Diagnóstico gratuito

Glosario

25 definiciones clave del Reglamento

Obligaciones

24 artículos detallados con plazos

Calendario

Fechas clave de 2025 a 2027

Diagnóstico

Identifique sus obligaciones en 3 minutos

Funcionalidades

Documentación, diagnóstico, exportación PDF

Soberanía europea

Alojamiento 100% en Francia

FuncionalidadesPreciosBlogIniciar sesión

AI Act vs RGPD: diferencias, puntos de cruce e implicaciones para su organización

24 de febrero de 202611 min7
AI Act vs RGPD: diferencias, puntos de cruce e implicaciones para su organización

En bref

  • Objetos distintos: el RGPD regula lo que se hace con los datos personales; el AI Act regula lo que hacen los sistemas de IA — un mismo sistema puede quedar sujeto a ambos simultáneamente
  • Ámbitos de aplicación diferentes: el RGPD se activa cuando se tratan datos personales; el AI Act se aplica cuando un sistema de IA se comercializa o utiliza en la UE, independientemente de si trata datos personales
  • 3 zonas de cruce principales: biometría, toma de decisiones automatizada y elaboración de perfiles activan ambos reglamentos simultáneamente, con requisitos acumulativos
  • Roles no superponibles: responsable del tratamiento (RGPD) y proveedor/implantador (AI Act) son categorías independientes — la misma organización puede acumular varios roles
  • Sanciones acumulables: un sistema de IA no conforme puede ser sancionado en virtud del RGPD (hasta el 4 % del volumen de negocios mundial) y del AI Act (hasta el 7 % del volumen de negocios) de forma independiente
  • EIPD y evaluación AI Act: dos procesos distintos, pero con sinergias reales que aprovechar para reducir la carga documental

Desde la entrada en vigor del RGPD en mayo de 2018, las organizaciones europeas han estructurado sus prácticas en torno a la protección de los datos personales. Con el AI Act (Reglamento UE 2024/1689), un nuevo marco regulatorio se va imponiendo progresivamente entre 2025 y 2026. Pero no reemplaza al RGPD — se superpone a él. Entender dónde termina uno, dónde empieza el otro y, sobre todo, dónde convergen, es hoy una competencia básica para cualquier organización que desarrolle, despliegue o utilice sistemas de inteligencia artificial en Europa.

Dos reglamentos, dos objetos fundamentalmente diferentes

La confusión entre el RGPD y el AI Act es comprensible: ambos textos tienen origen europeo, ambos adoptan una lógica de protección de las personas y ambos imponen obligaciones significativas a las organizaciones. Pero sus objetos de regulación son distintos.

El RGPD regula el tratamiento de datos de carácter personal. Se activa en cuanto se recoge, almacena, trata o transmite información que permite identificar a una persona física — haya o no inteligencia artificial en la cadena. Un formulario en papel, una base de datos CRM o un archivo Excel con nombres y direcciones de correo electrónico está sujeto al RGPD.

El AI Act regula los sistemas de inteligencia artificial — su diseño, comercialización, despliegue y uso en la Unión Europea. Se aplica a todo sistema de IA presente en el mercado europeo, trate o no datos personales. Un algoritmo de mantenimiento predictivo industrial que analiza datos de sensores anonimizados, o un sistema de control de calidad por visión artificial, sigue estando plenamente sujeto al AI Act si entra en una categoría de alto riesgo — sin que el RGPD deba aplicarse.

La fórmula es sencilla: el RGPD regula lo que se hace con los datos; el AI Act regula lo que hacen los sistemas de IA. Ambos pueden aplicarse al mismo tiempo — y a menudo es así — pero ninguno reemplaza al otro.

Las principales diferencias estructurales

Ámbito de aplicación personal y territorial

El RGPD se aplica a cualquier organización — pública o privada, establecida en la UE o no — que trate datos personales de residentes europeos (principio de extraterritorialidad, Artículo 3). El AI Act se aplica a cualquier organización que comercialice un sistema de IA en el mercado europeo o lo utilice en la UE, independientemente de su ubicación. Una empresa estadounidense que venda un software de IA en Europa estará sujeta al AI Act. Si ese mismo software trata datos personales de residentes europeos, también estará sujeta al RGPD — de forma acumulada.

Roles y responsabilidades

El RGPD distingue al responsable del tratamiento (quien determina los fines y medios del tratamiento) del encargado del tratamiento (quien trata por cuenta del responsable). El AI Act distingue al proveedor (quien desarrolla y comercializa el sistema de IA) del implantador (quien lo utiliza en un contexto profesional).

Estas categorías no se superponen automáticamente. Un implantador en el sentido del AI Act puede ser responsable del tratamiento en el sentido del RGPD, o simplemente encargado — dependiendo de los flujos de datos y de las decisiones sobre los fines. La misma organización también puede acumular varios roles: una empresa que desarrolla un sistema de IA y lo utiliza internamente es simultáneamente proveedor e implantador según el AI Act, y probablemente responsable del tratamiento según el RGPD.

Naturaleza de las obligaciones

Las obligaciones del RGPD están centradas en los datos: licitud del tratamiento (Artículo 6), minimización, limitación de la finalidad, derechos de los interesados (acceso, rectificación, supresión, portabilidad), designación de DPD cuando sea necesario, notificación de brechas en 72 horas. Las obligaciones del AI Act están centradas en el sistema: clasificación por nivel de riesgo, gestión de riesgos (Artículo 9), documentación técnica (Anexo IV), transparencia (Artículo 50), supervisión humana (Artículo 14), solidez y ciberseguridad (Artículo 15), marcado CE e inscripción en la base de datos de la UE para los sistemas de alto riesgo.

Autoridades de control

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos — en España, la AEPD; en Francia, la CNIL; en Alemania, las autoridades federales y de los Länder. El cumplimiento del AI Act corresponderá a autoridades de supervisión de IA designadas por cada Estado miembro, distintas de las autoridades de protección de datos. Estas dos autoridades pueden actuar de forma independiente, sobre bases legales diferentes, y abrir procedimientos simultáneos.

Régimen sancionador

El RGPD prevé multas de hasta 20 millones de euros o el 4 % del volumen de negocios mundial anual para las infracciones más graves. El AI Act prevé hasta 35 millones de euros o el 7 % del volumen de negocios mundial para las prácticas prohibidas, 15 millones o el 3 % para los sistemas de alto riesgo no conformes, y 7,5 millones o el 1 % para las informaciones incorrectas. Estas sanciones son acumulables: un mismo sistema de IA no conforme puede ser sancionado en virtud de ambos reglamentos de forma independiente.

Zonas de cruce: cuando ambos se aplican simultáneamente

Aunque los objetos regulatorios de los dos marcos son distintos, muchos sistemas de IA tratan datos personales — y por tanto quedan sujetos a ambos textos al mismo tiempo. Estas son las principales zonas de solapamiento que conviene conocer.

Reconocimiento biométrico

Un sistema de reconocimiento facial trata datos biométricos, que constituyen datos especialmente protegidos en virtud del RGPD (Artículo 9), cuyo tratamiento está en principio prohibido salvo excepciones. Ese mismo sistema es un sistema de IA de alto riesgo en virtud del AI Act (Anexo III, punto 1 — identificación biométrica). Ambos reglamentos se aplican de forma acumulativa, con exigencias propias: base jurídica específica y EIPD obligatoria según el RGPD; documentación técnica completa, marcado CE y supervisión humana según el AI Act. El AI Act también prohíbe la identificación biométrica remota en tiempo real en espacios de acceso público con fines coercitivos, con excepciones limitadas (Artículo 5).

Toma de decisiones automatizada

El Artículo 22 del RGPD regula las decisiones basadas únicamente en tratamientos automatizados que produzcan efectos significativos sobre las personas — denegaciones de crédito, selección de candidatos, fijación de primas de seguros. Reconoce a los interesados el derecho a la intervención humana, a obtener una explicación y a impugnar la decisión. El Artículo 14 del AI Act refuerza estas exigencias para los sistemas de alto riesgo, imponiendo una supervisión humana sistemática que permita comprender, vigilar y, si es necesario, neutralizar el sistema. Ambos marcos deben satisfacerse conjuntamente — lo que implica diseñar desde el principio sistemas que permitan realmente la intervención humana, no solo sobre el papel.

Elaboración de perfiles y personalización

Los sistemas de IA utilizados para la elaboración de perfiles conductuales, la personalización de contenidos o la valoración de personas activan a la vez las reglas del RGPD sobre elaboración de perfiles (Artículos 4 y 22) y, según su impacto potencial sobre las personas, las obligaciones del AI Act en materia de transparencia (Artículo 50 — divulgación de las interacciones automatizadas) o de gestión de riesgos. Los sistemas de evaluación de la solvencia y los sistemas de evaluación de personas físicas figuran expresamente en el Anexo III como sistemas de alto riesgo.

Las evaluaciones de impacto: un puente natural entre los dos marcos

El RGPD exige una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de las personas (Artículo 35). El AI Act exige una evaluación de la conformidad para los sistemas de alto riesgo — que incluye documentación técnica (Anexo IV), un sistema de gestión de riesgos (Artículo 9) y, para los implantadores del sector público, una evaluación del impacto sobre los derechos fundamentales (Artículo 27).

Estos procesos son distintos en forma y finalidad, pero abordan cuestiones conexas. Llevarlos a cabo de forma coordinada — con los mismos interlocutores y en el mismo calendario — permite identificar sinergias, compartir documentación y obtener evaluaciones coherentes. Algunas organizaciones están comenzando a desarrollar plantillas de cumplimiento cruzado RGPD/AI Act con este fin.

Contratos entre responsable del tratamiento y encargado IA

Cuando una organización utiliza un proveedor de IA que trata datos personales en su nombre, el RGPD exige la celebración de un contrato de encargo del tratamiento (Artículo 28) que defina las obligaciones del proveedor. El AI Act, por su parte, impone obligaciones al implantador sobre el control del sistema. Estas dos dimensiones contractuales deben ser coherentes — un proveedor de IA no puede comprometerse a una supervisión humana en su contrato AI Act y al mismo tiempo exonerarse de responsabilidad sobre los tratamientos de datos en su Acuerdo de Tratamiento de Datos (ATD) del RGPD.

¿Desarrolla o despliega un sistema de IA y quiere identificar sus obligaciones cruzadas AI Act / RGPD? El diagnóstico gratuito de AiActo evalúa su nivel de riesgo y sus prioridades de cumplimiento en menos de 3 minutos.

Una complementariedad que organizar, no sufrir

Lejos de ser redundantes, el AI Act y el RGPD encajan de forma coherente en la arquitectura regulatoria europea. El RGPD sentó las bases de una cultura de protección de datos en Europa. El AI Act amplía esa lógica a los propios sistemas de IA, añadiendo capas de requisitos específicos a su naturaleza — solidez, explicabilidad, supervisión humana, clasificación por riesgo — que el RGPD no contemplaba ni tenía vocación de contemplar.

Para las organizaciones sujetas a ambos textos, tres principios estructurantes permiten abordar el doble cumplimiento de forma eficiente.

  1. Cartografiar conjuntamente los tratamientos de datos y los sistemas de IA — Para cada sistema de IA, determinar si trata datos personales, bajo qué rol (responsable del tratamiento, encargado) y qué clasificación del AI Act le corresponde. Esta cartografía cruzada es el punto de partida de cualquier estrategia de cumplimiento coherente
  2. Coordinar las evaluaciones de impacto — Cuando el RGPD exige una EIPD y el AI Act una evaluación de conformidad, llevar ambos procesos en paralelo con los mismos interlocutores permite identificar solapamientos, compartir documentación y obtener evaluaciones coherentes
  3. Alinear la gobernanza — El DPD (Delegado de Protección de Datos, si es necesario) y el responsable de cumplimiento IA no pueden trabajar en silos. Las decisiones de diseño de un sistema de IA tienen implicaciones simultáneas según el RGPD y el AI Act — la gobernanza debe reflejar esta realidad

Herramientas como el módulo de documentación de AiActo ayudan a estructurar este enfoque integrando los requisitos de ambos reglamentos en una lógica de cumplimiento unificada.

Preguntas frecuentes

Si ya cumplo con el RGPD, ¿cumplo automáticamente con el AI Act?

No. El cumplimiento del RGPD no cubre las obligaciones específicas del AI Act: clasificación por nivel de riesgo, documentación técnica (Anexo IV), gestión de riesgos (Artículo 9), marcado CE, supervisión humana (Artículo 14), solidez (Artículo 15). Ambos marcos de cumplimiento son independientes. Algunos procesos pueden compartirse — en particular las evaluaciones de impacto — pero no existe atajo: ambos textos deben abordarse por separado.

¿El AI Act solo se aplica si mi sistema de IA trata datos personales?

No. El AI Act se aplica a todo sistema de IA comercializado o utilizado en la UE, trate o no datos personales. Un sistema de visión artificial para el control de calidad industrial que no identifica a ninguna persona sigue sujeto al AI Act si entra en una categoría de alto riesgo. El tratamiento de datos personales activa el RGPD — no el AI Act.

¿Qué autoridades pueden sancionarme, y por qué motivos?

La AEPD (u otras autoridades nacionales de protección de datos) puede sancionar las infracciones del RGPD — hasta 20 millones de euros o el 4 % del volumen de negocios mundial anual. La autoridad de supervisión IA puede sancionar las infracciones del AI Act — hasta 35 millones o el 7 % del volumen de negocios para las prácticas prohibidas, hasta 15 millones o el 3 % para los sistemas de alto riesgo no conformes. Estas sanciones son independientes y pueden aplicarse simultáneamente al mismo sistema.

¿La EIPD del RGPD reemplaza a la evaluación de conformidad del AI Act?

No. Son dos procesos distintos con finalidades y contenidos diferentes. La EIPD (Artículo 35 RGPD) evalúa los riesgos para los derechos y libertades de las personas derivados del tratamiento de datos. La evaluación de conformidad del AI Act abarca el diseño, la documentación técnica y la solidez del sistema de IA. Sin embargo, pueden llevarse a cabo de forma coordinada para identificar sinergias y compartir partes de la documentación.

¿Debe implicarse mi DPD en el cumplimiento del AI Act?

No existe obligación legal en este sentido en el AI Act, que no contempla un rol equivalente al DPD. Sin embargo, cuando un sistema de IA trata datos personales, el DPD tiene un papel legítimo que desempeñar en relación con las implicaciones del RGPD — y la necesidad de coherencia entre ambos marcos de cumplimiento justifica una coordinación estrecha. Algunas organizaciones están comenzando a crear roles de «Responsable de Cumplimiento IA» que trabajan en tándem con el DPD.

¿Cómo gestionar contractualmente las obligaciones cruzadas con un proveedor de IA?

El contrato con un proveedor de IA que trata datos personales debe satisfacer simultáneamente los requisitos del Artículo 28 RGPD (contrato de encargo del tratamiento) y las disposiciones del AI Act aplicables a los implantadores. En particular, verifique la coherencia entre las obligaciones de supervisión humana estipuladas en virtud del AI Act y las cláusulas de responsabilidad del ATD del RGPD — las contradicciones entre ambos documentos generan zonas de riesgo jurídico.

El AI Act y el RGPD forman un marco regulatorio europeo coherente, cuyo dominio conjunto es ya imprescindible para cualquier organización que desarrolle o utilice IA. Entender dónde termina uno y dónde empieza el otro — y sobre todo dónde convergen — es el punto de partida de una estrategia de cumplimiento realmente eficaz. El calendario completo del AI Act en AiActo le ayuda a planificar sus prioridades en torno a las fechas clave del reglamento.

Partager cet article