El RGPD regula el tratamiento de datos personales. El AI Act regula la seguridad y fiabilidad de los sistemas de IA, traten o no datos personales. Un sistema de IA que solo procesa datos de sensores industriales sin ninguna persona identificable puede estar sujeto al AI Act sin que el RGPD entre en juego. Y al revés: un tratamiento de datos personales sin ningún sistema de IA de por medio nunca activa el AI Act. La confusión viene de que, en la práctica, la mayoría de sistemas de IA de alto riesgo sí tratan datos personales — pero no es una regla universal.

Dónde sí se solapan de verdad

ÁreaRGPDAI Act
Calidad de los datosArt. 5 — exactitud y minimizaciónArt. 10 — relevancia, representatividad, ausencia de errores
Evaluación de impactoEIPD (Art. 35) para tratamientos de alto riesgoEvaluación de conformidad para sistemas de alto riesgo
TransparenciaDerecho de información (Arts. 13-14)Obligación de transparencia del Art. 50
Decisiones automatizadasArt. 22 — derecho a no ser objeto de decisiones automatizadasRequisito de supervisión humana (Art. 14)

Si ya construiste una buena base de data quality management, gran parte del trabajo de calidad exigido por ambas normas ya está hecho — la diferencia está en la documentación específica que pide cada una, no en el trabajo técnico de fondo.

Dónde NO se solapan (y hay que cumplir cada uno aparte)

  • Base legal del tratamiento: el AI Act no sustituye la necesidad de tener una base legal RGPD válida (consentimiento, interés legítimo, obligación legal...) para cualquier dato personal usado en el sistema.
  • Clasificación de riesgo: que un tratamiento no requiera EIPD bajo RGPD no significa que el sistema de IA no sea de alto riesgo bajo el Anexo III del AI Act — son criterios distintos.
  • Sanciones: se calculan y aplican de forma independiente, por autoridades distintas (AEPD para RGPD, AESIA para AI Act) — cumplir uno no reduce la exposición al otro.
El caso típico donde falla esto: empresas que hacen una EIPD completa y asumen que ya tienen cubierto el AI Act. La EIPD cubre el tratamiento de datos personales; el AI Act exige además documentación técnica del sistema (Art. 11), registro (Art. 49) y supervisión humana (Art. 14) que la EIPD no cubre.
Política de Acceso RBAC Control de acceso conforme tanto al RGPD Art. 32 como al AI Act Art. 10, en un único documento — exactamente el terreno donde ambas normativas coinciden. 49 € IVA incl.
Comprar →

La guía de la AEPD sobre IA agéntica es un buen ejemplo de cómo la autoridad española de protección de datos ya está interpretando estos cruces en la práctica — merece la pena leerla si tu sistema toma decisiones de forma autónoma.