AI Act y RGPD: en qué se diferencian y cuándo hacen falta las dos

·

Es el error más frecuente que vemos en pymes que ya han hecho su EIPD para un sistema de IA: dan el cumplimiento por cerrado. El AI Act (Reglamento (UE) 2024/1689) y el RGPD son dos reglamentos distintos, con objetos de protección distintos, que se activan por triggers distintos. Pueden solaparse —y de hecho lo hacen en biometría, selección de personal o scoring— pero uno no sustituye al otro. Esta guía compara sus obligaciones y explica cuándo necesitas cumplir con los dos a la vez.

Dos reglamentos con objeto distinto

El RGPD protege datos personales: se activa cuando hay un tratamiento de datos de una persona física identificada o identificable. El AI Act regula sistemas de IA como producto: se activa por la naturaleza del sistema (su finalidad, su capacidad de causar daño) exista o no un dato personal de por medio. Un sistema de IA que no trata ningún dato personal —por ejemplo, un modelo de mantenimiento predictivo de maquinaria— puede estar sujeto al AI Act y quedar fuera por completo del RGPD. Y a la inversa: un tratamiento de datos personales con una regla estadística simple, sin IA, puede exigir RGPD sin que el AI Act le afecte en absoluto.

El solapamiento aparece cuando el sistema de IA trata datos personales: reconocimiento facial, IA en selección de personal, scoring de crédito, chatbots con datos de clientes, videovigilancia inteligente. Ahí es donde una empresa necesita mirar las dos normas a la vez, y donde más confusión hay sobre qué evaluación cubre qué.

Tabla comparativa de obligaciones

ObligaciónRGPDAI Act
Qué activa la obligaciónTratamiento de datos personales de alto riesgo (art. 35.1)Sistema de IA clasificado de alto riesgo (art. 6, Anexo III) o práctica prohibida (art. 5)
Evaluación previa exigidaEIPD cuando el tratamiento cumple el art. 35.3 (evaluación sistemática con efectos jurídicos, datos especiales a gran escala, o vigilancia sistemática de espacios públicos)Evaluación de conformidad del proveedor + evaluación de impacto en derechos fundamentales (FRIA, art. 27) para determinados implementadores públicos o de servicios esenciales
Quién respondeResponsable y encargado del tratamientoProveedor, implementador, importador o distribuidor, según su rol en la cadena
Documentación exigidaRegistro de actividades de tratamiento, EIPD, base jurídica, información a interesadosDocumentación técnica (Anexo IV), declaración de conformidad, registro en base de datos de la UE (sistemas Anexo III)
SupervisiónMedidas de seguridad y revisión periódica del tratamientoSupervisión humana efectiva (art. 14), registro automático de eventos (logging)
Autoridad competente en EspañaAEPDAESIA (Agencia Española de Supervisión de IA)
Sanción máximaHasta 20M€ o 4% de la facturación mundial (art. 83 RGPD)Hasta 35M€ o 7% de la facturación mundial en prácticas prohibidas (art. 99 AI Act)

La lectura clave de la tabla no es «cuál sanciona más», sino que son dos evaluaciones con contenido distinto: una mide el riesgo para los datos personales, la otra mide el riesgo del sistema como producto —incluida su fiabilidad técnica, su supervisión humana y su impacto en derechos fundamentales que van más allá de la privacidad, como la no discriminación o el acceso a servicios esenciales.

Cuándo una EIPD ya es suficiente

Si tu sistema de IA trata datos personales pero no está en ninguna categoría de alto riesgo del Anexo III del AI Act —ni es una práctica prohibida del art. 5—, y el tratamiento cumple los supuestos del art. 35.3 del RGPD (evaluación automatizada con efectos jurídicos, datos especiales a gran escala, o vigilancia sistemática de espacios públicos), la EIPD sigue siendo tu obligación principal. Ejemplos habituales: un chatbot de atención al cliente que no toma decisiones automatizadas con efectos jurídicos, o una herramienta de análisis de sentimiento sobre encuestas internas sin perfilado individual.

