← Lecturas EN · ES ·

¿Tiene el Reglamento de IA lo necesario para convertirse en estándar global?

El marco de cinco condiciones de Bradford, aplicado al Reglamento de IA de la UE: qué condiciones se cumplen, cuáles son controvertidas y qué predice el análisis para el cumplimiento de las agencias federales estadounidenses y la interoperabilidad regulatoria.

N° 26 31 mayo 2026 Basado en Anu Bradford, *The Brussels Effect*, 107 Northwestern University Law Review 1 (2012), aplicado al Reglamento (UE) 2024/1689
17 min de lectura 3380 palabras

El artículo de Anu Bradford publicado en 2012 en la Northwestern University Law Review identificó las condiciones precisas bajo las cuales una sola jurisdicción puede globalizar sus normas regulatorias sin tratados, sin coerción y sin el consentimiento de otros Estados. El marco fue construido a partir del historial de la UE en materia antimonopolio, privacidad, productos químicos y seguridad alimentaria. No fue concebido con la inteligencia artificial en mente. Pero el Reglamento de IA de la UE —Reglamento (UE) 2024/1689, publicado en el Diario Oficial el 12 de julio de 2024— le plantea al marco su caso de prueba más relevante desde el RGPD. La pregunta que articula esta lectura es si el Reglamento de IA satisface las cinco condiciones de Bradford, cuáles se cumplen con claridad, cuáles resultan estructuralmente controvertidas, y qué implica el análisis para un problema de política específico que ha recibido menos atención de la que merece: si las agencias federales estadounidenses que operan bajo el Marco de Gestión de Riesgos de IA del NIST pueden acreditar un cumplimiento sustancial de los requisitos del Reglamento de IA para sistemas de alto riesgo mediante documentación de acceso público, o si ambos marcos son estructuralmente inconmensurables de formas que ningún grado de alineación voluntaria puede salvar.1

↑ N° 22 · Continúa desde la lectura anotada fundamental del artículo de Bradford (2012): las condiciones, mecanismos y límites del Efecto Bruselas como teoría.
Part 01
§ 01

El marco antes de la prueba

El marco de cinco condiciones de Bradford no es una lista de verificación. Es una estructura lógica en la que cada condición es individualmente necesaria y las cinco son conjuntamente suficientes. Toda aplicación a un nuevo ámbito debe comenzar por mantener firme esa estructura antes de cargarla de contenido empírico.

Las cinco condiciones que Bradford especifica son: poder de mercado suficiente para que la exclusión del mercado de la UE resulte costosa; capacidad regulatoria para producir y hacer cumplir normas vinculantes; una preferencia doméstica por reglas estrictas que prevalece sobre preferencias alternativas por ser más exigente; una predisposición a regular objetivos que son estructuralmente inelásticos —que no pueden escapar del régimen estricto mediante relocalización—; y la no divisibilidad de la conducta o producción regulada, ya sea por indivisibilidad jurídica, imposibilidad técnica o la economía de la ventaja de coste asociada a un estándar uniforme.2

Las condiciones no operan de forma independiente. La no divisibilidad es el mecanismo mediante el cual las cuatro primeras condiciones generan efectos globales: es lo que convierte una regulación que formalmente solo se aplica dentro del territorio de la UE en una que de hecho rige el comportamiento en todo el mundo. Una jurisdicción puede satisfacer las cuatro primeras condiciones y aun así no generar un Efecto Bruselas si el ámbito regulado es divisible. Por el contrario, un ámbito caracterizado por una fuerte no divisibilidad pero con escaso poder de mercado o capacidad regulatoria insuficiente solo generará efectos parciales o provisionales, como demostró el caso de los organismos modificados genéticamente. El marco es multiplicativo en su estructura: las cinco condiciones deben estar presentes, y la intensidad del Efecto es función de con qué solidez se cumple cada una.

La disposición de extraterritorialidad del Reglamento de IA —el artículo 2, apartado 1, letra c), que aplica el Reglamento a proveedores y responsables del despliegue establecidos en terceros países cuyas salidas se utilizan en la Unión— es el análogo estructural de las cláusulas de aplicación extraterritorial del RGPD, del Reglamento REACH y de las normas de competencia de la UE. Es el mecanismo jurídico que habilita el Efecto Bruselas, aunque no lo genera por sí solo. Lo que genera el Efecto es la combinación de ese alcance extraterritorial con un poder de mercado suficiente para que el cumplimiento resulte más barato que la exclusión, una capacidad regulatoria suficiente para que la aplicación de las normas sea creíble, y una no divisibilidad suficiente para que las arquitecturas de doble estándar resulten antieconómicas.

Part 02
§ 02

Poder de mercado y capacidad regulatoria — las condiciones indiscutidas

Dos de las cinco condiciones de Bradford se cumplen en el contexto del Reglamento de IA sin controversia analítica significativa. El argumento que las sustenta no requiere suposiciones heroicas sobre el tamaño del mercado europeo o el desarrollo institucional; se fundamenta en los mismos hechos estructurales que convirtieron el RGPD en un estándar global sin necesidad de tratado.

El poder de mercado es el activo más duradero de la UE en materia de globalización regulatoria, y su fuerza en el contexto de la IA es al menos tan sólida como en el de la protección de datos. El mercado interior de la UE, con aproximadamente 450 millones de consumidores, representa una fracción sustancial del despliegue global de IA para la mayoría de las aplicaciones comerciales: software empresarial, servicios financieros, diagnóstico médico, suscripción de seguros, selección y gestión de personal, y las aplicaciones del sector público que el Anexo III clasifica como de alto riesgo. Las empresas que desarrollan sistemas de IA para mercados globales no pueden permitirse tratar a la UE como un mercado optativo; el coste de oportunidad de la exclusión de un mercado de esa magnitud y nivel de renta es prohibitivo para la mayoría de los proveedores comerciales de IA.3 La lista de casos de uso de alto riesgo del Anexo III se concentra precisamente en los sectores en que el acceso al mercado de la UE tiene mayor valor: sanidad, finanzas, empleo y administración pública son, cada uno de ellos, sectores en los que la demanda europea es grande y los requisitos regulatorios específicos de la UE han sido históricamente de los más exigentes a nivel mundial.

La capacidad regulatoria es quizás la condición más interesante de evaluar en el contexto de la IA, porque el Reglamento de IA representa una expansión significativa de la competencia regulatoria de la UE hacia un ámbito genuinamente novedoso. La arquitectura institucional del Reglamento de IA está más desarrollada en el momento de su adopción de lo que lo estuvieron el RGPD o el Reglamento REACH en fases comparables. La Oficina Europea de IA, creada dentro de la Comisión por Decisión de 24 de enero de 2024, tiene un mandato que abarca la supervisión de los modelos de IA de propósito general, el asesoramiento científico y el compromiso internacional. Las autoridades de supervisión nacionales de cada Estado miembro asumen la responsabilidad primaria de aplicación de la mayoría de las obligaciones relativas a sistemas de IA de alto riesgo. El Consejo de IA coordina la actuación entre Estados miembros. La Comisión conserva jurisdicción sobre los modelos de propósito general con riesgo sistémico y puede imponer multas de hasta el siete por ciento del volumen de negocios anual mundial por las infracciones más graves. La estructura formal es densa y, en esta fase, sustancialmente no contrastada, pero el andamiaje institucional es más sólido en su punto de partida que cualquier otro que la UE tuviera cuando se adoptó la Directiva 95/46/CE sobre protección de datos, y aquella Directiva acabó generando un Efecto Bruselas plenamente operativo.4

Part 03
§ 03

Preferencia, inelasticidad y las condiciones que modulan

La tercera y cuarta condiciones se cumplen en el contexto del Reglamento de IA, aunque con matices que el marco de 2012 no tuvo que contemplar en la misma forma. El ámbito de la IA introduce características estructurales que hacen estas condiciones más complejas de evaluar que en el caso de los productos químicos o la protección de datos.

La preferencia por normas estrictas es la condición política, y se cumple claramente en el Reglamento de IA de la UE. El Reglamento aplica la lógica precautoria arraigada en el enfoque europeo: la carga de demostrar la conformidad recae sobre los proveedores antes del despliegue, no sobre los reguladores después de acreditarse el daño. El encuadre en términos de derechos fundamentales es explícito en los considerandos y en el diseño de la categoría de prácticas prohibidas, que aborda los sistemas que manipulan, explotan o suprimen la autonomía individual de formas que el Reglamento caracteriza como incompatibles con los valores de la UE. La posición de los Estados Unidos frente a la UE en materia de regulación de la IA reproduce —con algunas complicaciones— el patrón que Bradford describió para la protección de consumidores y el medio ambiente. La regulación federal de la IA en los Estados Unidos sigue siendo fragmentada: no existe un equivalente federal de aplicación general del Reglamento de IA; el Marco de Gestión de Riesgos de IA del NIST es voluntario; y los principales instrumentos federales de gobernanza de la IA son documentos de orientación sectoriales sin fuerza vinculante. Este posicionamiento es estructuralmente más permisivo que el de la UE.5

La estructura del conflicto regulatorio garantiza que prevalezca el regulador más estricto, no mediante coerción, sino porque la lógica de mercado de la situación hace que el cumplimiento resulte más barato que la exclusión una vez que el mercado del regulador estricto es suficientemente grande para eliminar la opción de salida. — Bradford (2012), aplicado

Los objetivos inelásticos es la condición que opera de forma diferente en el caso de la IA en comparación con los productos químicos o los datos. Los sistemas de IA ocupan una posición híbrida. La infraestructura de cómputo es móvil de una forma en que los productos de consumo no lo son. Una empresa a la que se prohíba operar ciertas configuraciones de IA dentro de la UE puede, en principio, enrutar la inferencia a través de infraestructura extracomunitaria. Pero para los sistemas de IA de alto riesgo definidos por el Anexo III, el objetivo relevante no es la infraestructura sino la salida: un sistema de IA utilizado para la calificación crediticia en Francia, el diagnóstico médico en Alemania o la selección de personal en los Países Bajos se regula en el punto de uso, no en el de cómputo. Las categorías del Anexo III se definen, de forma abrumadora, por el dominio de aplicación y la población de la UE afectada, no por la ubicación de los servidores. El Reglamento está estructurado para regular objetivos inelásticos —las personas y organizaciones de la UE que son los usuarios y sujetos previstos de los sistemas de IA de alto riesgo— con independencia de dónde se haya entrenado u alojado el modelo subyacente.6

Part 04
§ 04

No divisibilidad — donde se hace la predicción

La no divisibilidad es la condición que convierte las cuatro primeras en un Efecto Bruselas. Es también la condición analíticamente más interesante en el contexto de la IA, porque los sistemas de IA presentan las tres formas que Bradford identificó —jurídica, técnica y económica— de manera que hace especialmente difícil mantener arquitecturas de doble estándar.

Bradford distinguió la no divisibilidad jurídica (la acción regulada no puede fragmentarse entre jurisdicciones), la no divisibilidad técnica (la arquitectura de la actividad no permite la segregación jurisdiccional) y la no divisibilidad económica (las economías de escala hacen que la producción dual sea antieconómica incluso cuando es jurídica y técnicamente factible).

La no divisibilidad técnica es la forma dominante para la mayoría de las aplicaciones comerciales de IA. Las obligaciones para sistemas de alto riesgo del Reglamento de IA —sistema de gestión de riesgos, requisitos de gobernanza de datos, documentación técnica, registro y trazabilidad, transparencia hacia los usuarios, mecanismos de supervisión humana, requisitos de exactitud y robustez— son obligaciones a nivel de sistema que se aplican al diseño y la arquitectura del sistema de IA, no a su despliegue geográfico. Una empresa que mantiene una versión conforme para la UE y una versión no conforme para mercados extraeuropeos del mismo sistema de IA está gestionando dos sistemas sustancialmente distintos: diferentes canales de entrenamiento (para los requisitos de gobernanza de datos), diferente infraestructura de monitorización (para los requisitos de registro y trazabilidad), diferente diseño de interfaz de usuario (para los requisitos de transparencia y supervisión humana) y diferente documentación técnica (para la evaluación de conformidad). El coste de esa divergencia no es solo el coste directo del cumplimiento; es el coste continuo de ingeniería y operación de mantener dos arquitecturas en paralelo. Para la mayoría de los proveedores comerciales de IA, ese coste es prohibitivo. La estrategia más eficiente —y la que el RGPD consolidó como norma del sector para la protección de datos— es construir según el estándar más estricto y desplegarlo globalmente.

Scorecard
No divisibilidad en el contexto del Reglamento de IA
Las tres formas de Bradford, evaluadas para los sistemas de IA de alto riesgo
Forma de no divisibilidad
Intensidad en el contexto de la IA
Mecanismo principal
No divisibilidad jurídica
Forma de no divisibilidad Moderada
Intensidad en el contexto de la IA Los requisitos estructurales integrados en el diseño del modelo no pueden satisfacerse y no satisfacerse simultáneamente
Mecanismo principal Más intensa para los requisitos arquitectónicos a nivel de sistema
No divisibilidad técnica
Forma de no divisibilidad Intensa
Intensidad en el contexto de la IA El mantenimiento de arquitecturas duales exige ingeniería, registro, documentación e infraestructura de monitorización paralelas
Mecanismo principal Dominante para la mayoría de las aplicaciones comerciales
No divisibilidad económica
Forma de no divisibilidad Intensa
Intensidad en el contexto de la IA Economías de escala de la gobernanza uniforme de IA; señalización en la contratación pública; coordinación en la cadena de suministro
Mecanismo principal Refuerza la no divisibilidad técnica; reproduce los patrones de REACH y el RGPD

La valoración agregada es que la condición de no divisibilidad se cumple sustancialmente para los sistemas de IA de alto riesgo definidos por el Anexo III, y que el Efecto es probable que se propague mediante la misma lógica económica que impulsó el cumplimiento del RGPD: no porque las empresas prefieran los estándares europeos, sino porque mantener arquitecturas duales resulta más costoso que aplicar universalmente el estándar de la UE.

Part 05
§ 05

Lo que el marco predice para la interoperabilidad

El análisis de las cinco condiciones predice un Efecto Bruselas para los sistemas de IA de alto riesgo. Pero la predicción no es uniforme, y su aplicación a la pregunta específica del cumplimiento de las agencias federales estadounidenses con los requisitos del Reglamento de IA revela una asimetría estructural que la literatura sobre convergencia no ha abordado de forma suficiente.

Si el análisis del Efecto Bruselas es correcto, los proveedores privados de IA que operen a nivel global irán convergiendo progresivamente hacia los estándares de cumplimiento del Reglamento de IA de la UE para las aplicaciones de alto riesgo, con independencia de que los Estados Unidos adopten legislación federal equivalente. La pregunta sobre la interoperabilidad, sin embargo, no concierne principalmente a las empresas privadas. Concierne a si las agencias federales estadounidenses —que adquieren, desarrollan y despliegan sistemas de IA dentro del alcance del Anexo III— pueden acreditar el cumplimiento de los requisitos del Reglamento de IA a través de la infraestructura documental y procedimental que han construido bajo el NIST AI RMF. Esta pregunta tiene una estructura diferente al Efecto Bruselas en el sector privado, porque las agencias federales no pueden simplemente adoptar marcos de cumplimiento de la UE como lo haría una empresa privada. Operan bajo el derecho administrativo estadounidense, las políticas de la Administración federal y las normas de contratación pública, que prescriben la forma de su documentación de gobernanza de IA.

Comparison
Comparación estructural: obligaciones del Reglamento de IA (alto riesgo) frente al NIST AI RMF
Asimetrías clave pertinentes para la evaluación de la interoperabilidad
Reglamento de IA de la UE (alto riesgo)
NIST AI RMF
Evaluación obligatoria de conformidad antes del despliegue
Marco voluntario; no existe evaluación obligatoria previa al despliegue
Registro en la base de datos de IA de la UE obligatorio
No existe requisito de registro equivalente
La documentación técnica debe estar disponible para las autoridades de supervisión nacionales
Documentación interna; la divulgación se rige por la clasificación y las limitaciones del acceso público a la información
Monitorización postmercado con notificación obligatoria de incidentes
Las prácticas de monitorización varían por agencia; no existe notificación obligatoria uniforme
La supervisión humana debe garantizarse por diseño y operación
La supervisión humana se recomienda; su implementación varía
Los proveedores de terceros países están sujetos a las normas de la UE por el artículo 2, apartado 1, letra c)
El marco NIST no tiene dimensión extraterritorial propia

La asimetría estructural que el marco de Bradford ayuda a diagnosticar es la siguiente: el Efecto Bruselas predice la convergencia a través del mecanismo de mercado, pero ese mecanismo opera sobre actores dispuestos a adaptar su conducta para conservar el acceso al mercado de la UE. Las agencias federales estadounidenses no buscan acceder al mercado europeo. Lo que puede ocurrir es que alcancen una alineación sustancial de facto con el Reglamento de IA como subproducto de la adquisición de sistemas de IA de proveedores privados que han logrado esa alineación por razones comerciales. La brecha de interoperabilidad que persiste tras esa alineación de facto es estructural, no incidental: concierne a la dimensión documental y procedimental del cumplimiento del Reglamento, no a las características técnicas del sistema adquirido.7

Part 06
§ 06

Los límites que importan para la tesis

La sección V de Bradford sobre los límites del Efecto Bruselas es, para esta aplicación, la parte prácticamente más útil del artículo de 2012. El análisis de los límites internos predice dónde se detendrá la globalización del Reglamento de IA —y esa predicción tiene consecuencias directas sobre qué puede significar realistamente la interoperabilidad.

El Reglamento de IA de la UE excluye expresamente los sistemas de IA utilizados exclusivamente para fines militares, de seguridad nacional y de defensa —una exención que refleja tanto los límites de la competencia de la UE como la resistencia política de los Estados miembros a la gobernanza europea de su IA de inteligencia y defensa. Esta exención resulta decisiva para la pregunta de interoperabilidad: las agencias federales estadounidenses cuyo uso de la IA recaiga principalmente en funciones de seguridad nacional y defensa están, por los propios términos del Reglamento, fuera de su ámbito de aplicación. El problema de interoperabilidad se concentra en los casos de uso gubernamental civil y de doble uso que el Anexo III sí cubre.

El límite de la no divisibilidad también opera en una forma específica para la IA. La arquitectura de niveles de riesgo del Reglamento fue en sí misma producto de la negociación interna de la UE, y el marco resultante refleja compromisos que han dejado algunas disposiciones ambiguas y la relación entre el marco general y la legislación sectorial de IA parcialmente sin resolver. A medida que avanza la implementación en 2025–2027, el significado práctico de las obligaciones de alto riesgo seguirá siendo determinado por actos de implementación, reglamentos delegados y normas armonizadas desarrolladas por CEN-CENELEC y ETSI. El Efecto Bruselas predice que el Reglamento de IA se convertirá en un estándar global, pero el estándar global todavía está siendo redactado.8

El análisis arroja tres conclusiones más precisas que tanto los relatos optimistas como los pesimistas sobre la gobernanza de la IA de la UE en la literatura.

Primera: el Efecto Bruselas es estructuralmente probable para la arquitectura técnica de los sistemas de IA de alto riesgo. El marco de cinco condiciones se cumple para este ámbito: el poder de mercado de la UE está presente, la capacidad regulatoria se está consolidando, la preferencia por normas estrictas es genuina y políticamente duradera, los objetivos son sustancialmente inelásticos, y la no divisibilidad de las arquitecturas de sistemas de IA hace que el mantenimiento de dobles estándares resulte suficientemente costoso como para que el cumplimiento universal del estándar de la UE sea la elección económicamente racional para la mayoría de los proveedores globales de IA.

Segunda: el Efecto Bruselas no se extiende automáticamente a las obligaciones de gobernanza procedimental y documental que constituyen una parte sustancial del cumplimiento del Reglamento de IA. Estas obligaciones conciernen a los procesos de gobernanza que las organizaciones construyen en torno a los sistemas de IA, no solo a las características técnicas de los propios sistemas. No están integradas en el sistema de IA de la misma forma en que los requisitos del Reglamento REACH están integrados en la fórmula molecular de un producto químico o en que los requisitos del RGPD están integrados en una arquitectura de datos. Requieren elecciones institucionales afirmativas por parte de actores que pueden no tener incentivos de acceso al mercado de la UE para adoptarlas.

Tercera: la pregunta sobre la interoperabilidad —si el cumplimiento del NIST AI RMF puede constituir un cumplimiento sustancial del Reglamento de IA— no puede responderse desde el marco de Bradford en solitario. El marco predice la convergencia a través del mecanismo de mercado, y ese mecanismo no alcanza a los actores que no buscan acceso al mercado de la UE. La respuesta a esa pregunta exige o bien una decisión política de alinear marcos de gobernanza —un mecanismo de reconocimiento regulatorio bilateral—, o bien un análisis técnico de si los estándares documentales del NIST AI RMF producen en la práctica resultados equivalentes a los que el Reglamento de IA exige. Ese análisis técnico es lo que hace tan relevante la restricción de la documentación de acceso público sobre los registros de gobernanza de IA de las agencias federales estadounidenses: si la documentación pertinente está clasificada, ningún pronunciamiento de equivalencia es posible, con independencia de cuán funcionalmente similares sean las prácticas de gobernanza subyacentes.

El marco de Bradford no resuelve estos problemas. Los diagnostica con suficiente precisión para indicar dónde debe concentrarse el trabajo.