Semana 6: Cadena de responsabilidad, marcos legales y la brecha de responsabilidad
Microcredencial en Inteligencia Artificial y Análisis de Datos
Universidad Latinoamericana de Ciencia y Tecnología
Febrero 2026
Contenidos de la sesión
La urgencia de asignar responsabilidad en IA
El problema central no es la ausencia de agentes responsables, sino la abundancia de actores con responsabilidad difusa y marcos legales que no logran asignarla eficazmente. La litigación por daños causados por IA se multiplicó un 56% entre 2023 y 2024.
La pregunta "¿quién responde cuando la IA falla?" ha dejado de ser filosófica para convertirse en el eje de la regulación y la litigación contemporánea. La responsabilidad en IA no es lineal sino distribuida a lo largo de una cadena de valor.
Cuatro niveles de rendición de cuentas (Walther, Wharton 2025)
La Dra. Cornelia Walther (Wharton, 2025) propone el marco M4-Matrix, que organiza la rendición de cuentas en cuatro niveles interconectados, argumentando que "la rendición de cuentas es una cadena de suministro, no un mosaico".
Programadores, ingenieros y científicos de datos que diseñan e implementan los sistemas. Su responsabilidad es técnica y ética a nivel de código y datos.
Empresas que desarrollan o despliegan IA. Incluye decisiones de liderazgo sobre recursos, prioridades y cultura organizacional de responsabilidad.
Reguladores y gobiernos que establecen marcos normativos, supervisan cumplimiento y sancionan incumplimientos en su jurisdicción.
Organismos internacionales (ONU, OCDE, UNESCO) que definen principios, coordinan esfuerzos globales y establecen estándares de referencia.
Un vehículo autónomo de Amazon colisionó a 70 km/h en el Strip, provocando un recall de 270 vehículos. La responsabilidad se desplazó desde los programadores (micro) hasta el liderazgo corporativo (meso) y los reguladores de NHTSA (macro), ilustrando cómo los cuatro niveles interactúan en un incidente real.
El marco regulatorio más detallado del mundo
Soportan las obligaciones más extensas: documentación técnica, evaluaciones de conformidad, gestión de riesgos, monitoreo post-mercado y registro en la base de datos de la UE. Son los primeros responsables de que el sistema cumpla los requisitos antes de su comercialización.
Deben utilizar los sistemas según las instrucciones del proveedor, asignar supervisión humana a personas competentes, garantizar la relevancia de los datos de entrada y reportar incidentes a las autoridades correspondientes.
Cuando un desplegador pone su nombre en un sistema, lo modifica sustancialmente o cambia su uso previsto, se convierte jurídicamente en proveedor y asume todas las obligaciones correspondientes. Este mecanismo impide evadir responsabilidades mediante la mera intermediación.
Kiener (2025): no hay vacío, hay exceso de responsables
Maximilian Kiener desafía la tesis clásica de la "brecha de responsabilidad" al argumentar que no existe un vacío, sino una abundancia de responsabilidad: múltiples agentes humanos son moralmente responsables de los daños causados por IA, y el verdadero desafío es gestionar esa abundancia en la práctica.
Mediante entrevistas cualitativas con expertos en desarrollo de IA, encontraron que la influencia es el criterio principal para distribuir responsabilidad prospectiva entre actores. Quien más influye en el resultado, más responsabilidad debe asumir.
Distribuye la rendición de cuentas entre desarrolladores, desplegadores e integradores. Las responsabilidades deben ser proporcionales a las actividades realizadas, y la "auditabilidad" (crear registros de decisiones) es un principio central.
Si no hay brecha sino abundancia, el problema se redefine: no es encontrar a quién culpar, sino coordinar eficazmente la responsabilidad distribuida entre múltiples actores, cada uno con diferentes grados de influencia, conocimiento y control sobre el sistema.
Dos conceptos distintos que crean zonas de brecha
La responsabilidad moral se refiere a cuándo alguien puede ser justamente culpado o elogiado por sus acciones; la responsabilidad legal por daños es el deber legal de compensar a la víctima. Son conceptos distintos que crean zonas donde puede existir una sin la otra.
| Dimensión | Responsabilidad legal | Responsabilidad ética |
|---|---|---|
| Naturaleza | Deber jurídico de compensar daños | Obligación moral de actuar correctamente |
| Fuente | Leyes, regulaciones, contratos | Principios éticos, valores sociales |
| Consecuencia | Sanciones, multas, indemnizaciones | Reproche moral, daño reputacional |
| Ejemplo en IA | Multa a empresa por violar GDPR | Empresa que cumple la ley pero daña comunidades |
| Brecha típica | Impacto disparejo sin intención discriminatoria | Ethics washing con directrices voluntarias |
Las zonas de brecha más peligrosas surgen cuando existe responsabilidad ética sin mecanismos legales para exigirla, o cuando la responsabilidad legal existe pero no refleja el daño ético real causado. El fenómeno del "ethics washing" (Wagner, 2018) explota esta brecha.
El evento regulatorio más significativo del año
La Comisión Europea retiró la Directiva de Responsabilidad por IA en febrero de 2025 por "falta de acuerdo previsible", formalizado en el Diario Oficial de la UE el 6 de octubre de 2025. El eurodiputado Axel Voss denunció: "Las grandes tecnológicas están aterradas de un panorama legal donde puedan ser responsabilizadas."
Propuesta en septiembre de 2022, la directiva pretendía armonizar las reglas de responsabilidad civil basada en culpa para daños causados por IA en toda la UE. Habría facilitado presunciones probatorias a favor de las víctimas cuando la complejidad técnica dificultara la prueba.
El EU AI Act es preventivo (ex ante), pero sin la AILD, las víctimas de IA negligente deben recurrir a legislaciones nacionales fragmentadas para reclamaciones basadas en culpa. Pirvan (IAPP, 2025) denomina esto la "liability divide", particularmente aguda para la distinción entre IA-como-producto y IA-como-servicio.
Deuda que se incurre cuando una organización diseña, desarrolla o despliega una solución de IA sin identificar proactivamente preocupaciones éticas. A diferencia de la deuda técnica (cuyo costo recae en la organización), la deuda ética es pagada por los usuarios y comunidades afectadas, generando una desalineación fundamental entre quienes deciden incurrir la deuda y quienes la pagan.
Mecanismos de rendición de cuentas ante fallas
Propone la "auditoría de criterio" modelada según la auditoría financiera: un marco estandarizado para evaluar sistemas de IA contra criterios definidos, con evidencia documentada y hallazgos reportados a stakeholders relevantes.
Un análisis de la ACLU (FAccT 2025) evaluó 116 auditorías de sesgo publicadas bajo esta ley y encontró que solo ~2% de las empresas Fortune 500 realizaron auditorías pese a que el 98% utiliza software de seguimiento de candidatos. Problemas: datos demográficos faltantes, agregación opaca y métricas inadecuadas.
El Centro Conjunto de Investigación de la UE categorizó los diseños de auditorías algorítmicas bajo la Ley de Servicios Digitales en cuatro tipos: descubrimiento de riesgos, ingeniería inversa, enfocadas en plataformas y de cumplimiento normativo.
La auditoría algorítmica está madurando como disciplina, pero la brecha entre los marcos teóricos disponibles y la implementación práctica sigue siendo enorme. La regulación exige auditorías, pero la mayoría de empresas no las realiza adecuadamente.
Casos emblemáticos 2024-2026
La litigación se ha convertido en el mecanismo más dinámico de rendición de cuentas en IA. Los tribunales están definiendo los contornos de la responsabilidad civil antes de que los reguladores completen sus marcos normativos.
Un jurado federal en Miami encontró a Tesla 33% responsable y otorgó $243 millones ($43M compensatorios + $200M punitivos). Primera vez que un jurado declaró defectuoso el sistema Autopilot.
Primera acción colectiva masiva contra un proveedor de IA para contratación por discriminación algorítmica. Certificada como acción colectiva nacional en mayo 2025, potencialmente abarcando "cientos de millones" de solicitantes.
