AI Act y RGPD tabla comparativa de obligaciones cruzadas.
El AI Act y el RGPD coexisten sin perjuicio uno del otro. ¿Cómo articular sus exigencias para evitar duplicidades y aprovechar sinergias? Tabla de correspondencia detallada y análisis de los puntos de convergencia.
Dos reglamentos, una aplicación simultánea
El AI Act y el RGPD forman un marco regulatorio integrado para la IA en Europa.
El artículo 2(7) del AI Act precisa que el reglamento se aplica sin perjuicio del RGPD. Esta formulación indica una coexistencia sin jerarquía. Ambos textos se aplican simultáneamente cuando un sistema de IA trata datos personales, lo que concierne a la mayoría de los casos de uso.
El considerando 10 del AI Act subraya la necesidad de cooperación entre las autoridades de supervisión de la IA y las autoridades de protección de datos. Esta coordinación busca evitar contradicciones y optimizar los controles. En Francia, la CNIL fue designada autoridad nacional competente para el AI Act en febrero de 2026, reforzando esta sinergia institucional.
Las empresas deben adoptar un enfoque unificado del cumplimiento. Una documentación separada para cada reglamento generaría redundancias costosas. Por el contrario, una integración inteligente permite mutualizar los esfuerzos y reducir los riesgos de incumplimiento.
Tabla comparativa de obligaciones cruzadas
Puntos de convergencia y divergencias entre el AI Act y el RGPD, estructurados por tema.
| Tema | AI Act (Reglamento UE 2024/1689) | RGPD (Reglamento UE 2016/679) | Puntos de convergencia |
|---|---|---|---|
| Ámbito de aplicación | Se aplica a los sistemas de IA introducidos en el mercado o puestos en servicio en la UE, independientemente del lugar de establecimiento del proveedor (Art. 2). | Se aplica al tratamiento de datos personales realizado en el marco de las actividades de un establecimiento de un responsable del tratamiento o un encargado del tratamiento en la UE (Art. 3). | Acumulación de los ámbitos de aplicación para los sistemas de IA que tratan datos personales. Una misma actividad puede estar sujeta a ambos reglamentos. |
| Roles y responsabilidades | Proveedor: diseña o desarrolla el sistema de IA (Art. 3(3)). Responsable del despliegue: utiliza el sistema de IA bajo su autoridad (Art. 3(4)). Importador/distribuidor: pone el sistema de IA a disposición en la UE (Art. 3(5-6)). | Responsable del tratamiento: determina las finalidades y medios del tratamiento (Art. 4(7)). Encargado del tratamiento: trata los datos por cuenta del responsable (Art. 4(8)). | Un proveedor de IA puede ser responsable del tratamiento RGPD. Un responsable del despliegue puede ser responsable o encargado según su rol en el tratamiento de datos. |
| Gestión de riesgos | FRIA (Ficha de Información sobre el Impacto Algorítmico) obligatoria para los sistemas de IA de alto riesgo (Art. 27). Evalúa los riesgos para la salud, la seguridad y los derechos fundamentales. Debe actualizarse durante todo el ciclo de vida del sistema. | EIPD (Evaluación de Impacto relativa a la Protección de Datos) obligatoria para los tratamientos susceptibles de generar un riesgo elevado (Art. 35). Evalúa los riesgos para los derechos y libertades de las personas afectadas. Debe realizarse antes del tratamiento y actualizarse si es necesario. | Ambas evaluaciones pueden combinarse para los sistemas de IA de alto riesgo que tratan datos personales. La FRIA puede integrar los elementos de la EIPD y viceversa. |
| Transparencia | Obligación de transparencia reforzada para los sistemas de IA (Art. 50). Marcado obligatorio para los contenidos generados o manipulados por IA (Art. 50(2)). Información a los usuarios sobre la interacción con una IA (Art. 50(1)). | Derecho a la información de las personas afectadas (Art. 13-14). Obligación de transparencia sobre las lógicas de tratamiento automatizado (Art. 13(2)(f)). | Las obligaciones de transparencia se complementan. La información requerida por el AI Act puede integrarse en las menciones de información RGPD para evitar redundancias. |
| Derechos de las personas | Derecho a una explicación para las decisiones tomadas por sistemas de IA de alto riesgo (Art. 68). Derecho a impugnar las decisiones automatizadas (Art. 68(3)). | Derecho de acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17). Derecho a la limitación del tratamiento (Art. 18). Derecho a la portabilidad (Art. 20). Derecho a no ser objeto de una decisión individual automatizada (Art. 22). | Los derechos de las personas se refuerzan mutuamente. El derecho a la explicación del AI Act complementa el derecho a la información del RGPD para las decisiones automatizadas. |
| Documentación y registros | Registro de los sistemas de IA obligatorio para los proveedores y responsables del despliegue de sistemas de alto riesgo (Art. 49). Documentación técnica detallada para los sistemas de alto riesgo (Anexo IV). | Registro de las actividades de tratamiento obligatorio para los responsables y encargados (Art. 30). Documentación de las violaciones de datos (Art. 33(5)). | Los registros pueden fusionarse para los sistemas de IA que tratan datos personales. La documentación técnica del AI Act puede enriquecer el registro RGPD. |
| Incidentes y violaciones | Notificación de incidentes graves a las autoridades competentes en 15 días (Art. 73). Definición amplia: cualquier disfunción que afecte a la salud, la seguridad o los derechos fundamentales. | Notificación de violaciones de datos personales a la autoridad de protección de datos en 72 horas (Art. 33). Notificación a las personas afectadas si hay riesgo elevado (Art. 34). | Un mismo incidente puede estar sujeto a ambas obligaciones. La notificación del AI Act puede cubrir la notificación RGPD si incluye los elementos requeridos por el RGPD. |
| Sanciones | Hasta 35M€ o 7% de la facturación global por prácticas prohibidas (Art. 99(3)). Hasta 15M€ o 3% de la facturación global por otras infracciones (Art. 99(4)). | Hasta 20M€ o 4% de la facturación global por violaciones graves (Art. 83(5)). Hasta 10M€ o 2% de la facturación global por otras infracciones (Art. 83(4)). | Las sanciones pueden acumularse por un mismo incumplimiento. Los topes se suman en caso de violación simultánea de ambos reglamentos. |
"La convergencia entre el AI Act y el RGPD no es una coincidencia, sino una voluntad política. Ambos reglamentos comparten una filosofía común: regular las tecnologías para preservar los derechos fundamentales." - Paul Nemitz, Asesor principal de la Comisión Europea
Sinergias documentales a aprovechar
Cómo mutualizar los esfuerzos de cumplimiento entre el AI Act y el RGPD.
Las empresas pueden optimizar su cumplimiento identificando los puntos de convergencia documentales. Cuatro sinergias principales emergen:
Gobernanza de datos
El artículo 10 del AI Act impone requisitos estrictos sobre la calidad de los datos utilizados para entrenar los sistemas de IA. Estos requisitos coinciden con los del RGPD sobre la minimización de datos (Art. 5(1)(c)) y la protección de datos desde el diseño (Art. 25). Una documentación unificada puede cubrir ambos aspectos.
Evaluaciones de riesgos
La FRIA (AI Act) y la EIPD (RGPD) comparten una metodología similar. Ambas evaluaciones pueden fusionarse para los sistemas de IA de alto riesgo que tratan datos personales. Este enfoque reduce la carga administrativa garantizando una cobertura completa de los riesgos.
Registros de actividades
El registro de los sistemas de IA (Art. 49 AI Act) y el registro de las actividades de tratamiento (Art. 30 RGPD) pueden combinarse. La información específica de la IA, como la clasificación del sistema o las medidas de transparencia, puede añadirse a las entradas existentes del registro RGPD.
Transparencia e información
Las obligaciones de transparencia del AI Act (Art. 50) pueden integrarse en las menciones de información RGPD (Art. 13-14). Por ejemplo, la información sobre el uso de un sistema de IA puede figurar en el mismo aviso que la información sobre el tratamiento de datos personales.
Estas sinergias permiten racionalizar el cumplimiento. Un enfoque integrado reduce costes y limita los riesgos de contradicciones entre ambos marcos regulatorios.
Obligaciones técnicas propias del AI Act
Algunas exigencias del AI Act no tienen equivalente en el RGPD.
El AI Act introduce obligaciones técnicas específicas que van más allá de las exigencias del RGPD. Estas medidas buscan garantizar la robustez, la transparencia y la supervisión humana de los sistemas de IA.
Supervisión humana
Los sistemas de IA de alto riesgo deben diseñarse para permitir una supervisión humana efectiva (Art. 14). Esta obligación incluye interfaces adaptadas y mecanismos de desactivación. El RGPD no prevé medidas equivalentes.
Robustez y ciberseguridad
Los sistemas de IA deben ser resilientes frente a ataques y errores (Art. 15). El AI Act impone pruebas de resistencia y medidas de ciberseguridad específicas, distintas de las exigencias generales de seguridad del RGPD (Art. 32).
Precisión y exactitud
Los sistemas de IA deben alcanzar un nivel adecuado de precisión, robustez y ciberseguridad (Art. 15(1)). Esta obligación técnica no tiene equivalente directo en el RGPD, que se centra en la protección de datos más que en el rendimiento de los sistemas.
