Ley de IA de la UE y Privacidad de Datos: la Intersección con el RGPD Explicada

El Reglamento (UE) 2024/1689, la Ley de IA de la UE, es la primera ley horizontal integral del mundo que regula la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada hasta 2027. No sustituye al RGPD. Todo sistema de IA que trate datos personales sigue necesitando su propia base jurídica conforme al RGPD, y las organizaciones se enfrentan a dos regímenes de cumplimiento superpuestos simultáneamente.
Para una base sobre las normas de protección de datos anteriores a la Ley de IA, consulte nuestra guía sobre las leyes de privacidad de datos de la UE y la explicación qué es el RGPD.
Qué Es la Ley de IA de la UE
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo es un reglamento horizontal: se aplica a los sistemas de IA que se introducen en el mercado o se ponen en servicio en la UE, independientemente de dónde esté establecido el desarrollador. Adopta un enfoque escalonado basado en el riesgo que clasifica los casos de uso de la IA en cuatro categorías: riesgo inaceptable (prohibido de manera absoluta), alto riesgo (obligaciones detalladas previas a la implementación), riesgo limitado (únicamente obligaciones de transparencia), y riesgo mínimo o nulo (sin obligaciones). El reglamento se publicó en el Diario Oficial el 12 de julio de 2024 y entró en vigor veinte días después, el 1 de agosto de 2024, conforme al Artículo 113. Su aplicación se despliega en cuatro fases a lo largo de los tres años siguientes.
El Calendario de Aplicación Escalonada
Comprender qué obligaciones ya son vinculantes y cuáles están aún por llegar es esencial para la planificación del cumplimiento. A junio de 2026, el panorama es el siguiente:
2 de febrero de 2025 (EN VIGOR): las prácticas de IA prohibidas del Artículo 5 y las obligaciones de alfabetización en materia de IA para proveedores y responsables del despliegue pasaron a ser aplicables. Todo sistema de IA que quede comprendido en una categoría prohibida debía haber sido retirado de uso para esta fecha.
2 de agosto de 2025 (EN VIGOR): las obligaciones relativas a la IA de Uso General (IAUG) previstas en los Artículos 51 a 55 pasaron a ser aplicables. Los proveedores de grandes modelos fundacionales, incluidos los grandes modelos de lenguaje y los modelos multimodales, están ahora sujetos a requisitos de transparencia sobre los datos de entrenamiento y de política de derechos de autor. Los modelos evaluados como generadores de riesgo sistémico (por lo general, aquellos entrenados con más de 10^25 operaciones de punto flotante) enfrentan evaluaciones de seguridad adicionales.
2 de agosto de 2026 (PRÓXIMAMENTE): entran en aplicación las principales obligaciones para los sistemas de IA de alto riesgo independientes enumerados en el Anexo III. Estas incluyen los requisitos de gobernanza de datos del Artículo 10, las obligaciones de los responsables del despliegue del Artículo 26, las Evaluaciones de Impacto sobre los Derechos Fundamentales del Artículo 27, la documentación técnica, el registro de actividad, las evaluaciones de conformidad y los requisitos de registro.
2 de agosto de 2027 (PRÓXIMAMENTE): los sistemas de IA de alto riesgo integrados en productos regulados ya cubiertos por legislación sectorial de la UE enumerada en el Anexo I (como dispositivos médicos, maquinaria y equipos de aviación civil) reciben un período de transición ampliado. Sus obligaciones bajo la Ley de IA se aplican a partir de esta fecha posterior.
Para los equipos de cumplimiento, la prioridad práctica a mediados de 2026 es haber abordado las prohibiciones del Artículo 5 y las obligaciones relativas a la IAUG, y estar preparándose activamente para la transición de agosto de 2026 relativa a los sistemas de alto riesgo.
La Ley de IA No Sustituye al RGPD
Este es el punto estructural más importante sobre la Ley de IA y la protección de datos. El Considerando 10 del Reglamento (UE) 2024/1689 establece expresamente que el reglamento "no pretende afectar la aplicación del derecho de la Unión vigente que regula el tratamiento de datos personales", incluidos el RGPD (Reglamento (UE) 2016/679), la Directiva de Aplicación de la Ley 2016/680 y el Reglamento 2018/1725 aplicable a las instituciones de la UE.
