Correspondencia entre la Ley de IA de la UE y el RGPD: tabla de asignación de obligaciones
Asignación artículo por artículo: de la Ley de IA de la UE al RGPD. Dónde se combinan la EIDF del art. 27 y la EIPD del art. 35, dónde se solapan el art. 14 y el art. 22 del RGPD, y dónde divergen los dos.
Dos reglamentos separados, dos conjuntos de reguladores, dos regímenes sancionadores, pero un solo equipo de cumplimiento. Cuando un sistema de IA trata datos personales, la Ley de IA de la UE (Reglamento (UE) 2024/1689) y el RGPD (Reglamento (UE) 2016/679) se aplican ambos, de forma simultánea e independiente. Ninguno cede ante el otro. Las autoridades de vigilancia del mercado aplican la Ley de IA; las autoridades de protección de datos (APD) aplican el RGPD.
Esta página asigna los pares de obligaciones concretos —artículo de la Ley de IA de la UE a artículo del RGPD— para que veas exactamente dónde se tocan ambos marcos, dónde una sola evaluación puede satisfacer ambos y dónde divergen de verdad. Para el tratamiento conceptual más amplio de cómo se cruzan ambos marcos, consulta nuestra guía de la intersección entre el RGPD y la Ley de IA de la UE.
La tabla de correspondencia
Antes de leer los pares: mantén los regímenes sancionadores claramente separados. Las multas de la Ley de IA de la UE con arreglo al artículo 99 alcanzan los 35 000 000 EUR o el 7 % del volumen de negocios mundial (prohibiciones del artículo 5), los 15 000 000 EUR o el 3 % (la mayoría de las demás obligaciones) y los 7 500 000 EUR o el 1 % (información engañosa a las autoridades). Las multas del RGPD con arreglo al artículo 83 del RGPD alcanzan los 20 000 000 EUR o el 4 % (artículo 83, apartado 5, del RGPD: las infracciones más graves) y los 10 000 000 EUR o el 2 % (artículo 83, apartado 4, del RGPD: obligaciones de procedimiento). Son instrumentos separados; un único incidente de IA que implique datos personales puede atraer multas de ambos, de distintas autoridades.
| Obligación de la Ley de IA | Equivalente del RGPD | Relación |
|---|---|---|
| Artículo 9 de la Ley de IA — sistema de gestión de riesgos | Artículo 35 del RGPD — EIPD | Adyacente; el resultado de la EIPD alimenta el registro de riesgos del art. 9 |
| Artículo 10 de la Ley de IA — datos y gobernanza de datos | Principios de datos del artículo 5 del RGPD + categorías especiales del artículo 9 del RGPD | Deberes paralelos pero distintos; el art. 10, apdo. 5, refleja el art. 9 del RGPD para los datos sensibles en el entrenamiento |
| Artículos 13 y 50 de la Ley de IA — transparencia | Artículos 13 y 14 del RGPD — obligaciones de información + artículo 12 del RGPD — comunicación accesible | Fuerte solapamiento; un único aviso puede abordar ambos cuando los requisitos coinciden |
| Artículo 14 de la Ley de IA — supervisión humana | Artículo 22 del RGPD — derecho a la revisión humana de las decisiones exclusivamente automatizadas | Basado en derechos frente a basado en gobernanza; un solo mecanismo de supervisión debería satisfacer ambos |
| Artículo 27 de la Ley de IA — EIDF | Artículo 35 del RGPD — EIPD | El art. 27, apdo. 4, permite explícitamente que la EIDF se base en la EIPD; la evaluación combinada es práctica habitual |
| Artículos 12, 19 y 26 de la Ley de IA — registros y archivos | Artículo 30 del RGPD — registro de las actividades de tratamiento (RAT) | Aditivo; los registros de la Ley de IA son más estrechos (registros de eventos técnicos); el RAT del RGPD es más amplio (todo el tratamiento) |
| Artículo 49 de la Ley de IA — registro en la base de datos de la UE | Sin equivalente directo en el RGPD | Sin contrapartida en el RGPD; una obligación separada, exclusiva de la Ley de IA |
Cada par se desglosa a continuación.
