¿Si ya cumplo el RGPD, cumplo también el AI Act?

No. Cumplir el RGPD cubre parte del camino (base jurídica del tratamiento, información a los interesados, evaluación de impacto de protección de datos, derechos del interesado), pero el AI Act añade obligaciones que el RGPD no contempla: clasificar el sistema por nivel de riesgo, alfabetización del personal en IA, supervisión humana del sistema, transparencia sobre que el contenido es generado por IA, conservación de logs y documentación técnica. Cumplir uno no exime del otro.

¿Quién vigila cada reglamento en España?

El RGPD lo vigila la Agencia Española de Protección de Datos (AEPD). El AI Act lo vigilará en España la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, junto a otras autoridades sectoriales según el ámbito. Ambas pueden actuar sobre el mismo sistema de IA por motivos distintos: la AEPD por el tratamiento de datos, la AESIA por el cumplimiento del régimen de riesgo del sistema.

¿Las decisiones automatizadas las regula el RGPD o el AI Act?

Las dos cosas. El artículo 22 del RGPD ya daba al interesado el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente, con derecho a intervención humana. El AI Act se suma clasificando muchos de esos sistemas como de alto riesgo (Anexo III) e imponiendo supervisión humana, transparencia y documentación. Un sistema de scoring crediticio o de selección de personal cae bajo ambos regímenes.

¿Una PYME que solo usa ChatGPT tiene que preocuparse por los dos?

Por el RGPD, si introduce datos personales en la herramienta, sí: necesita base jurídica, informar a los afectados y revisar la transferencia internacional de datos. Por el AI Act, sus obligaciones son ligeras mientras no use IA de alto riesgo: alfabetización del personal (Art. 4) y transparencia (Art. 50) si publica contenido generado por IA. El error frecuente es creer que por usar una herramienta común no aplica ninguno de los dos.

← Volver al blog

31 de mayo de 2026

AI Act vs RGPD: qué se solapa, qué no y cómo cumplir los dos

Q: ¿El AI Act sustituye al RGPD?

No. Son dos reglamentos independientes que se aplican a la vez. El RGPD (Reglamento UE 2016/679) protege los datos personales y sigue plenamente vigente. El AI Act (Reglamento UE 2024/1689) regula los sistemas de inteligencia artificial por su nivel de riesgo, traten datos personales o no. Cuando una empresa usa IA que procesa datos personales, debe cumplir ambos al mismo tiempo. El propio AI Act dice expresamente que se entiende sin perjuicio del RGPD.

Q: ¿Necesito hacer dos evaluaciones de impacto distintas?

Probablemente sí, pero se pueden coordinar. El RGPD exige una Evaluación de Impacto de Protección de Datos (EIPD o DPIA) cuando el tratamiento entraña alto riesgo para los derechos de las personas. El AI Act exige a los deployers de sistemas de alto riesgo una Evaluación de Impacto en Derechos Fundamentales (FRIA, Art. 27). Son evaluaciones con foco distinto, pero el AI Act permite que la FRIA complemente a la EIPD existente para evitar duplicar trabajo.

Diferencias entre el AI Act y el RGPD, dónde se solapan y dónde no, y qué tiene que hacer una PYME que usa IA con datos personales para cumplir ambos reglamentos.

AI Act vs RGPD: qué se solapa, qué no y cómo cumplir los dos

El AI Act no sustituye al RGPD: se suma a él. El RGPD protege los datos personales; el AI Act regula los sistemas de inteligencia artificial por su nivel de riesgo, traten datos o no. Cuando tu empresa usa IA que procesa datos de personas, tienes que cumplir los dos reglamentos a la vez, ante dos autoridades distintas y con dos lógicas distintas.

La mayoría de PYMEs españolas ya conocen el RGPD. Llevan desde 2018 con sus cláusulas informativas, su registro de actividades de tratamiento y su delegado de protección de datos cuando toca. Por eso la primera reacción ante el AI Act suele ser la misma: "¿esto no lo cubría ya el RGPD?".

La respuesta corta es no. Y este artículo explica exactamente dónde se cruzan, dónde no, y qué tiene que hacer una empresa para no quedarse a medias en ninguno de los dos.

Por qué esta confusión importa ahora

El plazo principal del AI Act es el 2 de agosto de 2026. A partir de ahí, la mayor parte de las obligaciones del Reglamento (UE) 2024/1689 son exigibles. Las prohibiciones de IA inaceptable ya lo son desde febrero de 2025.

Muchas empresas españolas asumen que su programa de RGPD ya las cubre. Es un error caro. El AI Act y el RGPD comparten un objetivo de fondo —proteger a las personas— pero regulan cosas diferentes, con obligaciones diferentes y sanciones que se acumulan.