La consecuencia es que las organizaciones enfrentan dos regímenes de cumplimiento independientes y superpuestos. Un sistema de IA que trata datos personales debe satisfacer todos los requisitos aplicables del RGPD: necesita una base jurídica válida conforme al Artículo 6 del RGPD para los datos personales ordinarios, y una condición separada conforme al Artículo 9 del RGPD para las categorías especiales de datos. Debe cumplir con el principio de minimización de datos (Artículo 5(1)(c) del RGPD), la limitación de la finalidad (Artículo 5(1)(b) del RGPD) y todos los derechos de los interesados. La Ley de IA no ofrece un atajo para eludir ninguno de estos requisitos.
Al mismo tiempo, cumplir con los requisitos del RGPD no satisface la Ley de IA. Un sistema puede tener una base perfectamente válida conforme al RGPD, ser plenamente transparente con los interesados, y aun así estar categóricamente prohibido conforme al Artículo 5 de la Ley de IA. Los dos regímenes operan en ejes distintos: el RGPD regula el tratamiento de datos personales, mientras que la Ley de IA regula el riesgo que representa el propio sistema de IA para las personas y para la sociedad.
Las autoridades nacionales de protección de datos conservan todas sus facultades de ejecución existentes conforme al RGPD. Además, adquieren nuevas funciones en virtud de la Ley de IA, que se analizan en la sección de ejecución más adelante. Las organizaciones deben esperar que su autoridad de control examine ambos marcos regulatorios simultáneamente al evaluar la implementación de un sistema de IA.
Prácticas de IA Prohibidas con Repercusiones en Materia de Privacidad: Artículo 5
El Artículo 5 de la Ley de IA enumera ocho prácticas que están totalmente prohibidas porque sus riesgos se consideran inaceptables, independientemente de cualquier beneficio potencial. Siete de las ocho prácticas prohibidas están directamente relacionadas con la protección de datos y la vigilancia. Todas están en vigor desde el 2 de febrero de 2025.
Puntuación social por parte de autoridades públicas (Art. 5(1)(c)): se prohíben los sistemas de IA que evalúan o clasifican a personas físicas en función de su comportamiento social o características a través de múltiples contextos, cuando la puntuación social resultante conduzca a un trato perjudicial o desfavorable en contextos no relacionados. Esto se dirige a los sistemas de puntuación gubernamental de estilo autoritario. La prohibición es absoluta; no existe excepción por motivos de interés público.
Evaluación de riesgo delictivo basada en perfiles (Art. 5(1)(d)): se prohíben los sistemas de IA utilizados para evaluar o predecir el riesgo de que una persona física cometa un delito, cuando dicha evaluación de riesgo se base únicamente en la elaboración de perfiles de la persona o en la evaluación de rasgos y características de personalidad. La prohibición contiene una excepción limitada: no queda comprendida la IA que apoya la evaluación humana de la implicación delictiva basada en hechos objetivos y verificables directamente vinculados a una actividad delictiva. La disposición se dirige a los sistemas que tratan un perfil estadístico o una personalidad inferida como base suficiente para asignar una puntuación de riesgo delictivo a una persona, sin anclar dicha evaluación a una conducta concreta observada.
Rastreo no dirigido de imágenes faciales (Art. 5(1)(e)): se prohíbe la creación o ampliación de bases de datos de reconocimiento facial mediante el rastreo no dirigido de imágenes faciales procedentes de internet o de grabaciones de videovigilancia. Esto se cruza directamente con el Artículo 9 del RGPD, que trata los datos biométricos utilizados para la identificación como una categoría especial que requiere consentimiento explícito u otra condición del Artículo 9. Varios proveedores habían comercializado precisamente esta práctica antes de que la prohibición entrara en vigor.
Reconocimiento de emociones en el trabajo y en la educación (Art. 5(1)(f)): se prohíben los sistemas de IA que infieren los estados emocionales de personas físicas en contextos laborales o educativos. La única excepción es por motivos de seguridad, como la supervisión del estado de alerta de un conductor. De manera crucial, esta prohibición se aplica independientemente de que la organización pudiera establecer de otro modo una base jurídica del RGPD, como el interés legítimo o el consentimiento. La Ley de IA hace que la práctica sea inadmisible a un nivel superior al que puede alcanzar el análisis de base jurídica del RGPD.
Categorización biométrica basada en características protegidas (Art. 5(1)(g)): se prohíben los sistemas de IA que categorizan individualmente a personas físicas a partir de sus datos biométricos con el fin de deducir o inferir el origen racial o étnico, las opiniones políticas, la afiliación sindical, las creencias religiosas o filosóficas, la vida sexual o la orientación sexual. Esto se aplica incluso cuando la categorización es probabilística y no definitiva. La superposición con las categorías especiales del Artículo 9 del RGPD es amplia e intencional.
Identificación biométrica remota en tiempo real en espacios públicos (Art. 5(1)(h)): se prohíbe el uso de sistemas de identificación biométrica remota (IBR) en tiempo real en espacios de acceso público con fines de aplicación de la ley, sujeto a tres excepciones limitadas: búsquedas dirigidas de víctimas específicas de secuestro, trata o explotación sexual; prevención de una amenaza terrorista específica e inminente; e identificación de personas sospechosas de delitos graves enumerados en el Artículo 5(2). Cada uso requiere autorización judicial o administrativa independiente previa. La restricción se sustenta en parte en el Artículo 16 del TFUE, la misma base jurídica del Tratado que el RGPD, lo que confirma que las prohibiciones biométricas y el RGPD comparten un fundamento constitucional común.
Manipulación cognitivo-conductual (Art. 5(1)(a)-(b)): también se prohíben los sistemas de IA que emplean técnicas subliminales que trascienden la consciencia de una persona, o que explotan las vulnerabilidades de grupos específicos, para distorsionar sustancialmente el comportamiento de manera que cause un perjuicio significativo, con especial atención a los menores y a las personas con discapacidad.
IA de Alto Riesgo: Gobernanza de Datos Conforme al Artículo 10 (Aplicable desde el 2 de Agosto de 2026)
El Artículo 10 es la disposición más detallada de la Ley de IA en materia de datos. Impone obligaciones de gobernanza y gestión de datos a los proveedores de sistemas de IA de alto riesgo, que abarcan los conjuntos de datos utilizados para entrenar, validar y probar dichos sistemas.
Las obligaciones del Artículo 10 exigen que los proveedores establezcan prácticas que regulen: los criterios de selección y las metodologías de recopilación de los datos de entrenamiento, validación y prueba; las finalidades previstas de dichos conjuntos de datos; el examen de los datos en busca de posibles sesgos que puedan causar perjuicio o vulnerar derechos fundamentales; la identificación de posibles carencias o deficiencias relevantes en los datos; y la consideración de las características o particularidades que hacen que el conjunto de datos sea apropiado para la finalidad prevista del sistema. Los conjuntos de datos de entrenamiento deben estar libres de errores y ser completos en la medida en que lo permita el estado de la técnica. Artículo 10(2) a (4).
La conexión con el RGPD es estructural, no redundante. El Artículo 5(1)(b) del RGPD exige que los datos personales se recopilen con fines determinados, explícitos y legítimos, y no se traten posteriormente de manera incompatible con dichos fines. El Artículo 5(1)(c) del RGPD exige la minimización de datos: los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines. El Artículo 10 de la Ley de IA añade una capa distinta, específica de la IA: más allá de limitar los datos recopilados, los proveedores deben documentar afirmativamente que los datos de entrenamiento son adecuados para su finalidad y están libres de sesgos que puedan producir resultados discriminatorios o perjudiciales.
El Artículo 10(5) crea una excepción limitada para los proveedores de sistemas de IA de alto riesgo, que es uno de los pocos puntos en los que la Ley de IA se adentra expresamente en el marco de categorías especiales del RGPD. Permite el tratamiento de datos personales de categoría especial en los conjuntos de datos de entrenamiento, que de otro modo estaría prohibido conforme al Artículo 9 del RGPD sin una condición específica, estrictamente en la medida necesaria para detectar y corregir sesgos que puedan dar lugar a discriminación. Esta excepción está sujeta a garantías apropiadas y se limita a la finalidad de detección de sesgos. No constituye una licencia general para tratar datos sensibles en el entrenamiento de IA.
Las categorías del Anexo III de sistemas independientes de alto riesgo que deben cumplir con el Artículo 10 a partir de agosto de 2026 incluyen: sistemas de identificación y categorización biométrica; IA para la gestión de infraestructuras críticas; sistemas utilizados en decisiones de acceso a la educación y la formación profesional; sistemas relacionados con el empleo, incluidos la contratación, la evaluación del desempeño y la asignación de tareas; sistemas utilizados en el acceso a servicios esenciales privados y públicos, incluidas la calificación crediticia y la administración de prestaciones; sistemas de aplicación de la ley; sistemas de migración, asilo y control fronterizo; y sistemas utilizados en la administración de justicia. Los proveedores que desarrollen sistemas en cualquiera de estas categorías deben iniciar ya la implementación de la gobernanza de datos para estar preparados de cara a la transición de agosto de 2026.
La Evaluación de Impacto sobre los Derechos Fundamentales (EIDF): Artículo 27 (Aplicable desde el 2 de Agosto de 2026)
El Artículo 27 introduce un nuevo tipo de evaluación de impacto específico de la Ley de IA: la Evaluación de Impacto sobre los Derechos Fundamentales (EIDF). Es distinta de la Evaluación de Impacto relativa a la Protección de Datos (EIPD) exigida por el Artículo 35 del RGPD, y las organizaciones que implementen IA de alto riesgo pueden necesitar realizar ambas.
La obligación de realizar la EIDF recae en los responsables del despliegue, no en los proveedores. Concretamente, se aplica a los responsables del despliegue que sean organismos de derecho público, u operadores privados que presten servicios de naturaleza suficientemente próxima a los servicios públicos, como la banca, los seguros, el suministro de agua, gas, electricidad y el acceso a internet. Artículo 27(1).
La EIDF debe evaluar el riesgo que el sistema de IA de alto riesgo plantea para los derechos fundamentales protegidos por la Carta de los Derechos Fundamentales de la UE. Esto incluye, entre otros, el derecho a la privacidad conforme al Artículo 7 de la Carta, el derecho a la protección de los datos personales conforme al Artículo 8 de la Carta, el derecho a la no discriminación conforme al Artículo 21, los derechos del niño conforme al Artículo 24, el derecho a la tutela judicial efectiva conforme al Artículo 47, y la presunción de inocencia conforme al Artículo 48. La EIDF debe registrarse en la base de datos de la UE para sistemas de IA de alto riesgo, mantenida en virtud del Artículo 71 de la Ley de IA. Artículo 27(2).
La EIPD del RGPD y la EIDF de la Ley de IA cumplen funciones distintas. Una EIPD conforme al Artículo 35 del RGPD evalúa los riesgos para los derechos y libertades de los interesados que se derivan del tratamiento de datos personales. Se activa cuando el tratamiento pueda entrañar un alto riesgo, en particular cuando se utilicen nuevas tecnologías. Una EIDF conforme al Artículo 27 de la Ley de IA evalúa el conjunto más amplio de derechos fundamentales que puede verse afectado por un sistema de IA, involucren o no directamente datos personales. Un sistema que toma decisiones automatizadas sobre el acceso a prestaciones sociales afecta a ambos: trata datos personales (lo que requiere una EIPD) y afecta a derechos sociales fundamentales (lo que requiere una EIDF). Ambas evaluaciones deben realizarse antes de la implementación, y la documentación de cada una es independiente.
IA de Uso General: Obligaciones en Vigor Desde Agosto de 2025
La Ley de IA creó una nueva categoría de entidad regulada: los proveedores de modelos de IA de Uso General (IAUG). Los modelos de IAUG son modelos de IA entrenados con grandes volúmenes de datos a gran escala, capaces de realizar competentemente una amplia gama de tareas distintas. Los grandes modelos de lenguaje, los modelos multimodales capaces de procesar texto, imágenes y audio, y los modelos fundacionales similares quedan comprendidos en esta definición. Los Artículos 51 a 55 de la Ley de IA establecen las obligaciones, que pasaron a ser aplicables el 2 de agosto de 2025.
Todos los proveedores de IAUG deben: publicar un resumen de los datos de entrenamiento con suficiente detalle para permitir a los usuarios y responsables del despliegue posteriores evaluar la calidad de los datos, el cumplimiento de los derechos de autor y los posibles sesgos; implementar una política de cumplimiento del derecho de autor de la UE, incluidas las normas sobre la excepción de minería de textos y datos previstas en la Directiva 2019/790; y publicar documentación técnica que abarque las capacidades del modelo, sus limitaciones y los contextos de implementación previstos. El Anexo XIII especifica los requisitos de documentación técnica.
Los modelos de IAUG evaluados como generadores de riesgo sistémico enfrentan obligaciones adicionales. El umbral de riesgo sistémico se fija en una potencia computacional de entrenamiento superior a 10^25 operaciones de punto flotante, conforme al Artículo 51(1)(b), aunque la Comisión Europea puede ajustar este umbral mediante un acto delegado. Los proveedores de IAUG con riesgo sistémico deben realizar pruebas adversariales y ejercicios de equipo rojo, informar de incidentes graves a la Oficina Europea de IA, implementar garantías de ciberseguridad, e informar sobre su consumo energético. Estos requisitos reconocen que los modelos fundacionales más grandes, en virtud de su amplia implementación y escala, pueden producir perjuicios a nivel social y no solo individual.
La preocupación específica en materia de privacidad respecto de los modelos de IAUG es la escala de datos personales que normalmente interviene en el preentrenamiento. Los conjuntos de entrenamiento de cientos de miles de millones de tokens extraídos de internet pueden incluir datos personales de personas vivas. Los proveedores de IAUG no pueden eludir el RGPD por el simple hecho de estar ahora regulados bajo la Ley de IA. Cuando los datos de entrenamiento contienen datos personales, sigue siendo necesaria una base jurídica del RGPD para ese tratamiento, más comúnmente el interés legítimo (Artículo 6(1)(f) del RGPD) sujeto a una prueba de ponderación, aunque esta base ha sido impugnada en procedimientos de ejecución en varios Estados miembros.
Quién Hace Cumplir Esto: el Papel de las Autoridades de Control, el CEPD, el SEPD y la Oficina de IA
La Ley de IA crea una arquitectura de ejecución en capas que sitúa a las autoridades de protección de datos en una posición central de su funcionamiento para los sectores más sensibles en materia de privacidad.
El Artículo 74(8) de la Ley de IA designa a las autoridades nacionales de protección de datos como las autoridades de vigilancia del mercado competentes para los sistemas de IA de alto riesgo tratados en los ámbitos de la aplicación de la ley, el control migratorio, la tramitación del asilo y la administración de justicia. Se trata de una decisión de diseño deliberada: estos son los sectores con mayor probabilidad de implicar un tratamiento a gran escala de datos personales sensibles y de afectar a derechos fundamentales. Las autoridades de control ya son expertas en equilibrar las necesidades de aplicación de la ley con los derechos de privacidad conforme al RGPD y a la Directiva de Aplicación de la Ley, lo que las convierte en el regulador técnico apropiado para estos contextos.
Para los demás sectores de IA de alto riesgo, los Estados miembros deben designar autoridades nacionales competentes separadas como autoridades de vigilancia del mercado conforme al Artículo 70.
A nivel de la UE, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) desempeñan funciones consultivas. El CEPD emite directrices y dictámenes sobre la intersección entre la Ley de IA y el RGPD, particularmente en materia de identificación y categorización biométrica. El SEPD supervisa el uso de sistemas de IA por parte de las instituciones de la UE y ha publicado orientación específica sobre la supervisión de la inteligencia artificial. En febrero de 2026, el SEPD se sumó a una declaración conjunta coordinada a través de la Asamblea Mundial de Privacidad, firmada por 61 autoridades de protección de datos, en la que expresaba preocupación por los sistemas de IA que generan imágenes y videos realistas que representan a personas identificables sin su conocimiento o consentimiento, con especial atención a la protección de los menores.
La Oficina Europea de IA, creada dentro de la Comisión Europea, tiene la responsabilidad general de coordinación para la supervisión de los modelos de IAUG y la ejecución transfronteriza. Es el principal punto de contacto para los proveedores de IAUG. Se espera que las autoridades nacionales de control y la Oficina de IA desarrollen protocolos de coordinación para evitar vacíos regulatorios y la búsqueda del foro más favorable a medida que madure la ejecución.
Sanciones: Hasta 35 Millones de Euros o el 7 % de la Facturación Mundial
El Artículo 99 de la Ley de IA establece tres niveles de multas administrativas, todos ellos ya en vigor, ya que las propias disposiciones sancionadoras se aplican desde el 2 de agosto de 2025 junto con las obligaciones relativas a la IAUG.
El nivel más alto se aplica a las infracciones de las prácticas prohibidas del Artículo 5. Las multas pueden alcanzar 35 000 000 EUR o el 7 % de la facturación anual mundial total del ejercicio financiero anterior, la cifra que sea mayor. Este es el límite máximo, no una multa estándar, y las autoridades de ejecución deben considerar la proporcionalidad. Artículo 99(3).
El nivel intermedio se aplica a las infracciones de cualquier otra obligación impuesta a proveedores, responsables del despliegue, importadores, distribuidores o representantes autorizados en la cadena de valor de la Ley de IA, incluidas las obligaciones de alto riesgo previstas en los Capítulos III y IV y las obligaciones relativas a la IAUG. Las multas pueden alcanzar 15 000 000 EUR o el 3 % de la facturación anual mundial total. Artículo 99(4).
El nivel más bajo se aplica al suministro de información incorrecta, incompleta o engañosa a organismos notificados o autoridades nacionales competentes. Las multas pueden alcanzar 7 500 000 EUR o el 1 % de la facturación anual mundial total. Artículo 99(5).
Para las pequeñas y medianas empresas y las empresas emergentes, la Ley de IA limita las multas a la cifra menor entre el porcentaje y el importe absoluto, lo que ofrece cierto alivio de proporcionalidad en comparación con el trato dado a las grandes empresas.
A modo de comparación, el Artículo 83(5) del RGPD limita el nivel más alto de multas a 20 000 000 EUR o el 4 % de la facturación anual mundial. El nivel de prácticas prohibidas de la Ley de IA de la UE fija un límite superior en ambas medidas, lo que refleja el criterio del legislador de que los riesgos más graves de la IA son, en ciertos aspectos, más peligrosos que las infracciones más graves de protección de datos. En la práctica, las organizaciones que infrinjan las prohibiciones del Artículo 5 casi con toda seguridad también enfrentarán una ejecución concurrente del RGPD, ya que dichas prohibiciones normalmente implican el tratamiento a gran escala de datos biométricos o conductuales.
Pasos Prácticos de Cumplimiento
Las organizaciones que operan en la UE o que se dirigen a residentes de la UE deben abordar ya los siguientes pasos:
Mapear todos los sistemas de IA en uso conforme al marco de niveles de riesgo. Identificar cualquier sistema que pueda quedar comprendido en las categorías prohibidas del Artículo 5 y evaluar si ha sido retirado de uso según lo exigido desde el 2 de febrero de 2025.
Para los proveedores de IAUG: verificar que los resúmenes de datos de entrenamiento, las políticas de cumplimiento de derechos de autor y la documentación técnica estén implementados y cumplan con los requisitos de los Artículos 53 a 55. Si el modelo se entrenó con más de 10^25 FLOP, confirmar si se aplican las obligaciones de riesgo sistémico conforme al Artículo 55.
Para los proveedores y responsables del despliegue de sistemas de alto riesgo: comenzar ya la documentación de gobernanza de datos del Artículo 10, con antelación a la fecha de aplicación del 2 de agosto de 2026. Esto incluye los criterios de selección de datos de entrenamiento, los registros de examen de sesgos y la documentación de cualquier uso de la excepción de categoría especial del Artículo 10(5) para la corrección de sesgos.
Para los responsables del despliegue que sean organismos públicos u operadores de servicios equivalentes a los públicos: planificar el proceso de EIDF conforme al Artículo 27 para que se desarrolle junto con el proceso de EIPD del RGPD ya existente. Ambas evaluaciones abordan marcos jurídicos diferentes, pero a menudo se basarán en la misma documentación técnica.
Revisar todas las implementaciones de sistemas de IA frente a la Ley de IA y al RGPD de manera independiente. El cumplimiento de uno no garantiza el cumplimiento del otro. Los sistemas que cuentan con una base jurídica del RGPD aún pueden quedar comprendidos en una categoría prohibida; los sistemas que están por debajo del umbral de alto riesgo aún pueden implicar un tratamiento de datos personales de alto riesgo que active las EIPD del RGPD.
