Dos reglamentos europeos regulan hoy el mismo fenómeno desde ángulos distintos: el RGPD protege los datos personales; el AI Act controla los riesgos de la inteligencia artificial. Cuando un sistema de IA procesa datos personales, ambos aplican simultáneamente y generan obligaciones acumuladas que ningún jurista puede ignorar.
El ecosistema normativo europeo sobre tecnología ha experimentado en los últimos años una densificación sin precedentes. El Reglamento (UE) 2016/679 (RGPD), en vigor desde mayo de 2018, estableció el marco general para el tratamiento de datos personales. El Reglamento (UE) 2024/1689 (AI Act), en vigor desde agosto de 2024, añade un segundo estrato regulatorio que se superpone al RGPD allí donde los sistemas de IA procesan datos personales.
La coexistencia de ambos instrumentos no es accidental: el legislador europeo era consciente de que los sistemas de IA son, en su mayor parte, sistemas que procesan datos —y frecuentemente datos personales. La decisión de no refundir ambas normas en un único instrumento respondió a una lógica de especialización: el RGPD aborda los riesgos para los derechos de los interesados derivados del tratamiento de datos; el AI Act aborda los riesgos sistémicos que los sistemas de IA generan para la seguridad, la salud, los derechos fundamentales y el Estado de Derecho, con independencia de que esos sistemas procesen o no datos personales.
El resultado es un marco de doble capa que el jurista debe aprender a navegar: identificar cuándo se activan uno o ambos reglamentos, comprender qué exige cada uno, y articular una respuesta de compliance integrada que cumpla con los dos sin duplicar innecesariamente esfuerzos.
| Dimensión | RGPD (Reglamento UE 2016/679) | AI Act (Reglamento UE 2024/1689) |
|---|---|---|
| Objeto | Protección de personas físicas en el tratamiento de datos personales y libre circulación de esos datos | Garantizar que los sistemas de IA comercializados o usados en la UE sean seguros y respeten derechos fundamentales |
| Ámbito de aplicación | Todo tratamiento de datos personales por responsables o encargados establecidos en la UE, o que traten datos de personas en la UE | Proveedores, desplegadores, importadores y distribuidores de sistemas de IA en la UE, o cuyos sistemas afecten a personas en la UE |
| Sujeto protegido | El interesado (persona física cuyos datos se tratan) | La sociedad en general; usuarios y personas afectadas por sistemas de IA |
| Criterio de activación | Tratamiento de datos personales (cualquier dato que identifique o permita identificar a una persona física) | Uso, comercialización o desarrollo de un "sistema de IA" según la definición del art. 3.1 |
| Principales obligados | Responsable del tratamiento, encargado del tratamiento | Proveedor (provider), desplegador (deployer), importador, distribuidor |
| Derechos reconocidos | Acceso, rectificación, supresión, portabilidad, oposición, no ser objeto de decisiones automatizadas (art. 22) | Derecho a explicación en sistemas de alto riesgo, derecho a reclamación, supervisión humana |
| Evaluación de impacto | DPIA (art. 35): obligatoria cuando el tratamiento suponga alto riesgo para derechos y libertades de personas físicas | Evaluación de conformidad (art. 43): obligatoria para sistemas de alto riesgo antes de su puesta en servicio |
| Autoridad supervisora | Autoridades de protección de datos (en España: AEPD) | Autoridad nacional de supervisión de IA (en España: en proceso de designación); Oficina Europea de IA para GPAI |
| Sanciones máximas | 20 M€ o 4% de la facturación mundial anual (el mayor de los dos) para infracciones muy graves | 35 M€ o 7% de la facturación mundial anual para uso de sistemas prohibidos; 15 M€ o 3% para otras infracciones |
| Registro | Registro de actividades de tratamiento (art. 30) | Base de datos de la UE de sistemas de IA de alto riesgo (art. 71); registro interno de sistemas IA |
La aplicación simultánea del RGPD y el AI Act se activa cuando concurren dos condiciones: que exista un sistema de IA en el sentido del art. 3.1 del AI Act, y que ese sistema procese datos personales en el sentido del art. 4.1 del RGPD. Esta doble concurrencia se produce en la aplastante mayoría de los casos prácticos.
El considerando 9 del AI Act es explícito al respecto: «El presente Reglamento debe entenderse sin perjuicio del Reglamento (UE) 2016/679 [...]. Por consiguiente, cuando el tratamiento de datos personales sea necesario para que los proveedores, los desplegadores u otros agentes puedan cumplir las obligaciones derivadas del presente Reglamento, dicho tratamiento puede basarse en el artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679.»
Esto significa que el AI Act no solo coexiste con el RGPD, sino que lo presupone. Los supuestos más frecuentes de aplicación simultánea incluyen:
El principio general es que RGPD y AI Act no se contradicen sino que se complementan; ambos aspiran a proteger derechos fundamentales desde perspectivas distintas. Sin embargo, en la práctica surgen tensiones interpretativas en al menos tres ámbitos:
El art. 22.3 del RGPD reconoce al interesado el derecho a obtener «intervención humana», a «expresar su punto de vista» y a «impugnar» las decisiones adoptadas exclusivamente mediante tratamiento automatizado. El art. 86 del AI Act establece, por su parte, el derecho a obtener una «explicación» del papel desempeñado por el sistema de IA de alto riesgo en el procedimiento de toma de decisiones que le afecta.
La tensión surge cuando la empresa invoca el secreto comercial o la protección de la propiedad intelectual para limitar la transparencia del algoritmo. Ni el RGPD ni el AI Act admiten que el secreto comercial anule por completo el derecho a explicación, pero ambos permiten que la información se facilite a través de autoridades supervisoras antes que directamente al interesado cuando existan razones de confidencialidad legítimas. En caso de conflicto, prevalece la interpretación más favorable a los derechos del interesado.
El principio de minimización de datos del art. 5.1.c) RGPD exige que los datos personales sean «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». El AI Act, sin embargo, requiere que los sistemas de IA de alto riesgo se entrenen con conjuntos de datos suficientemente amplios y representativos para garantizar su fiabilidad y ausencia de sesgos (art. 10). Cuantos más datos de entrenamiento, mayor representatividad; cuantos menos, mayor respeto al principio de minimización.
La solución no pasa por ignorar uno de los principios, sino por aplicar técnicas de privacidad diferencial, anonimización de datos de entrenamiento o aprendizaje federado que permitan mejorar la calidad del modelo sin ampliar innecesariamente el perímetro de datos personales tratados.
El art. 12 del AI Act exige que los sistemas de alto riesgo generen y conserven automáticamente registros de eventos (logs) durante al menos seis meses. El principio de limitación del plazo de conservación del art. 5.1.e) RGPD exige que los datos personales no se conserven más tiempo del necesario para la finalidad del tratamiento. Si los logs contienen datos personales —como nombres de usuarios, identificadores o contenido de interacciones—, el responsable debe configurar el sistema para retener los logs el tiempo mínimo exigido por el AI Act, pero no más, salvo que exista una finalidad adicional que justifique una conservación mayor.
El AI Act no crea la figura del "Responsable de Compliance de IA" con carácter obligatorio de forma general —a diferencia del RGPD, que exige la designación de DPO en determinados supuestos (art. 37 RGPD). No obstante, el AI Act sí impone a los desplegadores de sistemas de alto riesgo la obligación de designar un responsable de supervisión de los sistemas (art. 26.6) y de garantizar que el personal que opera el sistema tenga la capacitación técnica adecuada.
En la práctica, el DPO es el candidato natural para asumir —o coordinar— las funciones de compliance del AI Act, por varias razones:
La recomendación práctica es ampliar formalmente el mandato del DPO para incluir la supervisión del AI Act, documentar esta ampliación y asegurarse de que el DPO recibe la formación específica necesaria. En organizaciones de cierta dimensión, puede ser conveniente crear un Comité de Ética e IA que integre al DPO junto a perfiles técnicos y de negocio.
El DPO no puede ser el único responsable
El AI Act impone obligaciones directas a los desplegadores como tales, no solo a quienes designen. Un DPO que detecte un incumplimiento del AI Act pero no tenga capacidad de impedir el despliegue del sistema no cumple con las exigencias de supervisión efectiva. El art. 26 del AI Act requiere que el desplegador asigne recursos humanos y técnicos suficientes para la supervisión. Esto implica que la alta dirección debe asumir responsabilidad ejecutiva en el cumplimiento del AI Act, con el DPO en un rol asesor y de control.
Tanto el RGPD como el AI Act exigen realizar evaluaciones previas al despliegue de determinados sistemas, pero estas evaluaciones tienen objetos, metodologías y consecuencias jurídicas distintas.
La Evaluación de Impacto relativa a la Protección de Datos (DPIA) es obligatoria cuando el tratamiento «entraña un alto riesgo para los derechos y libertades de las personas físicas» (art. 35.1 RGPD). El art. 35.3 enumera supuestos específicos: evaluación sistemática de aspectos personales mediante perfiles —especialmente con toma de decisiones automatizada—, tratamiento a gran escala de categorías especiales, y supervisión sistemática de zonas de acceso público. Todos ellos son especialmente relevantes cuando el tratamiento se realiza mediante sistemas de IA.
La DPIA debe incluir: descripción de las operaciones de tratamiento, evaluación de la necesidad y proporcionalidad, evaluación de los riesgos para los interesados, y medidas para abordar esos riesgos. Si la DPIA concluye que el riesgo residual es elevado y el responsable no puede mitigarlo, debe consultar a la autoridad de control (art. 36 RGPD) antes de iniciar el tratamiento.