Registro automático
Los sistemas de IA de alto riesgo deben integrar funcionalidades de registro automático para garantizar la trazabilidad de las operaciones (Art. 12). Estos registros deben conservarse durante un período adaptado al contexto de uso. El RGPD no prevé tales exigencias técnicas.
Marcado de contenidos IA
El artículo 50(2) del AI Act impone un marcado claro de los contenidos generados o manipulados por IA. Esta obligación busca luchar contra la desinformación y garantizar la transparencia. El RGPD no aborda esta problemática.
Estas especificidades técnicas requieren una atención particular. Las empresas deben integrarlas en sus procesos de desarrollo y despliegue, además de las medidas de protección de datos.
Rol de las autoridades de control en Francia
La CNIL supervisa tanto el AI Act como el RGPD, facilitando la coordinación.
En Francia, la CNIL fue designada autoridad nacional competente para la aplicación del AI Act por decreto en febrero de 2026. Esta designación se enmarca en una lógica de coherencia, ya que la CNIL es la autoridad de referencia para el RGPD. Coordina sus acciones con la ARCOM y la DGCCRF para cubrir todos los aspectos del reglamento.
La CNIL publicó en marzo de 2026 directrices sobre la articulación entre el AI Act y el RGPD. Estas orientaciones aclaran las expectativas en materia de cumplimiento integrado. Destacan, en particular:
- La posibilidad de fusionar las evaluaciones de riesgos (FRIA y EIPD).
- La integración de las obligaciones de transparencia del AI Act en las menciones de información RGPD.
- La coordinación de las notificaciones de incidentes entre ambos marcos regulatorios.
Las empresas pueden apoyarse en estas directrices para estructurar su cumplimiento. La CNIL también ofrece herramientas y modelos para facilitar la implementación de las obligaciones cruzadas. Estos recursos están disponibles en su sitio dedicado a la IA: www.cnil.fr/fr/intelligence-artificielle.
La coordinación entre autoridades europeas también se ha reforzado. La AI Office, creada en 2025, trabaja en estrecha colaboración con el Comité Europeo de Protección de Datos (CEPD) para armonizar las interpretaciones y las prácticas de control.
Identifique sus obligaciones cruzadas
Nuestro diagnóstico gratuito analiza sus sistemas de IA y sus tratamientos de datos para mapear sus obligaciones AI Act y RGPD. Resultados en 3 minutos.
Preguntas frecuentes
Respuestas a las preguntas más comunes sobre la articulación entre el AI Act y el RGPD.
No. El RGPD solo se aplica al tratamiento de datos personales. Un sistema de IA que no utiliza datos personales (por ejemplo, un sistema de mantenimiento predictivo en máquinas industriales) no está sujeto al RGPD. Sin embargo, el AI Act puede aplicarse si el sistema se introduce en el mercado o se pone en servicio en la UE, según su clasificación (alto riesgo o no).
No necesariamente. La FRIA (AI Act) y la EIPD (RGPD) pueden fusionarse para los sistemas de IA de alto riesgo que tratan datos personales. Ambas evaluaciones comparten una metodología similar y pueden documentarse en un solo documento, siempre que cubran todos los requisitos de ambos reglamentos. La CNIL recomienda este enfoque integrado en sus directrices de 2026.
El AI Act no prevé un rol equivalente al del DPO. Sin embargo, el DPO puede desempeñar un papel clave en el cumplimiento del AI Act, especialmente en los aspectos relacionados con la protección de datos. Sus funciones pueden ampliarse para incluir la supervisión de las obligaciones del AI Act, en particular para los sistemas que tratan datos personales. Este enfoque es alentado por la CNIL para garantizar una coherencia global.
Un mismo incidente puede estar sujeto a ambas obligaciones de notificación. La notificación del AI Act debe enviarse a la autoridad competente (la CNIL en Francia) en 15 días. Si el incidente implica una violación de datos personales, también debe realizarse una notificación RGPD en 72 horas. Para evitar redundancias, la notificación del AI Act puede incluir los elementos requeridos por el RGPD, siempre que se respete el plazo de 72 horas para estos últimos.
Sí. Las sanciones previstas por el AI Act y el RGPD pueden acumularse por un mismo incumplimiento. Por ejemplo, una violación de las obligaciones de transparencia para un sistema de IA de alto riesgo que trata datos personales podría acarrear sanciones bajo ambos reglamentos. Los topes de sanción se suman: hasta 55M€ o el 11% de la facturación global en caso de acumulación de las sanciones máximas por prácticas prohibidas.