Mathias Risse, el filósofo que dirige el Carr-Ryan Center for Human Rights de Harvard, ha escrito lo que es, en efecto, un diagnóstico estructural del problema global de la gobernanza de la IA. Tres condiciones, sostiene, son conjuntamente necesarias para que la regulación de la IA sirva genuinamente a los derechos humanos: alcance regulatorio, la capacidad práctica de hacer cumplir reglas a quienes desarrollan y despliegan estos sistemas; poder tecnológico, una concentración significativa del desarrollo de frontera dentro de la jurisdicción que regula; y compromiso con los derechos, una dedicación creíble e institucionalmente arraigada a la privacidad, la no discriminación, el debido proceso y la dignidad humana que opere como una restricción real tanto sobre el Estado como sobre el mercado. Cada uno de los tres grandes bloques regulatorios del mundo — China, Estados Unidos, la Unión Europea — reúne, en la lectura de Risse, dos como máximo. La condición ausente es, en cada caso, la que convierte al resto en algo distinto de lo que dice ser.
↑ N.º 04 · Lo que «Bruselas en Denver» rastreó como una pelea constitucional sobre la ley antidiscriminación algorítmica de Colorado, Risse lo nombra como la condición estructural del caso estadounidense: poder tecnológico sin gobernanza, con esfuerzos a nivel estatal cubriendo el espacio que la acción federal no ha llegado a ocupar.Lo que la IA compatible con los derechos humanos exige: las tres
Las tres condiciones que Risse nombra no son meramente deseables. Son conjuntamente necesarias, y el trilema consiste en que ninguna jurisdicción las reúne hoy.
El primer movimiento del argumento es el que hace el trabajo más pesado. Risse insiste en que alcance regulatorio, poder tecnológico y compromiso con los derechos no son tres ítems de una lista de la que basta marcar dos. Son conjuntamente necesarias. Alcance regulatorio sin compromiso con los derechos produce represión institucionalizada. Poder tecnológico sin gobernanza produce sistemas no rendibles cuyos daños se distribuyen invisiblemente entre las poblaciones. Compromiso con los derechos sin poder tecnológico produce regulación de principios sobre sistemas que el regulador no construye y no puede gobernar plenamente. Cada combinación falla de un modo distinto, pero cada una falla.
Por eso Risse llama trilema a esta configuración, y por eso es cuidadoso al precisar el sentido en que usa la palabra. En su acepción estricta — la versión familiar de la economía internacional, en la que no se pueden tener libre movilidad de capitales, tipo de cambio fijo y política monetaria independiente al mismo tiempo — un trilema describe una imposibilidad lógica. El trilema de Risse no es eso. Las tres condiciones son mutuamente compatibles en principio. No hay contradicción en imaginar una jurisdicción que combine cumplimiento real, capacidad tecnológica real y un marco real de derechos humanos. El trilema es político, no lógico: describe una configuración estable en la que cada uno de los tres regímenes regulatorios principales que existen carece de una de las tres condiciones, y carece de una distinta.
Para todos los países fuera de esos tres bloques, esa configuración produce una elección genuina con costes reales. Un país que decida cómo posicionarse frente a la gobernanza de la IA debe elegir qué tipo de fallo importar. Los términos de esa elección son lo que el resto del comentario despliega.
La matriz es fiel a los titulares con que Risse caracteriza a cada bloque. No es, como él mismo admite, toda la historia. Señala en otra parte que el compromiso con los derechos de Estados Unidos está, a su vez, en disputa, y que el alcance regulatorio de la Unión Europea opera en parte mediante el acceso extraterritorial al mercado — lo que los académicos llaman el efecto Bruselas — más que por autoridad directa. La matriz muestra dónde están los puntos de presión estructurales. La prosa que sigue es donde viven las matizaciones.
China: alcance regulatorio, sin derechos
China ha construido la arquitectura regulatoria más ambiciosa de cualquier jurisdicción mayor sobre los sistemas digitales — y la brecha más consecuente entre esa arquitectura y los derechos humanos de las personas a las que gobierna.
