La aportación más citada de Anu Bradford a la literatura sobre regulación internacional descansa en una frase que ella nunca escribe exactamente así. La Unión Europea, sostiene Bradford, regula el mercado global sin salir de Bruselas. La tesis se esbozó por primera vez en un artículo de 2012 publicado en la Northwestern University Law Review1 y se desarrolló a la extensión de un libro en 2020.2 Es a la vez empírica (aquí están los estudios de caso) y estructural (aquí están las condiciones). La UE, en la lectura de Bradford, no es un imperio normativo. No exporta valores mediante diplomacia ni mediante coerción. Regula su propio mercado, con detalle y con rigor, y el resto del mundo recoge las regulaciones por rebote. Las multinacionales, ante la alternativa de bifurcar su producción global, adoptan la norma europea en todas partes. Los gobiernos extranjeros, ante empresas que ya cumplen con la norma europea, la emulan internamente. El mecanismo es unilateral, está mediado por el mercado y —lo más útil para el lector atento— es replicable. Una vez identificadas las condiciones, el siguiente caso se vuelve predecible.
↑ N.º 22 · El N.º 22 leía el artículo de Bradford de 2012 publicado en la Northwestern Law Review — el texto fundacional. Esta pieza lee el libro de 2020: la ampliación con cuatro estudios de caso que convierte el marco en una teoría verificada y mira hacia sus límites.El problema del que Bradford parte
El libro abre recopilando las necrológicas — una literatura constante sobre el declive europeo — y propone que todas han pasado por alto lo mismo.
Bradford escribe desde una posición peculiar. Ocupa la cátedra Henry L. Moses de Derecho y Organización Internacional en Columbia, dirige el European Legal Studies Center de Columbia y es de nacionalidad finlandesa; estudió y trabajó en Bélgica, Francia y Alemania antes de trasladarse a Estados Unidos, y el grueso del manuscrito de 2020 lo escribió desde Madrid. Es, en su propio planteamiento, una insider — para quien el derecho de la UE sigue siendo «derecho doméstico, no derecho extranjero»— y al mismo tiempo una outsider con la distancia suficiente para discutir con la autoimagen de Bruselas.
El libro arranca devolviéndole al lector las necrológicas. «El desmoronamiento europeo». «La caída y el declive de la UE: la lucha contra la irrelevancia global». «Por qué Europa ya no importa». La contratesis de Bradford es que esos comentarios miden lo que no toca. La UE nunca ha sido una potencia militar; su peso económico desciende a medida que asciende el de Asia; la crisis del euro erosionó la confianza pública; el Brexit completó el retrato de un proyecto envejecido. Todo eso es cierto, y todo eso pasa por alto la dimensión en la que el poder de la UE de hecho crece: su capacidad unilateral para regular los mercados globales.
Esa capacidad, insiste Bradford, es estructural más que aspiracional. La UE no necesita cooperación, ni tratados, ni coerción para globalizar sus normas. Bajo las condiciones adecuadas, son las fuerzas del mercado por sí solas las que convierten una regulación europea en una regla global de facto. El artículo de 2012 dio nombre al fenómeno. El libro de 2020 aporta los cuatro estudios de caso —política de competencia, economía digital, salud y seguridad del consumidor, medioambiente— que convierten el nombre en una teoría con contenido empírico.
Las cinco condiciones, y por qué solo una jurisdicción las reúne
El capítulo 2 del libro de 2020 es el corazón analítico. Bradford identifica cinco elementos que, en conjunto, explican cuándo una sola jurisdicción puede globalizar sus estándares.
Los cinco elementos son tamaño de mercado, capacidad regulatoria, estándares exigentes, destinatarios inelásticos y no divisibilidad. La tesis de Bradford es que los cinco son necesarios, ninguno suficiente, y que la UE es actualmente la única jurisdicción donde coexisten.
El tamaño de mercado es la precondición. Una jurisdicción con un mercado interno reducido no puede generar la atracción gravitacional que obliga a las empresas extranjeras a adaptarse. El mercado de la UE es lo bastante grande y rico como para que muy pocas empresas globales puedan permitirse el lujo de abandonarlo. Y, de modo decisivo, el tamaño es un concepto relativo: lo que importa es la proporción entre las ventas que la empresa hace en la UE y las que hace en otros lugares. Cuanto mayor sea esa proporción, más racional resulta cumplir.
