Ir al contenido principal
Diagnóstico gratuito

Glosario

25 definiciones clave del Reglamento

Obligaciones

24 artículos detallados con plazos

Calendario

Fechas clave de 2025 a 2027

Diagnóstico

Identifique sus obligaciones en 3 minutos

Cumplimiento PYME

Verifique sus obligaciones del AI Act en 30 segundos

Soberanía europea

Alojamiento 100% en Francia

Asistente IA

IA contextual con memoria entre secciones

Generación documental

Texto conforme al Anexo IV generado por IA

Diagnóstico

Clasificación automática de su sistema

Versionado

Trazabilidad completa de sus proyectos

Multicliente

Gestión multicliente para agencias

Exportación PDF

PDFs profesionales listos para auditoría

PreciosBlogIniciar sesión
ai act vs rgpddiferencias ai act rgpd

AI Act vs RGPD: comparativa completa de obligaciones para las empresas

30 de marzo de 202610 min8
AI Act vs RGPD: comparativa completa de obligaciones para las empresas

En resumen

  • Dos reglamentos, dos objetos distintos: el RGPD protege los derechos de las personas sobre sus datos personales; el AI Act regula los sistemas de IA según su nivel de riesgo. No se sustituyen mutuamente.
  • Aplicación simultánea frecuente: cualquier sistema de IA que trate datos personales está sujeto a ambos reglamentos a la vez. Esto afecta a la mayoría de herramientas de IA en las empresas.
  • Zonas de cruce principales: gobernanza de datos de entrenamiento (Art. 10 AI Act + Art. 5/6 RGPD), evaluaciones de impacto (FRIA + EIPD), transparencia (Art. 50 AI Act + Art. 13/14 RGPD)
  • Sanciones diferentes: RGPD hasta 20 M€ o el 4 % de la facturación mundial; AI Act hasta 35 M€ o el 7 % para prácticas prohibidas, 15 M€ o el 3 % para incumplimientos de alto riesgo
  • Autoridades distintas: las autoridades de protección de datos supervisan el RGPD; las autoridades nacionales de IA supervisan el AI Act, con las APD para los aspectos de datos personales
  • Coordinación posible: ambos programas de cumplimiento pueden gestionarse conjuntamente para evitar duplicidades, especialmente en documentación y evaluaciones de impacto

Desde que el RGPD entró en vigor en 2018, las organizaciones europeas han aprendido a regular el tratamiento de datos personales. Con el AI Act (Reglamento UE 2024/1689), llega un nuevo marco regulatorio - pero no sustituye al RGPD. Se superpone a él.

Para los equipos jurídicos y de cumplimiento, esta superposición genera una confusión legítima: ¿necesito dos evaluaciones de impacto separadas? ¿Dos registros distintos? ¿Mi documentación RGPD cubre también el AI Act? Esta guía responde a estas preguntas con una comparativa estructurada de ambos reglamentos.

Lo esencial de un vistazo

  • Objeto del RGPD: proteger los derechos fundamentales de las personas en materia de tratamiento de sus datos personales
  • Objeto del AI Act: regular el desarrollo y el uso de los sistemas de IA mediante un enfoque basado en el riesgo
  • Desencadenante del RGPD: el tratamiento de datos personales de personas en la UE
  • Desencadenante del AI Act: el desarrollo, la comercialización o el uso de un sistema de IA en la UE
  • RGPD en vigor desde: mayo de 2018
  • AI Act en vigor desde: agosto de 2024 (aplicación progresiva hasta 2027)

Un sistema de IA puede no tratar datos personales - y así solo estar sujeto al AI Act. A la inversa, un tratamiento de datos personales sin componente de IA solo se rige por el RGPD. Pero en la práctica, la gran mayoría de los sistemas de IA en las empresas tratan datos personales: están sujetos a ambos reglamentos simultáneamente.

Los actores implicados: ¿quién hace qué?

Bajo el RGPD

  • Responsable del tratamiento: determina los fines y medios del tratamiento de datos personales
  • Encargado del tratamiento: trata los datos por cuenta del responsable, regulado por un DPA
  • Delegado de Protección de Datos (DPD): obligatorio en ciertos casos, asesora y supervisa el cumplimiento

Bajo el AI Act

  • Proveedor: desarrolla y comercializa un sistema de IA
  • Desplegador: utiliza un sistema de IA en el marco de una actividad profesional
  • Importador / Distribuidor: interviene en la cadena de suministro del sistema

Un mismo actor puede acumular varios roles. Una empresa que desarrolla un software de RRHH con IA es a la vez proveedor del AI Act y responsable del tratamiento RGPD - y potencialmente encargado RGPD si trata datos de empleados por cuenta de sus clientes.

Tabla comparativa de las obligaciones principales

Documentación y registros

  • RGPD (Art. 30): registro de actividades de tratamiento, mantenido por el responsable y el encargado. Debe mencionar la finalidad, las categorías de datos, los destinatarios y los plazos de conservación.
  • AI Act (Art. 11 + Anexo IV): documentación técnica para los proveedores de sistemas de alto riesgo. 9 secciones que cubren arquitectura, datos de entrenamiento, gestión de riesgos, métricas de rendimiento y vigilancia post-comercialización.
  • Solapamiento: un sistema de IA que trate datos personales debe figurar en ambos registros. La documentación del AI Act puede integrar los elementos del RGPD para evitar duplicidades.

Evaluaciones de impacto

  • RGPD (Art. 35) - EIPD: obligatoria cuando un tratamiento puede conllevar un alto riesgo para los derechos y libertades de las personas. Desencadenada especialmente por la elaboración de perfiles, la vigilancia sistemática o el tratamiento de datos especiales.
  • AI Act (Art. 27) - FRIA: obligatoria para organismos públicos, operadores de servicios esenciales e instituciones educativas que despliegan sistemas de IA de alto riesgo. Cubre todos los derechos fundamentales, no solo los datos personales.
  • Solapamiento: ambas evaluaciones pueden realizarse conjuntamente. Su contenido coincide en protección de datos y no discriminación. El AI Act fomenta explícitamente esta coordinación.

Transparencia e información a las personas

  • RGPD (Art. 13/14): informar a las personas sobre el tratamiento de sus datos - responsable, finalidad, base jurídica, plazo, derechos.
  • AI Act (Art. 50): informar a las personas de que interactúan con una IA (chatbots), de que el contenido es generado por IA (deepfakes) o de que están sometidas a un sistema de reconocimiento emocional.
  • Solapamiento: para un sistema de IA que trate datos personales, deben cumplirse ambas obligaciones de transparencia. Pueden integrarse en un único documento informativo que cubra los requisitos de ambos reglamentos.

Gobernanza de datos

  • RGPD (Art. 5/6/9): los datos deben recogerse para fines determinados, sobre una base jurídica identificada, en cantidad mínima necesaria. Los datos especiales requieren salvaguardas reforzadas.
  • AI Act (Art. 10): los conjuntos de datos de entrenamiento, validación y prueba para sistemas de alto riesgo deben ser pertinentes, representativos, libres de errores y completos. Se requieren procedimientos de detección y corrección de sesgos.
  • Solapamiento importante: si el conjunto de datos de entrenamiento contiene datos personales, ambos reglamentos se aplican simultáneamente. Debe identificarse una base jurídica RGPD para el entrenamiento, y deben cumplirse los requisitos de calidad del AI Act.
Punto clave: el Digital Omnibus propone permitir el tratamiento de datos especiales para detectar y corregir sesgos en los sistemas de IA, bajo condiciones estrictas. Es una novedad que crea un puente explícito entre ambos reglamentos.

Derechos de las personas

  • RGPD: derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (Art. 22).
  • AI Act: derecho a la información sobre el uso de un sistema de IA (Art. 50), derecho a la supervisión humana de las decisiones influenciadas por sistemas de alto riesgo (Art. 14/26).
  • Interacción: el derecho a no ser objeto de decisión automatizada (RGPD Art. 22) y las obligaciones de supervisión humana del AI Act (Art. 14) se refuerzan mutuamente.

Sanciones

  • RGPD: hasta 10 M€ o el 2 % de la facturación mundial por incumplimientos de obligaciones organizativas; hasta 20 M€ o el 4 % por vulneraciones de derechos fundamentales.
  • AI Act: hasta 35 M€ o el 7 % de la facturación mundial por prácticas prohibidas (Art. 5); hasta 15 M€ o el 3 % por incumplimientos de obligaciones de alto riesgo; hasta 7,5 M€ o el 1 % por información inexacta.
  • Acumulación posible: la misma infracción puede acarrear sanciones en virtud de ambos reglamentos por parte de autoridades diferentes.

Cómo gestionar ambos cumplimientos sin duplicidades

  1. Cartografiar primero: para cada sistema o herramienta de IA, determinar si trata datos personales. Si es así, se aplican ambos reglamentos. Si no, solo el AI Act.
  2. Fusionar los registros donde sea posible: su registro RGPD puede incluir una columna de "clasificación AI Act" para los tratamientos que impliquen IA.
  3. Realizar una evaluación de impacto conjunta: si se requieren tanto una EIPD (RGPD) como una FRIA (AI Act) para el mismo sistema, realícelas conjuntamente.
  4. Unificar las informaciones: su política de privacidad puede integrar la información exigida por el Art. 50 del AI Act sin crear un documento separado.
  5. Coordinar DPD y función de cumplimiento IA: el AI Act no crea un equivalente al DPD, pero el DPD tiene un papel natural allí donde los sistemas de IA tratan datos personales.

El diagnóstico gratuito de AiActo le ayuda a clasificar sus sistemas de IA e identificar las obligaciones aplicables del AI Act - complementando su cumplimiento RGPD existente, no sustituyéndolo.

Preguntas frecuentes

¿El AI Act sustituye al RGPD para los sistemas de IA?

No. Ambos reglamentos coexisten y se aplican de forma complementaria. El AI Act regula los sistemas de IA por nivel de riesgo. El RGPD protege los datos personales. Si un sistema de IA trata datos personales - lo que es habitual - ambos se aplican simultáneamente. El AI Act no contiene ninguna disposición que exima de aplicar el RGPD.

¿Se necesitan dos evaluaciones de impacto separadas - una EIPD y una FRIA?

No necesariamente. Si ambas son necesarias para el mismo sistema, pueden realizarse conjuntamente en un único documento, siempre que el contenido cubra los requisitos de cada reglamento. La FRIA tiene un ámbito más amplio (todos los derechos fundamentales); la EIPD se centra en los datos personales. La intersección es significativa, especialmente en no discriminación y privacidad.

¿Debe el DPD ocuparse también del cumplimiento del AI Act?

El AI Act no crea la obligación de nombrar un equivalente al DPD. Pero el DPD tiene un papel natural en los sistemas de IA que tratan datos personales. Algunas organizaciones crean un rol de "Responsable de cumplimiento IA" junto al DPD. Lo importante es clarificar quién lidera qué antes de agosto de 2026.

¿La base jurídica RGPD también cubre el entrenamiento de modelos de IA?

No automáticamente. El uso de datos personales para entrenar un modelo de IA es un tratamiento separado que necesita su propia base jurídica RGPD. El Digital Omnibus propone introducir el interés legítimo como posible base jurídica para el entrenamiento, bajo condiciones. Pero en el estado actual del derecho, debe identificarse una base jurídica específica para cada tratamiento de entrenamiento.

¿Pueden acumularse las sanciones del RGPD y del AI Act?

Sí. La misma infracción puede sancionarse en virtud de ambos reglamentos por parte de autoridades diferentes. Los límites de sanción de cada reglamento se aplican de forma independiente.

AI Act y RGPD no son rivales - son complementarios. Uno regula lo que se hace con los datos, el otro regula lo que se hace con los sistemas inteligentes que los tratan. Para las organizaciones, la clave está en evitar tratar estos dos programas de cumplimiento como silos separados. Consulte nuestro glosario del AI Act en AiActo para dominar las definiciones clave del reglamento.

Compartir este artículo