A lo largo de veinte años, Pekín ha ensamblado un cuerpo de derecho digital que sobre el papel se asemeja a los marcos más sofisticados del mundo. La Ley de Ciberseguridad de 2017, la Ley de Seguridad de los Datos de 2021 y la Ley de Protección de la Información Personal de 2021 cubren buena parte del mismo terreno regulatorio que el RGPD. Imponen obligaciones a los responsables del tratamiento, otorgan a los ciudadanos derechos nominales frente al uso indebido de sus datos por parte de empresas, y exigen evaluaciones de riesgo y auditorías de seguridad.
Lo que no hacen es lo que sí hace el RGPD: imponer esas mismas obligaciones al Estado. Cada uno de los instrumentos chinos está explícitamente subordinado a las exigencias de «seguridad nacional» y «estabilidad social» — categorías que, en la práctica, significan las exigencias del control del Partido Comunista. Las normas de protección de datos se aplican horizontalmente entre ciudadanos y empresas. El acceso vertical del Estado a los datos se preserva, sin supervisión independiente significativa. El resultado, sostiene Risse, es un sistema que ofrece la apariencia de gobernanza orientada a derechos manteniendo intacta la infraestructura de vigilancia y control.
Las consecuencias concretas son omnipresentes. El sistema de crédito social — lo que Risse describe como un conjunto entrelazado de listas negras financieras, puntuaciones regulatorias y experimentos de los gobiernos locales — hace operativa, a escala, la gobernanza algorítmica del comportamiento ciudadano. Es cuidadoso al señalar la distancia entre el sistema tal como funciona realmente y las descripciones más exageradas que circulan en la prensa occidental. No hay una puntuación nacional única. Hay muchos experimentos solapados, regímenes sectoriales de cumplimiento y listas negras para infracciones específicas, que varían enormemente de una localidad a otra. El diagnóstico estructural no depende de la versión más espectacular. Lo que importa es la dirección de la trayectoria: evaluación automatizada, basada en datos, del comportamiento ciudadano por parte del Estado, con consecuencias reales sobre movilidad, empleo y acceso a servicios, y con un recurso procesal mínimo.
Hong Kong es la ilustración límite. Cuando Pekín impuso la Ley de Seguridad Nacional en 2020, lo hizo sobre una ciudad a la que se le había prometido, en la transferencia de 1997, cincuenta años de cultura jurídica diferenciada — protecciones de common law, independencia judicial, libertad de prensa. Desde entonces, las imputaciones a activistas prodemocracia, legisladores y periodistas se han sucedido sin interrupción. En marzo de 2024, el artículo 23 amplió el marco de 2020, ensanchando las definiciones de espionaje e injerencia externa de un modo que estrecha aún más el espacio para la disidencia.
En febrero de 2026, los tribunales pronunciaron el caso límite. Jimmy Lai, fundador de Apple Daily y rostro más visible de la prensa prodemocracia de la ciudad, fue condenado a los setenta y ocho años, a veinte años de prisión por colusión con fuerzas extranjeras bajo la Ley de Seguridad Nacional. La pena estuvo dentro de la franja más severa que la ley contempla. Dada su edad y estado de salud, funciona en la práctica como una cadena perpetua. Risse toma el caso como ilustración estructural: el mismo marco legal que se utiliza para silenciar a Lai gobierna también el acceso a datos, la regulación de plataformas y la subordinación de las herramientas algorítmicas a la autoridad del Partido. Donde la diferencia regional ha entrado en conflicto con la autoridad central, la autoridad central ha ganado. La lección para la gobernanza de la IA es la misma lección que la de las libertades civiles.
El caso de Xinjiang es la segunda ilustración, y la más directamente anclada en la IA. Los organismos de derechos humanos de Naciones Unidas han descrito la vigilancia masiva de los uigures en Xinjiang — Plataformas Integradas de Operaciones Conjuntas, vigilancia policial predictiva, redes de cámaras con reconocimiento facial, bases de datos de ADN y de huellas vocales, instalación obligatoria de software de monitoreo en los dispositivos personales, aplicado a una población musulmana de unos doce millones de personas — como susceptibles de constituir crímenes contra la humanidad. El Departamento de Estado estadounidense ha empleado el término genocidio. El papel de la IA es central, no incidental: como infraestructura de la vigilancia y como mecanismo para generar las puntuaciones de riesgo que activan la detención.
