Protección de Datos y Reglamento de IA: Puntos de Intersección

Q: ¿Qué sistemas de IA se clasifican como de alto riesgo en virtud del Reglamento de IA y qué implica eso en la práctica?

El Anexo III del Reglamento de IA enumera los sistemas de IA de alto riesgo, incluidos los utilizados en selección de personal y gestión de RRHH, puntuación crediticia, evaluación educativa, componentes de seguridad en infraestructuras críticas y sistemas de identificación biométrica. Para estos sistemas, el Reglamento de IA exige una evaluación de conformidad antes de la comercialización, el registro en la base de datos de la UE, documentación técnica completa y supervisión humana obligatoria durante el funcionamiento.

Q: ¿Puede el RGPD bloquear el uso de datos personales para entrenar un modelo de IA?

Sí, y este es uno de los puntos de intersección más trascendentes. El uso de datos personales para entrenar modelos de IA requiere una base jurídica válida conforme al Artículo 6 del RGPD (típicamente el interés legítimo o el consentimiento) y, cuando el proceso genera perfiles o decisiones automatizadas, puede activar los derechos del Artículo 22. La Agencia Española de Protección de Datos (AEPD) ha declarado que entrenar IA con datos de clientes sin una base jurídica específica y sin informar a los interesados constituye una infracción grave.

Q: ¿Cómo debe gestionar una empresa los datos de empleados procesados por herramientas de RRHH basadas en IA?

Las herramientas de RRHH basadas en IA — para la selección de personal, la evaluación del rendimiento, los modelos predictivos de rotación o la monitorización de la productividad — se sitúan en la intersección del RGPD, el Reglamento de IA y el derecho laboral español. En virtud del Artículo 22 del RGPD, los empleados tienen derecho a no ser objeto de decisiones basadas exclusivamente en el tratamiento automatizado con efectos significativos, lo que significa que las rechazos de contratación o las decisiones disciplinarias puramente algorítmicas no son admisibles sin revisión humana. El Reglamento de IA clasifica los sistemas de IA utilizados en contratación, gestión de RRHH y monitorización de trabajadores como de alto riesgo en virtud del Anexo III. Adicionalmente, la Ley Orgánica 3/2018 (LOPD-GDD) exige a los empleadores informar a los trabajadores de los sistemas de monitorización algorítmica y sus criterios a través de sus representantes antes de la implantación.

Q: ¿Cuándo debe realizarse una Evaluación de Impacto sobre la Protección de Datos (EIPD) para un sistema de IA en virtud del RGPD?

El Artículo 35 del RGPD exige una EIPD antes de desplegar cualquier operación de tratamiento que sea probable que genere un alto riesgo para los derechos y libertades de las personas físicas. Para los sistemas de IA, la EIPD es obligatoria (no meramente discrecional) cuando el sistema: implique elaboración de perfiles sistemática y exhaustiva con efectos jurídicos o similares significativos; trate categorías especiales de datos (salud, biométricos, origen racial o étnico, etc.) a gran escala; o implique monitorización sistemática a gran escala de zonas de acceso público. La AEPD ha ampliado su lista de actividades de tratamiento que requieren una EIPD obligatoria para incluir: el uso de IA para la toma de decisiones automatizada en contratación; los sistemas de monitorización de empleados basados en IA; las herramientas de IA que procesan datos de salud para seguros o RRHH; y el reconocimiento facial para el control de acceso.

Q: ¿Cómo debe gestionar una empresa española una solicitud de acceso de un interesado cuyos datos han sido procesados por un sistema de IA que implica toma de decisiones automatizada?

Cuando un interesado español presenta una Solicitud de Acceso (DSAR) conforme al Artículo 15 del RGPD para datos procesados por un sistema de IA que produce decisiones automatizadas con efectos jurídicos o similares significativos — como un sistema de puntuación crediticia basado en IA, una herramienta de selección de RRHH o un modelo de detección de fraude — la empresa se enfrenta a una obligación de divulgación dual que es más compleja que una DSAR estándar. En virtud del Artículo 15(1)(h) del RGPD, la respuesta debe incluir: información significativa sobre la lógica de cualquier toma de decisiones automatizada, la importancia del tratamiento y las consecuencias previstas para el interesado. El Reglamento de IA refuerza esto: el Artículo 13 exige a los proveedores de sistemas de IA de alto riesgo que suministren a los operadores instrucciones que les permitan explicar los resultados a los afectados. En la práctica, esto significa que la empresa debe ser capaz de articular — en lenguaje llano accesible para un interesado no técnico — qué factores de entrada impulsaron el resultado de la IA para esa persona específica, qué peso se dio a cada factor y cómo podría cambiar el resultado si los datos de entrada fueran diferentes.

El 1 de agosto de 2024, el Reglamento (UE) 2024/1689 — el Reglamento de IA de la UE — entró en vigor, convirtiéndose en el primer marco regulatorio horizontal del mundo para la inteligencia artificial. Su intersección con el Reglamento General de Protección de Datos (RGPD) crea una doble capa de cumplimiento que afecta a cualquier organización que desarrolle, despliegue o utilice sistemas de IA que traten datos personales. El cumplimiento simultáneo de ambos marcos no es discrecional: las sanciones del Reglamento de IA alcanzan los 35 millones de euros o el 7% de la facturación global anual para las infracciones más graves, igualando el nivel más alto del RGPD.

El Calendario Escalonado del Reglamento de IA: Qué Aplica Cuándo

El Reglamento de IA no se aplica de una sola vez. Su entrada en vigor escalonada es la clave para priorizar los esfuerzos de cumplimiento:

Febrero de 2025: Prohibición de sistemas de IA de riesgo inaceptable (Artículo 5), incluida la manipulación subliminal, la puntuación social y el reconocimiento de emociones en entornos laborales y educativos salvo en casos estrictamente definidos.
Agosto de 2025: Aplicación plena de las obligaciones para los modelos de IA de Propósito General (GPAI), incluida la documentación técnica y el cumplimiento en materia de derechos de autor en relación con los datos de entrenamiento.
Agosto de 2026: Entrada en vigor de las obligaciones para los sistemas de IA de alto riesgo enumerados en el Anexo III (RRHH, crédito, educación, infraestructuras críticas, biometría).
Agosto de 2027: Aplicación a los sistemas de IA de alto riesgo ya en el mercado antes de agosto de 2026.

Puntos Críticos de Intersección entre el RGPD y el Reglamento de IA

El RGPD y el Reglamento de IA no son normas paralelas que se aplican de forma independiente; en numerosos escenarios sus obligaciones se solapan, se refuerzan mutuamente o crean tensiones que requieren una resolución coordinada.

Evaluaciones de impacto. El RGPD exige una Evaluación de Impacto sobre la Protección de Datos (EIPD) para el tratamiento a gran escala o las actividades de elaboración de perfiles (Artículo 35 del RGPD). El Reglamento de IA exige una evaluación de conformidad para los sistemas de alto riesgo. En muchos casos, ambas evaluaciones se dirigen al mismo sistema de IA. La Agencia Española de Protección de Datos (AEPD) ha publicado orientación para integrar ambas evaluaciones en un único procedimiento, reduciendo la carga de cumplimiento sin sacrificar el rigor.

Decisiones automatizadas y derecho a la explicación. El Artículo 22 del RGPD concede a los interesados el derecho a no ser objeto de decisiones basadas exclusivamente en el tratamiento automatizado cuando esas decisiones producen efectos significativos. El Reglamento de IA añade obligaciones de transparencia para los sistemas de alto riesgo y un derecho a la supervisión humana. Cuando un sistema de IA toma decisiones automáticas en RRHH (selección de candidatos, evaluación del rendimiento) o en la concesión de créditos, el responsable del tratamiento debe documentar la lógica del sistema, informar a los interesados y garantizar que las decisiones pueden ser revisadas por una persona.

Base jurídica para el entrenamiento de IA. El uso de datos personales para entrenar o ajustar un modelo de IA requiere una base jurídica válida conforme al Artículo 6 del RGPD. El consentimiento parece ser la opción más intuitiva pero conlleva el problema de la revocabilidad: si un interesado retira el consentimiento, el responsable debe ser capaz de eliminar o anonimizar su contribución al modelo — lo que es técnicamente complejo o imposible en muchos casos. El interés legítimo es una alternativa operativamente más sólida, pero requiere superar el test de proporcionalidad, y para los datos de categorías especiales (salud, origen étnico, orientación sexual) prácticamente no está disponible sin consentimiento explícito.

Obligaciones Específicas para los Operadores de Sistemas de IA

Las organizaciones que despliegan sistemas de IA de alto riesgo deben:

Registrar el sistema. La base de datos de la UE (gestionada por la Oficina Europea de IA) exige el registro de los sistemas de alto riesgo antes de su comercialización o puesta en servicio. Los detalles del registro incluyen el propósito previsto del sistema, el proveedor o desplegador responsable y las características de rendimiento clave.

Mantener documentación técnica. El Reglamento de IA exige documentación técnica completa que cubra la descripción del sistema, los datos de entrenamiento utilizados (incluidas las fuentes de datos y las medidas de garantía de calidad), las métricas de rendimiento y los resultados de las pruebas de solidez y exactitud. Esta documentación debe mantenerse actualizada y ponerse a disposición de las autoridades de vigilancia del mercado cuando se solicite.

Garantizar la supervisión humana. Los sistemas de alto riesgo deben diseñarse para permitir que personas físicas supervisen su funcionamiento e intervengan o los detengan cuando sea necesario. Este principio entra en conflicto con la lógica de automatización total de muchos sistemas de IA y requiere repensar las arquitecturas de flujo de trabajo donde la IA toma o recomienda decisiones de consecuencias significativas.

Informar sobre la interacción con IA. Cuando los usuarios interactúan con un sistema de IA (chatbot, asistente virtual, reconocimiento de emociones), el Reglamento de IA exige que se informe a los usuarios de que están tratando con IA. Las políticas de privacidad y los avisos legales deben actualizarse en consecuencia.

El Rol Evolutivo del DPO en la Era del Reglamento de IA

El Delegado de Protección de Datos (DPO), una designación obligatoria conforme al Artículo 37 del RGPD para determinados responsables y encargados del tratamiento, adquiere una nueva dimensión en el contexto del Reglamento de IA. Su función natural de supervisión del cumplimiento del RGPD se extiende ahora a la coordinación de las evaluaciones de conformidad con el Reglamento de IA, la gestión del registro de sistemas de IA y la formación interna sobre el uso responsable de la IA.

Las organizaciones que no estaban obligadas previamente a designar un DPO pero que ahora despliegan sistemas de IA de alto riesgo deben evaluar si la escala de sus obligaciones de cumplimiento justifica la designación voluntaria de esta función o la contratación de un servicio externo de DPO.

Hoja de Ruta de Cumplimiento para 2025-2026

El punto de partida es un inventario de todos los sistemas de IA utilizados en la organización, clasificados por nivel de riesgo conforme al Reglamento de IA. Para los sistemas de alto riesgo, el paso siguiente es realizar una evaluación de conformidad integrada (combinando la EIPD y la evaluación del Reglamento de IA), revisar los contratos con los proveedores de IA para incorporar las cláusulas exigidas por ambos marcos (incluidas las garantías sobre los datos de entrenamiento y los mecanismos de supervisión humana), y actualizar los registros de actividades de tratamiento del RGPD para reflejar los nuevos casos de uso de IA.

En BMC, nuestro equipo especializado en protección de datos y cumplimiento de IA guía a las organizaciones a través de cada etapa de este doble marco regulatorio. Explora nuestros servicios de protección de datos.

proteccion-datos inteligencia-artificial reglamento-ia RGPD

← Volver a Insights

Novedades 2026

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias

Estrategia

Fiscal

Legal

Operaciones

Insights

Novedades 2026

Artículos y Análisis

Informes y Whitepapers

Herramientas

El Calendario Escalonado del Reglamento de IA: Qué Aplica Cuándo

Puntos Críticos de Intersección entre el RGPD y el Reglamento de IA

Obligaciones Específicas para los Operadores de Sistemas de IA

El Rol Evolutivo del DPO en la Era del Reglamento de IA

Hoja de Ruta de Cumplimiento para 2025-2026

Servicios Relacionados

DPO Externo (Delegado de Protección de Datos)

Evaluación de Impacto en Protección de Datos (EIPD)

Protección de Datos y Privacidad

Glosario

Delegado de Protección de Datos (DPO)

Evaluación de Impacto en Protección de Datos (EIPD / DPIA)

LOPD / RGPD (protección de datos)

Artículos relacionados

Protección de Datos e IA: Nuevos Retos Jurídicos

Protección de datos para empresas: RGPD y LOPDGDD 2026

Cuándo es obligatorio designar un DPO externo

Le interesa saber más?

Contactar con BMC

Cita confirmada