El RIA y RGPD no son dos normas alternativas entre las que una empresa pueda elegir. Cuando un sistema de inteligencia artificial trata datos personales, ambos marcos se aplican de forma complementaria: el RIA regula el uso de la IA según su nivel de riesgo y el RGPD sigue rigiendo todo lo relativo a licitud, transparencia, minimización, seguridad, perfilado y derechos de las personas en cuanto al tratamiento de sus datos personales.
En Beta Legal somos especialistas en derecho digital, protección de datos e inteligencia artificial, y ayudamos a empresas a preparar un modelo de cumplimiento que no trate IA y privacidad como dos proyectos separados, sino como una sola arquitectura de gobernanza.
Qué regula cada norma
El punto de partida es distinguir ámbitos de aplicación de ambas normativas.
El RIA se centra en los sistema (y modelos) de IA, su clasificación por riesgo, las obligaciones para proveedores, importadores y desplegadores, la transparencia, la supervisión humana, la documentación y la gestión de riesgos. La Comisión Europea resume ese enfoque en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo o nulo.
El RGPD, en cambio, sigue aplicándose siempre que exista tratamiento de datos personales. Eso implica respetar principios como licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud y seguridad. Además, el RGPD exige medidas de protección de datos desde el diseño y por defecto, y prevé obligaciones específicas cuando hay decisiones automatizadas o perfilado con efectos relevantes sobre las personas.
La consecuencia práctica es clara: una empresa no cumple con el RIA por tener un buen aviso o política de privacidad, ni cumple con el RGPD por haber clasificado su sistema como de alto o bajo riesgo. Debe trabajar en ambos planos a la vez.
Dónde se cruzan RIE y RGPD en la práctica
La preparación real empieza cuando la empresa identifica los puntos de contacto entre ambas normas.
1. Inventario de sistemas y casos de uso
El primer paso es saber qué IA está usando la empresa y para qué. No solo herramientas propias: también “copilotos”, asistentes internos, sistemas de scoring, motores de recomendación, analítica predictiva, chatbots, herramientas de RR. HH. o proveedores SaaS con funciones de IA integradas.
Ese inventario sirve para dos cosas. Por un lado, permite clasificar el sistema según el RIA. Por otro lado, permite identificar si el tratamiento incluye datos personales y, por tanto, entra también en el perímetro del RGPD. La AEPD insiste en esa lógica de mapa de referencia conjunto para tratamientos con IA.
2. Clasificación del riesgo y base jurídica
Una vez identificado el caso de uso, hay que hacer dos preguntas distintas.
La primera es si el sistema cae en una categoría prohibida, de alto riesgo o simplemente se trata de cumplir con obligaciones de transparencia bajo el RIA y cual es el rol que ocupa la empresa (proveedor, deployer, etc.). La segunda es con qué base jurídica se tratan los datos personales en cada una de las fases de uso conforme al RGPD. Son análisis distintos y ambos son necesarios. Por ejemplo, un chatbot comercial puede no ser de alto riesgo, pero seguir necesitando transparencia y una base jurídica adecuada si trata datos personales. A su vez, un sistema de cribado de CV puede encajar en los sistemas de alto riesgo del RIA y, además, activar obligaciones especialmente relevantes bajo el RGPD.
3. Transparencia, perfilado y decisiones automatizadas
Aquí aparece uno de los solapamientos más sensibles. El RIA exige que, en determinados supuestos, las personas sepan que están interactuando con IA y que cierto contenido generado o manipulado por IA sea identificable. Estas obligaciones de transparencia empiezan a aplicar de forma general en agosto de 2026.
Pero, además, el RGPD exige informar sobre el tratamiento de datos y presta especial atención a la elaboración de perfiles y a las decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten significativamente de forma similar.
A su vez, el RIA también prevé obligaciones específicas en relación con la toma de decisiones automatizadas mediante ciertos sistemas de IA.
4. Calidad de los datos, sesgos y minimización
El RIA exige, para sistemas de alto riesgo, requisitos robustos sobre gestión de riesgos, calidad de los datos, trazabilidad, documentación, supervisión humana y robustez en cuanto a ciberseguridad. Al mismo tiempo, el RGPD exige exactitud, minimización y tratamiento adecuado desde el diseño. En la práctica, esto obliga a revisar los datasets, el origen de la información, las variables utilizadas y la existencia de sesgos o correlaciones problemáticas. La AEPD ha publicado guías específicas para adaptar tratamientos con IA al RGPD y para auditar componentes de IA desde la perspectiva de protección de datos.
5. Evaluación de impacto
El RGPD y el RIA exigen a realizar evaluaciones de impacto en materia de protección de datos y para los derechos fundamentales para determinados sistemas de alto riesgo. Ambas evaluaciones, si proceden, pueden hacerse de manera coordinara y utilizar parte del contenido de una para la otra.
Cómo preparar la empresa para ambos marcos
Una hoja de ruta razonable puede estructurarse así:
- Inventariar todos los sistemas y usos de IA, incluidos los de terceros.
- Clasificar cada caso de uso por nivel de riesgo conforme al RIA.
- Mapear qué datos personales intervienen y con qué finalidades.
- Revisar bases jurídicas, información facilitada y derechos de las personas.
- Evaluar si existe perfilado, decisión automatizada relevante o necesidad de EIPD.
- Ajustar contratos con proveedores, delimitando roles, soporte documental, incidentes y acceso a datos.
- Definir gobernanza interna, con responsables, procedimientos de aprobación y supervisión humana.
- Formar a la plantilla, porque la alfabetización en IA es ya una obligación aplicable desde febrero de 2025.
Conclusión sobre RIA y RGPD
Prepararse para RIA y RGPD exige dejar de ver la inteligencia artificial como un asunto puramente tecnológico. En 2026, la empresa necesita un marco conjunto de gobernanza: inventario, clasificación de riesgos, base jurídica, transparencia, revisión contractual, evaluación de impacto, controles de acceso, supervisión humana y formación.
La buena noticia es que ambos marcos pueden trabajarse de forma coordinada. Cuando la empresa integra cumplimiento de IA y privacidad desde el diseño, reduce riesgos regulatorios, mejora su trazabilidad y gana seguridad para desplegar sistemas útiles de verdad.
Preguntas frecuentes
¿RIA y RGPD se aplican a la vez?
Sí. Si un sistema de IA trata datos personales, el RIA y el RGPD se aplican de forma complementaria, no excluyente.
¿Qué obligaciones del RIA ya son de aplicación?
Ya se aplican las prohibiciones y la obligación de alfabetización en IA desde el 2 de febrero de 2025, y las reglas de gobernanza y GPAI desde el 2 de agosto de 2025. La mayor parte del resto de obligaciones entra en aplicación el 2 de agosto de 2026.
¿Cuándo aplica el RGPD en un sistema de IA?
Siempre que la herramienta trate datos personales, por ejemplo en RR. HH., atención al cliente, scoring, biometría, analítica o sistemas de recomendación.
¿Toda IA requiere una evaluación de impacto en protección de datos?
No siempre, pero sí cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas, algo que puede ocurrir en varios usos de sistemas de IA que incorporan toma de decisiones automatizadas.
¿Un chatbot obliga a informar al usuario?
El RIA prevé obligaciones de transparencia hacía los interesados respecto de aquellos sistemas que puedan interactuar con humanos y no se evidente de que se trata de un sistema de este tipo. Asimismo, el RGPD también exige transparencia en cuanto al tratamiento de datos personales llevados a cabo mediante el sistema.
Articulo revisado por Gerard Espuga, abogado especialista en Derecho Digital y Protección de Datos
