Europa vs. Australia: la obsesión regulatoria vs. la gobernanza práctica de la IA.

Por Alba Lema - Presidenta internacional WCA

Tras más de dos años viviendo en este país, una de las cosas que más me gusta de los australianos es lo prácticos, directos y claros que son. Australia es una sociedad muy orientada a resolver problemas de forma directa, sencilla y funcional. Y esta circunstancia ha impregnado también la regulación de la inteligencia artificial. Mientras Europa dictaba una ley muy extensa y tremendamente compleja, Australia mantiene un enfoque regulatorio totalmente distinto que es apoyarse en la legislación ya existente.

En el caso europeo, ya no es que el Reglamento de IA sea muy complejo, sino que su aplicación va acompañada de una serie de instrumentos para facilitar su despliegue, tales como directrices, recomendaciones y códigos de buenas prácticas, entre otros. Documentos que, aunque pretenden ofrecer mayor claridad y facilitar la interpretación y aplicación de la norma, nos complican todavía más la vida, ya que cuando acabemos de leer las miles de páginas que componen todos estos elementos de apoyo, probablemente la IA habrá evolucionado hasta el punto de que se queden obsoletos.

En este contexto, yo me pregunto si una PYME, que en el caso de España representa el 99,84 % del tejido empresarial, está preparada para manejar toda esta arquitectura normativa[1]. Creo que prácticamente todos coincidiremos en que la respuesta es que no.

Adicionalmente, esta creciente carga regulatoria ha intensificado el debate sobre su posible impacto en la innovación y la competitividad, así como sobre la verdadera capacidad de la UE para mantenerse en la carrera global de la IA[2].

Frente a este escenario, Australia ha optado por un enfoque totalmente distinto consistente en no aprobar, a corto plazo, una legislación específica para la IA, sino en aplicar el marco normativo ya existente incluyendo, entre otras, normas en materia de privacidad, protección del consumidor, discriminación, salud y seguridad laboral.

Hasta la fecha, son muchos los casos que demuestran como Australia está abordando determinados riesgos de la IA mediante la aplicación de estas normas, sin necesidad de una ley específica de inteligencia artificial, entre otros:

1.  1. Clearview AI: la autoridad australiana de privacidad concluyó que la empresa había infringido la Privacy Act 1988 al recopilar datos biométricos de ciudadanos australianos mediante una herramienta de reconocimiento facial. La OAIC (Office of Australian Information Comissioner) ordenó a la compañía cesar la recopilación de imágenes faciales y plantillas biométricas de personas en Australia y destruir los datos ya obtenidos[3]. También se resolvió por esta misma vía el caso de 7-eleven Australia por el uso de reconocimiento facial en encuestas de clientes[4] y a Kmart por el uso de datos biométricos para combatir el fraude en las devoluciones, caso que ya analizamos aquí hace unos meses[5]

 2.      Servicios de “nudify”: en materia de IA generativa, Australia también ha actuado contra servicios de “nudify”, aquellos que crean imágenes sexuales falsas de personas reales. La eSafety Commissioner ha utilizado la Online Safety Act y los Age-Restricted Material Codes para exigir medidas de protección frente al acceso de menores y frente a la generación de material de explotación sexual infantil, incluyendo advertencias formales y órdenes de cumplimiento[6]. Las propias autoridades australianas señalaron como la tasa de éxito en la eliminación de material dañino por esta vía es muy elevada y alcanzó el 98 %.

 3.      Deepseek: otro ejemplo muy relevante es la prohibición de DeepSeek en dispositivos y sistemas del Gobierno australiano. En febrero de 2025, el Department of Home Affairs emitió una orden obligatoria bajo el Protective Security Policy Framework para que las entidades gubernamentales impidieran el uso o instalación de productos, aplicaciones y servicios web de DeepSeek, y eliminaran las ya existentes. La razón aducida fue la gestión de un riesgo de seguridad para la Commonwealth[7]

Estos casos reflejan una diferencia relevante frente al modelo europeo, ya que mientras la Unión Europea ha optado por un reglamento específico sobre inteligencia artificial, Australia está recurriendo, al menos por el momento, a un enfoque más pragmático. Los riesgos asociados a sistemas de IA se están abordando mediante la aplicación de normas ya existentes en materia de privacidad, seguridad online, protección de menores, ciberseguridad y seguridad gubernamental. Casos como los aquí expuestos muestran que la ausencia de una ley específica de IA no implica ausencia de control regulatorio.

En todo caso, debe señalarse que Australia no es el único que está abordando los riesgos de la IA mediante la aplicación de marcos normativos existentes. En Europa son muchos los países que ya han actuado y sancionado aplicaciones y sistemas de IA invocando, entre otras, la normativa reguladora de protección de datos de carácter personal. Este es el caso de Clearview AI en Francia y Países Bajos, donde el uso de su sistema de reconocimiento facial, basado en la recopilación masiva de imágenes de internet, fue sancionado con 20 y 30,5 millones de euros respectivamente.

En España, la AEPD invocó el RGPD, para ordenar el cese temporal de una actividad realizada por la Worldcoin basada en el tratamiento masivo de datos biométricos, a través del escaneo de iris, ante riesgos para los derechos fundamentales, información insuficiente, posible captación de datos de menores y dificultades para retirar el consentimiento[8].

De manera más reciente, ya analizamos como la AGCM (Autorità Garante della Concorrenza e del Mercato), llevo a cabo un proceso de investigación frente a varios sistemas de IA sobre la base de la normativa del Código de Consumo italiano, en particular, la relativa a prácticas desleales y engañosas[9].

En EE.UU. la FTC, (Federeal Trade Comission) está investigando a Luka Inc., responsable de la app Replika, por presuntas prácticas engañosas y desleales, incluyendo publicidad supuestamente engañosa, diseño manipulador, generación de dependencia emocional y riesgos para usuarios vulnerables. Una muestra más del uso de la normativa general de protección del consumidor frente a sistemas de IA

Conclusión

Aunque siempre se ha dicho aquello de que las comparaciones son odiosas, en este caso la pregunta es necesaria ¿era realmente necesario construir una arquitectura regulatoria tan extensa y compleja para controlar los riesgos de la inteligencia artificial?

La respuesta no es sencilla porque lo cierto es que la IA plantea riesgos de muy diversa índole y, por tanto, necesita control jurídico. Pero el caso australiano demuestra que muchos de esos riesgos pueden abordarse aplicando con rigor normas ya existentes: privacidad, protección del consumidor, seguridad online, protección de menores o seguridad gubernamental.

La ausencia de una ley específica de IA no ha impedido a Australia actuar frente a usos concretos de reconocimiento facial, IA generativa o aplicaciones que planteaban riesgos de seguridad. Y tampoco en Europa las autoridades han esperado al AI Act ya que muchos sistemas ya han sido investigados, limitados o sancionados mediante el RGPD u otras normas sectoriales.

Así las cosas, si otros países están siendo capaces de intervenir frente a riesgos reales derivados de la IA utilizando herramientas jurídicas ya existentes, Europa debería, al menos, preguntarse si su respuesta ha sido verdaderamente proporcionada o si, una vez más, ha confundido liderazgo regulatorio con “hiperinflación normativa”.

[1]El dato se considera tomando como PYME empresas de 0 a 249 empleados. Instituto Nacional de Estadística —INE—. Directorio Central de Empresas (DIRCE). Empresas activas por estrato de asalariados y condición jurídica. Datos a 1 de enero de 2025. Publicado el 11 de diciembre de 2025, disponible en:

rtificial antes del despliegue efectivo del AI Act: El caso de la AGCM italiana | LinkedIn