Este artículo es para cualquier PYME, gestoría o despacho que use IA con datos personales: software de selección de personal, scoring de clientes, chatbots, recomendadores, herramientas de análisis. Si tu empresa usa IA y trata datos de personas, te afectan los dos textos a la vez, y conviene saber qué pide cada uno antes de que llegue una inspección.

La diferencia de fondo: qué protege cada reglamento

El RGPD y el AI Act parten de ejes distintos. Entenderlo evita la mayoría de los malentendidos.

El RGPD (Reglamento General de Protección de Datos, Reglamento UE 2016/679) regula el tratamiento de datos personales. Su unidad de análisis es el dato: quién lo trata, con qué base jurídica, para qué finalidad, durante cuánto tiempo y con qué garantías. Da igual si el tratamiento lo hace una hoja de Excel, un CRM o un modelo de IA. Si hay datos personales, hay RGPD.

El AI Act regula los sistemas de inteligencia artificial. Su unidad de análisis es el sistema y el riesgo que genera para la salud, la seguridad y los derechos fundamentales. Clasifica los sistemas en cuatro niveles —riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo— e impone obligaciones según ese nivel. El AI Act se aplica trate o no trate datos personales el sistema. Un sistema de IA que controla una máquina industrial sin tocar un solo dato personal también está dentro.

Dicho de forma simple:

El RGPD pregunta: ¿estás tratando datos de personas de forma lícita y segura?
El AI Act pregunta: ¿el sistema de IA que usas es seguro y respeta los derechos, según su nivel de riesgo?

Una empresa puede infringir uno sin infringir el otro. Y muy a menudo, cuando usa IA con datos personales, está expuesta a los dos a la vez.

Dónde se solapan: la zona común

El solapamiento se concentra en un punto: cuando un sistema de IA toma o apoya decisiones sobre personas usando sus datos. Ahí los dos reglamentos se pisan, y conviene tratar esa zona con cuidado para no duplicar trabajo ni dejar huecos.

Decisiones automatizadas

El RGPD ya regulaba esto antes de que existiera el AI Act. El artículo 22 del RGPD da al interesado el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado —incluida la elaboración de perfiles— que produzca efectos jurídicos o le afecte de modo similarmente significativo. Y le reconoce el derecho a obtener intervención humana.

El AI Act se suma por arriba: muchos de esos mismos sistemas (scoring crediticio, selección de personal, acceso a servicios esenciales) son sistemas de alto riesgo del Anexo III, y por tanto exigen supervisión humana, transparencia y documentación técnica. El mismo sistema de scoring está, a la vez, bajo el artículo 22 del RGPD y bajo el régimen de alto riesgo del AI Act.

Información y transparencia

El RGPD obliga a informar al interesado de la lógica del tratamiento automatizado y de sus consecuencias. El AI Act, en su artículo 50, obliga a informar a las personas cuando interactúan con un sistema de IA (un chatbot, por ejemplo) o cuando un contenido ha sido generado o manipulado por IA. Se refuerzan mutuamente, pero no son idénticos: el del RGPD mira el dato, el del AI Act mira el sistema.

Evaluaciones de impacto

El RGPD exige una Evaluación de Impacto de Protección de Datos (EIPD, o DPIA en inglés) cuando un tratamiento entraña un alto riesgo para los derechos de las personas. El AI Act exige a los deployers de sistemas de alto riesgo una Evaluación de Impacto en Derechos Fundamentales (FRIA, Art. 27). Tienen foco distinto, pero el AI Act prevé expresamente que la FRIA pueda apoyarse en la EIPD ya hecha, para no duplicar.

Minimización y calidad de datos

El RGPD exige minimización de datos y exactitud. El AI Act, en su artículo 10, exige a los providers que los conjuntos de datos de entrenamiento, validación y prueba sean pertinentes, representativos y, en la medida de lo posible, libres de errores. Dos exigencias paralelas sobre la calidad del dato, desde ángulos distintos.

Dónde NO se solapan: lo que cada uno añade por su cuenta

Aquí está la parte que más empresas se saltan. Cada reglamento tiene un territorio propio que el otro no cubre.

Lo que el AI Act exige y el RGPD no:

Clasificar cada sistema de IA por nivel de riesgo (inaceptable, alto, limitado, mínimo).
Alfabetización en IA del personal (Art. 4): que quien usa el sistema entienda lo suficiente para usarlo bien.
Supervisión humana del propio sistema (Art. 14 y 26), más allá del derecho a intervención del RGPD.
Conservación de logs del sistema durante al menos seis meses (deployers de alto riesgo).
Documentación técnica completa y evaluación de conformidad (providers de alto riesgo, Anexo IV).
Marcado CE y registro en la base de datos UE para ciertos sistemas de alto riesgo.
Transparencia sobre contenido generado por IA y deepfakes (Art. 50).