La capacidad regulatoria es la capa siguiente. El tamaño por sí solo —Bradford recurre al contrafactual de la ausencia de un «efecto Washington» o un «efecto Pekín» de magnitud comparable— no produce poder regulatorio. La jurisdicción debe haber construido también la maquinaria institucional capaz de redactar, aprobar y hacer cumplir reglas exigentes. La Comisión, el Parlamento, el Tribunal de Justicia y las autoridades regulatorias nacionales forman una arquitectura regulatoria de profundidad inusual y con un historial largo de convertir preferencias políticas en detalle ejecutable.
Los estándares exigentes son la condición de economía política. La capacidad es necesaria pero no suficiente; la coalición política dentro de la jurisdicción que regula tiene que querer, en efecto, reglas exigentes. Bradford rastrea la preferencia europea por el rigor hasta la propia economía política de la integración: una armonización exigente daba garantías a los públicos de que la integración económica no se haría rebajando protecciones, y los estados miembros líderes (Alemania en protección de datos, Suecia y Dinamarca en medioambiente) exportaron sistemáticamente su rigor doméstico hacia arriba.
Los destinatarios inelásticos son la condición que más a menudo se pasa por alto. La regulación europea recae de modo desproporcionado sobre los mercados de consumo, que son espacialmente inelásticos: los consumidores no pueden mudarse para escapar de una regla exigente. El capital, en cambio, es elástico; huye de las jurisdicciones con impuestos altos o regulación exigente, lo que explica por qué las carreras en derecho societario corren hacia abajo y no hacia arriba. Estados Unidos, por elección política, ha concentrado su fuego regulatorio en el capital y ha cedido la regulación de los mercados de consumo en gran medida al propio mercado. La UE, por elección política, ha hecho lo contrario. Esa elección es la razón estructural por la que las reglas europeas de consumo se generalizan y las estadounidenses no.
La no divisibilidad es la condición final. Incluso cuando se cumplen las cuatro anteriores, un estándar europeo solo se convierte en estándar global cuando a las empresas les resulta más eficiente cumplir globalmente que bifurcar. Algunos productos son técnica o jurídicamente divisibles —Coca-Cola edulcora distinto en distintos mercados, Netflix licencia catálogos distintos en distintos territorios— y para ellos el efecto Bruselas se rompe. Otros son económicamente no divisibles: la configuración de privacidad por defecto de un smartphone, la composición admisible de una sustancia química, la arquitectura de emisiones de un vehículo. Para los productos no divisibles, una sola regla vence globalmente, y esa regla es la más exigente entre las de cualquier mercado al que la empresa decida servir. Que es, por hipótesis, Bruselas.
El marcador es la conclusión de la sección. Estados Unidos falla en el rigor y en la elección por los mercados de consumo, no en la capacidad. China falla en la no divisibilidad —las empresas chinas operan con dos estructuras distintas, una para el mercado doméstico y otra para el global— y solo cumple parcialmente las otras condiciones. La UE, en la lectura de Bradford, está estructuralmente sola.
De facto, después de iure
El movimiento conceptual más útil de Bradford es el doble paso. El efecto opera primero a través de las empresas, solo después a través de los estados.
El efecto Bruselas de facto describe el mecanismo en el plano de la empresa. Una multinacional ante una regulación europea tiene dos opciones: servir a la UE con una regla y al resto del mundo con otra, o adoptar la regla europea de manera global. Para productos y procesos no divisibles, la segunda opción es casi siempre más barata. La empresa globaliza el estándar europeo a sí misma, de forma voluntaria, por sus propias razones comerciales. Ningún gobierno extranjero ha actuado. Ningún tratado se ha firmado. La regla viaja a través de los balances contables.
El efecto Bruselas de iure es el segundo paso. Una vez que las multinacionales extranjeras se han ajustado globalmente a las reglas europeas, adquieren un interés político doméstico en que esas reglas se adopten en sus jurisdicciones de origen. Sus competidores nacionales —empresas que no exportan a la UE— las están dejando, de otro modo, en desventaja. Así que presionan a favor de una legislación de estilo europeo en casa. Cuando esa presión prospera, la regla europea se convierte en regla extranjera por adopción formal. Bradford observa que esta versión estricta del efecto de iure la formuló David Vogel en el contexto californiano; su contribución consiste en mostrar que opera a escala global, y en combinarla con una versión más laxa que incluye la difusión a través de instituciones internacionales, redes de tratados y presión de la sociedad civil.
Los dos pasos importan porque explican por qué el efecto es más duradero que la difusión regulatoria basada en tratados. Un tratado requiere consenso político sostenido entre las partes; un firmante que se retira escapa de la regla. El efecto Bruselas de facto no depende en absoluto del consenso: depende de la respuesta racional de las empresas al acceso al mercado, que es mucho más difícil de revertir. Una administración estadounidense puede retirarse del Acuerdo de París; no puede deshacer, por la vía ejecutiva, las inversiones globales en cumplimiento que el RGPD ya ha extraído de las empresas estadounidenses.
El efecto Bruselas existe, guste o no. — Anu Bradford, Prefacio de *The Brussels Effect*
La línea del prefacio es austera a propósito. Bradford se esfuerza por mantener el libro en clave descriptiva más que normativa — tiene sus opiniones sobre la UE, dice, pero el argumento no depende de ellas. Si el efecto incrementa o no el bienestar es la cuestión del capítulo 8. Si debería celebrarse o no, queda en manos del lector.
El caso sobre el que cabalga el marco
El Reglamento General de Protección de Datos de 2016 es el lugar donde coincidieron las cinco condiciones. El capítulo sobre la economía digital es el eje empírico del libro.
La arquitectura es primero constitucional. El Convenio Europeo de Derechos Humanos de 1950 reconoció la privacidad; el Tratado de Lisboa de 2009 dio fuerza jurídica a la Carta de los Derechos Fundamentales de la UE, que eleva la protección de los datos personales a derecho fundamental; el RGPD de 2016 operacionaliza ese derecho mediante obligaciones detalladas sobre toda entidad que trate datos personales de residentes en la UE. El reglamento sustituye a la Directiva de Protección de Datos de 1995 y, lo que es más importante, se aplica directamente en todos los estados miembros sin necesidad de transposición nacional.
El alcance es extraterritorial por diseño. El RGPD se aplica a cualquier entidad, en cualquier lugar, que trate datos personales de personas que residen en la UE, con independencia de dónde tenga lugar el tratamiento. Los responsables y encargados no establecidos en la UE que ofrezcan bienes o servicios a residentes en la UE —o que monitoricen el comportamiento de residentes en la UE— caen dentro del ámbito. Las empresas no establecidas deben designar un representante en la UE. Y el reglamento restringe además la transferencia de datos personales a terceros países que no garanticen un nivel «adecuado» de protección, decisión de adecuación que la Comisión adopta de modo unilateral.
El techo sancionador es el instrumento de ejecución. El incumplimiento puede generar multas administrativas de hasta 20 millones de euros o del 4 % del volumen de negocio total anual mundial del ejercicio anterior, la cifra que resulte mayor. Para una empresa con un volumen mundial superior a 500 millones de euros, el 4 % es el techo vinculante, y el 4 % de los ingresos globales es una cifra lo bastante grande como para que la bifurcación resulte poco atractiva incluso cuando es técnicamente posible.
Los resultados empíricos en clave de facto están por todas partes. El plazo de aplicación de 2018 desencadenó la ola global de correos electrónicos pidiendo consentimiento. Facebook reorganizó su arquitectura corporativa en Dublín para alinear toda su base de usuarios fuera de Estados Unidos con el RGPD. La mayoría de las grandes tecnológicas alineó discretamente sus condiciones globales con el estándar europeo en lugar de mantener dos sistemas. Los resultados de iure llegaron a continuación: la Lei Geral de Proteção de Dados brasileña de 2020 reproduce el RGPD casi artículo por artículo; la CCPA californiana tomó prestado de él extensamente; el borrador de ley india de protección de datos llega, en algunos puntos, más lejos. Por los criterios del marco, este es un caso limpio. Las cinco condiciones se cumplen; el mecanismo de facto opera; la adopción de iure se sigue.
Por qué Estados Unidos cede
La afirmación más incómoda de Bradford, para un lector estadounidense, es que el liderazgo regulatorio de Bruselas es en parte una decisión de Washington.
