AI Sigil Logo
Contact Us
Back to all insights
A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

Sections

El Acta de IA de la UE y el GDPR: ¿Choque o Sinergia?

El Acta de IA de la UE y el RGPD: ¿colisión o armonía?

La IA es la palabra de moda omnipresente en la industria legal. Por lo tanto, el Acta de IA de la UE es uno de los principales puntos en la agenda de muchos profesionales legales. Pero, ¿qué pasa con esta otra legislación que fue un tema muy candente en 2018, el Reglamento General de Protección de Datos (RGPD)?

Después de más de siete años, el cumplimiento del RGPD se ha convertido en un territorio familiar para muchos abogados internos y otros profesionales. Existen varias similitudes e interacciones entre el recién introducido Acta de IA y el RGPD, así como referencias explícitas al RGPD en el Acta de IA. En este artículo, discutiremos algunas de las interacciones más significativas.

General

Es sorprendente la medida en que la forma general del Acta de IA está influenciada por el RGPD. Muchos de los principios de datos (transparencia, precisión, seguridad) se reflejan en el Acta de IA que, al igual que el RGPD, adopta un enfoque basado en riesgos.

La intersección obvia en términos de cumplimiento del Acta de IA se debe a que el desarrollo y uso de sistemas de IA probablemente implicará entrenar modelos de IA con datos, algunos de los cuales casi con seguridad serán datos personales que deben ser procesados de conformidad con el RGPD. Esto requiere salvaguardias adecuadas de privacidad de datos, no solo internamente, sino también en la relación con proveedores y otras partes involucradas en el ecosistema de IA.

Significativamente, el Artículo 47 del Acta de IA exige a los proveedores de sistemas de IA de alto riesgo elaborar una declaración de conformidad que debe incluir una declaración de cumplimiento del RGPD cuando el sistema incluya datos personales (Anexo V). Además, en muchos Estados miembros, la Autoridad de Protección de Datos también será la autoridad de supervisión del mercado del Acta de IA.

Transparencia

Tanto el RGPD como el Acta de IA tienen sus propios regímenes de transparencia. En ambos casos, se requiere que las personas reciban información adecuada sobre cómo se procesan sus datos personales y cómo el uso de la IA les afecta.

  • Bajo el RGPD (Artículos 12-14), se debe proporcionar a los interesados información clara y accesible sobre el procesamiento de sus datos personales, incluidos los propósitos, la base legal, los destinatarios, los períodos de almacenamiento y los derechos de los interesados.
  • Bajo el Acta de IA, se aplican varias obligaciones de transparencia. Por ejemplo, el Artículo 13 requiere que se proporcionen instrucciones para el uso de sistemas de IA de alto riesgo. Además, el Artículo 50 exige que se informe a las personas naturales que están interactuando con un sistema de IA (a menos que sea obvio por el contexto).

Gestión de riesgos

Desde la perspectiva de la gestión de riesgos, tanto el RGPD como el Acta de IA emplean un enfoque basado en riesgos en términos de cumplimiento. Sin embargo, existe una diferencia fundamental entre ambos en cuanto a la etapa en la que se aborda el riesgo.

  • El RGPD es basado en riesgos, requiriendo una evaluación previa y continua de los riesgos asociados con el procesamiento de datos personales. Esto genera la necesidad de medidas técnicas y organizativas para abordar el riesgo de manera proporcional.
  • Bajo el Acta de IA, los sistemas de IA se clasifican en diferentes niveles de riesgo: riesgo inaceptable que está prohibido, alto riesgo o bajo/mínimo riesgo. Las obligaciones más onerosas se adjuntan a los sistemas de IA de alto riesgo, que deben cumplir con obligaciones integrales relacionadas con la gestión, evaluación y mitigación de riesgos.

Responsabilidad

Tanto el RGPD como el Acta de IA requieren responsabilidad. En términos generales, esto implica documentar tus diversos pasos, procesos y políticas para demostrar cumplimiento.

  • Mientras que el RGPD requiere que se establezcan acuerdos de procesamiento de datos entre controladores y (sub)procesadores, el Acta de IA exige que se implementen salvaguardias contractuales suficientes entre los diversos roles definidos en el Acta de IA.
  • Mientras que el RGPD requiere la documentación de elementos como Evaluaciones de Impacto en la Protección de Datos (DPIAs) y registros de procesamiento, el Acta de IA requiere una documentación más elaborada de, por ejemplo, elecciones de desarrollo y diseño para sistemas de IA de alto riesgo y modelos de IA de propósito general (GPAI) para poder demostrar responsabilidad.

DPIA y evaluaciones de derechos fundamentales

Tanto el RGPD como el Acta de IA requieren evaluaciones de riesgos.

  • Bajo el RGPD, en ciertas instancias, los controladores deben llevar a cabo una Evaluación de Impacto en la Protección de Datos (DPIA).
  • El Artículo 26(8) del Acta de IA establece que, cuando sea aplicable, los desplegadores de sistemas de IA de alto riesgo deben utilizar la información proporcionada bajo el Artículo 13 del Acta de IA para cumplir con su obligación del RGPD de llevar a cabo una DPIA.
  • Además, el Acta de IA exige que ciertos desplegadores realicen una “evaluación de impacto en los derechos fundamentales” (FRIA) antes de desplegar sistemas de IA de alto riesgo mencionados en el Anexo III del Acta de IA.

Procesamiento de datos personales sensibles

El Acta de IA (Artículo 10(5)) permite excepcionalmente el procesamiento de datos personales sensibles, pero solo si es estrictamente necesario para el propósito de garantizar la detección y corrección de sesgos en sistemas de IA de alto riesgo y bajo ciertas condiciones. Estas se aplican además de los requisitos del Artículo 9 del RGPD que proporcionan excepciones a la prohibición general sobre el procesamiento de datos personales sensibles (especiales).

Toma de decisiones automatizada y supervisión humana

Tanto el Acta de IA como el RGPD tienen una forma de mecanismo de supervisión humana.

  • El Artículo 22 del RGPD otorga a los interesados el derecho a no ser objeto de una decisión automatizada únicamente que tenga un efecto legal o significativamente similar en ellos. Tienen el derecho de solicitar una nueva decisión que esté sujeta a intervención humana si objetan a tal decisión automatizada únicamente.
  • El Acta de IA tiene un régimen más fuerte en su Artículo 14, bajo el cual los sistemas de IA de alto riesgo deben ser diseñados con herramientas de interfaz humano-máquina que permitan una supervisión efectiva, y los desplegadores deben asignar personal competente para la supervisión.

Informe de incidentes

Ambos regímenes implementan un sistema de informes de incidentes, permitiendo la presentación de informes iniciales así como posteriores si el alcance total o la extensión de un incidente aún no se conocen en el momento del informe requerido.

  • Bajo el RGPD (Artículo 33), el principal incidente que puede ocurrir es una violación de datos. En principio, la notificación de tal violación de datos debe hacerse a la Autoridad de Protección de Datos (DPA) correspondiente sin demora indebida y, cuando sea factible, no más tarde de 72 horas después de que el controlador de datos haya tomado conocimiento de la violación y pueden ser necesarios informes adicionales a los interesados donde la violación probablemente resulte en un alto riesgo para sus derechos y libertades.
  • Bajo el Acta de IA (Artículo 73), los incidentes graves deben ser reportados a las autoridades regulatorias inmediatamente después de establecer un vínculo causal entre el sistema de IA y el incidente grave (o la probabilidad razonable de tal vínculo) y, en cualquier caso, no más tarde de 15 días.

Manejo de la carga de cumplimiento dual

Este es solo un resumen de algunas de las áreas donde los conceptos del RGPD se superponen con los del Acta de IA. En términos de la carga de cumplimiento, sin embargo, existen situaciones limitadas en las que el cumplimiento bajo una legislación será suficiente para cumplir con la otra. Lo que es más probable es que los procesos de cumplimiento del RGPD puedan ampliarse cuando sea necesario, para fines de cumplimiento del Acta de IA.

Acciones útiles incluyen:

  • Mapear roles del Acta de IA (proveedor, desplegador, importador/distribuidor) con los roles del RGPD (controlador/procesador).
  • Recoger información adecuada y procesar dicha información en guías relevantes para usuarios/interesados. Revisar regularmente si la información está actualizada.
  • Asegurar que los datos de entrenamiento de IA que contienen datos personales (lo cual es a menudo el caso), estén sujetos a salvaguardias adecuadas de privacidad de datos, tanto desde una perspectiva contractual como técnica.
  • Alinear el requisito del Artículo 30 del RGPD de mantener un registro de procesamiento con los requisitos de gobernanza de datos del Artículo 10 del Acta de IA.
  • Documentar el desarrollo y monitoreo de IA para que puedas demostrar cumplimiento, tanto durante la fase de desarrollo como en la de despliegue.
  • Asegurar que la FRIA del Acta de IA y la DPIA del RGPD estén mapeadas y simplificar la carga de trabajo donde sea apropiado.
  • Verificar si el procesamiento de datos personales sensibles en el contexto del Acta de IA está permitido bajo cada uno de los requisitos del RGPD y del Acta de IA.
  • Distinguir claramente entre la intervención humana posterior al procesamiento bajo el RGPD y la supervisión humana bajo el Acta de IA.
  • Implementar una adecuada gestión de cronograma dentro de tu organización, teniendo en cuenta las diferencias fundamentales entre los tipos de incidentes que pueden ocurrir en relación con los sistemas de IA desde una perspectiva del RGPD y del Acta de IA.
  • Entender quién es (o son) tus reguladores bajo el RGPD y el Acta de IA.

More Insights

A pair of interconnected gears to illustrate the interplay of competition and collaboration in advancing AI governance.

Colaboración y Competencia en la Gobernanza de la IA

noviembre 27, 2025 Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Mejores Prácticas de Gobernanza de IA,Política Global de IA,Politica Globale sull'IA,Regolamentazione dell'IA,Régulation IA
La carrera por la inteligencia artificial está redefiniendo nuestra ética y la geopolítica, desafiando la noción de que se puede "ganar" esta competencia. La innovación en IA debe ser colaborativa y...
Read More
A light bulb.

Política Nacional de IA en Pakistán: Un Futuro Innovador

noviembre 27, 2025 Conformité IA,Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Política Global de IA,Politica Globale sull'IA,Regolamentazione dell'IA,Regulación de IA,Régulation IA
Pakistán ha introducido una ambiciosa Política Nacional de IA destinada a construir un mercado de IA doméstico de 2.7 mil millones de dólares en cinco años. Esta política se basa en seis pilares...
Read More
A magnifying glass symbolizing the need for scrutiny and transparency in AI governance.

Implementación de la ética en la IA: Guía práctica para empresas

noviembre 27, 2025 Éthique IA,Ética de IA,Etica dell'IA,Gobernanza de IA,Governance dell'IA,IA,IA Ética,Inteligencia Artificial,Mejores Prácticas de Gobernanza de IA
La nueva guía de Capgemini destaca la importancia de la gobernanza ética de la IA como una prioridad estratégica para las organizaciones que buscan escalar la inteligencia artificial de manera...
Read More
A robot or AI figure embodying the role of artificial intelligence in transforming educational strategies.

Estrategia Integral de IA para la Educación Superior

noviembre 27, 2025 Gobernanza de IA,Governance dell'IA,IA,Innovazione in Medtech,Inteligencia Artificial,Politica Tecnologica
La inteligencia artificial está transformando la educación superior al mejorar la experiencia académica y abordar problemas como la salud mental de los estudiantes. Las instituciones deben equilibrar...
Read More
A blueprint

Gobernanza de IA: Alineando políticas organizacionales con estándares globales

noviembre 27, 2025 Conformità Regolatoria,Conformité IA,Cumplimiento Regulatorio,Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Politica Tecnologica,Régulation IA
La inteligencia artificial (IA) está moldeando los servicios financieros, la agricultura y la educación en África, pero también trae riesgos significativos como sesgos y violaciones de privacidad...
Read More
El Resurgir del Descontento ante la IA

El Resurgir del Descontento ante la IA

noviembre 27, 2025 Concienciación sobre Regulación de IA,Éthique IA,Etica dell'IA,Governance dell'IA,IA,Impact commercial de la régulation IA,Inteligencia Artificial,Régulation IA
La transformación económica impulsada por la inteligencia artificial ha comenzado a causar despidos masivos en empresas como IBM y Salesforce, lo que ha llevado a una creciente preocupación entre los...
Read More
A magnifying glass – illustrating the need for scrutiny and accountability in the deployment of AI technologies.

Ética laboral digital: Responsabilidad en la era de la IA

noviembre 27, 2025 Éthique IA,Ética de IA,Etica dell'IA,IA,IA Ética,Inteligencia Artificial,Responsabilidad de IA,Responsabilità dell'IA
La mano de obra digital se está volviendo cada vez más común en el lugar de trabajo, pero se han implementado pocas reglas aceptadas para gobernarla. Los directores ejecutivos enfrentan el desafío de...
Read More
A safety helmet

Anthropic lanza Petri, herramienta para auditorías automatizadas de seguridad en IA

noviembre 27, 2025 Conformità Regolatoria,Conformité IA,Conformité IA pour la sécurité,Cumplimiento Regulatorio,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Régulation IA,Responsabilidad de IA
Anthropic ha presentado Petri, una herramienta de auditoría de seguridad de IA de código abierto que utiliza agentes autónomos para probar modelos de lenguaje grande (LLMs) en busca de comportamientos...
Read More
A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

El Acta de IA de la UE y el GDPR: ¿Choque o Sinergia?

noviembre 27, 2025 Conformità Regolatoria,Conformità UE,Conformité EU IA,Cumplimiento de la UE,Cumplimiento Regulatorio,IA,Inteligencia Artificial,Protection des données,Regolamentazione dell'IA,Regulación de IA,Régulation IA
La Ley de IA de la UE y el RGPD tienen interacciones significativas y similitudes en sus principios, como la transparencia y la gestión de riesgos. Ambos marcos requieren que se implementen medidas de...
Read More