El algoritmo de un banco le niega un préstamo a alguien; una IA generativa crea un video falso (deepfake) de un funcionario público; un atacante roba una base de datos y pide un rescate en criptomonedas. Los tres casos plantean la misma pregunta: ¿quién responde cuando una máquina —o alguien que se esconde detrás de ella— causa un daño? Esta unidad revisa cómo el derecho intenta responder.
3.1 Gobernanza y regulación de la inteligencia artificial
3.1.1 Principios éticos y jurídicos de la IA (transparencia, equidad, explicabilidad)
Más allá de leyes concretas, existe un consenso internacional amplio (los Principios de IA de la OCDE de 2019, la Recomendación sobre la Ética de la IA de la UNESCO de 2021) alrededor de ciertos principios centrales: transparencia (poder saber cuándo se interactúa con —o se es evaluado por— un sistema de IA), equidad o no discriminación (evitar que se perpetúen sesgos presentes en los datos de entrenamiento) y explicabilidad (poder explicar, al menos en términos generales, por qué un algoritmo llegó a una decisión, algo clave cuando te niega un crédito o un empleo).
3.1.2 Responsabilidad algorítmica y auditoría de modelos de IA
La "responsabilidad algorítmica" implica que una organización que usa IA debe poder responder por sus efectos, sin escudarse en un "así lo decidió el algoritmo" como si fuera un hecho de la naturaleza. Esto se concreta mediante auditorías: revisiones técnicas independientes que verifican si un modelo discrimina, si sus datos de entrenamiento son legítimos y en qué situaciones falla. Es similar a una auditoría financiera, pero aplicada a las decisiones de un algoritmo.
3.1.3 Clasificación de riesgos en el AI Act: sistemas prohibidos, de alto y bajo riesgo
El Reglamento de IA de la Unión Europea (Reglamento UE 2024/1689, "AI Act", en vigor desde el 1 de agosto de 2024) es la primera ley integral sobre inteligencia artificial y usa una pirámide de riesgo: riesgo inaceptable o prohibido (por ejemplo, puntuación social gubernamental o cierta vigilancia biométrica masiva), simplemente vetado; alto riesgo (por ejemplo, IA usada en contratación laboral, evaluación crediticia o aplicación de la ley), permitido pero con obligaciones estrictas de gestión de riesgos, supervisión humana y documentación; riesgo limitado (por ejemplo, chatbots), con deberes principalmente de transparencia; y riesgo mínimo (la mayoría de aplicaciones), sin obligaciones específicas. Sus reglas se aplican de forma gradual entre 2025 y 2027.
3.2 Desafíos regulatorios para América Latina y el Caribe
3.2.1 CEPAL: Índice Latinoamericano de Inteligencia Artificial (ILIA)
Desde su primera edición en 2023, el ILIA (elaborado por el Centro Nacional de Inteligencia Artificial de Chile, CENIA, junto con la CEPAL) mide qué tan preparados están los países de América Latina y el Caribe frente a la IA, en pilares como infraestructura, talento, gobernanza e investigación, ofreciendo una fotografía comparativa más que un estándar jurídico vinculante. Ayuda a ubicar dónde está un país como Bolivia frente a sus vecinos y qué brechas —normalmente de gobernanza y regulación— son más urgentes.
3.2.2 GIRAI (Global Index of Responsible AI)
El GIRAI evalúa específicamente qué tan "responsable" es la gobernanza y el uso de la IA en cada país —no solo qué tan avanzado es su sector tecnológico— y es una referencia dentro del propio pilar de gobernanza del ILIA. Para una región donde la mayoría de los países, incluida Bolivia, todavía no tiene una ley de IA dedicada, índices como el GIRAI hacen visible si existen, aunque sea de manera informal, salvaguardas básicas: supervisión, transparencia y vías de reclamo.
3.3 Normas Internacionales
3.3.1 Unión Europea: AI Act
Aunque no se aplica directamente en Bolivia, el AI Act funciona como modelo de referencia, de forma parecida a como el GDPR lo hizo para la protección de datos, y previsiblemente moldeará futuros contratos o exportaciones de sistemas de IA de empresas bolivianas que atiendan a clientes europeos.
3.3.2 Estándar ISO/IEC 42001: Sistemas de gestión de IA
3.3.2.1 Objeto y alcance de la norma ISO/IEC 42001:2023
Publicada en diciembre de 2023, la ISO/IEC 42001 es la primera norma internacional del mundo específica para sistemas de gestión de inteligencia artificial, aplicable a cualquier organización que desarrolle, provea o use productos o servicios de IA, sin importar su tamaño o sector. En lugar de imponer reglas técnicas puntuales, define un marco de gestión —con una lógica similar a la de la ISO/IEC 27001 que se ve en la Unidad 4— para identificar y administrar de forma sistemática los riesgos propios de la IA.
3.3.2.2 Requisitos del sistema de gestión de IA y ciclo de vida algorítmico
La norma exige mapear todo el ciclo de vida de los sistemas de IA —diseño, datos usados para el entrenamiento, despliegue, monitoreo y retiro— asignando responsabilidades y controles en cada etapa (por ejemplo, verificar la calidad de los datos de entrenamiento antes del despliegue, o vigilar el deterioro de precisión de un modelo ya en uso). Certificarse en esta norma se está convirtiendo en una forma de mostrar a clientes y reguladores que la gobernanza de IA de una organización no es improvisada.
3.4 Ciberdelincuencia y cooperación internacional
3.4.1 Convenio de Budapest: estructura, objetivos y alcance
Adoptado en 2001 por el Consejo de Europa, el Convenio de Budapest sobre la Ciberdelincuencia es el primer tratado internacional sobre este tema, abierto a la adhesión de cualquier país (más de 70 Estados parte en la actualidad). Se organiza en tres pilares: armonizar la definición de los delitos informáticos entre países, establecer herramientas procesales para investigarlos (como la preservación de evidencia digital) y crear un marco de cooperación internacional, incluida una red de puntos de contacto disponible las 24 horas para solicitudes urgentes.
3.4.2 Tipificación de delitos informáticos y principios de jurisdicción
El Convenio exige a los Estados firmantes tipificar categorías como el acceso ilícito, la interceptación ilícita, la interferencia de datos, la interferencia de sistemas (por ejemplo, ataques de denegación de servicio), el abuso de dispositivos (crear o vender herramientas de hackeo) y el fraude informático. En materia de jurisdicción, sigue en general el criterio de territorialidad (donde ocurrió el hecho o su efecto), complementado por la jurisdicción basada en la nacionalidad, reconociendo que el cibercrimen suele cruzar varios países a la vez.
3.4.3 Preservación y obtención transfronteriza de evidencia digital
Como la evidencia digital (registros de servidores, mensajes, direcciones IP) puede borrarse en cuestión de horas, el Convenio de Budapest crea un mecanismo expedito: un Estado puede pedirle a otro que "congele" o preserve datos concretos rápidamente mientras se tramita la solicitud formal de asistencia legal mutua, evitando que la evidencia se pierda durante los, normalmente lentos, canales diplomáticos o judiciales.
3.4.4 Marco jurídico boliviano
Bolivia no es Estado parte del Convenio de Budapest —existen propuestas académicas e institucionales que recomiendan su adhesión, todavía pendientes—. A nivel interno, sus principales herramientas son los artículos 363 bis (Manipulación Informática) y 363 ter (Alteración, Acceso y Uso Indebido de Datos Informáticos) del Código Penal, incorporados por la Ley N.º 1768 (1997). Esto significa que Bolivia sí tipifica algunos delitos informáticos internamente, pero carece de las herramientas de cooperación internacional y preservación de evidencia que ofrece el Convenio, lo que puede ralentizar investigaciones transfronterizas.
3.4.5 Desafíos del cibercrimen frente a la IA generativa y deepfakes
La IA generativa añade una capa de dificultad: los deepfakes (audio, video o imágenes falsos pero realistas) pueden usarse para fraude (imitar la voz de un directivo para autorizar una transferencia bancaria), desinformación o contenido sexual no consentido, y los marcos de ciberdelincuencia existentes —incluido el Convenio de Budapest, redactado en 2001— no contemplan expresamente el contenido generado por IA, obligando a fiscales a adaptar categorías tradicionales como la estafa o la falsificación. Es un área de reforma legal activa en todo el mundo, y un país como Bolivia probablemente necesitará actualizar sus normas penales en los próximos años.
Puntos clave
- El AI Act de la UE (2024) clasifica los sistemas de IA en riesgo inaceptable, alto, limitado y mínimo.
- Principios como transparencia, equidad y explicabilidad guían la ética y regulación de la IA a nivel internacional.
- La ISO/IEC 42001 (2023) es la primera norma internacional de gestión de IA, enfocada en todo el ciclo de vida del sistema.
- El ILIA (CEPAL/CENIA) y el GIRAI miden la preparación tecnológica y la gobernanza responsable de la IA en la región.
- El Convenio de Budapest (2001) es el principal tratado internacional contra la ciberdelincuencia; Bolivia aún no es parte de él.
- En Bolivia, los Arts. 363 bis y 363 ter del Código Penal (Ley 1768) tipifican la manipulación informática y el acceso indebido a datos.
- Los deepfakes y la IA generativa plantean retos que la legislación penal tradicional todavía no cubre del todo.
Este artículo tiene fines educativos y busca explicar conceptos generales del derecho boliviano de forma didáctica, con base en normativa vigente citada; no constituye asesoría legal para un caso concreto.
← VOLVER A ASIGNATURAS