I
Impetora

Ley de IA de la UE vs RGPD: dónde se solapan y dónde divergen

By Impetora -

Cualquier sistema de IA que procesa datos personales en la UE está sujeto a dos regulaciones: el Reglamento (UE) 2016/679 (RGPD) y el Reglamento (UE) 2024/1689 (Ley de IA). No se sustituyen, se complementan. Tratarlas como flujos separados duplica el trabajo. Mapearlas desde el inicio reduce el coste de cumplimiento entre 40% y 60% según el tipo de sistema.

Cuál es el punto de vista de cada norma?

El RGPD mira la persona. Define cuándo se puede tratar un dato personal, qué derechos tiene el interesado y qué obligaciones tiene el responsable del tratamiento. La Ley de IA mira el sistema. Define cuándo el sistema es de alto riesgo, qué documentación y controles debe tener y qué obligaciones tienen el proveedor y el desplegador.

Una decisión automatizada de scoring crediticio activa ambas. RGPD: la persona tiene derecho a oposición, intervención humana, explicación. Ley de IA: el proveedor del sistema debe tener documentación técnica, gestión de riesgos, supervisión humana incorporada en el diseño. Misma decisión, dos exámenes paralelos.

Cuáles son los solapamientos clave?

Gestión de riesgos. Artículo 9 de la Ley de IA y artículo 32 del RGPD coinciden en exigir un proceso documentado de evaluación y tratamiento de riesgos. La DPIA del artículo 35 del RGPD y la documentación del Anexo IV de la Ley pueden compartir el 60% al 80% del contenido si se diseñan en paralelo.

Datos. Artículo 10 de la Ley y artículos 5 a 11 del RGPD coinciden en calidad, representatividad, base jurídica y minimización. Diferencia: la Ley exige también evaluación de sesgos y documentación del ciclo de vida del dato.

Transparencia. Artículos 13 y 14 del RGPD y artículos 13, 50 y 86 de la Ley coinciden en informar al interesado. Diferencia: la Ley exige instrucciones de uso para el desplegador, que no aparecen en el RGPD.

Supervisión humana. Artículo 22 del RGPD y artículo 14 de la Ley convergen. La Ley es más prescriptiva sobre el diseño del sistema; el RGPD lo es sobre los derechos del interesado.

Dónde divergen?

Tres áreas donde una norma cubre lo que la otra no toca. Conformidad y marcado CE: solo Ley de IA. Procedimiento de evaluación previa al despliegue, marcado CE, registro en base de datos europea. RGPD no tiene equivalente.

Derechos individuales: solo RGPD. Acceso, rectificación, supresión, oposición, portabilidad, derecho a impugnar la decisión automatizada. La Ley de IA no crea derechos directos del afectado.

Datos no personales: solo Ley de IA. Si el sistema procesa datos no personales (sensores industriales sin identificación de persona), el RGPD no aplica pero la Ley sí, según el caso de uso.

Cuál es la estrategia operativa?

Una sola gobernanza con dos vistas. Documento maestro por sistema con: descripción del sistema, datos tratados, base jurídica RGPD, clasificación de riesgo Ley de IA, gestión de riesgos integrada, DPIA combinada con documentación Anexo IV, supervisión humana documentada con detalle de diseño y de derechos.

Comité unificado con DPO, asesor jurídico, dueño del sistema, responsable de riesgos y arquitecto. Reuniones trimestrales para revisar cambios sustantivos. Una sola ruta de notificación a autoridades, con plantilla que distingue qué reportar a la AEPD (RGPD), a la AESIA (Ley de IA) o a ambas.

Preguntas frecuentes

Si cumplimos el RGPD, cumplimos la Ley de IA?
No. El RGPD cubre el tratamiento de datos personales; la Ley de IA cubre el sistema. Una empresa puede cumplir el RGPD sin haber clasificado el sistema, sin tener documentación técnica del Anexo IV y sin haber pasado evaluación de conformidad. La Ley añade obligaciones.
Una autoridad supervisa todo?
No. La AEPD supervisa el RGPD. La AESIA y autoridades sectoriales (Banco de España, DGSFP, AEMPS) supervisan la Ley de IA. Pueden coordinarse, pero los procedimientos son separados. Una sanción por una norma no exime de la otra.
Cómo se afronta una inspección que cubre ambas?
Con un único expediente por sistema y dos índices: uno mapea cada artículo del RGPD con la evidencia, otro hace lo mismo con la Ley de IA. La preparación es el doble de fácil que reconstruirlo durante la inspección.
Las multas son acumulables?
Sí. Una infracción que vulnera ambas normas puede tener sanción por cada una. La cuantía total queda limitada por el principio de no bis in idem solo si la conducta sancionada es idéntica, lo que en la práctica raramente ocurre.
Impetora

Ready to scope your project? Submit a short brief and we reply within one business day.

Fuentes

Sources cited (4) - show
  1. Reglamento (UE) 2016/679 (RGPD). EUR-Lex, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. Reglamento (UE) 2024/1689 (Ley de IA). EUR-Lex, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  3. AEPD - Inteligencia artificial y protección de datos. AEPD, 2024. https://www.aepd.es/areas-de-actuacion/innovacion-y-tecnologia/inteligencia-artificial
  4. EDPB - Directrices sobre IA. EDPB, 2024. https://edpb.europa.eu/
About Impetora
Impetora designs, builds, and deploys custom AI systems for enterprises in regulated industries. We operate from Vilnius and Amsterdam and work in five languages.
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.