Compliance e Inteligencia Artificial: AI Act y RGPD

El Reglamento de Inteligencia Artificial de la Unión Europea —en vigor desde agosto de 2024 y con aplicación progresiva hasta 2027— ha creado la primera arquitectura de compliance específica para sistemas de IA de alcance global. Su enfoque basado en riesgos clasifica los sistemas en cuatro categorías —riesgo inaceptable, alto riesgo, riesgo limitado y mínimo riesgo— e impone obligaciones sustanciales a proveedores y responsables del despliegue en áreas tan diversas como la evaluación de conformidad, el registro en bases de datos europeas y la supervisión humana efectiva durante la operación.

La superposición del AI Act con el RGPD genera una capa adicional de complejidad para los equipos de compliance. Cuando un sistema de IA de alto riesgo trata datos personales —como ocurre en la práctica totalidad de los casos de uso en RRHH, crédito o sanidad—, el responsable del tratamiento debe cumplir simultáneamente con las obligaciones de evaluación de impacto (DPIA) del RGPD y con los requisitos de gestión de riesgos del AI Act, que no están alineados metodológicamente. El Comité Europeo de Protección de Datos (EDPB) ha emitido directrices provisionales sobre esta articulación, pero persisten zonas grises de considerable importancia práctica.

Más allá del marco europeo, la proliferación de regulaciones sectoriales —las directrices de la EBA para entidades de crédito, las guías de la ESMA para sistemas de IA en mercados financieros, o las recomendaciones de la OMS para IA en diagnóstico clínico— exige que los profesionales del derecho adopten un enfoque de compliance transversal capaz de gestionar la fragmentación normativa sin comprometer la agilidad de implantación tecnológica de sus clientes.

Temas que abordamos

Clasificación de sistemas de IA de alto riesgo bajo el AI Act: criterios, anexos normativos y casos límite en sectores regulados

Evaluaciones de conformidad y organismos notificados: procedimientos, documentación técnica y declaración UE de conformidad

Articulación práctica del AI Act y el RGPD: DPIA, evaluaciones de impacto algorítmico y gestión integrada de riesgos

Gobernanza de datos de entrenamiento: calidad, representatividad y obligaciones de trazabilidad bajo el AI Act

Supervisión humana efectiva (human oversight): diseño jurídico de procesos que satisfagan el artículo 14 del AI Act

Sistemas de gestión del riesgo en IA para entidades financieras: cumplimiento cruzado con la EBA, DORA y el AI Act

Registro europeo de IA de alto riesgo: obligaciones de notificación, plazos y responsabilidades del importador

Sanciones bajo el AI Act: régimen sancionador, autoridades nacionales competentes y coordinación con las APDs

Últimas publicaciones

Rafael Domínguez Ávalos 5 jun. 2026

AI Act y DPIA: cómo integrar las evaluaciones de impacto sin duplicar esfuerzos ni generar lagunas de cumplimiento

Un análisis metodológico de las diferencias entre la gestión de riesgos exigida por el AI Act y la evaluación de impacto relativa a la protección de datos del RGPD, con propuesta de proceso unificado.

Ana Belén Ríos Montero 27 may. 2026

El sistema de clasificación de riesgo del AI Act en la práctica: diez casos fronterizos que los equipos legales deben conocer

Desde herramientas de scoring de crédito hasta sistemas de detección de fraude en seguros, la frontera entre riesgo alto y limitado no siempre es evidente en la casuística empresarial real.

Carlos Fuentes Ibáñez 14 may. 2026

Responsabilidad del importador bajo el AI Act: obligaciones de los distribuidores europeos de sistemas de IA desarrollados fuera de la UE

El AI Act extiende la responsabilidad al importador cuando el proveedor extranjero no tiene representante designado en la Unión, creando un nuevo perfil de riesgo legal para la cadena de suministro tecnológica.

Compliance en IA, cada semana

Actualizaciones normativas, guías prácticas y análisis de jurisprudencia sobre el AI Act y el RGPD.