Si tu empresa ya cumple el RGPD, podrias asumir que la Ley de IA de la UE es mas de lo mismo. No lo es. Aunque ambas regulaciones comparten algo de ADN — pensamiento basado en riesgo, requisitos de documentacion, obligaciones de transparencia — son leyes fundamentalmente diferentes con objetivos, alcances y mecanismos de cumplimiento distintos.

Entender donde se solapan y donde divergen es critico para evitar tanto lagunas de cumplimiento como esfuerzos duplicados.

Leyes diferentes, propositos diferentes

El RGPD es una ley de derechos fundamentales centrada en proteger los datos personales de los individuos. Regula como se recopilan, procesan, almacenan y comparten los datos, independientemente de la tecnologia utilizada.

La Ley de IA de la UE es una ley de seguridad de productos centrada en garantizar que los sistemas de IA sean seguros, transparentes y respeten los derechos fundamentales. Regula como se disenan, desarrollan, validan y despliegan los sistemas de IA — basandose en la categoria de riesgo, no en el tipo de datos.

Esta distincion importa en la practica: la Ley de IA se aplica incluso cuando no se procesan datos personales. Un sistema de IA que analiza imagenes por satelite para planificacion de infraestructuras, o que optimiza procesos industriales usando solo datos de sensores generados por maquinas, sigue estando bajo la Ley de IA si cumple la definicion de sistema de IA. El RGPD no se aplicaria en esos escenarios.

A la inversa, procesar datos personales con software simple basado en reglas (sin IA involucrada) activa las obligaciones del RGPD pero no la Ley de IA.

Donde realmente se solapan

A pesar de sus enfoques diferentes, hay areas reales de interseccion — especialmente cuando los sistemas de IA procesan datos personales, que es lo que hace la mayoria.

Transparencia

Ambas regulaciones exigen transparencia, pero sobre cosas diferentes:

  • RGPD (Articulos 13-14): Debes informar a los individuos de que sus datos estan siendo procesados, que datos, por que, durante cuanto tiempo y sus derechos al respecto.
  • Ley de IA (Articulo 13): Debes asegurar que el propio sistema de IA este disenado para ser suficientemente transparente para que los operadores lo entiendan y usen adecuadamente — incluyendo sus capacidades, limitaciones, niveles de precision y escenarios de uso indebido previsibles.

Si tu sistema de IA procesa datos personales, necesitas satisfacer ambos. Un aviso de privacidad por si solo no cumple los requisitos de transparencia de la Ley de IA, y una ficha de transparencia del sistema de IA no reemplaza tus obligaciones del RGPD.

Evaluaciones de riesgo

Aqui es donde la duplicacion se convierte en una preocupacion operativa real:

  • El RGPD requiere una Evaluacion de Impacto sobre la Proteccion de Datos (EIPD) bajo el Articulo 35 cuando el tratamiento pueda resultar en alto riesgo para los derechos y libertades de los individuos.
  • La Ley de IA requiere una Evaluacion de Impacto sobre los Derechos Fundamentales (EIDF) bajo el Articulo 27 para los operadores de sistemas de IA de alto riesgo utilizados en ciertos dominios (calificacion crediticia, fijacion de precios de seguros, aplicacion de la ley, gestion migratoria y otros).

Estas dos evaluaciones tienen alcances diferentes, autoridades de supervision diferentes y requisitos procedimentales diferentes. Pero en la practica, la mayoria de los sistemas de IA de alto riesgo que activan una EIDF tambien activaran una EIPD — porque tipicamente procesan datos personales de formas que afectan los derechos de las personas.

El enfoque practico: realiza primero la EIPD, usando la informacion que el proveedor de IA debe darte bajo el Articulo 13 de la Ley de IA. Luego construye sobre ella para la EIDF. No las trates como ejercicios completamente separados.

Toma de decisiones automatizada

El Articulo 22 del RGPD otorga a los individuos el derecho a no ser objeto de decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o igualmente significativos. Esto incluye la elaboracion de perfiles.

La Ley de IA aborda una preocupacion similar pero desde el lado del producto. Los sistemas de IA de alto riesgo deben incluir medidas de supervision humana (Articulo 14) — caracteristicas tecnicas que permitan a los humanos entender, supervisar e intervenir en la operacion del sistema. Varias categorias de sistemas de IA en el Anexo III se dirigen explicitamente a escenarios de toma de decisiones automatizada: calificacion crediticia, contratacion, seguros y administracion de prestaciones.

Si tu sistema de IA toma o influye significativamente en decisiones sobre personas, probablemente necesitas abordar tanto el Articulo 22 del RGPD como los requisitos de supervision humana de la Ley de IA. No son la misma obligacion, pero las soluciones de ingenieria a menudo se solapan: proporcionar explicaciones, permitir revision humana, habilitar la impugnacion.

Gobernanza de datos

El RGPD tiene requisitos exhaustivos para el tratamiento licito, la limitacion de la finalidad, la minimizacion de datos, la exactitud y la limitacion del almacenamiento.

La Ley de IA anade requisitos de gobernanza de datos especificos para IA en el Articulo 10 para sistemas de alto riesgo, cubriendo conjuntos de datos de entrenamiento, validacion y prueba. Estos incluyen requisitos de relevancia, representatividad, ausencia de errores, completitud y propiedades estadisticas de los datos. El Articulo 10 tambien permite el tratamiento de categorias especiales de datos personales (salud, etnia, biometria) para fines de deteccion y correccion de sesgos — algo que el RGPD por si solo generalmente prohibiria.