Cuándo la EIPD no basta

El AI Act añade una capa que el RGPD no cubre en varios escenarios frecuentes en pyme:

En estos tres escenarios, el artículo 27 del AI Act exige a determinados implementadores —organismos públicos, entidades privadas que prestan servicios públicos, y los sistemas de los puntos 5(b) y 5(c) del Anexo III— una evaluación de impacto en los derechos fundamentales (FRIA). El propio artículo aclara que, si ya existe una EIPD conforme al art. 35 RGPD, la FRIA la complementa, no la sustituye: se añaden los elementos que la EIPD no cubre —duración e frecuencia de uso del sistema, categorías de personas afectadas por el sistema como tal, mecanismos de reclamación— en vez de repetir el análisis de protección de datos ya hecho.

Un caso práctico: IA de selección de personal

Una empresa que usa una herramienta de IA para cribar currículums necesita, como mínimo:

  1. Clasificar el sistema según el AI Act: cribado de candidaturas está en el Anexo III como alto riesgo.
  2. Hacer la EIPD del RGPD si el tratamiento cumple el art. 35.3 (evaluación automatizada con efectos jurídicos sobre la persona candidata) — casi siempre es así en selección de personal.
  3. Revisar si aplica la FRIA del art. 27: en selección de personal privada no siempre es exigible, salvo que la empresa preste un servicio público o el sistema entre en los supuestos específicos del artículo; conviene documentar por qué aplica o no.
  4. Exigir al proveedor la documentación técnica del Anexo IV y la evidencia de que el sistema pasó la evaluación de conformidad correspondiente.
  5. Garantizar supervisión humana real (art. 14): una persona con competencia y tiempo para revisar decisiones, no una ratificación automática.

Ninguno de estos cinco pasos sustituye a otro. Es habitual que una empresa haga el primero y el segundo, y se salte el tercero y el cuarto pensando que «ya hizo su EIPD» — que es precisamente el error que abre esta guía.

Quién coordina las dos evaluaciones

En la práctica, la EIPD la lidera el DPO (interno o externo) y la evaluación del AI Act la lidera quien tenga asignada la gobernanza del AI Act en la empresa —figura que no siempre existe formalmente en pyme—. Cuando ambas evaluaciones comparten el mismo sistema de IA, conviene un inventario único de sistemas con dos columnas de estado (RGPD y AI Act) en vez de dos procesos que no se hablan entre sí, para no duplicar entrevistas con el mismo proveedor ni llegar a conclusiones contradictorias sobre el mismo riesgo.

Checklist rápido

Preguntas frecuentes

¿Si ya tengo la EIPD hecha, necesito algo más para el AI Act?

Depende de si el sistema está clasificado como alto riesgo por el AI Act. La EIPD cubre la protección de datos; el AI Act exige además documentación técnica, supervisión humana y, en determinados implementadores, la FRIA del art. 27 — que complementa la EIPD, no la reemplaza.

¿El AI Act deroga el RGPD en sistemas de IA?

No. El AI Act se aplica sin perjuicio del RGPD (así lo señala su propio texto): son obligaciones acumulativas cuando ambas normas se activan sobre el mismo sistema.

¿Qué autoridad sanciona en España, la AEPD o la AESIA?

Cada una en su ámbito: la AEPD sanciona incumplimientos del RGPD y la AESIA, como autoridad de vigilancia del mercado, los del AI Act. Un mismo sistema de IA puede recibir requerimientos de ambas si incumple las dos normas a la vez.

¿Toda IA que trata datos de RR. HH. necesita FRIA?

No automáticamente. La FRIA del art. 27 es exigible a organismos públicos, entidades privadas que prestan servicios públicos, y a los sistemas de los puntos 5(b) y 5(c) del Anexo III. Una empresa privada de selección de personal debe analizar caso por caso si encaja en alguno de esos supuestos.

Fuentes oficiales consultadas

Summum Consultoría coordina la EIPD del RGPD y la evaluación del AI Act sobre el mismo inventario de sistemas de IA, sin duplicar el trabajo entre DPO y responsable del AI Act.