Demanda colectiva por uso del algoritmo "nH Predict" para denegar reclamaciones de atención post-aguda. Más del 90% de las denegaciones se revertían en apelación, pero solo el 0.2% de los asegurados apelaba.
Acuerdo de $1,500 millones por uso de libros pirateados para entrenamiento: la mayor recuperación por derechos de autor en la historia de EE.UU., aunque representa menos del 1% de la valoración de Anthropic.
Whistleblowers de IA y estructura de sanciones del EU AI Act
La protección de denunciantes y el régimen sancionador son dos caras de la misma moneda: sin protección para quienes denuncian internamente, las fallas solo se conocen cuando causan daño público. Sin sanciones efectivas, la regulación es simbólica.
La infraestructura de la rendición de cuentas
La trazabilidad en IA se construye sobre tres herramientas clave de documentación que se han convertido en estándares de la industria, complementados por desarrollos recientes.
Documentan las características, limitaciones y uso previsto de un modelo de ML. NVIDIA lanzó Model Card++ (octubre 2025) con información adicional sobre sesgos, explicabilidad y privacidad.
Documentan motivación, composición, proceso de recolección y usos recomendados de datasets. Fundamentales para evaluar posibles sesgos en datos de entrenamiento.
Cubren todo el ciclo de vida del despliegue del sistema, alineadas con el Anexo A de ISO 42001. Van más allá del modelo para documentar el sistema completo en producción.
Evaluó 50 modelos con un marco de 8 secciones y 23 subsecciones. Hallazgo: los laboratorios de frontera (xAI, Microsoft, Anthropic) alcanzan ~80% de cumplimiento; la mayoría cae por debajo del 60%, con los mayores déficits en categorías críticas de seguridad (engaño, alucinaciones, protección infantil).
EU AI Act, NIST AI RMF e ISO 42001: convergencia de marcos
Documentación técnica (Anexo IV): descripción general, arquitectura, especificaciones de diseño con justificaciones, requisitos de datos, procedimientos de prueba, métricas de rendimiento y plan de monitoreo post-mercado. Conservación por 10 años.
Registro automático (Art. 12): sistemas de alto riesgo deben generar logs durante toda su vida útil: fecha/hora de uso, datos de entrada, bases de datos consultadas e identificación de verificadores humanos.
NIST AI RMF (actualizado feb 2025): 4 funciones, 72 subcategorías. Govern 4.1: toda información de riesgos debe registrarse sistemáticamente.
ISO/IEC 42001 (2023): primer estándar certificable de gestión de IA. El 76% de organizaciones planea certificarse (CSA 2025).
ISO/IEC 42005:2025: Evaluación de Impacto de IA, complementa ISO 42001.
Las organizaciones mapean progresivamente NIST, ISO, EU AI Act y SOC2 en flujos de conformidad unificados.
La observabilidad de IA emerge como disciplina técnica: captura trazas de razonamiento, activaciones del modelo, llamadas a herramientas y evaluaciones de salida en tiempo real. OpenTelemetry se está convirtiendo en el estándar para monitoreo de métricas de aplicaciones de IA.
Un mercado en formación acelerada
Publicada noviembre 2024, plazo de transposición hasta diciembre 2026. Incluye explícitamente software y sistemas de IA como "productos" sujetos a responsabilidad objetiva (strict liability). La capacidad de aprendizaje post-venta puede constituir un "defecto". Se establecen presunciones a favor del demandante cuando hay "dificultades excesivas" para probar defectuosidad.
Munich Re aiSure: cubre errores de predicción y deriva de calibración. Armilla Insurance: cobertura afirmativa para alucinaciones y fallos algorítmicos (Lloyd's). Google: seguros cibernéticos con cobertura de IA para clientes Cloud.
AIG, Great American y WR Berkley (noviembre 2025) solicitaron aprobación para limitar responsabilidad por IA citando "riesgo sistémico". Verisk presentó exclusión estandarizada de IA generativa para pólizas.
Bertolini (Yale/PE, 2025) aboga por responsabilidad objetiva para IA de alto riesgo con seguro obligatorio y fondo de compensación. Diamantis (Vanderbilt Law Review, 2025) contraargumenta: estándar de negligencia evaluando si la empresa implementó técnicas de alineación establecidas. La responsabilidad objetiva "va demasiado lejos" y frena la innovación.
Más de 1,000 proyectos de ley en 2025
| Estado | Legislación | Enfoque principal | Vigencia |
|---|---|---|---|
| California | Ley de octubre 2025 | Empleadores responsables por decisiones discriminatorias de IA, incluso de terceros proveedores | Octubre 2025 |
| Texas | Ley anti-discriminación IA | Prohíbe discriminación ilegal por IA. Multas $10,000-$200,000 | Enero 2026 |
| Colorado | Colorado AI Act | Programas de gestión de riesgos para discriminación algorítmica | Junio 2026 |
| Illinois | Extensión responsabilidad | Responsabilidad por discriminación algorítmica a empleadores | 2025 |
| California | SB 53 | Primera ley estatal sobre transparencia de modelos frontera + protección denunciantes | Enero 2026 |
La Orden Ejecutiva 14365 de Trump (diciembre 2025) busca explícitamente preemptar leyes estatales de IA mediante un grupo de litigación del DOJ, condicionamiento de fondos federales y recomendación legislativa federal. El Stanford AI Index 2025 reportó que en 2024 se introdujeron 59 regulaciones de IA globalmente, más del doble que en 2023.
De Matthias (2004) a las propuestas contemporáneas
Los autómatas que aprenden cuyo comportamiento no puede ser predicho ni controlado completamente por sus diseñadores crean situaciones donde la responsabilidad moral tradicional no puede atribuirse a ningún humano. Esta tesis ha sido reformulada, desafiada y enriquecida en 2024-2025.
Reformulan la brecha como cuatro problemas interconectados: brecha de culpabilidad, de rendición de cuentas moral, de rendición de cuentas pública y de responsabilidad activa. Proponen el "control humano significativo" como solución.
No existe brecha sino abundancia de responsabilidad. Usa el marco de "responsabilidad moral estricta" para demostrar que muchos humanos detrás de IA pueden responder por sus roles.
Desafía todo el debate argumentando que el sistema de responsabilidad moral mismo es "fundamentalmente defectuoso", proponiendo alternativas "libres de merecimiento" basadas en el escepticismo de Pereboom y Caruso.
La naturaleza distribuida del diseño, desarrollo, despliegue y regulación de IA crea barreras donde los usuarios sin conocimiento profundo quedan desempoderados. Coeckelbergh añade que además de "muchas manos" hay "muchas cosas" (la multiplicidad de artefactos técnicos) y una dimensión temporal que complica la atribución.
Enfoques técnicos, legales y organizacionales
Entiende la responsabilidad como una habilidad frágil que requiere mantenimiento social constante. Identifica una "brecha de vulnerabilidad" relacional entre humanos y sistemas de IA. No basta con asignar responsabilidad formalmente; hay que cultivar activamente la capacidad de ejercerla.
Eliminan la necesidad de identificar un agente específico responsable. Un operador único responde (one-stop-shop) para simplificar el acceso a compensación de las víctimas. Incluye seguros obligatorios y fondos de compensación.
Marco pragmático que establece los requisitos mínimos indispensables de gobernanza antes de desplegar un sistema de IA. No busca la perfección regulatoria sino un umbral funcional que prevenga los daños más graves.
Va más allá del simple "human in the loop". Diseñar sistemas sociotécnicos alineados con razones y capacidades humanas relevantes. El humano no solo supervisa sino que ejerce influencia real sobre las decisiones del sistema.
Encuesta a 2,300+ ejecutivos en 34 países encontró que el 72% carecía de política de IA y el 67% de las habilidades necesarias para su gestión. La brecha no es solo filosófica sino prácticamente operativa: las organizaciones no están preparadas para ejercer la responsabilidad que la regulación les exige.
Liderazgo internacional sin legislación interna
ENIA 2024-2027: primer país centroamericano y caribeño con estrategia nacional de IA (octubre 2024). 5to en América Latina en ILIA 2025. 100% en visión estratégica en Government AI Readiness Index 2024.
Liderazgo ONU: co-facilita con España el proceso intergubernamental de gobernanza de IA. Co-facilitó creación del Panel Científico Internacional de IA (agosto 2025).
Paradoja: a febrero de 2026 no se ha aprobado ninguna ley de IA. Tres proyectos pendientes en la Asamblea Legislativa. Ley 8968 (2011) requiere modernización urgente.
Perú: primer país latinoamericano con marco regulatorio general de IA (septiembre 2025), enfoque basado en riesgo, vigente desde enero 2026.
Brasil: Proyecto 2,338/2023 aprobado por Senado (diciembre 2024), Plan Nacional de IA con ~BRL 23 mil millones.
México: enmienda constitucional (febrero 2025) para autoridad del Congreso sobre IA.
Chile: lidera ILIA 2025 con proyecto de ley en etapa temprana.
Argentina: busca deliberadamente ecosistema menos regulado.
El reto inmediato para Costa Rica es cerrar la distancia entre su sofisticado posicionamiento internacional y la ausencia de instrumentos jurídicos internos que materialicen esos compromisos en protecciones concretas para sus ciudadanos.
Cuando la responsabilidad permanece disputada
El chatbot oficial de la ciudad de Nueva York aconsejó a empresarios quedarse con las propinas de sus trabajadores, violando la ley laboral local. ¿Quién es responsable? ¿El desarrollador del chatbot? ¿La ciudad que lo desplegó? ¿El proveedor de la tecnología base?
Algoritmo que rechazaba más de 300,000 reclamaciones en dos meses con 1.2 segundos de revisión por caso. La responsabilidad se distribuye entre el desarrollador del algoritmo, Cigna como desplegador y los reguladores de seguros que no supervisaron.
Múltiples accidentes fatales donde la responsabilidad permanece disputada entre fabricante (Tesla), desarrollador de software (mismo Tesla), operador humano y reguladores. El veredicto Benavides ($243M) fue el primer fallo de jurado contra Autopilot.
En todos estos incidentes se observa el mismo patrón: múltiples actores con responsabilidad parcial, marcos legales que no logran coordinar esa responsabilidad distribuida, y víctimas que enfrentan barreras enormes para obtener compensación. La litigación está llenando el vacío regulatorio, pero de manera lenta, costosa e inconsistente.
El 72% de las empresas del S&P 500 discute riesgos de IA en sus declaraciones ante la SEC. Primas de seguros de IA alcanzan $4,700 millones anuales. La responsabilidad por IA ha dejado de ser un tema académico para convertirse en un riesgo financiero corporativo concreto.
De la teoría a la práctica de la responsabilidad en IA
La brecha de responsabilidad no es tanto un vacío como un problema de gestión de abundancia: múltiples actores tienen responsabilidad parcial, pero los marcos legales y organizacionales no logran coordinar esa responsabilidad distribuida eficazmente.
Desde el veredicto de $243M contra Tesla hasta la primera acción colectiva contra Workday, los tribunales están definiendo los contornos de la responsabilidad civil por IA antes de que los reguladores completen sus marcos normativos.
Con Perú liderando, Brasil avanzando y Costa Rica ejerciendo liderazgo diplomático internacional, la región puede aprender de errores y aciertos europeos y estadounidenses para desarrollar marcos adaptados a su realidad.
La documentación y trazabilidad no son opcionales sino requisitos regulatorios con sanciones reales. Las herramientas técnicas existen (Model Cards, SHAP, ISO 42001, NIST AI RMF). El desafío es organizacional: implementar gobernanza real con supervisión humana significativa, auditorías periódicas y rendición de cuentas genuina hacia todos los stakeholders.
A continuación: actividad práctica en equipos. Los equipos se trasladarán a salas de trabajo grupal para analizar un caso real relacionado con los temas vistos hoy. Al finalizar, seleccionaremos equipos al azar para presentar su análisis.