Lo que el RGPD exige y el AI Act no:

Base jurídica para tratar datos personales (consentimiento, interés legítimo, contrato, etc.).
Registro de actividades de tratamiento.
Designación de un Delegado de Protección de Datos cuando procede.
Gestión de los derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad).
Garantías para transferencias internacionales de datos (clave si usas IA alojada fuera de la UE).
Notificación de brechas de seguridad a la AEPD en 72 horas.
Contratos de encargado de tratamiento con tus proveedores.

Un sistema de IA que no trata datos personales (control de calidad industrial por visión artificial, por ejemplo) queda fuera del RGPD pero puede ser de alto riesgo bajo el AI Act. Y un tratamiento de datos sin IA (un CRM clásico) está bajo el RGPD pero fuera del AI Act.

Tabla comparativa: AI Act frente a RGPD

Aspecto	RGPD (UE 2016/679)	AI Act (UE 2024/1689)
Qué regula	Tratamiento de datos personales	Sistemas de inteligencia artificial
Unidad de análisis	El dato personal	El sistema y su nivel de riesgo
Se aplica si no hay datos personales	No	Sí
Lógica de obligaciones	Por finalidad y riesgo del tratamiento	Por nivel de riesgo del sistema
Autoridad en España	AEPD	AESIA y autoridades sectoriales
Figuras clave	Responsable y encargado del tratamiento	Provider y deployer
Evaluación de impacto	EIPD / DPIA	FRIA (Art. 27) + conformidad
Transparencia	Información al interesado (Art. 13-14)	Marcado de IA y contenido (Art. 50)
Decisiones automatizadas	Derecho a intervención humana (Art. 22)	Supervisión humana del sistema (Art. 14)
Formación del personal	No exigida como tal	Alfabetización en IA obligatoria (Art. 4)
Sanción máxima	Hasta 20M€ o 4% facturación global	Hasta 35M€ o 7% facturación global
En vigor	Desde mayo de 2018	Aplicación general 2 de agosto de 2026

El patrón es claro: hay una zona de solapamiento real (decisiones sobre personas, transparencia, evaluaciones de impacto) y dos territorios propios que no se cubren entre sí. Las sanciones son independientes y se pueden acumular por el mismo hecho: una misma herramienta de IA mal gestionada puede generar un expediente de la AEPD por el tratamiento y otro de la AESIA por el sistema.

Las dos autoridades: AEPD y AESIA

En España, el reparto de competencias es lo que hace tangible la diferencia.

La AEPD (Agencia Española de Protección de Datos) lleva años supervisando el RGPD, con criterio consolidado, doctrina publicada y un régimen sancionador activo. Cualquier empresa que trate datos personales ya está bajo su radar.

La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, es la autoridad de referencia para el AI Act en España. Es una agencia nueva, sin el recorrido de la AEPD, pero con un mandato amplio sobre el cumplimiento del Reglamento. Conviene entender qué es la AESIA y cómo afecta a las PYMEs antes de agosto de 2026.

Ambas pueden actuar sobre el mismo sistema por motivos distintos. Un software de selección de personal con IA puede generar:

Un expediente de la AEPD si trata los CV sin base jurídica o sin informar a los candidatos.
Un expediente de la AESIA si es de alto riesgo y se usa sin supervisión humana ni documentación.

No es un escenario hipotético: es la consecuencia directa de tener dos reglamentos con dos autoridades sobre la misma realidad.

Caso práctico: una empresa de RRHH que usa IA para filtrar CV

Es el ejemplo más claro de cómo conviven ambos reglamentos sobre un mismo sistema. Una empresa usa un ATS (software de selección) con un módulo de IA que ordena candidatos por probabilidad de encaje.

Lo que le exige el RGPD:

Base jurídica para tratar los datos de los candidatos.
Informar a los candidatos del tratamiento y de la lógica del scoring (Art. 13-14).
Respetar el derecho del candidato a no ser objeto de una decisión únicamente automatizada (Art. 22): debe haber intervención humana real.
Una EIPD, porque el tratamiento entraña riesgo para los derechos de los candidatos.
Contrato de encargado de tratamiento con el proveedor del ATS.

Lo que le exige el AI Act:

Clasificar el sistema: la selección de personal está en el Anexo III dominio 4, es de alto riesgo.
Como deployer de alto riesgo, cumplir el Artículo 26: supervisión humana competente, datos de entrada pertinentes, conservación de logs, monitorización.
Informar a los trabajadores y a sus representantes (obligación reforzada en España vía Estatuto de los Trabajadores).
Realizar la FRIA (Art. 27), que puede apoyarse en la EIPD ya hecha.
Verificar que el proveedor del ATS, como provider, ha hecho su evaluación de conformidad y entrega instrucciones de uso.

