El 1 de agosto de 2024 entró en vigor el Reglamento (UE) 2024/1689 de Inteligencia Artificial —el AI Act— convirtiéndose en la primera normativa horizontal de regulación de la IA a nivel mundial. Su intersección con el Reglamento General de Protección de Datos (RGPD) crea una doble capa regulatoria que afecta a cualquier organización que desarrolle, despliegue o utilice sistemas de inteligencia artificial que procesen datos personales. El cumplimiento simultáneo de ambos marcos no es opcional: las sanciones del AI Act alcanzan los 35 millones de euros o el 7% del volumen de negocio mundial para las infracciones más graves.
Cronograma de aplicación del AI Act y obligaciones por fecha
El AI Act no se aplica de forma simultánea. Su entrada en vigor escalonada es clave para priorizar las acciones de cumplimiento:
- Febrero 2025: Prohibición de los sistemas de IA de riesgo inaceptable (artículo 5), que incluye manipulación subliminal, sistemas de puntuación social y reconocimiento de emociones en entornos laborales y educativos salvo excepciones tasadas.
- Agosto 2025: Aplicación plena de las obligaciones relativas a los modelos de IA de uso general (GPAI), incluyendo la documentación técnica y el cumplimiento de derechos de autor en los datos de entrenamiento.
- Agosto 2026: Entrada en vigor de las obligaciones para los sistemas de IA de alto riesgo enumerados en el Anexo III (RRHH, crédito, educación, infraestructuras críticas, biometría).
- Agosto 2027: Aplicación a sistemas de IA de alto riesgo ya existentes en el mercado.
Puntos de intersección críticos entre el RGPD y el AI Act
El RGPD y el AI Act no son normas paralelas que se aplican de forma independiente; en numerosos supuestos sus obligaciones se solapan, se refuerzan mutuamente o generan tensiones que requieren una solución coordinada.
Evaluaciones de impacto. El RGPD exige una Evaluación de Impacto en la Protección de Datos (EIPD) para el tratamiento de datos a gran escala o el uso de técnicas de elaboración de perfiles (artículo 35 RGPD). El AI Act exige una evaluación de conformidad para los sistemas de alto riesgo. En muchos casos, ambas evaluaciones recaen sobre el mismo sistema de IA. La Autoridad de Protección de Datos española (AEPD) ha publicado orientaciones para integrar ambas evaluaciones en un único procedimiento, reduciendo la carga de cumplimiento sin sacrificar el rigor.
Decisiones automatizadas y derecho a explicación. El artículo 22 del RGPD otorga a los interesados el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado cuando produzcan efectos significativos. El AI Act añade la obligación de transparencia de los sistemas de alto riesgo y el derecho a una supervisión humana. Cuando un sistema de IA toma decisiones automáticas en RRHH (selección de candidatos, evaluación del desempeño) o en concesión de crédito, el responsable del tratamiento debe documentar la lógica del sistema, informar al interesado y garantizar que la decisión puede ser revisada por una persona.
Base jurídica para el entrenamiento de IA. El uso de datos personales para entrenar o ajustar (fine-tune) un modelo de IA requiere una base jurídica válida bajo el artículo 6 del RGPD. El consentimiento, que parece la opción más natural, tiene el problema de ser revocable: si un interesado retira su consentimiento, el responsable debe ser capaz de eliminar o anonimizar su contribución al modelo —lo que técnicamente resulta complejo o imposible en muchos casos. El interés legítimo es una alternativa más sólida, pero exige superar el test de proporcionalidad y, en el caso de categorías especiales de datos (salud, origen étnico, orientación sexual), está prácticamente descartado sin consentimiento explícito.
Obligaciones específicas para los operadores de sistemas de IA en España
Las empresas que desplieguen sistemas de IA de alto riesgo deben:
Registrar el sistema. La base de datos europea de la UE (EUDAMED para el sector sanitario, base de datos general del AI Act para el resto) requiere el registro de los sistemas de alto riesgo antes de su comercialización o puesta en servicio.
Documentación técnica. El AI Act exige mantener documentación técnica detallada que incluya la descripción del sistema, los datos de entrenamiento utilizados (con indicación de las fuentes y las medidas tomadas para garantizar la calidad), las métricas de rendimiento y los resultados de las pruebas de robustez y precisión.
Supervisión humana. Los sistemas de alto riesgo deben diseñarse para permitir que personas físicas supervisen su funcionamiento y puedan intervenir o detenerlos. Este principio choca con la lógica de automatización plena de muchos sistemas de IA, y exige repensar la arquitectura de los flujos de trabajo en los que la IA toma o recomienda decisiones.
Transparencia ante los usuarios. Cuando se interactúa con un sistema de IA (chatbot, asistente virtual, sistema de reconocimiento de emociones), el AI Act exige informar a los usuarios de que están tratando con IA. Las políticas de privacidad y los avisos legales deben actualizarse para reflejar esta obligación.
El papel del Delegado de Protección de Datos (DPO) en la era del AI Act
El DPO, figura obligatoria bajo el artículo 37 del RGPD para determinados responsables del tratamiento, adquiere un nuevo rol en el contexto del AI Act. Su función natural de supervisión de la conformidad en protección de datos se extiende ahora a la coordinación de las evaluaciones de conformidad del AI Act, la gestión del registro de sistemas de IA y la formación interna sobre el uso responsable de la inteligencia artificial.
Las organizaciones que no tenían obligación de designar DPO pero que ahora despliegan sistemas de IA de alto riesgo deben evaluar si la magnitud de sus obligaciones de cumplimiento justifica la designación voluntaria de esta figura o la contratación de un DPO externo.
Hoja de ruta de cumplimiento para 2025-2026
El punto de partida es un inventario de todos los sistemas de IA utilizados en la organización, clasificados por nivel de riesgo según el AI Act. A continuación, para los sistemas de alto riesgo, debe realizarse la evaluación de conformidad integrada (EIPD + evaluación AI Act), revisar los contratos con proveedores de IA para incorporar las cláusulas exigidas por ambas normativas (incluyendo garantías sobre los datos de entrenamiento), y actualizar los registros de tratamiento de datos del RGPD para reflejar los nuevos usos de IA.
En BMC disponemos de un equipo especializado en protección de datos e inteligencia artificial que le acompaña en el diseño de su hoja de ruta de cumplimiento. Conozca nuestros servicios de protección de datos.