Artículo 9 de la Ley de IA ↔ Artículo 35 del RGPD
El artículo 9 de la Ley de IA exige que los proveedores de IA de alto riesgo implementen un sistema de gestión de riesgos —documentado, iterativo, que cubra los riesgos previsibles a lo largo de todo el ciclo de vida del sistema.
El artículo 35 del RGPD exige una EIPD antes de un tratamiento «que entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas». La elaboración de perfiles sistemática, los datos de categorías especiales a gran escala, las tecnologías novedosas y la observación sistemática suelen activarla.
Dónde conectan: ambos exigen una evaluación de riesgos estructurada previa al despliegue. El resultado de la EIPD alimenta directamente el expediente de gestión de riesgos del artículo 9. Realízalos juntos; documenta las conclusiones compartidas una sola vez.
Dónde divergen: el sistema del artículo 9 es un control operativo continuo; la EIPD es una evaluación previa al tratamiento que se revisa en los cambios significativos. El artículo 9 se centra en los riesgos derivados de los resultados de salida de la IA; el artículo 35 del RGPD se centra en los riesgos derivados del tratamiento de datos personales. Un sistema de IA sin datos personales en los resultados de salida podría aun así requerir ambos.
Artículo 10 de la Ley de IA ↔ Artículo 5 del RGPD + Artículo 9 del RGPD
El artículo 10 de la Ley de IA fija los requisitos de gobernanza de datos para los conjuntos de datos de entrenamiento, validación y prueba: los datos deben ser pertinentes, representativos y, en la mayor medida posible, estar libres de errores. Cuando se utilizan datos de categorías especiales en el entrenamiento, el artículo 10, apartado 5, lo permite únicamente cuando sea estrictamente necesario para la vigilancia de sesgos con las salvaguardas adecuadas.
El artículo 5 del RGPD establece los principios esenciales de los datos: licitud, lealtad, transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad. El artículo 9 del RGPD prohíbe el tratamiento de datos de categorías especiales salvo que se aplique una excepción explícita —una cuestión frecuente en los datos de entrenamiento que contienen datos de salud, origen étnico u otros atributos sensibles a través de variables proxy o datos extraídos de la web.
Dónde conectan: ambos señalan los datos de categorías especiales como necesitados de un tratamiento reforzado. Una política de gobernanza de datos que cubra la detección de sesgos y los controles de las categorías especiales satisface ambos simultáneamente.
Dónde divergen: el artículo 5 del RGPD exige una base jurídica con arreglo al artículo 6 del RGPD para utilizar datos personales en el entrenamiento, en absoluto —el artículo 10 da por resuelto eso y aborda, por encima, la representatividad y el sesgo. La minimización de datos (RGPD) puede entrar en tensión con el requisito de representatividad del artículo 10.
Artículos 13 y 50 de la Ley de IA ↔ Artículos 12 a 14 del RGPD
El artículo 13 de la Ley de IA exige que los sistemas de IA de alto riesgo se diseñen para permitir que los responsables del despliegue comprendan cómo funciona el sistema —documentación de cara al responsable del despliegue para apoyar la supervisión humana. El artículo 50 de la Ley de IA exige, desde el 2 de agosto de 2026, que se informe a las personas físicas cuando interactúan con un sistema de IA, que el contenido generado por IA se marque como tal y que los resultados de reconocimiento de emociones o de categorización biométrica se divulguen a las personas afectadas.
Los artículos 13 y 14 del RGPD exigen que los responsables del tratamiento faciliten a las personas información clara sobre cómo se tratan sus datos personales. El artículo 12 del RGPD exige que la información se facilite de forma concisa, inteligible y de fácil acceso.
Dónde conectan: cualquier sistema de IA que trate datos personales e interactúe con personas genera deberes de transparencia que se solapan. Un chatbot debe divulgar tanto que es un sistema de IA (artículo 50) como que trata datos personales (artículos 13 y 14 del RGPD). Un único aviso al usuario bien redactado cubre ambos.
Dónde divergen: la transparencia del RGPD es de cara al interesado y específica de los datos personales. El artículo 13 de la Ley de IA es de cara al responsable del despliegue. El artículo 50 es de cara a la persona pero más amplio: el requisito de divulgación se aplica incluso cuando la interacción con la IA no implica datos personales.
