El RGPD y la Ley de IA de la UE: dos regímenes, un solo programa de cumplimiento
El RGPD y la Ley de IA de la UE se aplican de forma acumulativa. Mapee las 7 intersecciones clave —EIDF frente a EIPD, Art. 14 frente al Art. 22 del RGPD, doble ejecución— para su programa de cumplimiento.
La Ley de IA de la UE no sustituye al RGPD. Ambos reglamentos se aplican simultáneamente y, si su sistema de IA trata datos personales, le incumben obligaciones con arreglo a ambos —la Ley para la gobernanza del riesgo, el RGPD para la protección de datos—. Tratarlos como flujos de trabajo separados es donde se desmoronan los programas de cumplimiento.
Esta página mapea las siete intersecciones clave: dónde se solapan los regímenes, dónde divergen y qué significa eso en la práctica para las empresas que despliegan o construyen sistemas de IA en la UE.
El principio fundamental: acumulativo, no alternativo
El Reglamento (UE) 2024/1689 —la Ley de IA de la UE— se diseñó para situarse junto al Reglamento (UE) 2016/679 (RGPD), no por encima de él. El considerando 9 de la Ley de IA establece explícitamente que se entiende sin perjuicio del RGPD. El resultado: una empresa que opera un sistema de IA de alto riesgo que trata datos personales debe satisfacer plenamente ambos regímenes. El cumplimiento de uno no cuenta para el otro.
Esto importa a nivel operativo. Su delegado de protección de datos y su responsable de gobernanza de la IA deben trabajar a partir de una estructura de documentación compartida, no de silos separados.
1. La EIDF (Artículo 27) y la EIPD (Artículo 35 del RGPD): relacionadas pero distintas
La evaluación de impacto relativa a los derechos fundamentales de la Ley de IA (Artículo 27) y la evaluación de impacto relativa a la protección de datos del RGPD (Artículo 35) son las dos evaluaciones que con más frecuencia se confunden.
Una EIPD es una obligación del RGPD que se desencadena cuando el tratamiento es «probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas» —normalmente cuando se tratan datos de categoría especial a gran escala, o cuando la toma de decisiones automatizada produce efectos jurídicos o significativos de modo similar—. La EIPD se centra en la licitud, la necesidad y la proporcionalidad del tratamiento de los datos, y en las salvaguardas para los interesados.
Una EIDF es una obligación de la Ley de IA que se desencadena para determinados responsables del despliegue de sistemas de alto riesgo: en concreto, los responsables del despliegue que sean organismos públicos y los responsables del despliegue privados que operen sistemas de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida/salud (punto 5, letra c)). La EIDF se centra en el impacto del sistema sobre los derechos fundamentales —equidad, no discriminación, acceso a la justicia—, con independencia de que estén implicados datos personales.
Las dos evaluaciones son jurídicamente distintas. La Ley de IA lo reconoce expresamente: el Artículo 27, apartado 4, dispone que la EIDF puede basarse en una EIPD o incorporarla cuando ya se haya realizado una. En la práctica, si usted es un responsable del despliegue del sector público que opera una IA de solvencia, probablemente necesitará ambas —y estructurar primero la EIPD le da ventaja en la sección de derechos fundamentales de la EIDF—. Documéntelas como anexos relacionados de un único expediente de cumplimiento, en lugar de como dos ejercicios desconectados.
Un error habitual: suponer que todo responsable del despliegue de alto riesgo debe realizar una EIDF. El Artículo 27 es más estrecho que eso. La mayoría de los empleadores del sector privado que despliegan una IA de contratación no deben automáticamente una EIDF; sí deben una EIPD con arreglo al RGPD si ese sistema elabora perfiles de los candidatos.
2. La supervisión humana (Artículo 14) y el derecho del Artículo 22 del RGPD frente a las decisiones basadas únicamente en el tratamiento automatizado
Estas dos disposiciones se refieren ambas a la toma de decisiones automatizada, pero operan a niveles distintos.
El Artículo 22 del RGPD es un derecho del interesado: las personas tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o significativos de modo similar, salvo que se aplique el consentimiento, la necesidad contractual o una base jurídica explícita. El responsable del tratamiento debe ofrecer el derecho a la intervención humana, a expresar un punto de vista y a impugnar la decisión.
El Artículo 14 de la Ley de IA es un deber del proveedor y del responsable del despliegue: los sistemas de IA de alto riesgo deben diseñarse de modo que las personas físicas puedan supervisarlos eficazmente durante el funcionamiento, con autoridad para intervenir, suspender o anular.
