1 de mayo de 2026 · 8 min de lectura

Ley 20.212 e inteligencia artificial en Uruguay: qué dice y a quién obliga

La Ley N° 20.212 aparece citada todo el tiempo cuando se habla de inteligencia artificial en Uruguay, pero casi nadie la leyó. No es una ley específica de IA — es una ley de Rendición de Cuentas con dos artículos clave (74 y 75) que sientan las bases de la regulación de IA en el país. Esta es la lectura técnica con lo que importa.

Qué es la Ley 20.212

La Ley N° 20.212 es la Ley de Rendición de Cuentas y Balance de Ejecución Presupuestal del Ejercicio 2022. Fue promulgada el 6 de noviembre de 2023 y publicada en el Diario Oficial el 17 de noviembre de 2023. En su mayor parte trata cuentas fiscales, escalafones de funcionarios públicos y disposiciones presupuestales — nada que ver con IA.

Pero dos artículos enterrados entre cientos sí tocan inteligencia artificial: el artículo 74 y el artículo 75. Son chicos, no usan la palabra "obligación" y no establecen sanciones — pero son la base normativa sobre la que después se construyó toda la política pública de IA en Uruguay.

Artículo 74: la estrategia nacional de datos e IA

El artículo 74 le encomienda a AGESIC "diseñar una estrategia nacional de datos e inteligencia artificial basada en estándares internacionales". Establece un plazo de 180 días para presentar al Poder Ejecutivo un informe sobre el marco regulatorio aplicable.

Tres cosas a notar:

  • El mandato es de diseño de estrategia, no de regulación. La ley no crea reglas concretas para empresas o ciudadanos — instruye al Estado a planificar.
  • La referencia a "estándares internacionales" es importante: anticipa alineamiento con marcos como la OECD AI Recommendation, el AI Act europeo, principios UNESCO, ISO/IEC 42001.
  • El plazo de 180 días era para un informe regulatorio, no para la estrategia completa. La Estrategia Nacional de Inteligencia Artificial 2024-2030 se publicó casi un año después, en noviembre de 2024.

Artículo 75: entornos controlados de prueba (sandboxes)

El artículo 75 promueve "entornos controlados de prueba para proyectos tecnológicos de innovación". Establece un comité técnico integrado por AGESIC y la Unidad Reguladora y de Control de Datos Personales (URCDP).

¿Qué es un sandbox regulatorio en este contexto? Un espacio donde un organismo público o una empresa puede probar una solución de IA bajo supervisión, durante un tiempo definido, sin esperar a que exista regulación específica. Es la herramienta que permite experimentar antes de regular.

En 2025 entraron en vigor los primeros sandboxes operativos de IA y datos en Uruguay, presididos técnicamente por AGESIC con la URCDP en el rol de control de tratamiento de datos personales. Si tu organismo o empresa quiere aplicar IA a un caso con datos sensibles y no sabe cómo encuadrarlo legalmente, este es el camino.

Qué hizo AGESIC con la atribución del artículo 74

Tres entregas concretas, en orden cronológico:

  1. Estrategia Nacional de Inteligencia Artificial 2024-2030 (noviembre 2024). Documento de política pública con principios éticos, ejes estratégicos y plan operativo. Producto de un proceso participativo con más de 300 personas, 40 instituciones estatales y 45 organizaciones del sector privado.
  2. Operacionalización de los sandboxes (2025). Procedimientos para inscripción, alcance, plazos y comité técnico de evaluación.
  3. Alianzas técnicas y de capacitación. Acuerdos con Red Hat, Microsoft, BID a través de fAIr LAC, capacitaciones masivas a funcionarios públicos. Ninguno deriva directamente del artículo 74, pero se enmarcan en el mandato general.

A quién aplica realmente la Ley 20.212

La pregunta que más me hacen: "¿esto me obliga a algo si tengo una empresa privada?". La respuesta corta: no de forma directa. Pero hay que entender el alcance real.

Para organismos públicos

Cualquier organismo del Estado uruguayo que implemente IA — un ministerio, una intendencia, BPS, DGI, BROU, ANTEL, una empresa pública — debería alinearse a la Estrategia Nacional 2024-2030. No es ley imperativa, pero define principios (transparencia, explicabilidad, no discriminación, gobernanza de datos) que terminan siendo evaluados por:

  • Tribunal de Cuentas (TCR) en auditorías de gestión.
  • Auditoría Interna de la Nación en revisiones de control interno.
  • URCDP cuando hay tratamiento de datos personales (que es casi siempre).
  • Sociedad civil y prensa, que tienen acceso a información pública vía Ley 18.381.

Para empresas privadas

No hay obligación directa derivada de la Ley 20.212. Pero hay tres efectos indirectos que importan:

  • Si vendés al Estado, los pliegos cada vez más exigen alineación con la Estrategia Nacional de IA y con principios de tratamiento de datos personales.
  • Si tu empresa procesa datos personales, la Ley 18.331 de Protección de Datos Personales aplica plenamente. La URCDP sigue siendo el regulador, y los sistemas de IA caen bajo su scope.
  • Si tu empresa es financiera, el BCU agrega capa propia. Si es salud, el MSP. Si es educación, ANEP/MEC. La Ley 20.212 no las reemplaza.