Asignar un contacto designado para las consultas regulatorias relacionadas con la Ley de IA y registrar los sistemas de alto riesgo en la base de datos de la UE conforme al Artículo 71 cuando esta entre en funcionamiento.
Guías Relacionadas
- Transferencias Internacionales de Datos del RGPD: Normas del Capítulo V (2026)
- Derecho al Olvido del RGPD (Artículo 17) Explicado
- ¿Se Aplica el RGPD a las Empresas Estadounidenses? Guía de Cumplimiento
- Leyes de Privacidad de Datos de la UE: RGPD, Ley de IA y las Reformas Digitales 2025-2026
- ¿Qué Es el RGPD? Guía Completa de la Protección de Datos de la UE (2026)
Preguntas frecuentes
¿La Ley de IA de la UE sustituye al RGPD para los sistemas de IA?
No. El Considerando 10 del Reglamento (UE) 2024/1689 establece expresamente que la Ley de IA no afecta a la aplicación del [derecho de protección de datos](/us-laws/data-privacy-laws) vigente de la UE, incluido el RGPD. Los sistemas de IA que tratan datos personales deben satisfacer de forma independiente tanto la Ley de IA como el RGPD. Son regímenes separados y superpuestos: el RGPD regula cómo se tratan los datos personales; la Ley de IA regula los riesgos que plantea el propio sistema de IA.
¿Qué prácticas prohibidas del Artículo 5 ya están en vigor?
Las ocho prácticas prohibidas conforme al Artículo 5 están en vigor desde el 2 de febrero de 2025. Estas son: (a) técnicas subliminales o manipuladoras que distorsionan sustancialmente el comportamiento causando un perjuicio significativo; (b) IA que explota las vulnerabilidades de grupos específicos, como menores o personas con discapacidad; (c) puntuación social por actores públicos o privados que conduce a un trato perjudicial en contextos no relacionados; (d) evaluación de riesgo delictivo basada únicamente en perfiles o rasgos de personalidad sin fundamento fáctico objetivo; (e) rastreo no dirigido de imágenes faciales para crear o ampliar bases de datos de reconocimiento; (f) reconocimiento de emociones en lugares de trabajo e instituciones educativas, salvo por motivos médicos o de seguridad; (g) categorización biométrica para inferir características protegidas como la raza, la religión o la orientación sexual; y (h) identificación biométrica remota en tiempo real en espacios públicos con fines de aplicación de la ley, con excepciones limitadas de autorización judicial para delitos graves, terrorismo inminente o búsqueda de víctimas.
¿Qué es una Evaluación de Impacto sobre los Derechos Fundamentales (EIDF) y en qué se diferencia de una EIPD del RGPD?
Una EIDF conforme al Artículo 27 de la Ley de IA evalúa los riesgos que un sistema de IA de alto riesgo plantea para el conjunto de derechos fundamentales protegidos por la Carta de la UE, incluidos la privacidad, la protección de datos, la no discriminación y los derechos en los procesos judiciales. Una Evaluación de Impacto relativa a la Protección de Datos (EIPD) conforme al Artículo 35 del RGPD se centra específicamente en los riesgos para los interesados derivados del tratamiento de datos personales. Ambas se activan con las implementaciones de IA de alto riesgo que implican datos personales, pero son documentos separados con bases jurídicas distintas y contenido exigido diferente. Los responsables del despliegue que sean organismos públicos u operadores privados equivalentes pueden necesitar completar ambas antes de implementar un sistema de IA de alto riesgo.
¿Cuándo se aplican realmente las obligaciones relativas a la IA de alto riesgo?
La mayoría de las obligaciones relativas a la IA de alto riesgo, incluida la gobernanza de datos del Artículo 10, los deberes de los responsables del despliegue del Artículo 26 y las EIDF del Artículo 27, se aplican a partir del 2 de agosto de 2026 para los sistemas independientes de alto riesgo enumerados en el Anexo III. Los sistemas de IA de alto riesgo integrados en productos regulados cubiertos por la legislación sectorial del Anexo I (dispositivos médicos, maquinaria, etc.) cuentan con un período de transición ampliado hasta el 2 de agosto de 2027. A junio de 2026, estas normas aún no están en vigor, pero las organizaciones deben estar preparándose activamente.
