempo. A esta tarea, Mustafa Suleyman la llama “el reto de la contención legal” en su libro The Coming Wave.

La contención integral de la IA es un reto más amplio que el regulatorio, definido en el libro mencionado como: “Un conjunto de mecanismos técnicos, culturales, jurídicos y políticos, interconectados y mutuamente reforzados, destinados a preservar el control social sobre la IA en una era de cambio exponencial. Se trata de una arquitectura capaz de contener transformaciones tecnológicas que antes habrían tomado siglos o milenios, pero que hoy ocurren en apenas años o incluso meses, con consecuencias que se propagan por el mundo en cuestión de segundos”.

En este contexto, muchos países intentan producir regulación adecuada para mitigar los riesgos que la IA plantea, sin frenar la innovación beneficiosa que promete. En Colombia han proliferado hasta ahora numerosas propuestas legislativas en el Congreso, la mayoría de iniciativa de los congresistas, y un proyecto regulatorio general del actual Gobierno (Proyecto de Ley 43 de 2025). Sin embargo, entre muchos expertos existe la preocupación de que buena parte de la legislación propuesta hasta ahora no tiene la madurez técnica necesaria para hacer más bien que daño si llega a aprobarse.

En los últimos años me he dedicado a estudiar y asesorar algunas de estas iniciativas legislativas en Colombia. El año pasado tuve la oportunidad de viajar por 11 ciudades de Estados Unidos para entrevistar a más de 60 expertos en regulación tecnológica, en mi calidad de Eisenhower Global Fellow. Todo lo que aprendí da para escribir varios volúmenes, pero en esta columna resumiré lo esencial en un breve decálogo de estrategias básicas para regular bien la IA:

1. Regular una tecnología de propósito general es difícil. Su potencial de beneficio y de daño es amplio, cambiante y a veces impredecible. Por eso, hay que regular con mucha humildad. Ni el más grande experto se las sabe todas ni puede anticiparlo todo en materia de IA. 2. La innovación debe ser la regla y la restricción la excepción. En principio, solo conviene limitar ex ante lo que muestre un riesgo serio, plausible y bien sustentado de daño; no simples miedos, especulaciones, pánicos morales o riesgos meramente imaginados. Por principio, la innovación debe estar permitida. A este enfoque regulatorio se le denomina “permissionless innovation” y traslada la carga de probar que cierta innovación es realmente nociva a quien quiere limitarla. En palabras de Adam Thierer, el principal defensor de esta visión regulatoria minimalista, a quien entrevisté el año pasado, el primer acto de política pública debería ser “no actuar”: estudiar, revisar y entender la tecnología antes de legislar. A esto lo llama policy humility. La acción apresurada, dice, tiende a crear “cautiverios regulatorios”, sectores “nacidos en una jaula” que frenan el emprendimiento, la experimentación y todo el progreso que nace de ellos. 3. No se debe regular a ciegas. Si el Estado no entiende bien el problema, debe escuchar primero a expertos, operadores, desarrolladores y afectados. Y si aun con un conocimiento incompleto necesita actuar, debe hacerlo de manera limitada, provisional y revisable. 4. La mejor regulación para problemas complejos se construye con inteligencia colectiva. El Congreso, el Gobierno, la academia, los tanques de pensamiento, la industria tecnológica, la sociedad civil y los expertos humanitarios ven riesgos distintos y ayudan a abordar mejor los “puntos ciegos”. Por eso, todos deben hacer parte de la conversación regulatoria, que no debe ser una causa partidista, sino un propósito de nación. 5. Las buenas intenciones no bastan porque no conducen necesariamente a buenos resultados. Regular mal puede hacer más daño que no regular. Por esta razón, la experiencia comparada y la evidencia empírica deben tenerse en cuenta para evitar repetir errores que ya se cometieron en otras latitudes. 6. La ley debe poder cumplirse. Hay que medir los costos y capacidades de implementación para el Estado y para los particulares. Una regulación imposible de cumplir termina concentrando el mercado, favoreciendo a las grandes empresas y dejando a los pequeños por fuera. Las pymes son las primeras damnificadas con una regulación asfixiante que no pueden costear. 7. Toda regulación tecnológica implica compensaciones. Al regular la IA casi siempre hay tensión entre seguridad e innovación, entre control y flexibilidad, entre prevención y aprendizaje. Lo importante es asumir esos trade-offs de frente y visibilizarlos para definir claramente cuáles son las apuestas. El objetivo principal aquí es impedir que la regulación frene la innovación. 8. La regulación vertical es una mejor estrategia cuando el problema es muy específico. No siempre sirve una gran ley general y horizontal de IA. A veces, es mejor una regla sectorial para un riesgo concreto, como las armas letales autónomas, los deepfakes, el reconocimiento facial, el impacto sobre la propiedad intelectual o el desempleo tecnológico, por solo mencionar algunos ejemplos de legislación vertical. 9. La ley debe ser flexible y revisarse con frecuencia. En tecnologías que cambian rápido, conviene evitar la “legislación forense”: leyes que nacen muertas porque ya están desactualizadas el día de su aprobación. La ley debe incluir seguimiento, evaluación de impacto y, cuando sea conveniente, cláusulas de revisión o caducidad. En materia de IA, debemos empezar a experimentar con “leyes actualizables” periódicamente, con revisiones planificadas para evitar que caigan en la obsolescencia debido al rápido cambio tecnológico. 10. No hay que copiar modelos extranjeros de forma mecánica. Los modelos regulatorios de otros países sirven como insumo, no como plantilla.

No podemos copiar el modelo estadounidense, europeo o chino sin más. La meta es construir un modelo colombiano, ajustado a nuestro contexto y realidad local.

Este decálogo podría ampliarse en una segunda entrega, porque la complejidad del tema lo amerita. Por ahora, basta una advertencia: regular bien la IA exige menos ansiedad legislativa y más inteligencia colectiva e institucional. Lo demás lo dejamos para una próxima columna.