Qué tiene que hacer un organismo en 2026

Si trabajás en un organismo público uruguayo y querés implementar IA con bajo riesgo regulatorio, la lista mínima:

  1. Lectura formal de la Estrategia Nacional 2024-2030. Identificar qué eje estratégico cubre tu caso.
  2. Consulta previa con URCDP si hay tratamiento de datos personales. No esperes a que te encuentren — hablá antes.
  3. Evaluación de impacto ético. Si tu sistema toma decisiones que afectan a personas (asignaciones, sanciones, prioridades), necesitás documentar cómo se mitigan sesgos.
  4. Inscripción en sandbox si el caso es ambiguo regulatoriamente. Es más rápido que pedir un dictamen.
  5. Trazabilidad y auditoría. Logs de qué datos entraron, qué decisión salió, quién la usó. Sin esto, TCR no aprueba.

Qué tiene que hacer una empresa privada en 2026

Para una empresa privada que no le vende al Estado:

  • Cumplimiento de Ley 18.331 (datos personales) en cualquier sistema de IA. Esto no es nuevo, pero los modelos de lenguaje agregan riesgos no obvios (logs, prompts que filtran datos sensibles, almacenamiento offshore).
  • Política interna de uso de IA. Quién puede usar qué herramientas, con qué datos, con qué controles. Lo van a pedir auditorías ISO 27001, SOC 2 y la diligencia debida en M&A.
  • Trazabilidad básica. Si un cliente pregunta por qué tu sistema le dijo X, tenés que poder responder.

Errores frecuentes al interpretar la Ley 20.212

  1. "La Ley 20.212 es la ley de IA de Uruguay". No. Es una ley de rendición de cuentas con dos artículos sobre IA. La regulación específica todavía está en formación.
  2. "Esta ley creó un Comité Estratégico de IA". Tampoco. El art. 75 crea un comité técnico para sandboxes, integrado por AGESIC y URCDP. La Estrategia Nacional 2024-2030 fue elaborada por AGESIC con participación amplia, pero no por un "Comité Estratégico" formal de la Ley 20.212.
  3. "Mientras no haya regulación específica, no hay obligaciones". Falso. La Ley 18.331 de datos personales aplica plenamente. Las normas sectoriales (BCU, MSP, MEC) aplican plenamente. La Estrategia Nacional 2024-2030 marca el horizonte, y los pliegos del Estado ya la incorporan.

Cómo entro yo a esta conversación

Trabajé cuatro años en AGESIC entre 2015 y 2022, en la unificación de los portales gub.uy y en sistemas críticos COVID. Hoy estoy cursando un Máster en Ciberseguridad en VIU y construyo un MCP open source para tramites.gub.uy. La intersección entre regulación, datos personales e IA aplicada es exactamente donde se mueven los proyectos que tomo.

Si tu organismo o empresa necesita una auditoría de gobernanza de IA alineada a la Estrategia Nacional 2024-2030 y a la Ley 18.331, conversemos.

Preguntas frecuentes

¿La Ley 20.212 es la ley de inteligencia artificial de Uruguay?

No. Es la Ley de Rendición de Cuentas 2022, promulgada el 6 de noviembre de 2023. Sus artículos 74 y 75 son las disposiciones que tocan inteligencia artificial: el 74 le encomienda a AGESIC diseñar una estrategia nacional, el 75 promueve sandboxes regulatorios. La regulación específica de IA todavía está en formación.

¿Qué crea exactamente el artículo 75 sobre sandboxes?

Crea entornos controlados de prueba para proyectos tecnológicos de innovación, con un comité técnico integrado por AGESIC y la URCDP. No establece detalles operativos — esos vinieron después, cuando AGESIC operativizó los sandboxes en 2025.

¿Mi empresa privada tiene que cumplir con la Ley 20.212?

No directamente. La ley no establece obligaciones específicas para el sector privado. Pero si le vendés al Estado, los pliegos cada vez más piden alineación con la Estrategia Nacional 2024-2030. Y la Ley 18.331 de Protección de Datos Personales sí aplica plenamente a cualquier sistema de IA que procese datos.

¿Cómo me inscribo a un sandbox de IA en Uruguay?

Los procedimientos están publicados por AGESIC. Conviene consultar previamente con la URCDP si hay tratamiento de datos personales. El plazo y alcance se acuerdan caso por caso con el comité técnico. Para casos chicos y bien delimitados, el proceso puede tomar 6-12 semanas; para casos con datos sensibles, más.

¿Qué pasa si mi sistema de IA toma decisiones que afectan a personas?

Caés bajo dos regímenes simultáneos: (1) la Ley 18.331 de Protección de Datos Personales — derecho a no ser objeto de decisiones automatizadas, derecho a explicación; y (2) los principios de la Estrategia Nacional 2024-2030 — transparencia, explicabilidad, no discriminación. En el sector público, el TCR puede observar el sistema en auditorías.

¿Necesitás auditar la gobernanza de IA de tu organismo o empresa? Hago auditorías técnicas y de cumplimiento alineadas a la Estrategia Nacional 2024-2030 y a la Ley 18.331. Ver servicios · Conversemos sin compromiso.

Para más contexto: Inteligencia artificial en el sector público de Uruguay: estado y oportunidades.