El detalle completo está en la guía sobre AI Act en recursos humanos. Lo importante aquí: una sola herramienta, dos reglamentos, dos bloques de obligaciones que no se cubren entre sí. Cumplir solo el RGPD deja toda la parte de clasificación de riesgo, supervisión del sistema y documentación técnica sin atender.

Cómo cumplir los dos a la vez sin duplicar trabajo

La buena noticia es que los dos programas se pueden integrar. No hace falta montar dos estructuras paralelas. Un enfoque práctico para una PYME:

Inventario único de sistemas de IA. Una fila por cada herramienta. Para cada una, anota: qué hace, si trata datos personales (RGPD), tu rol provider/deployer (AI Act) y su nivel de riesgo. Este inventario alimenta los dos reglamentos.
Cruza cada sistema con ambos regímenes. ¿Trata datos personales? → RGPD. ¿Es de alto riesgo? → bloque de obligaciones del AI Act. Muchos sistemas estarán en ambas columnas.
Unifica las evaluaciones de impacto. Si ya tienes EIPD para un tratamiento, usa esa base para construir la FRIA del AI Act en lugar de empezar de cero. El propio Reglamento lo permite.
Una sola política de transparencia. Coordina la información del RGPD (lógica del tratamiento) con la del AI Act (marcado de IA y contenido generado). Un único texto coherente al usuario, no dos avisos contradictorios.
Forma al personal una vez, con doble objetivo. La alfabetización en IA del Art. 4 puede integrarse con la formación de protección de datos que muchas empresas ya imparten.
Revisa los contratos con proveedores. Pide al proveedor de IA su contrato de encargado de tratamiento (RGPD) y sus instrucciones de uso y declaración de conformidad (AI Act) en la misma conversación.

La clave: un solo inventario, dos lentes. La mayoría del trabajo de base (saber qué sistemas usas, qué datos tratan, qué deciden) sirve para los dos reglamentos. Lo que cambia es la obligación concreta que se deriva de cada lente.

El error más común: creer que el RGPD ya lo cubre todo

Vale la pena insistir porque es el malentendido que más expone a las PYMEs. Tener el RGPD en regla es necesario, pero no suficiente. El RGPD no te obliga a clasificar tus sistemas de IA por riesgo, ni a alfabetizar a tu personal en IA, ni a conservar logs del sistema, ni a tener documentación técnica del modelo. Todo eso es territorio exclusivo del AI Act.

Y a la inversa: cumplir el AI Act no te exime del RGPD. Un sistema de alto riesgo perfectamente documentado y supervisado sigue necesitando base jurídica para tratar los datos y respetar los derechos de los interesados.

Son dos capas. La empresa que solo tiene una está descubierta en la otra, y las sanciones de cada reglamento son independientes. Conviene recordar la asimetría: la sanción máxima del AI Act llega al 7% de la facturación global, por encima del 4% del RGPD.

Identifica qué te aplica de cada reglamento en tu caso

El cruce entre AI Act y RGPD depende de qué sistemas concretos usa tu empresa, qué datos tratan y qué deciden. No hay una respuesta única: hay que mirar sistema por sistema.

✦ Test gratuito

Comprueba qué obligaciones del AI Act aplican a tu empresa

Test gratuito que clasifica tus sistemas de IA por nivel de riesgo, identifica tu rol (provider o deployer) y te dice qué obligaciones del AI Act tienes que cumplir, más allá de lo que ya cubres con el RGPD.

Comprobar mi exposición al AI Act

Sin registro · Sin tarjeta · 100% gratis · Resultados en 2 minutos

Lo importante

El AI Act y el RGPD no compiten: se superponen. El RGPD protege los datos personales; el AI Act regula los sistemas de IA por su riesgo. Cuando usas inteligencia artificial sobre datos de personas, estás bajo los dos, ante dos autoridades, con dos bloques de obligaciones que se solapan en la zona de las decisiones sobre personas y se separan en todo lo demás.

Cumplir el RGPD te deja a medio camino del AI Act. Cumplir el AI Act no te exime del RGPD. La forma eficiente de afrontarlo es un inventario único de sistemas de IA mirado con las dos lentes, evaluaciones de impacto coordinadas y una política de transparencia unificada.

Si no tienes claro qué sistemas de tu empresa caen bajo cada reglamento, el punto de partida es clasificarlos. Una vez sabes el rol y el nivel de riesgo de cada uno, el resto del plan se ordena solo, como detalla la guía completa del AI Act para PYMEs.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.