Para los sistemas de IA de alto riesgo —con la excepción de los sistemas del Anexo III relativos a infraestructuras críticas y determinados ámbitos regulados, que requieren evaluación de tercero—, la evaluación de conformidad puede realizarse mediante autoevaluación interna siguiendo los procedimientos del Anexo VI. Esta evaluación se centra en aspectos técnicos: gestión de riesgos (art. 9), gobernanza de datos de entrenamiento (art. 10), documentación técnica (art. 11), registros automáticos (art. 12), transparencia (art. 13), supervisión humana (art. 14), y solidez y ciberseguridad (art. 15).
El resultado es la Declaración UE de Conformidad y el marcado CE del sistema de IA de alto riesgo, requisitos previos a su puesta en servicio. Los desplegadores —que en la mayoría de casos compran o contratan sistemas ya desarrollados por terceros— deben verificar que el proveedor ha completado la evaluación de conformidad y les facilita la documentación técnica necesaria.
Aunque son procedimientos distintos, la DPIA y la evaluación de conformidad comparten una base de información significativa. Ambas requieren identificar los actores y flujos del sistema, los datos procesados, los riesgos potenciales y las medidas de mitigación. La recomendación es desarrollar un proceso integrado de evaluación que alimente ambos procedimientos con una fuente de información común, evitando duplicidades y asegurando la coherencia entre los dos documentos.
| Criterio | DPIA (RGPD art. 35) | Evaluación de conformidad (AI Act art. 43) |
|---|---|---|
| Obligado | Responsable del tratamiento | Proveedor (para su desarrollo); desplegador (para verificar y documentar el uso) |
| Cuándo | Antes del inicio del tratamiento de alto riesgo para derechos y libertades | Antes de la puesta en servicio del sistema de IA de alto riesgo |
| Foco | Riesgos para los derechos de los interesados derivados del tratamiento de sus datos | Conformidad técnica del sistema con los requisitos del AI Act (robustez, transparencia, supervisión humana) |
| Resultado | Informe DPIA; consulta previa a la AEPD si el riesgo residual es elevado | Declaración UE de Conformidad; marcado CE; registro en la base de datos de la UE |
| Rol del DPO | Obligatorio: el DPO debe ser consultado (art. 35.2 RGPD) | No obligatorio formalmente, pero recomendable su implicación |
La posibilidad de acumulación de sanciones es una de las cuestiones más relevantes desde el punto de vista práctico, y también una de las más discutidas en la doctrina. La respuesta corta es: jurídicamente, sí pueden acumularse; en la práctica, los mecanismos de coordinación entre autoridades reducen —pero no eliminan— ese riesgo.
El RGPD atribuye la potestad sancionadora a las autoridades de protección de datos (en España, la AEPD). El AI Act atribuye la potestad sancionadora a las autoridades nacionales de supervisión de IA (en España, pendiente de designación), con la supervisión de la Oficina Europea de IA para los modelos de uso general. Ambas autoridades son distintas, tienen competencias distintas y pueden iniciar procedimientos sancionadores independientes.
Si una empresa despliega un sistema de IA de alto riesgo que procesa datos personales sin haber realizado ni la DPIA requerida por el RGPD ni la evaluación de conformidad requerida por el AI Act, puede incurrir simultáneamente en infracción del art. 83.4 RGPD (hasta 10 M€ o 2% de la facturación global) y del art. 99.3 del AI Act (hasta 15 M€ o 3% de la facturación global). La suma teórica podría alcanzar 25 millones de euros o el 5% de la facturación.
El principio ne bis in idem —nadie puede ser sancionado dos veces por el mismo hecho— podría aplicarse para evitar sanciones acumuladas cuando el mismo comportamiento infrinja simultáneamente ambos reglamentos. Sin embargo, la doctrina mayoritaria considera que RGPD y AI Act protegen bienes jurídicos distintos —la privacidad individual frente a la seguridad y los derechos fundamentales en sentido amplio— por lo que las sanciones no necesariamente recaen sobre el «mismo ilícito» en sentido estricto.
En la práctica, es probable que las autoridades supervisoras coordinen sus actuaciones a través del Comité Europeo de Protección de Datos y la Oficina Europea de IA, especialmente para los grandes operadores. Pero esa coordinación no está jurídicamente garantizada, y su ausencia no excluye la acumulación.
Impacto en PYMEs y despachos
Para PYMEs y microempresas, tanto el RGPD como el AI Act prevén que las sanciones se calculen aplicando el importe más favorable entre la cuantía fija y el porcentaje de facturación. No obstante, incluso el límite porcentual puede ser devastador para un despacho de abogados de tamaño medio. La inversión en compliance preventivo tiene un retorno claro cuando se compara con el coste potencial de la infracción.
La gestión integrada del RGPD y el AI Act no requiere duplicar estructuras de compliance, sino ampliar y adaptar las existentes. Las siguientes recomendaciones están dirigidas a juristas que asesoran a empresas o despachos que utilizan o desarrollan sistemas de IA:
Doctrina, jurisprudencia y práctica forense sobre IA y Derecho en su bandeja de entrada, cada lunes.
Suscribirse al boletín