Una IA de contratación que produce preselecciones ordenadas sin revisión humana podría infringir simultáneamente el Artículo 22 (sin un control humano significativo sobre una decisión jurídicamente significativa) y el Artículo 14 (sin supervisión eficaz). Un mecanismo genuino del Artículo 14 —en el que el revisor posee autoridad real para anular— es una prueba sólida del requisito de intervención humana del Artículo 22. Pero no son idénticos: el Artículo 14 se aplica a cualquier sistema de IA de alto riesgo aunque no se desencadene el ámbito del Artículo 22; el Artículo 22 se aplica a sistemas automatizados de baja tecnología que no son IA con arreglo a la definición de la Ley.
Diseñe el mecanismo de supervisión humana una sola vez, documéntelo con arreglo a ambos regímenes y asegúrese de que el revisor pueda realmente anular —no una aprobación nominal que valide sin más cada salida.
3. Datos de categoría especial: el Artículo 10, apartado 5, crea un permiso limitado
El Artículo 9, apartado 1, del RGPD prohíbe el tratamiento de datos de categoría especial (raza, etnia, religión, salud, datos biométricos, etc.) en ausencia de un fundamento jurídico explícito con arreglo al Artículo 9, apartado 2. Para la mayoría de los fines de desarrollo de IA, los datos de categoría especial están vedados.
El Artículo 10, apartado 5, de la Ley de IA crea una excepción estrecha que se sitúa junto al RGPD, no por encima de él. Los proveedores de sistemas de IA de alto riesgo pueden tratar datos de categoría especial con el fin específico de detectar y corregir sesgos en el conjunto de datos de entrenamiento —pero solo con «las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas» y con sujeción a todo el demás derecho aplicable, incluido el RGPD—. Esto no es una licencia en blanco. El tratamiento debe limitarse estrictamente a la detección y corrección de sesgos; los datos deben protegerse frente a otros usos; y el fundamento del RGPD sigue siendo aplicable (en la mayoría de los casos se exigirá el Artículo 9, apartado 2, letra g) —interés público esencial— o una ley nacional de aplicación).
La consecuencia práctica: si está construyendo una IA de contratación o de calificación crediticia y quiere comprobar si sus datos de entrenamiento codifican sesgos demográficos, puede que se le permita tratar datos de origen racial o étnico con ese fin con arreglo al Artículo 10, apartado 5, siempre que haya documentado el fundamento jurídico con arreglo al Artículo 9, apartado 2, del RGPD, haya implementado salvaguardas técnicas (seudonimización, controles de acceso, límites de conservación) y pueda demostrar que el tratamiento se limita a las pruebas de sesgo. Documente esta decisión tanto en su documentación técnica del Artículo 11 como en su EIPD.
4. Minimización de datos frente a calidad y representatividad de los datos
El principio de minimización de datos del RGPD (Artículo 5, apartado 1, letra c)) exige que los datos personales sean «adecuados, pertinentes y limitados a lo necesario». El Artículo 10 de la Ley de IA impone un requisito distinto: los datos de entrenamiento deben ser «pertinentes, suficientemente representativos y, en la mayor medida posible, exentos de errores y completos» (Artículo 10, apartado 3).
La representatividad puede exigir más datos, no menos. Un modelo de calificación crediticia entrenado únicamente con candidatos del grupo mayoritario rendirá sistemáticamente peor con los grupos minoritarios —un fallo del Artículo 10, apartado 3, pero también un riesgo del Artículo 22 del RGPD (decisiones automatizadas discriminatorias)—. Recopilar datos demográficos más amplios para corregir esto puede entrar en conflicto con la minimización salvo que se justifique.
No hay una resolución limpia en ninguno de los dos reglamentos. El enfoque defendible: documentar la justificación de la representatividad en su documentación técnica del Artículo 11; usar el permiso de detección de sesgos del Artículo 10, apartado 5, cuando proceda; seudonimizar los atributos sensibles tras el entrenamiento; y conservar únicamente lo necesario para la vigilancia continua de sesgos. Aborde la tensión de forma explícita en la EIPD del Artículo 35 —los reguladores buscarán pruebas de que la consideró.
5. Transparencia: los Artículos 13 y 50 de la Ley de IA junto a los Artículos 13 a 15 del RGPD
Ambos regímenes imponen obligaciones de transparencia, pero sirven a fines distintos y se dirigen a partes distintas.
Los Artículos 13 a 15 del RGPD exigen a los responsables del tratamiento informar a los interesados sobre su tratamiento: base jurídica, fines, períodos de conservación, derechos (acceso, rectificación, supresión, oposición) y si se utiliza la toma de decisiones automatizada.
El Artículo 13 de la Ley de IA exige a los proveedores facilitar a los responsables del despliegue instrucciones suficientes para una supervisión eficaz —finalidad del sistema, limitaciones, métricas de rendimiento y categorías de datos utilizadas en el entrenamiento.
El Artículo 50 de la Ley de IA exige la divulgación directamente a los usuarios cuando interactúan con un chatbot, medios sintéticos, una salida de reconocimiento de emociones o contenido generado por IA. Las obligaciones del Artículo 50 se aplican a partir del 2 de agosto de 2026.
En la práctica: un responsable del despliegue que opera una IA de alto riesgo sobre datos personales debe emitir avisos de privacidad del RGPD a los interesados y asegurarse de que las instrucciones del Artículo 13 del proveedor son lo bastante exactas como para que esos avisos sean veraces. La cadena va proveedor → responsable del despliegue → interesado; las lagunas en cualquier eslabón crean una doble exposición.
6. Base jurídica: el RGPD sigue rigiendo cada paso de tratamiento de datos personales
La Ley de IA no crea una nueva base jurídica para el tratamiento de datos personales. El Artículo 6 del RGPD (tratamiento general) y el Artículo 9 (categorías especiales) siguen siendo las únicas fuentes de autoridad legítima.
Las empresas que construyen sistemas de IA de alto riesgo necesitan una base del Artículo 6 del RGPD —normalmente el interés legítimo (Artículo 6, apartado 1, letra f)) o, para los empleados, el fundamento del Derecho laboral del Artículo 9, apartado 2, letra b)— para cada actividad de tratamiento: recopilación de datos, entrenamiento del modelo, inferencia, registro (el Artículo 12 de la Ley de IA exige conservar registros) y almacenamiento de las salidas. Los requisitos de documentación, gestión de riesgos y evaluación de la conformidad de la Ley de IA no constituyen por sí mismos un fundamento de tratamiento.
Esto se concreta en el paquete de documentación técnica del Artículo 11 / Anexo IV: debe describir los datos de entrenamiento y sus características, lo cual solo es jurídicamente sólido si esos datos se recopilaron sobre una base válida del RGPD. Las autoridades de vigilancia del mercado que revisen su documentación técnica pueden solicitar los registros de las actividades de tratamiento subyacentes del RGPD.
7. Doble ejecución: dos autoridades, sanciones acumulativas
Un único sistema de IA no conforme puede desencadenar la ejecución por parte de dos organismos separados.
La ejecución del RGPD recae en las autoridades nacionales de protección de datos (APD) con arreglo al Artículo 55 del RGPD. Las multas del RGPD alcanzan los 20 000 000 € o el 4 % del volumen de negocios anual mundial total para las infracciones más graves —esas son cifras del RGPD, no de la Ley de IA—.
La ejecución de la Ley de IA recae en las autoridades nacionales de vigilancia del mercado (Artículo 70) y, para los modelos de GPAI, en la Oficina de IA. Las sanciones de la Ley de IA con arreglo al Artículo 99 alcanzan los 35 000 000 € o el 7 % por los incumplimientos de las prohibiciones del Artículo 5, y los 15 000 000 € o el 3 % por la mayoría de las infracciones de los sistemas de alto riesgo.
Ambos conjuntos de sanciones se refieren al volumen de negocios anual mundial, por lo que la exposición se acumula en lugar de toparse. Una IA de contratación sesgada que incumple los requisitos de supervisión humana del Artículo 14 y produce decisiones automatizadas ilícitas (Artículo 22 del RGPD) podría afrontar multas tanto de la APD como de la autoridad de vigilancia del mercado por el mismo fallo.
Las APD y las autoridades de vigilancia del mercado coordinan cada vez más sus investigaciones. Espere que la ejecución conjunta se vuelva más habitual a medida que transcurra el plazo del 2 de diciembre de 2027 para los sistemas del Anexo III y comience la supervisión activa.
Cómo ayuda Confir
Los flujos de trabajo de cumplimiento de Confir se estructuran en torno a la Ley de IA, pero señalan explícitamente los puntos de contacto con el RGPD allí donde los regímenes se cruzan. Cuando ejecuta una evaluación estructurada a través de Confir, el módulo AITO (Transparencia y Supervisión Humana, que abarca los Artículos 13, 14, 27 y 50) hace aflorar la interacción con el Artículo 22 del RGPD junto al requisito de supervisión humana de la Ley de IA, de modo que aborde ambos en una sola pasada de documentación. El flujo de trabajo de la EIDF del Artículo 27 indica dónde puede ya existir una EIPD y dónde pueden incorporarse sus conclusiones.
La lógica de clasificación y de alcance de Confir es determinista y basada en reglas —la misma admisión produce el mismo resultado, con la regla que se activó visible en el registro de auditoría—. No hay un motor de inferencia adivinando sus obligaciones. Para un documento de cumplimiento que se enfrentará al escrutinio regulatorio, la reproducibilidad importa.
Preguntas frecuentes
¿Sustituye la Ley de IA de la UE al RGPD para los sistemas de IA?
No. La Ley de IA es explícita en que se aplica sin perjuicio del RGPD (considerando 9). Ambos reglamentos se aplican de forma acumulativa cuando un sistema de IA trata datos personales. El cumplimiento de uno no satisface al otro —debe abordar por separado las obligaciones de tratamiento de datos con arreglo al RGPD y las obligaciones de gobernanza del sistema con arreglo a la Ley de IA, aun cuando la documentación se solape.
¿Es una EIDF lo mismo que una EIPD?
No. Una evaluación de impacto relativa a la protección de datos (Artículo 35 del RGPD) se centra en los riesgos para los interesados derivados del tratamiento de datos personales. Una evaluación de impacto relativa a los derechos fundamentales (Artículo 27 de la Ley de IA) se centra en el impacto más amplio del sistema de IA sobre los derechos fundamentales —no discriminación, acceso a la justicia, equidad—. El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD existente, y elaborar primero la EIPD suele ser más eficiente. Pero la EIDF cubre un terreno adicional y solo se exige a determinados responsables del despliegue (organismos públicos y responsables del despliegue privados de sistemas de IA de solvencia o de seguros de vida/salud).
¿Pueden tratarse datos de categoría especial para detectar sesgos de la IA?
Sí, con límites. El Artículo 10, apartado 5, de la Ley de IA permite tratar datos de categoría especial estrictamente con el fin de detectar y corregir sesgos en los datos de entrenamiento, siempre que se establezcan las garantías adecuadas. Esto no prevalece sobre el RGPD —sigue necesitando una base jurídica con arreglo al Artículo 9, apartado 2, del RGPD para ese tratamiento—. En la mayoría de los casos será un fundamento de interés público esencial con arreglo a la legislación nacional de aplicación. Documente tanto la justificación del Artículo 10, apartado 5, como la base del RGPD en su documentación técnica del Artículo 11.
¿Qué autoridad ejecuta la Ley de IA, la APD o un organismo distinto?
Un organismo distinto. La ejecución del RGPD recae en las autoridades de protección de datos (Artículo 55 del RGPD). La ejecución de la Ley de IA recae en las autoridades nacionales de vigilancia del mercado designadas con arreglo al Artículo 70. Para los modelos de GPAI, la Oficina de IA a nivel de la UE tiene facultades de ejecución (Artículo 99 y Artículo 101). Las APD y las autoridades de vigilancia del mercado son organismos separados, pero coordinan los casos en que el mismo sistema desencadena ambos regímenes. Ambas pueden actuar simultáneamente.
¿Satisface la supervisión humana del Artículo 14 el Artículo 22 del RGPD?
Parcialmente. El Artículo 14 de la Ley de IA exige que los sistemas de alto riesgo se diseñen de modo que un humano pueda supervisarlos e intervenir eficazmente. El Artículo 22 del RGPD otorga a los interesados el derecho a obtener la intervención humana y a impugnar las decisiones automatizadas con efectos jurídicos o similares. Un mecanismo genuino del Artículo 14 —en el que el revisor posee autoridad real para anular— satisface el requisito de intervención del Artículo 22. Pero el Artículo 22 también otorga el derecho a impugnar la decisión, lo que requiere un proceso de reclamación separado. Diseñe ambos desde el principio.
¿Qué sanciones se aplican si se incumplen ambos regímenes?
Se calculan de forma independiente. Las multas del RGPD (con arreglo al Artículo 83 del RGPD) alcanzan los 20 000 000 € o el 4 % del volumen de negocios anual mundial total para las infracciones más graves —esas son las cifras del RGPD—. Las multas de la Ley de IA (con arreglo al Artículo 99) alcanzan los 35 000 000 € o el 7 % por los incumplimientos de las prohibiciones del Artículo 5, y los 15 000 000 € o el 3 % por la mayoría de las infracciones de los sistemas de alto riesgo. Ambas se calculan sobre el volumen de negocios mundial, y ambas pueden aplicarse al mismo fallo subyacente.
¿Cuándo deben cumplir los sistemas de IA de alto riesgo la Ley de IA?
En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos (los de la lista del Anexo III —contratación, calificación crediticia, biometría, etc.) deben cumplir a partir del 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados con arreglo al Anexo I (máquinas, productos sanitarios) tiene hasta el 2 de agosto de 2028. Las obligaciones del RGPD están en vigor desde mayo de 2018 y continúan sin cambios —si su sistema ya trata datos personales, el RGPD se aplica ahora.
Guías relacionadas
- herramienta de clasificación de riesgos del Artículo 6
- marco de los niveles de clasificación de riesgo
- panorama regulatorio de la Ley de IA de la UE
- chapeau de requisitos de cumplimiento del Artículo 8
- lista de comprobación de obligaciones de cumplimiento
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →