Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > 145 leyes de IA se aprobaron en 2025. Los equipos de privacidad no tienen respiro.

145 leyes de IA se aprobaron en 2025. Los equipos de privacidad no tienen respiro.

by Patrick Spencer updated junio 10, 2026 Cumplimiento Regulatorio
Reading Time: 6 minutes

La mayoría de las conversaciones empresariales sobre shadow AI se centran en el uso de herramientas no autorizadas por parte de los empleados. El informe DataGrail Privacy and AI Trends Report 2026 identifica un problema más fundamental: el shadow AI incrustado dentro del software empresarial autorizado. Cuando el 63,6% de los proveedores de IA no revela sus subprocesadores de terceros, toda organización que utiliza esas herramientas tiene shadow AI en su entorno por defecto: aprobado y activo.

La consecuencia práctica es que los marcos de gobernanza de datos basados en la suposición de que la documentación legal describe con precisión los flujos de datos están operando bajo premisas falsas. Un acuerdo de procesamiento de datos que no nombra a los subprocesadores no puede respaldar un análisis GDPR, una revisión de acuerdo de socio comercial HIPAA ni una evaluación CMMC 2.0 de los límites del sistema de información. La organización cree haber evaluado el riesgo de procesamiento de datos. No lo ha hecho.

Esto genera problemas específicos para sectores regulados. Una organización de salud que procesa datos de pacientes a través de una herramienta de IA cuyos subprocesadores incluyen servicios de entrenamiento de modelos no revelados podría haber infringido la ley HIPAA sin ninguna señal de que ocurrió una violación. Un contratista de defensa que enruta CUI a través de un sistema de IA con subprocesadores no revelados puede haber cruzado límites CMMC sin que se active ninguna alerta. El riesgo es invisible precisamente porque el proveedor decidió no revelarlo. La debida diligencia en privacidad de datos debe preguntar explícitamente por los subprocesadores de IA y exigir representaciones contractuales que garanticen que la respuesta es completa.

5 conclusiones clave

1. Las legislaturas estatales de EE. UU. promulgaron 145 leyes relacionadas con IA en 2025, con más de 1.000 proyectos de ley presentados o revisados.

Los equipos de privacidad que absorben reducciones de personal de hasta un 33% navegan al mismo tiempo un ritmo regulatorio que ningún programa manual de cumplimiento fue diseñado para soportar. Cada nueva ley crea nuevos derechos para los titulares de datos, nuevos requisitos de documentación y, en muchos casos, un derecho privado de acción que añade exposición a litigios independiente de la aplicación regulatoria. La función de cumplimiento no está fallando en mantenerse al día: se le está pidiendo hacer mucho más con mucho menos.

2. El 63,6% de los proveedores de IA ocultan sus subprocesadores de terceros.

De 2.400 proveedores de software empresarial que publicitan capacidades de IA, casi dos tercios no revelan los subprocesadores de IA en su documentación legal. Las organizaciones que usan estos productos implementan sistemas de IA que enrutan datos a través de partes no reveladas, sin visibilidad sobre a dónde va esa información, qué modelos entrena o qué políticas de retención se aplican. Esto es shadow AI a nivel de proveedor, activo dentro de herramientas que los equipos legales y de compras aprobaron explícitamente. La debida diligencia en gobernanza de datos debe pedir a los proveedores que enumeren cada subprocesador de IA.

3. El 32,8% de los sistemas de IA participan en al menos una actividad de alto riesgo.

El procesamiento de datos confidenciales y la toma de decisiones automatizada activan requisitos reforzados bajo la Ley de IA de la UE y las nuevas leyes estatales de EE. UU. Una parte significativa de las implementaciones empresariales de IA ya activa esos requisitos bajo múltiples marcos vigentes, pero la mayoría de las organizaciones no ha evaluado formalmente en qué categoría encajan sus implementaciones.

4. El 42% de las empresas abandonaron proyectos de IA en 2025 por preocupaciones de privacidad.

Las organizaciones sin una infraestructura de IA gobernada que haga cumplir los requisitos de cumplimiento en la capa de datos se enfrentan a una decisión binaria: implementar sin cumplir, o no implementar. El 42% optó por no implementar. Un canal de IA gobernado —vías con políticas aplicadas donde cada movimiento de datos queda registrado, cada subprocesador es conocido y cada decisión de acceso es atribuible— convierte esa dicotomía en una tercera opción: avanzar y ser defendible.

5. El requisito de atestación de California para 2028 introduce exposición penal personal para ejecutivos.

Las evaluaciones de riesgos de privacidad presentadas bajo pena de perjurio trasladan la responsabilidad de cumplimiento del presupuesto organizacional a la carrera individual. Cualquier atestación presentada bajo este marco debe describir con precisión los flujos reales de datos de IA, incluidos los subprocesadores. Las organizaciones cuyos proveedores de IA están en el 63,6% que oculta subprocesadores tendrán grandes dificultades para firmar una atestación precisa. Los marcos GDPR han operado con una responsabilidad similar a través de los requisitos de EIPD durante años; ahora los ejecutivos estadounidenses están sujetos a un estándar comparable.

¿Qué estándares de cumplimiento de datos importan?

Lee ahora

La aceleración regulatoria y lo que exige

145 leyes en un solo año es un ritmo que la mayoría de los programas de cumplimiento no están preparados para soportar. Cada nueva ley crea nuevos derechos para los titulares de datos, nuevas obligaciones de cumplimiento, nuevos requisitos de documentación y, en muchos casos, derechos privados de acción que generan exposición a litigios independiente de la aplicación regulatoria.

Las leyes estatales de privacidad de datos en EE. UU. son ahora el principal motor de la complejidad de cumplimiento nacional para organizaciones fuera de sectores federales altamente regulados. California, Texas, Colorado, Virginia y Connecticut han promulgado marcos integrales de privacidad con requisitos específicos sobre toma de decisiones automatizada, procesamiento de datos confidenciales y derechos del consumidor. El hallazgo de DataGrail de que el 32,8% de los sistemas de IA participan en al menos una actividad de alto riesgo significa que una parte significativa de las implementaciones empresariales de IA ya activa requisitos reforzados bajo múltiples marcos vigentes.

El requisito de atestación de California para 2028 eleva considerablemente la apuesta. Una evaluación de impacto en la privacidad presentada con atestación ejecutiva bajo pena de perjurio debe reflejar con precisión los flujos reales de datos de IA, incluidos los subprocesadores que el 63,6% de los proveedores no está revelando. El GDPR estableció este modelo hace años mediante los requisitos de EIPD. Ahora los reguladores estadounidenses están adoptando la misma lógica.

El problema de procesamiento manual de 1,5 millones de dólares

El hallazgo de DataGrail de que las empresas medianas gastan 1,5 millones de dólares al año en la gestión manual de solicitudes de titulares de datos describe una ineficiencia estructural que se agrava a medida que crece el número de leyes aplicables. Cada nueva ley que crea derechos del consumidor —acceso, eliminación, corrección, portabilidad, exclusión— aumenta el volumen de solicitudes que las organizaciones deben procesar. Cada nueva jurisdicción amplía la población de consumidores que puede ejercer esos derechos.

La implementación de IA gobernada cambia este cálculo. Cuando las interacciones de IA pasan por un canal con políticas aplicadas, el registro de auditoría de esas interacciones se convierte en la infraestructura de respuesta a solicitudes de titulares de datos. Una organización que puede mostrar exactamente qué datos fueron procesados por qué sistema de IA, bajo qué autorización de política y para qué propósito empresarial, puede responder a solicitudes de acceso y eliminación sin reconstrucción manual. Las políticas de minimización de datos aplicadas en la capa de acceso a datos de IA reducen el volumen de datos personales que ingresan a los flujos de trabajo de IA desde el principio, acotando el alcance de lo que debe revelarse o eliminarse en respuesta a solicitudes de consumidores.

Kiteworks AI Data Gateway aplica tanto los controles de políticas como el registro que convierten la respuesta de cumplimiento de un proceso manual intensivo en mano de obra a una capacidad operativa.

Cómo construir un programa de cumplimiento de IA que gestione 145 leyes

Ningún equipo de privacidad puede rastrear individualmente 145 leyes más 1.000 proyectos de ley pendientes y ejecutar procesos manuales de cumplimiento para cada una. Las organizaciones que gestionan este entorno tratan el cumplimiento de IA como un problema de infraestructura, no de investigación legal. Los requisitos subyacentes —minimización de datos, control de acceso, transparencia en el procesamiento, registros de auditoría— son comunes en casi todos los marcos de privacidad. Una infraestructura de gobernanza de IA que aplique estos requisitos de manera uniforme satisface múltiples leyes al mismo tiempo.