Más allá de sus fronteras, China exporta el modelo. Ya en 2019, el Carnegie Endowment documentó tecnología de vigilancia china con IA desplegada en al menos setenta y cinco países — no solo hardware y software, sino plantillas de gobernanza, diseñadas para maximizar la visibilidad estatal sobre las poblaciones, con escasas protecciones de derechos incorporadas. Solo Huawei suministró infraestructura de vigilancia a cincuenta países en aquel recuento de 2019. La cifra es ya más antigua que la propia Ley de Ciberseguridad.
Risse hace una pausa para reconocer lo que faltaría en una crítica puramente negativa. El gobierno chino ha sacado a cientos de millones de personas de la pobreza en las últimas décadas. El partido gobernante está genuinamente comprometido, en sus propios términos, con un bien público moldeado por las tradiciones comunista y confuciana, y la integración de la IA en toda la sociedad china puede entenderse como una expresión de ese compromiso. Reconocer esto, sostiene, es enteramente compatible con la crítica central: que un marco regulatorio subordinado al control político no puede, por construcción, situar los derechos por encima de las exigencias del sistema al que sirve.
Donde el alcance regulatorio y la capacidad de IA son altos pero el compromiso con los derechos está ausente, la regulación se convierte en un multiplicador de fuerza para la represión, en lugar de en un freno sobre ella. — Mathias Risse
La frase nombra lo que el caso chino le hace a la intuición proregulatoria estándar. Una gobernanza eficaz no es inherentemente beneficiosa desde un punto de vista de derechos humanos. Todo depende de para qué gobierna.
Estados Unidos: poder tecnológico, sin gobernanza
Estados Unidos alberga la industria de IA de frontera más concentrada del mundo y el derecho federal de IA más escaso. Risse sostiene que la brecha es estructural, no meramente contingente.
Las cifras, en la lectura de Risse y en el AI Index de Stanford que cita, son inequívocas. La mayoría de los laboratorios de modelos fundacionales de frontera tienen sede en Estados Unidos. Los proveedores dominantes de infraestructura en la nube son estadounidenses. Las mayores reservas de capital riesgo dirigidas a IA son estadounidenses. Sea lo que sea de la distribución global del cómputo y el capital, el centro de la frontera está en la costa oeste estadounidense y en un puñado de polos de investigación de la costa este.
El panorama de la gobernanza es el inverso. Estados Unidos carece, sola entre las grandes democracias, de una ley federal integral de privacidad. A 2025, más de 140 países han promulgado legislación nacional de protección de datos. Estados Unidos, no. El vacío se ha llenado parcialmente con esfuerzos a nivel estatal — la Ley de Privacidad del Consumidor de California, la Ley de Derechos de Privacidad que la reforzó, leyes equivalentes en Colorado, Connecticut, Virginia y un creciente número de otros estados — pero estos esfuerzos son fragmentados por diseño. Distintas jurisdicciones, distintas definiciones, distintos remedios. Más fáciles de navegar para las grandes empresas con recursos abundantes que para los actores pequeños o las personas físicas, y dejan grandes categorías de datos y procesamientos fuera de su ámbito.
Detrás de la oscilación de las políticas se asienta algo más duradero: una economía política en la que las empresas tecnológicas han operado con una libertad extraordinaria frente a la restricción regulatoria, una ideología de la innovación como inherentemente beneficiosa que se ha sostenido en buena parte del espectro político, y un aparato corporativo de presión que ha logrado bloquear la legislación federal sobre privacidad y rendición de cuentas de plataformas durante más de dos décadas. Los marcos de la era Biden eran genuinos pero visiblemente frágiles — vulnerables, por diseño y por circunstancia política, a exactamente la derogación que se produjo.
El resultado es un sistema en el que el poder tecnológico es enorme, la gobernanza es fragmentada e incompleta, y las protecciones de derechos humanos quedan en buena medida en manos del mercado — que no ha mostrado un interés particular en proveerlas. Risse cita dos estudios de extensión libro como registro documental. Atlas of AI de Kate Crawford rastrea los costes materiales y humanos de los sistemas de IA tal como se despliegan realmente en contratación, administración de prestaciones, justicia penal y moderación de contenidos — resultados sistemáticamente racializados, que recaen con más fuerza sobre quienes tienen menos poder. Automating Inequality de Virginia Eubanks formula el argumento paralelo sobre los sistemas automatizados de bienestar y servicios públicos, mostrando cómo las herramientas digitales reproducen y amplifican patrones preexistentes de discriminación al tiempo que aíslan de la rendición de cuentas a quienes toman las decisiones.