Estados Unidos tiene un tamaño de mercado mayor que el de la UE. Tiene capacidad regulatoria — por algunos indicadores, más músculo de ejecución que cualquier regulador europeo individual. Lo que no tiene, en la mayoría de los dominios orientados al consumidor, es rigor. Esa ausencia no es un dato estructural sobre el estado norteamericano; es una decisión política que la polis estadounidense ha tomado de modo recurrente. Donde la UE regula la protección de datos como derecho fundamental, Estados Unidos ha delegado en gran medida el tratamiento de datos al contrato privado. Donde la UE regula las sustancias químicas con un principio de precaución, Estados Unidos regula sobre la base de un análisis coste-beneficio con protecciones por defecto más débiles. Donde la UE prohíbe los discursos de odio con una responsabilidad extensa para las plataformas, Estados Unidos extiende la Primera Enmienda y la inmunidad de la sección 230.
Bradford no afirma que esto esté mal. Afirma que es una elección, y que la elección es estructural. Estados Unidos ha dirigido históricamente su fuego regulatorio hacia los mercados de capital — valores, banca, gobierno corporativo —, donde el capital es elástico, donde las carreras regulatorias pueden correr hacia abajo y donde la desregulación estadounidense ha producido en consecuencia un efecto Delaware más que un efecto California. La UE ha dirigido su fuego hacia los mercados de consumo, donde los destinatarios son inelásticos. Las dos grandes potencias han hecho elecciones complementarias sobre qué regular con rigor, y la arquitectura regulatoria global que resulta es aquella en la que los flujos de capital se gobiernan (con laxitud) desde Wilmington y las protecciones del consumidor (con exigencia) desde Bruselas.
Esta es la asimetría sobre la que Bradford pide al lector estadounidense que repare. Estados Unidos no ha perdido la carrera regulatoria por las reglas globales de consumo porque no pudiera competir. La ha cedido al elegir competir en otro terreno.
La prueba siguiente: la inteligencia artificial
El libro cierra con un capítulo sobre si el efecto durará. En 2026, el Reglamento de IA pone el marco a prueba directamente.
El libro siguiente de la propia Bradford, Digital Empires: The Global Battle to Regulate Technology (2023), aplica el marco a la IA explícitamente.3 El argumento se extiende con naturalidad. El Reglamento de IA (Reglamento (UE) 2024/1689), en vigor desde 2024 y con plazos de cumplimiento escalonados que se prolongan hasta agosto de 2026, replica deliberadamente la arquitectura extraterritorial del RGPD.4 El artículo 2 del Reglamento de IA establece tres puntos de conexión: los proveedores que introducen sistemas de IA en el mercado de la UE; los responsables del despliegue establecidos en la UE; y —el supuesto que más subestiman los proveedores de terceros países— los proveedores y responsables del despliegue establecidos en terceros países cuando los resultados de salida del sistema de IA se utilizan en la UE. El tercer supuesto es la jurisdicción basada en el output, modelada sobre el artículo 3 del RGPD. El artículo 22 exige a los proveedores no establecidos en la UE de sistemas de alto riesgo que designen un representante autorizado dentro de la UE, otra vez sobre la plantilla del RGPD.
Las cinco condiciones transitan. El tamaño de mercado se mantiene. La capacidad regulatoria se mantiene, con la AI Office y los organismos notificados en proceso de constitución. El rigor responde a un diseño político — el régimen de alto riesgo del Capítulo III impone obligaciones de gestión del riesgo, gobernanza de datos, documentación técnica, transparencia, supervisión humana, exactitud y vigilancia poscomercialización más exigentes que las de cualquier otra jurisdicción. La inelasticidad es más sutil que en el caso de los datos personales: los usuarios finales europeos de outputs de IA no pueden reubicarse, pero los mercados europeos de servicios de IA son más elásticos que los mercados europeos de bienes de consumo. La no divisibilidad es la cuestión empírica abierta. Un modelo fundacional puede, en principio, reponderarse o filtrarse de modo distinto para los outputs europeos y los no europeos, pero los costes de ingeniería y de auditoría de mantener dos pilas de modelos pueden empujar a los proveedores, en la práctica, hacia una sola pila globalmente conforme. El marco predice el resultado; la prueba se está ejecutando ya en producción.
- Bradford acuña «el efecto Bruselas» en Northwestern University Law Review
- Se adopta el RGPD; se operacionaliza el derecho de la Carta de Lisboa
- Aplicación del RGPD; ola global de cumplimiento
- Argumento extendido en formato libro: cinco condiciones, cuatro estudios de caso
- Digital Empires extiende el marco a la IA
- Entra en vigor el Reglamento de IA (Reg. 2024/1689)
- Se aplican las obligaciones de alto riesgo (agosto)
Para una tesis sobre la interoperabilidad del Reglamento de IA con el NIST AI Risk Management Framework, la implicación analítica es directa. El marco de Bradford predice que los proveedores estadounidenses de sistemas de IA de alto riesgo alineados con el NIST serán empujados hacia un cumplimiento alineado con la UE a través del canal de facto — no porque Washington haya cambiado de criterio, sino porque el mercado europeo es difícil de abandonar y los proveedores estadounidenses operan modelos demasiado costosos como para bifurcar. El paso de iure, en esta predicción, vendría después: los competidores domésticos estadounidenses de esos proveedores globalmente conformes terminarán reclamando la igualdad de condiciones que solo la legislación proporciona. Si la predicción se sostiene dependerá, finalmente, de la condición de no divisibilidad aplicada específicamente a la IA — y esa es una pregunta empírica a la que los próximos cinco años responderán.
Lo que el marco deja en pie
Tres cosas son inciertas. Una no lo es.
La primera incertidumbre es tecnológica. Un marco escrito para datos, sustancias químicas y derecho de la competencia presupone un mundo de productos no divisibles. Los sistemas de IA pueden ser más divisibles que eso. Si la economía de ingeniería de la inferencia abarata el particionamiento jurisdiccional, el efecto Bruselas para la IA se debilita; las empresas simplemente operarán una pila europea y otra no europea, y la pila europea no arrastrará a la global. La discusión del capítulo 9 del libro de 2020 sobre el «cambio tecnológico» como amenaza futura anticipa este punto; la respuesta empírica aún no está cerrada.
La segunda incertidumbre es estadounidense. El marco trata la decisión de Estados Unidos de ceder terreno regulatorio en el consumo como duradera. El giro desregulador de una segunda administración Trump puede ir más allá de la postura anterior y empezar a atacar la condición de capacidad — no desregulando el cumplimiento alineado con la UE, sino vaciando las agencias (NIST, FTC, FDA) que de otro modo construirían la interoperabilidad con los regímenes europeos. Es un ataque distinto al marco: no contra el rigor, sino contra la capacidad. Bradford no lo anticipó en 2020. Es la cuestión política viva de 2026.
La tercera incertidumbre es china. Digital Empires identifica a China como una tercera potencia regulatoria con un modelo propio —dirigido por el estado, centrado en la seguridad— que compite cada vez más con el modelo europeo basado en derechos por su adopción en terceros países, especialmente a través de la exportación de infraestructuras digitales. El canal de iure del efecto Bruselas opera en parte por emulación; si el modelo alternativo resulta lo bastante atractivo, la regla europea deja de viajar por defecto.
Lo que no es incierto es el caso del RGPD. En cinco años desde su adopción, el reglamento se convirtió en el estándar global de facto de la protección de datos, con adopción formal en jurisdicciones que suman una proporción sustancial del PIB mundial. El marco del libro predijo correctamente esa trayectoria, y los estudios de caso —competencia, economía digital, salud del consumidor, medioambiente— aportan otras cuatro demostraciones de la misma dinámica. Para fines empíricos, la teoría está validada en el dominio digital.
Lo que le queda al lector es un instrumento analítico, no un veredicto. Bradford aporta las condiciones bajo las cuales una sola jurisdicción puede globalizar sus reglas; deja la aplicación al lector. Las condiciones son diagnósticas, no valorativas. Pueden aplicarse al Reglamento de IA, al Reglamento de Datos, al Reglamento de Ciberresiliencia y a lo que venga después desde Bruselas, y arrojarán una predicción defendible sobre si la regla viajará. Para un programa de investigación sobre interoperabilidad regulatoria entre la gobernanza europea y estadounidense de la IA, el marco es el texto ancla. Todo lo que sigue es su aplicación.