El RGPD regula el tratamiento de datos personales. El AI Act regula la seguridad y fiabilidad de los sistemas de IA, traten o no datos personales. Un sistema de IA que solo procesa datos de sensores industriales sin ninguna persona identificable puede estar sujeto al AI Act sin que el RGPD entre en juego. Y al revés: un tratamiento de datos personales sin ningún sistema de IA de por medio nunca activa el AI Act. La confusión viene de que, en la práctica, la mayoría de sistemas de IA de alto riesgo sí tratan datos personales — pero no es una regla universal.
Dónde sí se solapan de verdad
| Área | RGPD | AI Act |
|---|---|---|
| Calidad de los datos | Art. 5 — exactitud y minimización | Art. 10 — relevancia, representatividad, ausencia de errores |
| Evaluación de impacto | EIPD (Art. 35) para tratamientos de alto riesgo | Evaluación de conformidad para sistemas de alto riesgo |
| Transparencia | Derecho de información (Arts. 13-14) | Obligación de transparencia del Art. 50 |
| Decisiones automatizadas | Art. 22 — derecho a no ser objeto de decisiones automatizadas | Requisito de supervisión humana (Art. 14) |
Si ya construiste una buena base de data quality management, gran parte del trabajo de calidad exigido por ambas normas ya está hecho — la diferencia está en la documentación específica que pide cada una, no en el trabajo técnico de fondo.
Dónde NO se solapan (y hay que cumplir cada uno aparte)
- Base legal del tratamiento: el AI Act no sustituye la necesidad de tener una base legal RGPD válida (consentimiento, interés legítimo, obligación legal...) para cualquier dato personal usado en el sistema.
- Clasificación de riesgo: que un tratamiento no requiera EIPD bajo RGPD no significa que el sistema de IA no sea de alto riesgo bajo el Anexo III del AI Act — son criterios distintos.
- Sanciones: se calculan y aplican de forma independiente, por autoridades distintas (AEPD para RGPD, AESIA para AI Act) — cumplir uno no reduce la exposición al otro.
La guía de la AEPD sobre IA agéntica es un buen ejemplo de cómo la autoridad española de protección de datos ya está interpretando estos cruces en la práctica — merece la pena leerla si tu sistema toma decisiones de forma autónoma.