La protección de datos desde el diseño aplicada a la IA significa incorporar controles de gobernanza en la arquitectura de implementación antes de que los datos confidenciales ingresen al sistema. La aplicación de ABAC dentro de una implementación de IA proporciona la capa de control de acceso, asegurando que los sistemas de IA solo puedan acceder a los datos que están autorizados a procesar bajo condiciones alineadas con los requisitos regulatorios aplicables. Para organizaciones sujetas a GDPR, el acceso a datos de IA está limitado por la base legal y los requisitos de minimización de datos. Para organizaciones bajo CMMC 2.0, el acceso a datos de IA está limitado por los requisitos de manejo de CUI. La misma infraestructura ABAC sirve para ambos casos.

El cumplimiento normativo al ritmo de 145 leyes por año requiere automatización, no más personal. Las organizaciones que integren esa automatización en su arquitectura de gobernanza de IA ahora tendrán una ventaja estructural a medida que el ritmo regulatorio continúe.

Para saber más sobre cómo proteger datos confidenciales en un mundo de IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Más de seis de cada diez productos de software con capacidades de IA pueden enrutar los datos de tu organización a servicios de IA de terceros que no se mencionan en sus políticas de privacidad ni en los acuerdos de procesamiento de datos. Según el GDPR, los registros de procesamiento deben incluir los subprocesadores y los DPA deben obligarlos a cumplir con estándares equivalentes de protección de datos. Si un proveedor no ha revelado un subprocesador, no puedes haberlo evaluado. La debida diligencia en gobernanza de datos debe pedir explícitamente a los proveedores que enumeren cada subprocesador de IA y obtener representaciones contractuales que garanticen que la revelación es completa.

La atestación ejecutiva bajo pena de perjurio traslada la responsabilidad de cumplimiento del nivel organizacional al individual, creando una posible exposición penal personal para los ejecutivos que firmen atestaciones inexactas. Cualquier evaluación presentada bajo este marco debe describir con precisión los flujos reales de datos de IA, incluidos los subprocesadores. Las organizaciones cuyos proveedores de IA están en el 63,6% que oculta subprocesadores tendrán grandes dificultades para firmar una atestación precisa. Las evaluaciones de impacto en la privacidad ya no son simples formalidades administrativas.

La tasa de abandono del 42% refleja una brecha estructural: organizaciones que tenían capacidades de IA que querían implementar pero no podían cumplir con los requisitos de cumplimiento aplicables sin una infraestructura gobernada. Las organizaciones sin un canal de IA gobernado enfrentan una decisión binaria: implementar sin cumplir o no implementar. Un canal gobernado con aplicación de políticas, transparencia total de subprocesadores y registros de auditoría integrales proporciona la tercera opción: avanzar de una manera realmente defendible bajo la ley aplicable.

Tratándolo como un problema de infraestructura, no de investigación legal. Los flujos de datos documentados, controles de acceso aplicables, minimización de datos y registros de auditoría son comunes en prácticamente todos los marcos de privacidad modernos. Una infraestructura de gobernanza de IA que aplique estos requisitos de forma uniforme satisface múltiples leyes a la vez. Los registros de auditoría que capturan cada evento de acceso a datos de IA proporcionan la base probatoria para responder a solicitudes de titulares de datos e investigaciones regulatorias, reduciendo el costo de gestión manual por solicitud a casi cero.

Como mínimo: un canal de acceso a datos gobernado que aplique condiciones de políticas antes de que los sistemas de IA lean o escriban datos confidenciales; registro de auditoría integral de cada interacción de IA; controles de minimización de datos que impidan el acceso de IA más allá de lo necesario para la tarea; un inventario completo de subprocesadores de IA con compromisos contractuales de protección de datos; y un proceso para solicitudes de titulares de datos utilizando el registro de auditoría como evidencia. Kiteworks AI Data Gateway y el marco Compliant AI ofrecen esto como una plataforma integrada en vez de soluciones puntuales que requieren integración personalizada.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks