Privacidad frente a innovación: la batalla de California sobre la regulación de la inteligencia artificial
Bajo presión de empresas y legisladores, California retrocede en sus ambiciosas regulaciones de IA, desatando una lucha entre protección al consumidor y fomento tecnológico
Por años, California ha sido una pionera en el establecimiento de límites a las grandes tecnológicas. Sin embargo, el reciente giro en las regulaciones sobre inteligencia artificial (IA) marca un punto de inflexión en esa narrativa.
El ambicioso cometido de la CPPA
La California Privacy Protection Agency (CPPA) fue creada tras la aprobación de las leyes de privacidad en 2018 y 2020, con el objetivo de proteger los datos de los ciudadanos californianos frente al creciente poder de las tecnologías emergentes. Su intento de regular los usos empresariales de la inteligencia artificial —especialmente aquellas decisiones automatizadas que afectan la vida de las personas— era una de las iniciativas regulatorias más amplias de todo Estados Unidos.
No obstante, en una votación unánime realizada en mayo de 2024, la junta directiva de la CPPA acordó modificar radicalmente su propuesta de regulación, aligerando los requisitos para las empresas. Esto incluye la eliminación del término "inteligencia artificial" del texto normativo y el acotamiento del concepto de “toma de decisiones automatizada”.
De $834 millones a $143 millones: el costo del cambio
Uno de los argumentos principales que forzaron el cambio fue el impacto económico. El personal técnico de la CPPA estimó que el cumplimiento inicial de las normas costaría a las empresas $834 millones, una cifra que se reduciría a $143 millones con los cambios aprobados. Además, el 90% de los negocios originalmente afectados ya no tendrán que cumplir con la regulación.
“Lo preocupante es que ahora la industria está escribiendo el examen con el que será calificada”, alertó la miembro de la junta Brandie Nonnecke en la sesión.
La presión de las corporaciones y el mensaje de Newsom
La retirada no fue casual: la presión de los gigantes tecnológicos, legisladores e incluso del gobernador Gavin Newsom fue determinante. Un número abrumador de comentarios públicos sobre las reglas —alrededor del 90%— provenía de empresas y asociaciones empresariales.
En abril, Newsom envió una carta directa a la agencia señalando que las normas propuestas “excedían el mandato de la CPPA”, haciendo referencia a la Proposición 24, que dio lugar a la agencia. Poco después, la junta convocó una revisión y posteriormente votó su suavización.
La mirada de los grupos de defensa del consumidor
Más de 30 organizaciones y sindicatos, incluidos grupos de derechos digitales y asociaciones de privacidad, instaron a través de una carta a mantener las normas para proteger a consumidores, estudiantes y trabajadores. Sin embargo, esas voces fueron ignoradas.
Para Sacha Haworth, directora del Tech Oversight Project, “Diluir estas reglas en favor de las big tech no cumple con la misión de la CPPA”. Kara Williams, experta legal del Electronic Privacy Information Center, añadió que “con cada versión, las protecciones para los consumidores se han debilitado visiblemente“.
De IA a “toma automatizada de decisiones”: un cambio semántico cargado de política
Parte del retroceso se reflejó en el lenguaje mismo del reglamento. En una controvertida decisión, se eliminó por completo el uso del término “inteligencia artificial”, reemplazándolo por expresiones más vagas como “sistemas automatizados”.
Este detalle no es banal: permite que las empresas argumenten que sus algoritmos solo aconsejan y no toman decisiones, evitando así las obligaciones de realizar evaluaciones de riesgo o implementar salvaguardas.
Publicidad conductual: otra victoria para las big tech
Originalmente, las regulaciones también exigían evaluaciones antes de implementar publicidad conductual, es decir, los anuncios dirigidos según el perfil digital del individuo. Ésta es una práctica común de Google, Meta, TikTok y otras compañías que representa miles de millones de dólares al año.
La versión actual elimina esa necesidad. Las asociaciones de privacidad advierten que dicha publicidad perpetúa desigualdades, pone en riesgo a niños y podría amenazar la seguridad nacional.
¿Qué queda de la protección al consumidor?
Pese al retroceso, algunas protecciones básicas persisten. Las normas aún aplicarán cuando un sistema automático determine resultados sin intervención humana en sectores como la salud, vivienda y servicios financieros. Es decir, si una IA decide a quién dar un préstamo, habrá obligaciones regulatorias.
Pero la inquietud principal no tiene que ver con lo que se mantuvo, sino con lo que se eliminó o debilitó. ¿Qué garantiza que las empresas no seguirán presionando para erosionar lo poco que queda?
¿Un fenómeno californiano o nacional?
Este retroceso ocurre en un contexto nacional de gran efervescencia sobre la IA. Mientras California se repliega, propuestas federales se multiplican en el Congreso, buscando regular IA en sectores que van desde el laboral hasta el militar.
A nivel internacional, la Unión Europea ya aprobó la Ley de Inteligencia Artificial en 2024, categorizando los riesgos de cada tipo de sistema y prohibiendo los más peligrosos. En contraste, Estados Unidos aún no cuenta con una legislación federal integral sobre IA.
¿Y ahora qué?
La CPPA ha abierto un periodo de comentarios públicos hasta el 2 de junio, lo que significa que las batallas políticas y legislativas continuarán. Por ahora, las empresas solo tendrán que cumplir con las normas modificadas hacia 2027.
La pregunta que flota es clara: ¿debe protegerse al consumidor en una era de algoritmos predictivos o debe priorizarse la innovación tecnológica incluso si eso implica riesgos a la privacidad? En California, la balanza parece haberse inclinado —al menos por ahora— hacia Silicon Valley.
“Estamos cediendo nuestro derecho a la privacidad a cambio de eficiencia y conveniencia”, decía hace décadas Bruce Schneier, criptógrafo y activista por la seguridad digital. Hoy más que nunca, esa frase resuena con potencia.
Fuentes adicionales
- California Privacy Protection Agency – cppa.ca.gov
- Tech Oversight Project – techoversight.org
- Electronic Privacy Information Center – epic.org
- AI Act – Unión Europea: artificialintelligenceact.eu (en inglés)