Artículo 14 de la Ley de IA ↔ Artículo 22 del RGPD
El artículo 14 de la Ley de IA exige que los sistemas de IA de alto riesgo se diseñen para permitir una supervisión humana efectiva —las personas responsables deben tener la competencia, la autoridad y las herramientas para vigilar el funcionamiento, reconocer anomalías e intervenir, incluida la posibilidad de anular o suspender el sistema.
El artículo 22 del RGPD otorga a las personas el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos significativos —salvo que la decisión sea necesaria para un contrato, esté autorizada por ley o se base en el consentimiento explícito. Cuando se aplique cualquier excepción, el responsable del tratamiento debe implementar salvaguardas, incluido el derecho a obtener una revisión humana.
Dónde conectan: ambos exigen que un humano sea genuinamente capaz de intervenir en las decisiones de IA trascendentes. Un proceso de supervisión construido para satisfacer el artículo 14 —un revisor formado con autoridad y acceso a los datos para anular los resultados de la IA— es también la salvaguarda del artículo 22 del RGPD.
Dónde divergen: el artículo 22 del RGPD solo se activa por decisiones exclusivamente automatizadas con efectos significativos. El artículo 14 de la Ley de IA se aplica a todos los sistemas de IA de alto riesgo con independencia de que alguna decisión sea exclusivamente automatizada. «Un humano la revisó» no satisface ninguno de los dos: el RGPD exige una revisión significativa; el artículo 14 exige una supervisión genuinamente efectiva. Un proceso de sello de goma falla en ambos.
Artículo 27 de la Ley de IA ↔ Artículo 35 del RGPD
El artículo 27 de la Ley de IA exige que determinados responsables del despliegue realicen una Evaluación de Impacto en los Derechos Fundamentales antes de desplegar un sistema de IA de alto riesgo. La obligación se aplica a: a) los organismos de Derecho público que desplieguen cualquier sistema de IA de alto riesgo; y b) los responsables del despliegue privados de sistemas de solvencia/calificación crediticia del Anexo III, punto 5, letra b), o de seguros de vida/salud del punto 5, letra c). La mayoría de los responsables del despliegue del sector privado no deben una EIDF.
El artículo 35 del RGPD exige una EIPD antes de un tratamiento de datos personales de alto riesgo —una evaluación estructurada de la necesidad y la proporcionalidad del tratamiento, los riesgos para los interesados y las medidas para abordarlos.
Dónde conectan: ambas son evaluaciones previas al despliegue. El artículo 27, apartado 4, permite explícitamente que la EIDF se base en una EIPD ya realizada —la disposición de «hazlo una vez, satisface a muchos» más clara de ambos reglamentos.
Dónde divergen: la EIPD cubre los riesgos del tratamiento de datos; la EIDF cubre los riesgos para los derechos fundamentales de forma más amplia —no discriminación, acceso a servicios esenciales, procesos judiciales justos. La EIPD puede realizarla el responsable del tratamiento (proveedor o responsable del despliegue); la EIDF es siempre obligación del responsable del despliegue.
Artículos 12, 19 y 26 de la Ley de IA ↔ Artículo 30 del RGPD
El artículo 12 de la Ley de IA exige que los sistemas de IA de alto riesgo generen automáticamente registros de los eventos que puedan causar o contribuir a un riesgo. El artículo 19 exige que los proveedores conserven esos registros durante al menos seis meses cuando los controlen. El artículo 26 impone el mismo mínimo de seis meses a los responsables del despliegue.
El artículo 30 del RGPD exige un registro de las actividades de tratamiento —un documento de gobernanza de alto nivel que cubra las finalidades, las categorías de datos, los destinatarios, las transferencias, los plazos de conservación y las medidas de seguridad.
Dónde conectan: todo sistema de IA que trate datos personales debe aparecer tanto en el RAT del artículo 30 como en los registros de archivo e inventario de la Ley de IA.
Dónde divergen: los registros de la Ley de IA son registros de eventos técnicos —entradas, salidas y anomalías con marca de tiempo— diseñados para la revisión de vigilancia del mercado posterior a un incidente. El RAT del RGPD es un registro de gobernanza organizativa diseñado para demostrar la responsabilidad proactiva ante las autoridades de control. Distintos en forma, audiencia y contenido; ninguno sustituye al otro.
Artículo 49 de la Ley de IA: sin contrapartida en el RGPD
El artículo 49 de la Ley de IA exige que los proveedores de sistemas de IA de alto riesgo registren sus sistemas en la base de datos de la UE (establecida con arreglo al artículo 71) antes de introducirlos en el mercado. Los responsables del despliegue de sistemas de categorías específicas del Anexo III también deben registrarse. Para los proveedores que reclaman la exención del artículo 6, apartado 3, de la clasificación de alto riesgo, también se exige el registro de esa evaluación.
No existe equivalente en el RGPD. El registro del artículo 49 no puede delegarse en el programa del RGPD del DPD y debe rastrearse por separado. La base de datos de la UE es de búsqueda pública: un sistema que debería estar registrado pero no lo está acabará siendo visible para los reguladores, los competidores y el público.
Hazlo una vez, satisface a muchos: dónde un solo esfuerzo sirve a ambos marcos
| Lo que construyes una vez | Finalidad en la Ley de IA | Finalidad en el RGPD |
|---|---|---|
| Evaluación de riesgos previa al despliegue (EIDF que incorpora la EIPD) | EIDF del artículo 27 | EIPD del artículo 35 del RGPD |
| Proceso de supervisión humana | Mecanismo de supervisión del artículo 14 | Salvaguarda del artículo 22 del RGPD para las decisiones automatizadas |
| Aviso combinado de privacidad e interacción con IA | Divulgación del artículo 50 (desde ago. 2026) + información del art. 13 para los responsables del despliegue | Obligaciones de información de los artículos 12 a 14 del RGPD |
| Inventario único de IA con campos de tratamiento de datos | Entrada de la gestión de riesgos del artículo 9 + referencias de registro de los arts. 12/19/26 | RAT del artículo 30 del RGPD |
Dónde divergen de verdad los marcos
Base jurídica de los datos de entrenamiento. El RGPD exige una base jurídica con arreglo al artículo 6 del RGPD para utilizar datos personales en el entrenamiento —normalmente el interés legítimo, con una Evaluación del Interés Legítimo. El artículo 10 de la Ley de IA no tiene equivalente: da por hecho que los datos se poseen lícitamente y aborda, por encima, la representatividad y el sesgo. Dos análisis separados; ninguno sustituye al otro.
Derechos de supresión. El artículo 17 del RGPD otorga a las personas el derecho a la supresión de sus datos personales. Para los datos de entrenamiento de la IA, esto crea una complejidad técnica que la Ley de IA de la UE no aborda. La Ley de IA no impone ningún marco de supresión ni de derechos del interesado; esa carga recae por entero en el RGPD.
Registro y notificación. El registro del artículo 49 de la Ley de IA es una obligación de cumplimiento sin equivalente en el RGPD. El programa del DPD no puede satisfacerla. Requiere un rastreo y unos recursos separados.
Cómo ayuda Confir
La admisión guiada de Confir capta en una sola pasada los datos relevantes tanto para la Ley de IA de la UE como para el RGPD de cada sistema de IA. Las preguntas de clasificación de riesgo sacan a la luz si un sistema trata datos personales, si toma decisiones trascendentes sobre personas y si están implicados datos de categorías especiales —alimentando simultáneamente la determinación del nivel de riesgo de la Ley de IA y la evaluación del desencadenante de la EIPD del RGPD.
Cuando un responsable del despliegue está sujeto al artículo 27, el flujo de trabajo de EIDF de Confir incorpora los elementos del artículo 35 del RGPD exigidos por el artículo 27, apartado 4, produciendo un único documento combinado. El motor es basado en reglas y determinista: la misma admisión produce la misma asignación de obligaciones, de forma coherente.
Preguntas frecuentes
¿Cuál es la diferencia entre la Ley de IA de la UE y el RGPD?
Son reglamentos separados con autoridades de control separadas, estructuras sancionadoras separadas y obligaciones separadas. El RGPD (Reglamento (UE) 2016/679) rige el tratamiento de datos personales. La Ley de IA de la UE (Reglamento (UE) 2024/1689) rige los sistemas de IA por nivel de riesgo. Ambos pueden aplicarse al mismo sistema de IA simultáneamente. Cumplir uno no constituye cumplir el otro.
