Mientras muchos países se apresuran a centralizar el control de la IA, Sudáfrica está adoptando un enfoque diferente, repartiendo la responsabilidad entre los organismos existentes y priorizando la coordinación sobre el control vertical.
El 2 de abril de 2026, el gabinete sudafricano publicó un Versión preliminar de la política, con fecha 24 de octubre de 2024, para comentarios públicos. Encabezado por el Departamento de Comunicaciones y Tecnologías Digitales (DCDT)Se prevé que la política se implemente por completo en el ejercicio económico 2027/2028.
“La política de IA tiene como objetivo garantizar que tanto los beneficios como los riesgos que trae la IA se distribuyan de manera uniforme en la sociedad y entre las generaciones”, dijo el Gabinete sudafricano en un comunicado. ambiental.
No hay superregulador
En países como Nigeria y KeniaLos responsables políticos se están orientando hacia una supervisión centralizada de la IA. Agencias especializadas, comisionados y estructuras jerárquicas se están convirtiendo en la norma. La propuesta de Nigeria Proyecto de Ley Nacional de Economía Digital y Gobierno Electrónico sigue un enfoque prescriptivo y basado en el riesgo inspirado en el Ley de IA de la UELos sistemas de IA de alto riesgo, especialmente en los ámbitos de la vigilancia, las finanzas y la administración pública, necesitarían licencias, auditorías y evaluaciones de impacto anuales.
Proyecto de ley de inteligencia artificial de Kenia para 2026 Adopta un enfoque similar basado en el riesgo, pero añade una fuerte dimensión política. Ante la proximidad de las elecciones, se centra en los medios sintéticos y la manipulación mediante IA, imponiendo sanciones penales por la creación de deepfakes sin consentimiento. Al mismo tiempo, mantiene la flexibilidad para la innovación mediante entornos de pruebas regulatorios, lo que permite a las empresas emergentes probar nuevos productos de IA con una supervisión menos estricta.
Sudáfrica está haciendo lo contrario.
En lugar de crear un nuevo regulador, la política de IA de Sudáfrica se apoya en instituciones ya integradas en esos sectores. Autoridad de Conducta del Sector Financiero (FSCA) y Banco de la Reserva de Sudáfrica supervisará los sistemas de IA financiera. La Autoridad Reguladora de Productos Sanitarios de Sudáfrica (SAHPRA) se encargará de la IA en el diagnóstico médico. Regulador de información conserva su papel como principal garante de la privacidad de los datos en virtud de la Ley de Protección de Información Personal (POPIA).
La lógica indica que los reguladores más cercanos al problema son quienes mejor pueden gestionarlo. Un regulador minero comprende los riesgos de la minería. Un regulador financiero comprende los sistemas financieros. ¿Para qué crear una nueva burocracia si ya existe la experiencia necesaria?
Regulación por riesgo
La base del marco regulatorio de IA de Sudáfrica es la regulación por niveles de riesgo. No todos los sistemas de IA reciben el mismo trato. En cambio, se agrupan en cuatro categorías: riesgo inaceptable, alto, limitado y mínimo.
En el extremo superior, ciertas aplicaciones, sistemas de manipulación conductual o formas de vigilancia masiva están totalmente prohibidas. Los sistemas de alto riesgo, como los utilizados en la contratación, los préstamos o la atención médica, están sujetos a un escrutinio más estricto, que incluye auditorías, evaluaciones de impacto y requisitos de supervisión humana. Las aplicaciones de menor riesgo operan con normas menos estrictas.
La idea es concentrar la capacidad regulatoria donde más importa. En lugar de restricciones generalizadas, el sistema envía una señal clara: cuanto mayor sea el daño potencial, mayor será la carga de cumplimiento.
En teoría, esto crea espacio para la innovación al tiempo que se mantienen las medidas de seguridad. En la práctica, depende en gran medida de la ejecución.
Para mantener la cohesión del sistema de políticas de IA, la política propone una red de organismos coordinadores. Una Oficina Nacional de Coordinación de IA guiaría la implementación y establecería estándares. Los foros interdepartamentales coordinarían a los ministerios. Los paneles asesores y los grupos de múltiples partes interesadas aportarían conocimientos técnicos y éticos.
En el centro se encuentra un Consejo Asesor de IA, un órgano no ejecutivo que reúne a investigadores, líderes de la industria, expertos legales y la sociedad civil. Su función es asesorar, no imponer.
Y ahí reside la clave del enfoque: ninguno de estos organismos tiene poder vinculante. Pueden orientar, recomendar y coordinar, pero no pueden obligar a actuar.
La brecha en la aplicación de la ley
Sin embargo, este diseño introduce una tensión fundamental. La supervisión distribuida ofrece flexibilidad y conocimientos específicos del sector, pero también conlleva el riesgo de fragmentación.
El marco normativo deja claro lo que hay que hacer: clasificar el riesgo, realizar auditorías y garantizar la transparencia, pero no especifica quién es el responsable último de garantizar el cumplimiento. La aplicación de la normativa recae en los organismos reguladores existentes, cada uno con diferentes capacidades, prioridades y niveles de conocimientos técnicos.
El resultado podría ser una supervisión desigual. Los reguladores financieros, a menudo con amplios recursos, podrían aplicar las normas con rigor. Otros sectores podrían quedarse rezagados. Podrían surgir lagunas y solapamientos. Las empresas, a su vez, podrían aprender a sortear estas inconsistencias, aprovechando los puntos débiles del sistema.
La capacidad es otra limitación. La regulación por niveles de riesgo es técnicamente exigente. Requiere la capacidad de evaluar sistemas de IA en constante evolución, monitorear su desempeño en el mundo real y adaptar las reglas a medida que cambian las tecnologías. Muchos reguladores ya están sobrecargados. Desarrollar estas capacidades llevará tiempo y dinero.
Incluso el acto de clasificar no es sencillo. Los sistemas de IA evolucionan. Un chatbot que comienza como una herramienta de bajo riesgo puede convertirse en un motor de decisiones de alto riesgo a medida que se expande o integra nuevos datos. Determinar los niveles de riesgo requiere una reevaluación constante, lo que aumenta la posibilidad de decisiones inconsistentes entre sectores.
Para las empresas, esto genera incertidumbre. Un producto que hoy se considera conforme podría enfrentarse a normas más estrictas mañana.
Más allá de la gobernanza, este marco también constituye una estrategia industrial. Hace hincapié en la necesidad de contar con conjuntos de datos locales, el procesamiento de lenguas africanas y la integración de los sistemas de conocimiento indígenas.
El objetivo es lograr que los sistemas de IA sean más relevantes y menos sesgados. Los modelos entrenados con datos extranjeros a menudo no logran reflejar las realidades locales, lo que refuerza la exclusión en lugar de solucionarla. Al invertir en infraestructura de datos local, Sudáfrica espera construir un ecosistema de IA más inclusivo.
Pero esta ambición añade otra capa de complejidad. Los marcos de gobernanza de datos, privacidad y compartición de datos deben coordinarse ahora en el mismo sistema fragmentado que rige la propia IA.