Un mosaico de leyes sectoriales — HIPAA en sanidad, la Fair Credit Reporting Act en finanzas, COPPA para datos de menores, diversas leyes de derechos civiles aplicadas a la contratación y la concesión de crédito algorítmicas — sí impone alguna restricción sobre aplicaciones específicas. La actuación de la Federal Trade Commission bajo su autoridad sobre prácticas desleales y engañosas, las orientaciones de la EEOC y de HUD sobre herramientas algorítmicas — todo esto no es nada. Pero la arquitectura, sostiene Risse, es estructuralmente inadecuada de un modo que va más allá de la mera incompletitud. El enfoque sectorial fue diseñado para un mundo en el que industrias discretas manejaban categorías discretas de datos para fines discretos. La IA no es un sector. Es una tecnología de propósito general cuyos efectos más consecuentes surgen precisamente de la agregación y el despliegue intersectorial que las leyes sectoriales fueron diseñadas para impedir. Una arquitectura regulatoria construida sobre fronteras sectoriales no puede gobernar una tecnología que las disuelve.
La inversión estructural respecto al caso chino se sigue. Donde la brecha china convierte a la gobernanza en un multiplicador de fuerza para la represión, la brecha estadounidense produce algo más sutil: una erosión de la privacidad, la autonomía y la igualdad impulsada por el mercado, distribuida desigualmente entre la población, menos visible que la vigilancia autoritaria pero acumulativa y seria.
La Unión Europea: derechos, sin apalancamiento
La UE ha codificado más reflexión cuidadosa sobre la IA y los derechos humanos que cualquier otra jurisdicción. Tiene, correspondientemente, menos poder sobre la propia tecnología.
El marco europeo es el más desarrollado del mundo. El Reglamento General de Protección de Datos, en vigor desde 2018, elevó la protección de datos a la condición de derecho fundamental bajo la Carta de la UE y estableció principios de limitación de la finalidad, minimización de datos y derecho a la explicación de las decisiones automatizadas que han modelado el derecho de datos a escala global. La Ley de Servicios Digitales impone evaluaciones sistémicas de riesgo, auditorías independientes y acceso de investigadores a los datos de las grandes plataformas, con atención particular a los sistemas de recomendación y a la amplificación de contenidos dañinos. El Reglamento de IA, formalmente adoptado en 2024, completa la arquitectura: un marco escalonado por riesgo que prohíbe abiertamente una categoría de aplicaciones de «riesgo inaceptable» — puntuación social, IA que explote vulnerabilidades psicológicas, la mayor parte de la vigilancia biométrica en tiempo real en espacios públicos, vigilancia policial predictiva basada en perfilado — e impone exigencias estrictas de transparencia, supervisión humana, calidad de datos y evaluaciones de impacto en derechos fundamentales sobre los sistemas clasificados como «alto riesgo» en empleo, educación, aplicación de la ley, migración y acceso a servicios esenciales.
Tomados en conjunto, estos instrumentos constituyen el intento más desarrollado, por parte de cualquier jurisdicción, de hacer operativos los compromisos de derechos humanos en la gobernanza de la tecnología digital.
El marco viene con dificultades reales. El Reglamento de IA fue redactado pensando en una generación particular de sistemas — más estrechos, más predecibles, con forma de sistemas de decisión — y fue de algún modo desbordado por el ascenso de los modelos generativos antes incluso de su entrada en vigor. El tratamiento de la IA de propósito general se incorporó tarde en el proceso legislativo y sigue siendo menos desarrollado que el resto del marco. La implementación es desigual: la arquitectura escalonada por riesgo exige determinaciones categóricas continuas, y existen preocupaciones reales sobre si las autoridades nacionales de aplicación tendrán la pericia técnica y los recursos para supervisar eficazmente sistemas de IA sofisticados.
Hay también una crítica más fundamental desde la sociedad civil. El Reglamento de IA, pese a sus prohibiciones, sigue permitiendo usos significativos de la IA en materia de aplicación de la ley y control migratorio que conllevan serios riesgos para los derechos humanos — entre ellos, la vigilancia biométrica bajo excepciones de seguridad nacional ampliamente definidas, y la IA en el procesamiento de asilo y migración, donde lo que está en juego, en términos de derechos fundamentales, es especialmente alto. Las propias instituciones de la UE, y sus Estados miembros actuando individualmente, no siempre han practicado lo que el Reglamento de IA predica.
La brecha más fundamental, sin embargo, es industrial. Muy poco desarrollo de IA a gran escala ocurre realmente en la UE. El continente tiene instituciones de investigación importantes y algunas empresas notables, pero los modelos fundacionales de frontera que están reconfigurando cómo se procesa la información, cómo se genera el contenido y cómo se toman las decisiones están construidos predominantemente por empresas con sede en Estados Unidos — OpenAI, Google DeepMind, Anthropic, Meta — o por empresas chinas — Baidu, Alibaba, Huawei. La infraestructura de cómputo, los centros de datos y los chips especializados que hacen posible el entrenamiento a gran escala, está igualmente concentrada fuera de Europa. Esta es la paradoja de Bruselas en su forma más nítida: la jurisdicción con las intenciones regulatorias más reflexivas es la que menos poder tiene sobre la tecnología que pretende gobernar.
El efecto Bruselas ofrece compensación parcial. Las empresas ajustan productos y prácticas para cumplir el derecho europeo en lugar de quedar excluidas del mercado europeo. Pero el mecanismo funciona mejor cuando las empresas tienen incentivos fuertes para permanecer en el mercado europeo y cuando las actividades reguladas son visibles y dirigidas al consumidor. Para los sistemas de IA más potentes, y para los procesos de entrenamiento y las elecciones arquitectónicas que los moldean de un modo más fundamental, el apalancamiento europeo es, en el mejor de los casos, parcial.
La implicación estructural es la tercera inversión del trilema. Donde la brecha china convierte la gobernanza en represión, y donde la brecha estadounidense convierte la ausencia de gobernanza en erosión de derechos impulsada por el mercado, la brecha europea convierte la regulación sofisticada en algo que la tecnología puede sortear. La UE aporta liderazgo normativo y jurídico sobre una IA compatible con los derechos humanos, pero carece del apalancamiento industrial para dirigir la trayectoria tecnológica de la que sus ciudadanos no están aislados.
La ventana que no permanecerá abierta
El trilema es político, no lógico. Cada bloque tiene un camino. Lo que es incierto es si alguno de ellos lo recorrerá antes de que la configuración se consolide.
El rendimiento del marco es reformista, no resignado. Cada elemento ausente apunta a una agenda concreta. La sofisticación regulatoria de China en ausencia de compromiso con los derechos exige presión internacional sobre la transparencia y sobre las condiciones asociadas a las exportaciones de IA — particularmente a los países del Sur Global que importan su infraestructura de vigilancia. El poder tecnológico de Estados Unidos en ausencia de gobernanza exige legislación federal de privacidad, reforzamiento de la actuación de las agencias, armonización de los marcos a nivel estatal y la restauración de los marcos de la era Biden que la actual administración ha abandonado. El compromiso con los derechos de la Unión Europea en ausencia de poder tecnológico exige una inversión seria en capacidad europea de IA — infraestructura de cómputo, desarrollo de modelos fundacionales, ecosistemas de datos —, sin la cual el marco regulatorio más sofisticado del mundo gobierna solo los márgenes de la tecnología que está llamado a dirigir.
Más allá de la reforma específica de cada bloque, Risse aboga por la coordinación internacional, reconociendo con claridad cuánto más difícil se ha vuelto desde enero de 2025. Sigue favoreciendo una moratoria global sobre el desarrollo de la IA de frontera como la expresión más seria posible de responsabilidad colectiva, admitiendo a la vez que abogar por una moratoria sin una teoría de cómo podría lograrse es un deseo y no una prescripción. Lo que propone como más inmediatamente alcanzable es un conjunto más pequeño y más concreto de compromisos internacionales: la notificación obligatoria de incidentes ante fallos significativos de sistemas de IA, modelada sobre la notificación de seguridad en aviación; el acuerdo sobre un pequeño conjunto de prohibiciones categóricas, incluida la vigilancia masiva con IA destinada a la exportación y las decisiones plenamente autónomas en sistemas armamentísticos letales; y un fondo internacional dedicado a la capacidad de gobernanza de la IA en países de renta baja, que enfrentan hoy los mayores riesgos con la menor protección institucional.
- El RGPD entra en vigor
- Ley de Seguridad Nacional en HK
- EO 14110 · Declaración de Bletchley
- Reglamento de IA UE · Artículo 23 HK
- Trump deroga 14110 · NIST desfinanciado
- Jimmy Lai condenado a veinte años
La Cumbre de Seguridad de la IA de 2023 en Bletchley Park es, vista desde aquí, la marca más alta y el punto de inflexión. La declaración fue firmada por veintiocho países más la UE — incluidos Estados Unidos y China — y reconoció que los riesgos de la IA «son inherentemente internacionales por naturaleza», a la vez que comprometía a los firmantes con la investigación cooperativa en seguridad. Fue un comienzo significativo. Desde la segunda toma de posesión de Trump, ese comienzo ha sido puesto en duda activa. Lo que había seguido a aproximadamente una década de apatía deliberadamente cultivada en torno a la ética de la IA, sostiene Risse, ha dado paso ahora a un periodo de abdicación activa.
La analogía de la ventana carga con el peso del argumento de cierre. La gobernanza de la no proliferación nuclear fue negociable en los años sesenta en parte porque la capacidad no se había difundido aún de manera irreversible. Esa ventana es hoy mucho más estrecha. La regulación de plataformas se volvió dramáticamente más difícil una vez que las empresas de redes sociales habían crecido hasta convertirse en infraestructura — la Ley de Servicios Digitales es un instrumento de ventana que se cierra, un intento de gobernar lo que ya se había endurecido en parte. La gobernanza climática carga con la misma lección estructural, medible ahora en grados de calentamiento y en vidas. La gobernanza de la IA enfrenta la misma dinámica. Cuanto más profundamente se incrusten los sistemas de IA en la infraestructura económica, las funciones del Estado y la textura cotidiana de la vida social, mayor será el coste político y técnico de someterlos a una rendición de cuentas significativa. La ventana está abierta ahora. No permanecerá abierta indefinidamente.
Lo incierto es si alguno de los tres bloques actuará sobre la agenda que su elemento ausente implica. Las condiciones políticas para la reforma son, en cada caso, reales, y no se están volviendo más fáciles. La actual administración estadounidense se mueve en la dirección contraria. El sistema chino se mueve hacia más, no menos, integración entre la IA y la autoridad estatal. La Unión Europea aún no ha producido el compromiso de política industrial al que su ambición regulatoria tendría que estar a la altura.
Lo que no es incierto es la estructura. El diagnóstico de Risse no requiere que ninguno de los tres bloques sea perverso ni que ninguno sea incompetente. Requiere solo que cada uno sea políticamente lo que es. El trilema describe una configuración estable de comportamiento político normal a través de tres jurisdicciones — la UE actuando como un actor normativo, Estados Unidos como uno conducido por el mercado, China como un Estado-partido — en un mundo en el que la IA es de propósito general. La configuración es estable porque el elemento ausente de cada bloque está enraizado en la lógica política que produce los elementos que sí tiene. Reformar a cualquiera de ellos no es, por tanto, un ajuste menor. Es remar contracorriente del gradiente que produjo el arreglo presente.
Lo que le queda al lector es el encuadre del propio ensayo. El trilema no es una imposibilidad lógica. Es una condición política, y las condiciones políticas pueden cambiar. El marco normativo — los derechos humanos como un freno real sobre el poder estatal y sobre el del mercado — está disponible, codificado en derecho internacional y ratificado por las tres jurisdicciones aquí discutidas. Lo que falta, escribe Risse, no son las herramientas, sino la voluntad de usarlas. La función de su comentario, según él mismo lo describe, es hacer visible el coste de esa voluntad ausente, e insistir en que es un coste medido en derechos humanos. Si esa visibilidad bastará para mover a alguno de los tres regímenes hacia la tercera condición que cada uno no puede aportar por sí solo — la respuesta a eso no está en el ensayo, porque no está aún en el mundo.