La búsqueda de la responsabilidad empresarial en la era de la desregulación

En toda la región se repite una misma escena: ante problemas que requieren obligaciones públicas, fiscalización independiente y sanciones reales, los gobiernos aceptan acuerdos voluntarios, estándares corporativos o promesas de inversión como si fueran política pública. En México, el gobierno firmó, en marzo de 2026, un criticado acuerdo de colaboración con Google, Meta y TikTok para combatir la violencia digital contra las mujeres, que no obliga legalmente a las empresas, no prevé verificación independiente y no garantiza sanciones claras. En Colombia, con 139 municipios clasificados “en riesgo extremo” de cara a las elecciones del 31 de mayo, no existe un régimen legal específico que obligue a las plataformas a reportar sistemáticamente cómo funciona su moderación ni cómo actúan frente a riesgos electorales. En Argentina y Chile, gobiernos de cercanía política presentan la desregulación como ventaja competitiva.

Brasil parece ir en un sentido muy distinto. En junio de 2025, el Supremo Tribunal Federal declaró la inconstitucionalidad parcial del artículo 19 del Marco Civil de Internet, cambiando dramáticamente el esquema de responsabilidad de la pionera Ley de 2014. En mayo de 2026, hace tan solo unos días, el gobierno publicó los decretos 12.975/2026 y 12.976/2026, que por una parte actualizan la regulación del Marco Civil, amplían las obligaciones de las plataformas sobre moderación y transparencia, y atribuyen nuevas facultades de supervisión e investigación a la autoridad de control de datos personales; y por otra establecen todo un esquema para la protección de mujeres en internet. Brasil llegó a ese punto con un costo político alto: la orden ejecutiva de la administración Trump del 30 de julio de 2025, posterior a la decisión sobre el Marco Civil, fijaba represalias comerciales contra Brasil castigando, entre otras cosas, sus decisiones judiciales sobre plataformas digitales. El mensaje para el resto de la región era unívoco.

Ese contexto geopolítico coexiste con un lobby corporativo significativo, en toda la región. Durante 2025, la investigación “La mano invisible de las Big Tech”, liderada por Agência Pública y el CLIP, registró miles de acciones de incidencia de empresas tecnológicas en diez países y la Unión Europea, sobre cientos de proyectos de ley y casos judiciales. Aunque la influencia política es una actividad legítima, puede a menudo coincidir con obstáculos a la capacidad pública de controlar el comportamiento de las empresas, como la exclusión de la categoría de alto riesgo de los sistemas de moderación y recomendación de contenidos en Brasil, o la limitación de la regulación para proteger la salud mental de niñas, niños y adolescentes frente a plataformas en Colombia. Como señalara nuestra coordinadora de Políticas Públicas Lucía Camacho en relación con el caso chileno, este escenario se complejiza en un contexto geopolítico donde la presión para no regular es también presión de Estado. ¿Cómo se previenen los riesgos en esas condiciones?

Cuando el riesgo reemplaza a los derechos

La pregunta de fondo no es si las plataformas deben gestionar riesgos o no. La pregunta es cómo se responsabiliza a empresas cuyas decisiones de diseño, moderación, recomendación y priorización algorítmica producen riesgos y daños, en un contexto donde regularlas es difícil, políticamente controvertido y profundamente desigual entre regiones. Para América Latina, la pregunta es todavía más compleja: los enfoques nacionales son divergentes, los recursos institucionales distan de los de países desarrollados, las prioridades políticas cambian con rapidez y la presión para no regular viene tanto de las empresas como de Estados con poder geopolítico.

El derecho europeo ofrece la respuesta más desarrollada disponible. Bajo el Reglamento de Servicios Digitales (DSA), las plataformas de muy gran tamaño deben identificar y evaluar riesgos sistémicos derivados del diseño y funcionamiento de sus servicios, incluyendo aspectos regionales y lingüísticos específicos; adoptar medidas de mitigación; publicar reportes de transparencia; dar acceso a datos para autoridades y personas investigadoras; y someterse a auditorías independientes anuales con obligación de responder ante hallazgos negativos. Ese esquema también reconoce explícitamente el papel de los estándares voluntarios como complemento, y promueve su desarrollo en organismos europeos e internacionales para facilitar el cumplimiento de varias de sus obligaciones. Así, en la DSA, los estándares no reemplazan al derecho, sino que buscan facilitar el cumplimiento de obligaciones legales que una autoridad pública puede exigir.

La apuesta por los estándares tiene respaldo empírico propio. Los estándares han sido fundamentales para la interoperabilidad global de internet; la conectividad universal existe gracias a acuerdos técnicos adoptados globalmente, no a legislaciones nacionales coordinadas. En materia de confianza y seguridad en línea, pueden ofrecer lenguaje común para auditorías, interfaces de datos, notificaciones y sistemas de moderación, y pueden evitar que cada regulación nacional genere incentivos para que las plataformas concentren cumplimiento en los mercados que más les importan comercialmente. En esa línea se ubica el estándar internacional ISO/IEC 25389:2025, The Safe Framework, basado en la especificación de la Digital Trust & Safety Partnership sobre prácticas de confianza y seguridad. Se trata de una guía práctica útil para la acción de las empresas, con lo cual la pregunta deja de ser por la utilidad de los estándares, y la duda radica más bien en quién define esos estándares, con qué transparencia, bajo qué mecanismos de rendición de cuentas, y –muy especialmente en nuestro contexto– cómo se conectan con obligaciones legales exigibles.

La experiencia acumulada muestra los límites de cada herramienta por separado. El examen de DSA Observatory tras el primer ciclo de auditorías DSA con 19 reportes publicados a fines de 2024, encontró que las auditorías se limitaron en su mayoría a verificaciones procedimentales: si la documentación existía, si los riesgos identificados estaban vinculados a mitigaciones declaradas, si el papeleo cumplía los requisitos formales. El referido “Safe Framework”, ahora norma ISO/IEC 25389, reconoce que constituye una guía más que un conjunto de requisitos, con lo que no puede certificarse la conformidad con el mismo. La Guía de Debida Diligencia para una IA Responsable de la OCDE se define explícitamente como “agnóstica” respecto de riesgos y deja a criterio empresarial qué riesgos priorizar y a qué partes interesadas consultar. Nada de ello vuelve inútiles esos instrumentos, pero sí impide tratarlos como equivalentes funcionales de una obligación legal, una auditoría robusta o una decisión de autoridad.

Al momento del cierre de esta columna, llegaba la noticia de que la Comisión Europea multó a Temu con 200 millones de euros por una evaluación de riesgo de 2024 que calificó de insuficiente porque estaba “basada en información general del sector en lugar de evidencia específica de su propia plataforma”, como expresa su anuncio público. Es la segunda sanción DSA en la historia, tras los 120 millones de euros de multa a Twitter (o X para quienes siguen ahí) en diciembre de 2025. Lo que ambos casos demuestran es que incluso bajo un régimen obligatorio con autoridad pública y sanciones reales, las evaluaciones corporativas pueden ser incompletas, genéricas o insuficientes para capturar el daño real. Desde el equipo académico del CELE-UP, Del Campo, Zara y Álvarez Ugarte lo formularon con precisión: cuando la pregunta deja de ser “¿se afectó un derecho?” para ser “¿se gestionó un riesgo?”, el lenguaje del derecho puede ser desplazado por el lenguaje del procedimiento. Estándares y auditorías son instrumentos necesarios, pero resultan insuficientes sin una autoridad con poder real de exigir, verificar y sancionar.

Distancias más que geográficas

La rendición de cuentas requiere una institucionalidad capaz de hacerla exigible. A falta de autoridades e instrumentos como los de la Unión Europea, son las autoridades nacionales las que en principio podrían responder a esos vacíos. Así, los decretos brasileños de mayo de 2026 ofrecen el punto de referencia más próximo en la región: la Agencia Nacional de Protección de Datos (ANPD) asumió nuevas facultades de supervisión e investigación sobre el comportamiento de las plataformas, con base legal, posibilidad de sanción y articulación con la doctrina de “falla sistémica” establecida por el Supremo Tribunal Federal en 2025. En el resto de la región, la ausencia de una autoridad equivalente con mandato específico sobre plataformas revela exactamente ese déficit: falta de mandato legal, de recursos, de acceso a información relevante y de capacidad sancionatoria. Lo que el caso europeo demuestra es que incluso la Comisión Europea, con todo ese aparato, tarda años en producir sanciones; sin él, el ciclo evaluación-auditoría-reporte produce, en el mejor de los casos, documentación de calidad variable.

El sistema interamericano de derechos humanos ofrece un punto de partida más robusto que cualquier taxonomía corporativa de riesgos. La Declaración de Principios sobre Libertad de Expresión de la CIDH, la jurisprudencia de la Corte Interamericana y los estándares de la Relatoría Especial para la Libertad de Expresión establecen que cualquier restricción al derecho debe ser legal, necesaria y proporcional, y que los Estados tienen obligaciones positivas para garantizar su ejercicio también frente a interferencias o abusos de actores privados con poder estructural. Los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos establecen que las empresas deben respetar los derechos y remediar los daños, no gestionarlos como variable de riesgo reputacional u operativo. Que los marcos de responsabilidad corporativa no estén construidos sobre ese lenguaje tiene efectos políticos concretos.

La conclusión no puede ser que América Latina ignore los estándares globales o se repliegue en un popurrí de respuestas nacionales divergentes. Desde la región, es necesario participar activamente en la discusión de estándares globales para volverlos más transparentes y responsables, e impulsar al mismo tiempo dentro de la región instituciones capaces de convertir la responsabilidad en una obligación verificable. Los procesos de elaboración de estándares en organismos como ISO son formalmente abiertos a la participación de gobiernos y sociedad civil, pero esa participación requiere recursos, capacidad técnica y voluntad política sostenida. Además, para que tenga peso, esa participación debe venir acompañada de instituciones nacionales con capacidades y recursos, de procesos legislativos que resistan las presiones documentadas, y de una posición regional coordinada que afirme que la rendición de cuentas de las plataformas no es una anomalía latinoamericana, sino cumplimiento de obligaciones preexistentes.

Derechos exigibles, no responsabilidad decorativa

La salida no exige rechazar todo marco de gestión de riesgos ni toda guía de buenas prácticas. No se trata de reiterar posiciones en el viejo debate sobre si los intermediarios responden por contenidos de terceros, sino de reclamar la institucionalidad que hace que cualquier marco de rendición de cuentas, definido democráticamente, tenga consecuencias reales. Ello requiere exigir más de las empresas a través de nuestra institucionalidad. Requiere obligaciones públicas exigibles: reportes de transparencia desagregados, debido proceso para personas usuarias afectadas y reglas específicas para contextos de riesgo diferenciado, con sanciones efectivas ante el incumplimiento. Requiere estándares más transparentes y responsables, con procesos abiertos, participación real de sociedad civil, trazabilidad de aportes y conexión explícita con derechos humanos como referente normativo. También, exige contar con institucionalidad con capacidad de fiscalizar: autoridades con mandato, recursos, y poder sancionatorio. Todo ello debe venir asociado a una respuesta coordinada frente a la presión geopolítica, con el respaldo en la noción del sistema interamericano que sostiene que regular plataformas para proteger derechos no es sino el cumplimiento de obligaciones democráticas preexistentes.

Como hemos dicho desde hace años, las reglas hechas por otros para sí mismos no son el mecanismo por el cual nuestros derechos serán respetados y defendidos. Hoy, el tablero global es más desfavorable: el lobby es más extenso, la presión geopolítica es más explícita, y los marcos voluntarios están ganando terreno como la opción políticamente más cómoda. América Latina necesita marcos propios, anclados en obligaciones democráticas, instituciones con capacidad real de aplicarlos, estándares abiertos a la participación social y comunidades con poder efectivo sobre las reglas que organizan su vida digital.