Recursos sobre regulación de IA

Línea de tiempo regulatoria expandida

• Septiembre 2023. El Banco Central de la República Argentina (BCRA) emite la Comunicación "A" 7724. Reemplaza la A 4609. Aplica a entidades financieras, casas de cambio y fideicomisos. Es la primera regulación argentina que exige documentar el uso de IA y aprendizaje automático (ML) en decisiones automatizadas. Texto oficial PDF.
• Diciembre 2023. Se publica la norma ISO/IEC 42001, primer estándar internacional para sistemas de gestión de inteligencia artificial. 39 controles distribuidos en 9 dominios.
• Agosto 2024. Entra en vigencia el EU AI Act (Reglamento UE 2024/1689). Implementación escalonada hasta 2027. Aplicable a empresas argentinas que operen con clientes en la Unión Europea o que coloquen sistemas de IA en mercado europeo. Texto consolidado EUR-Lex.
• Febrero 2025. Entran en vigencia las prohibiciones absolutas del EU AI Act: sistemas de scoring social, manipulación cognitiva subliminal, identificación biométrica en tiempo real en espacios públicos sin excepciones tasadas, entre otras categorías de riesgo inaceptable.
• 2025. Tres proyectos de ley argentinos en discusión: Sapag (S-0071/2025) en Senado, Gollán y Yeza en Cámara de Diputados. Todos retoman el enfoque europeo basado en clasificación por riesgo. Senado Argentina.
• Agosto 2026. Entran en vigencia las obligaciones del EU AI Act para sistemas de IA de propósito general (GPAI) — los modelos fundacionales del tipo GPT, Claude, Gemini.
• Agosto 2027. Entran en vigencia las obligaciones del EU AI Act para sistemas de alto riesgo: scoring crediticio, recursos humanos, educación, infraestructura crítica, justicia, asilo y otros casos del Anexo III.
• Futuro indeterminado. Posible aprobación de ley argentina sobre IA. La regulación local va a llegar; la pregunta de timing es cuándo, no si.

BCRA Comunicación "A" 7724 — qué exige exactamente

La Comunicación "A" 7724 entró en vigencia el 6 de septiembre de 2023. Aplica a entidades financieras, casas de cambio, sociedades de garantía recíproca y otras entidades alcanzadas por las regulaciones del BCRA. La obligación central es identificar y documentar el uso de software con algoritmos de IA y ML. En concreto exige:

• Definir el objetivo del uso de cada modelo de IA o ML.
• Mantener inventario actualizado de modelos en producción.
• Documentar los datasets de entrenamiento, su origen y su gobernanza.
• Definir métricas de confiabilidad y robustez aplicables a cada modelo.
• Realizar análisis de riesgo que considere volumen y naturaleza de los datos, complejidad del modelo, obsolescencia, privacidad e impacto sobre los usuarios como consumidores.
• Establecer roles de gobernanza y supervisión humana.
• Mantener evidencia auditable disponible para inspecciones del Banco Central.

El incumplimiento puede dar lugar a observaciones de inspección y sanciones según el régimen general. Las inspecciones suelen ser cíclicas, con frecuencia anual o bienal según el tamaño de la entidad.

EU AI Act para empresas argentinas — cuándo te aplica

El Reglamento UE 2024/1689 tiene alcance extraterritorial. Una empresa argentina queda alcanzada en cualquiera de estos casos:

• Coloca un sistema de IA en el mercado de la Unión Europea (lo vende, lo ofrece, lo licencia).
• Su sistema produce salida usada en la UE, aun si la empresa no tiene presencia europea.
• Es deployer de un sistema de IA de alto riesgo cuyas salidas afectan a personas en la UE.