Esta es un area donde la Ley de IA anula explicitamente los valores predeterminados del RGPD, creando una base juridica para el tratamiento de datos sensibles necesario para garantizar que los sistemas de IA no discriminen.

Lo que el cumplimiento del RGPD NO cubre

Si has pasado por el cumplimiento del RGPD, tienes ventaja. Pero varios requisitos de la Ley de IA no tienen equivalente en el RGPD:

Requisito de la Ley de IA Equivalente en RGPD
Clasificacion de riesgo (prohibido, alto, limitado, minimo) Ninguno — el RGPD no clasifica sistemas por nivel de riesgo
Documentacion tecnica del Anexo IV Ninguno — los registros de tratamiento del RGPD son mucho menos detallados
Evaluacion de conformidad (autoevaluacion u organismo notificado) Ninguno
Marcado CE para sistemas de IA de alto riesgo Ninguno
Registro en la base de datos de la UE (Articulo 71) El registro ante la APD ha desaparecido mayormente post-RGPD
Sistema de monitorizacion post-mercado (Articulo 72) Ninguno — el RGPD no requiere monitorizacion continua del producto
Requisitos de precision, robustez y ciberseguridad (Articulo 15) Las medidas de seguridad existen pero son mucho menos prescriptivas
Sistema de gestion de calidad (Articulo 17) Ninguno a este nivel de especificidad

La laguna mas significativa es la documentacion tecnica del Anexo IV. Los registros de actividades de tratamiento del RGPD (Articulo 30) cubren flujos de datos y finalidades. El Anexo IV exige documentacion detallada de la arquitectura de tu sistema, la procedencia de los datos de entrenamiento, la metodologia de desarrollo, los procedimientos de prueba, el sistema de gestion de riesgos y el plan de monitorizacion post-mercado. Es un orden de magnitud mas exhaustivo.

Lo que puedes reutilizar del RGPD

No todo es territorio nuevo. El cumplimiento del RGPD te da:

  1. Mapeo de datos e inventarios. Ya sabes que datos personales procesas y por donde fluyen. Esto alimenta directamente la Seccion 2 del Anexo IV (requisitos de datos).

  2. Analisis de base juridica. Ya has determinado tu base legal para el tratamiento. Este trabajo previo ayuda con los requisitos de gobernanza de datos del Articulo 10 de la Ley de IA.

  3. Metodologia de EIPD. Tu proceso de EIPD, plantillas y estructuras de gobernanza pueden ampliarse para las EIDF de la Ley de IA en lugar de construir desde cero.

  4. DPD y estructuras de gobernanza. Los musculos organizativos que construiste para el RGPD — oficiales designados, procesos de cumplimiento, programas de formacion — son directamente aplicables.

  5. Mecanismos de derechos individuales. Tus procesos para gestionar solicitudes de los interesados pueden informar los mecanismos de supervision humana y contestacion que la Ley de IA requiere.

  6. Gestion de proveedores. Los acuerdos de responsable-encargado del Articulo 28 del RGPD tienen paralelos en las obligaciones proveedor-operador de la Ley de IA. Tus procesos de evaluacion de proveedores pueden adaptarse.

La complicacion del Digital Omnibus

La propuesta Digital Omnibus de la Comision Europea (noviembre de 2025) busca reducir el solapamiento regulatorio entre la Ley de IA, el RGPD y otras regulaciones digitales. Entre sus cambios propuestos:

  • Clarificar la interaccion entre las EIDF de la Ley de IA y las EIPD del RGPD para reducir la duplicacion
  • Simplificar los procedimientos de evaluacion de conformidad
  • Ampliar los requisitos de documentacion simplificada a todas las PYMEs (no solo a microempresas)

El Omnibus todavia esta en tramitacion legislativa. Hasta que se adopte, las organizaciones deben cumplir ambas regulaciones tal como estan redactadas — lo que significa que algo de duplicacion es inevitable.

Que hacer ahora

  1. Mapea tus sistemas de IA contra ambos marcos. Para cada sistema de IA, identifica que obligaciones del RGPD aplican (¿procesa datos personales?) y que obligaciones de la Ley de IA aplican (¿cual es su clasificacion de riesgo?). El conjunto de solapamiento es donde necesitas cumplimiento integrado.

  2. Integra tus evaluaciones de impacto. No ejecutes EIPD y EIDF como proyectos separados. Empieza con la EIPD, ampliala para cubrir derechos fundamentales mas alla de la proteccion de datos, y tendras una base solida para ambas.

  3. Amplia tu documentacion. Los registros del Articulo 30 del RGPD son un punto de partida, no una meta. Para sistemas de IA de alto riesgo, necesitas la documentacion tecnica completa del Anexo IV — y requiere significativamente mas detalle tecnico que cualquier cosa que el RGPD exija.

  4. Clasifica tus sistemas de IA. El primer paso es saber si tus sistemas de IA son de alto riesgo bajo la Ley de IA. El triaje de riesgo gratuito de Annexa puede clasificar tu sistema en minutos, sin necesidad de registro — dandote claridad sobre que obligaciones aplican antes de invertir en esfuerzo de cumplimiento.

  5. No asumas que el cumplimiento del RGPD es suficiente. Es una base, no un sustituto. La Ley de IA introduce obligaciones de seguridad de producto que no tienen precedente en la ley de proteccion de datos.

El plazo de agosto de 2026 esta a cinco meses. Las empresas que traten el cumplimiento de la Ley de IA como una extension del RGPD encontraran lagunas. Las empresas que empiecen de cero desperdiciaran esfuerzo. El enfoque correcto esta en algun punto intermedio — construye sobre lo que tienes, pero reconoce lo que es genuinamente nuevo.