Navegando por las regulaciones de IA de EE. UU.: Una guía para el cumplimiento normativo de IA

Introducción: El panorama del cumplimiento normativo de IA

A diferencia de la Unión Europea, Estados Unidos aún tiene que promulgar una ley federal integral para el Cumplimiento Regulatorio de IA. Eso no significa que Estados Unidos sea un “Salvaje Oeste” de IA. Un número creciente de estados de Estados Unidos han aprobado leyes específicas de IA, mientras que los estatutos existentes, incluida la Ley de la FTC, la Ley de Estadounidenses con Discapacidades (ADA) y las leyes de protección del consumidor, se aplican cada vez más a los sistemas de IA.

Estos marcos configuran colectivamente la forma en que las organizaciones administran Seguridad de datos de IA, prevenir la discriminación algorítmica y evitar prácticas comerciales desleales o engañosas.

En este blog, exploramos cómo el mosaico de la regulación de IA de Estados Unidos afecta a las empresas, cómo se ve el cumplimiento en todos los estados y cómo las empresas pueden alinear sus estrategias de gobierno con las expectativas legales en evolución.

Comprensión del mosaico: Cumplimiento normativo de IA a nivel estatal

Desde la perspectiva de un formulador de políticas, el mayor riesgo de la IA es su toma de decisiones autónoma. Estos sistemas pueden actuar de manera independiente, a menudo de manera opaca, y con profundos impactos en los derechos de las personas.

Para equilibrar el riesgo y la innovación, la Ley de IA de la UE estableció un marco basado en el riesgo. Si bien el gobierno federal de Estados Unidos aún no ha seguido su ejemplo, las leyes de IA a nivel estatal están liderando el camino.

Colorado: Un modelo para la regulación integral de la IA

La Ley Antidiscriminación en IA (CAIA) de Colorado, promulgada en 2024, representa el ejemplo más completo de un marco regulatorio de IA en Estados Unidos.

Disposiciones clave de la CAIA:

• Los sistemas de IA de alto riesgo se definen como aquellos capaces de tomar “decisiones consecuentes” en áreas como empleo, salud, educación, vivienda y finanzas.
  
  
• Los desarrolladores e implementadores deben documentar los riesgos, alinearse con marcos reconocidos como NIST AI RMF o ISO 42001 y realizar evaluaciones anuales de impacto de IA.
  
  
• Los derechos de las personas incluyen la capacidad de saber cuándo la IA contribuye a una decisión, corregir errores y apelar a un revisor humano.
  
  

El enfoque de Colorado podría convertirse en una plantilla para otros estados, reflejando la creciente expectativa de que los desarrolladores de IA integren la seguridad de datos de IA y los mecanismos de responsabilidad en el diseño y la implementación.

Rutas divergentes: cómo los estados definen el cumplimiento de la IA

Más allá de Colorado, estados como Utah, Texas, California y Nueva York han adoptado leyes más estrictas que rigen el Cumplimiento Regulatorio de IA en industrias específicas.

Utah

Requiere que los implementadores informen a los usuarios durante las “interacciones de alto riesgo”, especialmente al recopilar datos biométricos, financieros o de salud.

Texas

Prohíbe tanto a entidades gubernamentales como privadas el uso de IA para la puntuación social o la vigilancia biométrica, y prohíbe los sistemas que manipulan o dañan a las personas.

Estos ejemplos ponen de relieve una tendencia clave. La transparencia y la divulgación están emergiendo como principios universales de cumplimiento. Cada vez más se requiere que las organizaciones divulguen cuándo los usuarios interactúan con la IA y se aseguren de que los resultados se etiqueten claramente como contenido generado por IA.

Cómo las leyes existentes configuran el cumplimiento normativo de IA

Mientras que algunos Leyes de cumplimiento de IA son nuevos, muchos marcos legales ya restringen las prácticas de IA. Los tribunales y los reguladores están aplicando leyes de protección al consumidor, antidiscriminación y privacidad a la IA, creando de manera efectiva un entorno de cumplimiento de normas en constante evolución y de múltiples capas.

1. Protección del Consumidor y Seguridad de Datos de IA

Agencias como la FTC y la CFPB están reprimiendo las prácticas manipuladoras o engañosas de IA, incluidos los llamados “patrones oscuros”. Estos incluyen algoritmos de personalización de contenido en plataformas de redes sociales que dirigen a los usuarios vulnerables a contenido peligroso, así como aplicaciones de finanzas personales impulsadas por IA que prometen ahorros o retornos de inversión pero resultan en tarifas por sobregiro u otros costos para los usuarios finales.

2. Antidiscriminación en el empleo

Casos como Mobley contra Workday demostrar cómo las herramientas de contratación impulsadas por la IA podrían resultar en responsabilidad en virtud de la Ley de Derechos Civiles, la ADA y la Ley de Discriminación por Edad en el Empleo. Los tribunales están señalando que los proveedores de IA pueden ser tratados como empleadores y responsabilizados por el sesgo algorítmico.

3. Privacidad, Protección de Datos y Reconocimiento Facial

En ACLU contra Clearview AI, el tribunal dictaminó que raspar imágenes públicas para entrenar un modelo de reconocimiento facial violaba la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois. Del mismo modo, Rite Aid se enfrentó a una acción de aplicación de la FTC por usar el reconocimiento facial de maneras que condujeron a resultados discriminatorios.

Estos casos refuerzan la necesidad de controles sólidos de seguridad de datos de IA, políticas transparentes de recopilación de datos y marcos de gobierno éticos de IA.

Propiedad Intelectual y Uso Justo: La Próxima Frontera

Los desarrolladores de IA también se enfrentan a demandas por infracción de derechos de autor y uso de datos en la formación de modelos.

• Thomson Reuters contra Ross Intelligence: Copiar notas de cabecera legales para entrenar un producto competidor no se consideró uso justo.
  
  
• Bartz contra Antrópico: El uso de materiales protegidos por derechos de autor para capacitar a un LLM se dictaminó uso justo, ya que los productos eran transformadores y no reproducciones.
  
  

Las decisiones divididas ilustran un desafío clave para AI-SPM (Administración de privacidad y seguridad de IA). Los desarrolladores deben asegurarse de que las entradas de datos sean conformes, rastreables y de origen ético.

El futuro del cumplimiento normativo de IA

La acción federal puede llegar, pero por ahora, el cumplimiento es impulsado principalmente por los estados y las leyes existentes. Las organizaciones deben esperar una estructura de gobierno de múltiples capas que combine:

• Transparencia: Divulgación clara del uso de IA y las prácticas de recopilación de datos.
  
  
• Explicabilidad: La capacidad de describir la lógica del modelo y las fuentes de datos.
  
  
• Rendición de cuentas: Marcos de gobierno alineados con los estándares NIST AI RMF, ISO 42001 o AI-SPM.
  
  
• Seguridad: Implementar los principios de seguridad por diseño y privacidad por diseño.
  
  
• Imparcialidad: Evitar diseños engañosos, sesgos o daños a las poblaciones vulnerables.
  
  

Adelántese al cumplimiento de normas de IA

A medida que evoluciona la regulación de la IA, las organizaciones que adopten proactivamente marcos de cumplimiento normativo de IA obtendrán una ventaja competitiva, minimizando el riesgo legal mientras se ganan la confianza del usuario.

La plataforma de seguridad de IA de Cyera permite a las empresas administrar la seguridad de datos de IA y el cumplimiento de normas de manera integral, alineándose con los estándares globales y protegiendo la información confidencial del uso indebido.

Solicitar una demostración para ver cómo Cyera puede ayudar a su organización a mantener la conformidad y la seguridad en la era de la IA.