¿Puede una sola EIPD satisfacer el requisito de EIDF de la Ley de IA de la UE?
Sí, cuando se aplica la obligación de EIDF. Con arreglo al artículo 27, apartado 4, de la Ley de IA, una EIDF puede basarse en una EIPD del artículo 35 del RGPD ya existente, ampliada para cubrir los derechos fundamentales más allá de la protección de datos —no discriminación, acceso a servicios esenciales, acceso a la justicia. La obligación de EIDF se aplica únicamente a los organismos públicos (cualquier despliegue de alto riesgo) y a los responsables del despliegue privados de sistemas de solvencia del Anexo III, punto 5, letra b), o de seguros de vida/salud del punto 5, letra c).
¿Se activa siempre el artículo 22 del RGPD cuando se utiliza un sistema de IA de alto riesgo?
No. El artículo 22 del RGPD solo se aplica cuando una decisión se basa únicamente en el tratamiento automatizado y produce efectos significativos en la persona. Muchos sistemas de IA de alto riesgo tienen a un humano que revisa el resultado antes de que se comunique cualquier decisión —eliminando el desencadenante de «exclusivamente automatizado». El artículo 14 de la Ley de IA, en cambio, se aplica de forma más amplia: el sistema debe diseñarse para que la revisión humana sea genuinamente efectiva, sea o no técnicamente automatización «exclusiva».
¿Cuáles son las sanciones de cada reglamento y pueden aplicarse ambas al mismo incidente?
Sí. Las multas del artículo 99 de la Ley de IA alcanzan hasta 15 000 000 EUR o el 3 % del volumen de negocios mundial para la mayoría de las infracciones, aplicadas por las autoridades de vigilancia del mercado. Las multas del artículo 83, apartado 5, del RGPD alcanzan hasta 20 000 000 EUR o el 4 % para las infracciones más graves del RGPD, aplicadas por las autoridades de protección de datos. Un único incidente puede atraer ambas, valoradas de forma independiente con arreglo a instrumentos distintos.
¿Cómo deberíamos estructurar nuestro inventario de IA para satisfacer ambos marcos?
Mantén un inventario maestro de IA que incluya tanto campos de la Ley de IA (clasificación de riesgo, rol de proveedor/responsable del despliegue, estado de cumplimiento) como campos del RGPD (categorías de datos personales, base jurídica, plazo de conservación, transferencias a terceros países). Cuando un sistema aparezca tanto en el inventario de la Ley de IA como en el RAT del RGPD, referencia el registro de la Ley de IA desde la entrada del RAT en lugar de duplicarlo. Un solo registro, dos referencias de marco.
¿Qué autoridad gestiona una reclamación que implique tanto a la Ley de IA de la UE como al RGPD?
Ambas tienen competencia. Las reclamaciones de la Ley de IA de la UE van a la autoridad nacional de vigilancia del mercado (artículo 70); las reclamaciones del RGPD van a la autoridad nacional de protección de datos. Notifica a ambas en paralelo: una notificación a una no satisface a la otra.
¿Se aplica el RGPD a los datos de entrenamiento de la IA?
Sí, cuando los datos de entrenamiento incluyen datos personales. Necesitas una base jurídica con arreglo al artículo 6 del RGPD, debes satisfacer la minimización de datos y la limitación de la finalidad con arreglo al artículo 5 del RGPD, y debes respetar los derechos del interesado. Cuando estén implicados datos de categorías especiales, el artículo 9 del RGPD exige un motivo de excepción específico. El artículo 10 de la Ley de IA añade un requisito paralelo de representatividad de los datos y examen de sesgos —no sustituye las obligaciones del RGPD.
Guías relacionadas
- estrategias de cumplimiento de la IA en el sector sanitario
- requisitos regulatorios de la IA en el sector fintech
- lista de comprobación de cumplimiento de la Ley de IA de la UE
- obligaciones de cumplimiento de la tecnología jurídica
- gobernanza de la IA en el sector público
- visión general del marco de la Ley de IA de la UE
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →