La ley que quiere dar a los agentes de IA acceso a las grandes plataformas

Estados Unidos empieza a preparar el terreno legal para una escena que hasta hace poco sonaba futurista: usuarios que delegan parte de su vida digital en agentes de inteligencia artificial capaces de comprar, gestionar cuentas, mover datos, cambiar ajustes, responder interacciones o tomar decisiones comerciales en su nombre.

El borrador del AI AGENT Act of 2026, presentado como Discussion Draft en el Senado por el senador Mark Warner, no regula al agente de IA como si fuera una persona ni le concede autonomía jurídica propia. Hace algo más práctico: reconoce el derecho del usuario a designar agentes autorizados para actuar por él ante grandes plataformas online y obliga a esas plataformas a permitir ese acceso bajo condiciones transparentes, razonables y no discriminatorias.

El nombre completo de la propuesta, Artificial Intelligence Access, Gatekeeper Exchange, and Nondiscriminatory Transfer Act of 2026, ya deja clara su intención. No se trata solo de seguridad de la IA. Es una norma de competencia, portabilidad, interoperabilidad y control del usuario frente a los grandes intermediarios digitales.

El nuevo sujeto operativo: el custodial user agent

La figura central del borrador es el custodial user agent, que puede traducirse como agente de usuario de custodia. La propuesta lo define como un agente basado en software expresamente autorizado por una persona para interactuar con una gran plataforma online en su nombre, de forma transparente, documentada, limitada en alcance y revocable.

Ese matiz es importante. El agente no actúa porque “quiera”. Actúa porque el usuario lo autoriza. Tampoco recibe un poder ilimitado. La delegación debe ser acotada, verificable y revocable. En la práctica, el borrador intenta crear una figura intermedia entre una app conectada por API, un representante digital y un asistente autónomo capaz de ejecutar instrucciones.

El ámbito de aplicación se dirige a las large online platforms, definidas como productos, aplicaciones o servicios online con más de 50 millones de clientes o suscriptores en Estados Unidos en cualquier mes del año anterior. La definición incluye proveedores de comunicaciones, comercio electrónico, información, redes sociales, finanzas personales y servicios de inteligencia artificial.

El cambio que plantea la norma es profundo. Si se aprobara, cada usuario de una gran plataforma tendría derecho a designar uno o varios agentes de custodia como representantes autorizados para gestionar sus interacciones online, decisiones de comercio electrónico, contenido generado por el usuario y ajustes de cuenta en las mismas condiciones en que podría hacerlo él.

Dicho de forma sencilla: si una persona puede hacer algo dentro de una plataforma, su agente autorizado debería poder hacerlo también, siempre dentro del alcance concedido.

Plataformas obligadas a abrir interfaces, pero con límites

El borrador no se limita a reconocer el derecho del usuario. Impone a las grandes plataformas el deber de mantener interfaces transparentes y accesibles para terceros, de manera que esos agentes puedan operar sin depender de atajos, scraping opaco o automatizaciones frágiles.

Este punto toca directamente a empresas como redes sociales, marketplaces, plataformas financieras, servicios de IA o grandes servicios digitales integrados. La propuesta busca evitar que una plataforma favorezca a su propio agente frente a agentes competidores. Si ofrece una integración funcional para su servicio afiliado, debería ofrecer una versión equivalente a agentes de terceros.

El texto también introduce una obligación de no discriminación. Las plataformas podrían establecer límites razonables de volumen, frecuencia, seguridad, privacidad y uso, e incluso cobrar tarifas proporcionadas cuando el acceso supere determinados umbrales. Pero no podrían cambiar interfaces o condiciones con el propósito, o el efecto sustancial, de bloquear injustificadamente a agentes autorizados.

El equilibrio es delicado. Las plataformas tienen razones legítimas para proteger seguridad, privacidad, rendimiento e integridad de sus servicios. Un agente mal diseñado podría comprar de forma errónea, publicar contenido inadecuado, cambiar configuraciones sensibles o caer en fraude. Pero también existe el riesgo contrario: que las grandes plataformas usen la seguridad como excusa para impedir la competencia de agentes externos.

Por eso el borrador prevé intervención de la Federal Trade Commission, FTC. Los proveedores de agentes de custodia tendrían que registrarse ante la Comisión antes de acceder a esas interfaces. La FTC podría fijar términos uniformes, condiciones específicas por sector y procedimientos de baja cuando un proveedor incumpla sus deberes.

El texto incluso abre la puerta a organismos de certificación independientes, con estándares de conducta, gobierno y prácticas técnicas. Una certificación válida no blindaría totalmente al proveedor, pero generaría una presunción rebatible de cumplimiento.

Deberes fiduciarios sin personalidad jurídica para la IA

La parte más interesante para abogados y tecnólogos está en los deberes del agente. El borrador no cae en la tentación de atribuir personalidad jurídica al sistema de IA. La responsabilidad se ancla en el proveedor que opera u ofrece el agente.

El agente debe proteger razonablemente la privacidad y seguridad de los datos del usuario. No puede gestionar interacciones, decisiones comerciales, cuentas financieras, contenido o ajustes de forma que beneficie al propio agente en perjuicio del usuario, cause un daño previsible o contradiga las instrucciones o expectativas razonables de la persona.

También se prohíbe usar, compartir o retener datos para publicidad, perfiles de comportamiento, venta comercial secundaria u otros fines distintos de prestar el servicio delegado. Este punto es relevante porque rompe con parte de la lógica económica habitual de internet. El agente de custodia no debería convertirse en otro recolector de datos disfrazado de asistente.

El borrador exige además diligencia. El agente debe actuar con el cuidado, habilidad y prudencia que cabría esperar de una persona razonable en una posición similar. Debe mantener registros en tiempo real de las acciones realizadas en nombre del usuario y ponerlos a su disposición cuando los solicite. Y no puede subdelegar su autoridad en otra entidad, agente o sistema de IA salvo autorización expresa, específica y revocable del usuario.

Estos deberes no pueden ser eliminados por contrato, términos de servicio o consentimiento del usuario. La propuesta intenta impedir que el proveedor entierre en una casilla de aceptación la renuncia a protecciones básicas. Ese enfoque acerca la figura al lenguaje de deberes fiduciarios, aunque el texto no convierta al agente en sujeto autónomo de derecho.

Para el sector financiero, este punto puede ser especialmente sensible. Un agente capaz de gestionar decisiones de comercio electrónico o finanzas personales no puede operar como un simple bot sin responsabilidad. La propuesta prevé que la FTC coordine la implementación con organismos como el Consumer Financial Protection Bureau, la FDIC y la Office of the Comptroller of the Currency.

Una batalla por la próxima capa de internet

El AI AGENT Act no debe leerse solo como una norma sobre asistentes inteligentes. Su objetivo real es evitar que las grandes plataformas capturen también la nueva capa de agentes.

Si Amazon, Google, Meta, Apple, Microsoft, OpenAI u otras plataformas controlan tanto el entorno donde vive el usuario como el agente que actúa por él, pueden reforzar aún más su posición. La interoperabilidad de agentes intenta abrir una puerta distinta: que un usuario pueda elegir un asistente externo para operar sobre servicios dominantes sin quedar encerrado en el agente de la propia plataforma.

Ese planteamiento puede cambiar la competencia digital. Los agentes no serán solo una interfaz conversacional. Pueden convertirse en intermediarios de compras, finanzas, redes sociales, productividad, búsqueda, atención al cliente y gestión de datos personales. Quien controle ese intermediario controlará buena parte de la relación entre usuario y plataforma.

La propuesta también asigna un papel al NIST, que debería identificar protocolos abiertos o desarrollar estándares técnicos modelo para hacer accesibles distintas clases de servicios online a agentes de custodia. El texto menciona mensajería, redes sociales, comercio electrónico, finanzas personales, inteligencia artificial y delegación verificable. Esto incluye credenciales revocables y limitadas en alcance, verificación de identidad y registro del agente, comunicación de revocaciones en tiempo real y creación de registros auditables.

El borrador no está exento de dudas. La primera es técnica: abrir interfaces a agentes autónomos puede ampliar la superficie de ataque. La segunda es jurídica: habrá que delimitar qué ocurre cuando un agente comete un error realista pero dañino. La tercera es económica: las plataformas intentarán cobrar por acceso intensivo, y los proveedores de agentes discutirán si esas tarifas son proporcionadas o una barrera encubierta.

También queda por ver cómo se resolverá la identidad del usuario, la prueba de consentimiento, la revocación efectiva, la supervisión de conflictos de interés y la trazabilidad de acciones automatizadas. No basta con permitir agentes. Hay que poder demostrar qué hicieron, por qué, con qué autorización y bajo qué límites.

El AI AGENT Act es todavía un borrador de discusión, no una ley aprobada. Pero apunta a un debate que llegará pronto a todas las jurisdicciones: si los agentes de IA van a actuar en nombre de personas, habrá que decidir quién los certifica, quién responde por ellos, qué plataformas deben aceptarlos y qué derechos conserva el usuario cuando delega.

La próxima guerra de internet puede no ser por la app que usamos, sino por el agente que entra en las apps por nosotros.

Preguntas frecuentes

¿Qué es el AI AGENT Act of 2026?
Es un borrador de proyecto de ley estadounidense que busca reconocer el derecho de los usuarios a delegar interacciones digitales en agentes de IA autorizados y exigir interoperabilidad a grandes plataformas online.

¿Qué es un custodial user agent?
Es un agente de software autorizado expresamente por el usuario para actuar en su nombre ante una gran plataforma online, con alcance limitado, documentación, transparencia y posibilidad de revocación.

¿A qué plataformas afectaría?
A productos, aplicaciones o servicios online con más de 50 millones de clientes o suscriptores en Estados Unidos, incluyendo redes sociales, comercio electrónico, finanzas personales y servicios de IA.

¿El borrador da personalidad jurídica a los agentes de IA?
No. La responsabilidad se sitúa en los proveedores que operan u ofrecen esos agentes, que deben diseñarlos y gestionarlos para cumplir deberes de privacidad, seguridad, diligencia, trazabilidad y lealtad al usuario.

Scroll al inicio