El Reglamento clasifica los sistemas en cuatro niveles de riesgo:

• Inaceptable. Prohibidos: scoring social estatal, manipulación subliminal, biometría en tiempo real sin excepciones tasadas, etc.
• Alto. Permitidos pero con obligaciones fuertes: scoring crediticio, gestión de recursos humanos, educación, infraestructura crítica, justicia. Lista detallada en el Anexo III.
• Limitado. Obligaciones de transparencia: usuario debe saber que interactúa con IA (chatbots, deepfakes, contenido sintético).
• Mínimo. Sin obligaciones específicas. La mayoría de los usos comunes.

Para empresas argentinas, los casos típicos del Anexo III que conviene revisar son: scoring crediticio (alcanza a la mayoría de fintech con clientes europeos), recursos humanos (recruitment IA para roles internacionales), educación (calificación automatizada de estudiantes en programas con UE).

Glosario regulatorio

• IA — Inteligencia artificial: sistema diseñado para ejecutar tareas que tradicionalmente requerían inteligencia humana, como reconocer patrones, decidir, generar contenido o predecir.
• ML — Machine Learning, aprendizaje automático: subconjunto de IA en el que el sistema aprende reglas a partir de datos en lugar de tenerlas explícitamente programadas.
• RAG — Retrieval Augmented Generation: arquitectura que combina un modelo lingüístico grande (LLM) con una base de conocimiento privada que se consulta en tiempo de inferencia. Usada para evitar fugas de datos a modelos públicos.
• LLM — Large Language Model, modelo lingüístico grande: modelo de IA entrenado sobre grandes corpus de texto, capaz de generar lenguaje natural. GPT, Claude, Gemini son ejemplos.
• FRIA — Fundamental Rights Impact Assessment, Evaluación de Impacto sobre Derechos Fundamentales: obligación bajo el artículo 27 del EU AI Act para sistemas de alto riesgo en sectores específicos. Documenta el impacto del sistema sobre derechos como dignidad, igualdad, no discriminación.
• ISO/IEC 42001 — Norma internacional para sistemas de gestión de inteligencia artificial. Publicada en diciembre 2023. Modelo análogo a ISO 27001 (seguridad de la información). Es la referencia para auditar internamente la gobernanza de IA en una organización.
• Anexo III del EU AI Act — Lista de casos de uso considerados sistemas de alto riesgo. Incluye, entre otros: scoring crediticio, gestión de recursos humanos, calificación educativa, infraestructura crítica.
• GPAI — General Purpose AI, IA de propósito general: modelos fundacionales versátiles como GPT, Claude o Gemini. El EU AI Act les impone obligaciones específicas de documentación técnica y transparencia.
• eIDAS — Reglamento UE 910/2014: marco europeo para identificación electrónica y servicios de confianza. Es la base legal de las European Digital Credentials, las credenciales digitales firmadas con sello eIDAS y verificables en Europass.
• Habeas Data — Derecho constitucional argentino regulado por la Ley 25.326 de Protección de Datos Personales. Alcanza a los datos personales tratados por sistemas de IA, lo que activa obligaciones de consentimiento, finalidad declarada y derecho a supresión.
• Defensa del Consumidor — Ley 24.240 argentina. Alcanza a las prácticas comerciales que usan IA: recomendadores, pricing dinámico, personalización agresiva, chatbots de atención. Prohíbe la manipulación.

Enlaces oficiales

• BCRA — Comunicación "A" 7724 (PDF oficial)
• EU AI Act — texto consolidado en EUR-Lex
• AI Act Explorer — versión navegable del Reglamento
• ISO/IEC 42001 — sitio ISO
• Senado Argentina — búsqueda de proyectos legislativos
• AIPIA — guía sobre EU AI Act en español
• AIPIA — Comité Técnico-Científico

Quién mantiene este recurso

Esta página la mantengo yo, Rafael Patron, Presidente del Comité Técnico-Científico (CTS) de la Asociación Italiana de Profesionales de Inteligencia Artificial (AIPIA). Se actualiza cuando hay novedades regulatorias reales, no por calendario editorial. Si encontrás un error o falta algo importante, escribime a r@patron.ar.