¿Cómo se comparan las sanciones de la Ley de IA con las multas del RGPD?
El nivel de sanción más alto de la Ley de IA, por infracciones de las prácticas prohibidas del Artículo 5, alcanza 35 000 000 EUR o el 7 % de la facturación anual mundial. El nivel más alto del RGPD alcanza 20 000 000 EUR o el 4 % de la facturación anual mundial. Ambos utilizan la cifra mayor entre el importe absoluto y el porcentaje. La Ley de IA también cuenta con un nivel intermedio de 15 000 000 EUR o el 3 % por incumplimiento en sistemas de alto riesgo, y un nivel inferior de 7 500 000 EUR o el 1 % por engañar a las autoridades. Las organizaciones que infrinjan las prohibiciones del Artículo 5 normalmente también enfrentarán una ejecución concurrente del RGPD, ya que esas prácticas casi siempre implican el tratamiento a gran escala de datos biométricos o conductuales.
¿Qué exige el Artículo 10 de la Ley de IA respecto de los datos de entrenamiento?
El Artículo 10 exige que los proveedores de sistemas de IA de alto riesgo documenten y gobiernen sus conjuntos de datos de entrenamiento, validación y prueba. Esto incluye registrar los criterios de selección y las metodologías de recopilación, examinar los datos en busca de posibles sesgos, identificar carencias en los datos, y garantizar que estos estén libres de errores y sean completos en la medida de lo posible. El Artículo 10(5) crea una excepción limitada que permite el tratamiento de datos personales de categoría especial del RGPD en los conjuntos de entrenamiento estrictamente para detectar y corregir sesgos. Estas obligaciones se aplican desde el 2 de agosto de 2026 y complementan, sin sustituir, los requisitos de minimización de datos y limitación de la finalidad del RGPD.
¿Quién hace cumplir la Ley de IA para los sistemas de IA de aplicación de la ley y de justicia?
El Artículo 74(8) de la Ley de IA designa a las autoridades nacionales de protección de datos como las autoridades de vigilancia del mercado competentes para los sistemas de IA de alto riesgo utilizados en la aplicación de la ley, la tramitación de la migración y el asilo, y la administración de justicia. Para los demás sectores de alto riesgo, los Estados miembros designan autoridades nacionales competentes separadas. A nivel de la UE, la Oficina Europea de IA supervisa los modelos de IAUG, mientras que el CEPD y el SEPD ofrecen orientación consultiva sobre la intersección entre la Ley de IA y el derecho de protección de datos.
¿Deben cumplir ya los proveedores de IA de Uso General, como los desarrolladores de grandes modelos de lenguaje?
Sí. Las obligaciones relativas a la IAUG conforme a los Artículos 51 a 55 de la Ley de IA están en vigor desde el 2 de agosto de 2025. Todos los proveedores de IAUG deben publicar resúmenes de los datos de entrenamiento, implementar una política de cumplimiento de derechos de autor y publicar documentación técnica. Los proveedores de modelos evaluados como generadores de riesgo sistémico (aquellos entrenados con más de 10^25 FLOP) enfrentan requisitos adicionales de evaluación de seguridad, notificación de incidentes y ciberseguridad. Las obligaciones del RGPD relativas al tratamiento de datos de entrenamiento continúan aplicándose junto con estos requisitos de la Ley de IA.
Fuentes y referencias
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (Ley de IA de la UE), Texto Oficial, EUR-Lex(eur-lex.europa.eu)
- Reglamento (UE) 2016/679 (RGPD), Texto Oficial, EUR-Lex(eur-lex.europa.eu)
- Comisión Europea, Panorama del Marco Regulatorio de la Ley de IA (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)
- Comité Europeo de Protección de Datos (CEPD), Directrices y Dictámenes sobre IA y Biometría(edpb.europa.eu)
- Supervisor Europeo de Protección de Datos (SEPD), Página sobre Supervisión de la Inteligencia Artificial(edps.europa.eu)
- Oficina Europea de IA, Portal Oficial de la Oficina de IA de la UE (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)