La confluencia del Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679) con el Reglamento de Inteligencia Artificial (AI Act, Reglamento (UE) 2024/1689) genera un marco normativo de doble capa que afecta a toda empresa que utilice sistemas de IA para procesar datos personales. Comprender la interacción entre ambos reglamentos —las sinergias y las tensiones— es el punto de partida para construir un sistema de compliance robusto en la era de la IA.
La base normativa dual: RGPD y AI Act como marcos complementarios
El RGPD, vigente desde mayo de 2018 en toda la UE y transpuesto en España a través de la LOPD-GDD (Ley Orgánica 3/2018, de 5 de diciembre), regula el tratamiento de datos personales con independencia de la tecnología utilizada. Su alcance es horizontal y su principio central es la protección del derecho fundamental a la protección de datos (artículo 8 de la Carta de Derechos Fundamentales de la UE).
El AI Act regula los sistemas de IA según su nivel de riesgo, con independencia de si procesan o no datos personales. Sin embargo, la práctica totalidad de los sistemas de IA de alto riesgo procesan datos personales en alguna fase de su ciclo de vida (entrenamiento, validación, inferencia o generación de resultados), lo que hace que RGPD y AI Act se apliquen conjuntamente en la mayoría de los casos relevantes.
El considerando 97 del AI Act reconoce esta concurrencia y establece que, en caso de conflicto entre ambos reglamentos, prevalece el RGPD respecto a las cuestiones de protección de datos personales, mientras que el AI Act complementa el RGPD con requisitos adicionales específicos de los sistemas de IA.
El artículo 22 RGPD y las decisiones automatizadas
El artículo 22 del RGPD reconoce a las personas físicas el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluido el perfilado, que produzcan efectos jurídicos sobre ellas o que les afecten significativamente de modo similar. Este derecho es especialmente relevante en los sistemas de IA que realizan scoring crediticio, evaluación de candidatos laborales, determinación de primas de seguros o resolución de solicitudes de prestaciones sociales —precisamente las categorías clasificadas como de alto riesgo en el Anexo III del AI Act.
Para que una decisión totalmente automatizada sea lícita bajo el artículo 22 RGPD, debe concurrir alguna de las tres bases habilitantes: (i) la decisión es necesaria para la celebración o ejecución de un contrato entre el responsable y el interesado; (ii) está autorizada por el derecho de la Unión o de los Estados miembros; o (iii) se basa en el consentimiento explícito del interesado. Además, el responsable debe en todo caso adoptar medidas apropiadas para salvaguardar los derechos del interesado, incluido el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.
La obligación de supervisión humana del AI Act (artículo 14) actúa como complemento del artículo 22 RGPD: el sistema de IA de alto riesgo debe diseñarse de forma que las personas responsables de la supervisión puedan comprender las capacidades y limitaciones del sistema, detectar y remediar situaciones de error o sesgo, y anular o desactivar el sistema cuando sea necesario.
La Evaluación de Impacto sobre Protección de Datos (EIPD) y el AI Act
El artículo 35 del RGPD establece la obligación de realizar una Evaluación de Impacto sobre Protección de Datos (EIPD) antes de proceder a tratamientos que entrañen un alto riesgo para los derechos y libertades de las personas físicas. Las actividades que requieren EIPD de forma obligatoria incluyen (artículo 35.3 RGPD): la evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en el tratamiento automatizado, incluido el perfilado; el tratamiento a gran escala de categorías especiales de datos; y la observación sistemática a gran escala de zonas de acceso público.
La AEPD publicó su lista de tipos de tratamientos que requieren EIPD en 2019. En el contexto del AI Act, esta lista debe actualizarse para incorporar los sistemas de IA que realizan perfilado sistemático, que procesan datos biométricos, que toman decisiones automatizadas en el ámbito del empleo o los servicios financieros, y cualquier sistema de IA de alto riesgo del Anexo III que procese datos personales.
La EIPD para un sistema de IA debe abordar, además de los elementos estándar del artículo 35 RGPD, los riesgos específicos de los sistemas de IA: el riesgo de sesgo algorítmico que genere discriminación indirecta, el riesgo de opacidad del modelo (efecto de caja negra), el riesgo de ataques de reidentificación o inferencia sobre los datos de entrenamiento, y el riesgo de deriva del modelo con el tiempo que genere resultados menos precisos o más sesgados que los evaluados en el momento de la implantación.
Privacy by Design y Privacy by Default en sistemas de IA
El artículo 25 del RGPD establece el principio de protección de datos desde el diseño y por defecto: el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas, tanto en el momento de determinar los medios del tratamiento como en el momento del propio tratamiento. Para los sistemas de IA, esto implica incorporar las salvaguardas de protección de datos en el proceso de diseño del sistema, no como medida correctora posterior.
Las medidas técnicas de Privacy by Design para sistemas de IA incluyen: anonimización o seudonimización de los datos de entrenamiento cuando sea posible sin pérdida significativa de utilidad del modelo, implementación de técnicas de aprendizaje federado que evitan la centralización de datos personales, uso de privacidad diferencial para limitar la información que el modelo puede revelar sobre individuos concretos, y auditorías de equidad y sesgo integradas en el proceso de desarrollo y validación del modelo.
El DPO en la era del AI Act: nuevas responsabilidades
El Delegado de Protección de Datos (DPO), obligatorio para ciertas categorías de responsables y encargados del tratamiento conforme al artículo 37 del RGPD, adquiere nuevas responsabilidades en el contexto del AI Act. El DPO debe estar informado y consultado sobre los sistemas de IA que procesan datos personales, debe participar en la EIPD de los sistemas de IA de alto riesgo, y debe coordinarse con el responsable de compliance del AI Act (que puede ser el mismo DPO o una persona diferente en función del tamaño y estructura de la organización).
La Comisión Europea ha indicado en sus orientaciones interpretativas que el DPO es el punto de contacto natural con la EIPD para sistemas de IA, pero que las competencias técnicas necesarias para evaluar los riesgos específicos de los modelos de IA (sesgo, opacidad, robustez) pueden requerir la incorporación de perfiles técnicos especializados al equipo de compliance.
El registro de actividades de tratamiento y los sistemas de IA
El artículo 30 del RGPD obliga a los responsables y encargados del tratamiento a mantener un registro de las actividades de tratamiento. Cuando un sistema de IA procesa datos personales, este tratamiento debe estar recogido en el registro con la información exigida (finalidad, categorías de datos, destinatarios, plazos de supresión, medidas de seguridad). Adicionalmente, si el sistema es de alto riesgo conforme al AI Act, el proveedor mantiene un registro paralelo de logs (artículo 12 AI Act) que puede complementar el registro del responsable pero que responde a obligaciones distintas.
En BMC nuestro equipo legal puede asesorarle. Conozca nuestros servicios legales.
