Volver al blog
RGPD 10 min

RGPD e IA: lo que tu empresa debe saber en 2026

Equipo Jurídico de LEXURAnálisis normativo IA y protección de datosActualizado:

La relación entre el Reglamento General de Protección de Datos (RGPD) y los sistemas de inteligencia artificial es cada vez más compleja. En 2026, con el AI Act en plena aplicación, las empresas deben entender cómo ambos marcos regulatorios interactúan y se complementan.

El RGPD no fue diseñado para la IA, pero la regula

El RGPD (Reglamento (UE) 2016/679) entró en vigor en 2018, antes del boom de la IA generativa. Sin embargo, sus principios son plenamente aplicables a los sistemas de IA que procesan datos personales:

  • Minimización de datos (Art. 5.1.c): solo procesar los datos estrictamente necesarios
  • Limitación de la finalidad (Art. 5.1.b): los datos recogidos para una finalidad no pueden usarse para otra incompatible
  • Exactitud (Art. 5.1.d): los datos deben ser exactos y estar actualizados
  • Transparencia (Art. 5.1.a): el interesado debe saber cómo se procesan sus datos

Bases jurídicas para el tratamiento con IA

Cualquier sistema de IA que procese datos personales necesita una base jurídica válida (Art. 6 RGPD):

Base jurídicaAplicabilidad a IAConsideraciones
ConsentimientoPosible pero complejoDebe ser específico, informado y revocable
Ejecución de contratoFrecuente en serviciosSolo para lo estrictamente necesario
Interés legítimoLa más habitualRequiere ponderación documentada (LIA)
Obligación legalSectores reguladosCuando la ley exige el uso de IA

Evaluación de Impacto (DPIA)

El Art. 35 del RGPD exige una Evaluación de Impacto en la Protección de Datos cuando el tratamiento entrañe un alto riesgo. La AEPD ha establecido que los siguientes tratamientos con IA requieren DPIA:

  • Perfilado con efectos jurídicos o significativos
  • Tratamiento a gran escala de categorías especiales
  • Evaluación sistemática de aspectos personales (scoring, predicción)
  • Uso de nuevas tecnologías combinado con algún criterio adicional

Derechos del interesado ante la IA

El RGPD otorga derechos específicos relevantes para la IA:

  1. Derecho a no ser objeto de decisiones automatizadas (Art. 22): el interesado puede exigir intervención humana en decisiones que le afecten significativamente
  2. Derecho de acceso (Art. 15): incluye el derecho a conocer la lógica aplicada en decisiones automatizadas
  3. Derecho de oposición (Art. 21): puede oponerse al perfilado en determinadas circunstancias
  4. Derecho de supresión (Art. 17): incluye la eliminación de datos usados para entrenar modelos

La AEPD y la IA

La Agencia Española de Protección de Datos ha publicado guías específicas:

  • Adecuación al RGPD de tratamientos que incorporan IA (2024): marco de evaluación integral
  • Requisitos para auditorías de tratamientos que incluyan IA (2024): metodología de auditoría
  • Resoluciones sancionadoras que establecen precedentes sobre IA y datos personales

Convergencia AI Act + RGPD

En 2026, las empresas deben cumplir ambos marcos simultáneamente. Los puntos de convergencia son:

  • La DPIA del RGPD y la evaluación de riesgos del AI Act pueden integrarse
  • La documentación técnica del AI Act complementa el registro de actividades del RGPD
  • La supervisión humana del AI Act refuerza el Art. 22 del RGPD
  • La AESIA y la AEPD coordinan sus actuaciones para evitar duplicidades

¿Cómo te ayuda LEXUR?

LEXUR analiza ambos marcos de forma integrada. Cuando consultas sobre un sistema de IA, las respuestas incluyen tanto las obligaciones del AI Act como las del RGPD aplicables, citando los artículos exactos de ambos reglamentos.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Consulta con un profesional cualificado para tu caso concreto.

Preguntas frecuentes

¿Qué base jurídica del RGPD necesita un sistema de IA para tratar datos personales?

Toda IA que procese datos personales necesita una base jurídica válida del Art. 6 del RGPD. Las más relevantes son el consentimiento (específico, informado y revocable), la ejecución de un contrato (solo para lo estrictamente necesario), el interés legítimo (la más habitual, que exige una ponderación documentada o LIA) y la obligación legal en sectores regulados.

¿Cuándo es obligatoria una Evaluación de Impacto (DPIA) en proyectos de IA?

El Art. 35 del RGPD exige una DPIA cuando el tratamiento entrañe un alto riesgo. La AEPD considera obligatoria la DPIA en perfilados con efectos jurídicos o significativos, en el tratamiento a gran escala de categorías especiales, en la evaluación sistemática de aspectos personales (scoring o predicción) y en el uso de nuevas tecnologías combinado con otro criterio de riesgo.

¿Puede una persona oponerse a una decisión automatizada tomada por IA?

Sí. El Art. 22 del RGPD reconoce el derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o significativos, pudiendo exigir intervención humana. Además, el Art. 15 da derecho a conocer la lógica aplicada y el Art. 21 permite oponerse al perfilado en determinadas circunstancias.

¿Cómo se relacionan el RGPD y el AI Act en 2026?

Ambos marcos se cumplen de forma simultánea y convergen en varios puntos: la DPIA del RGPD y la evaluación de riesgos del AI Act pueden integrarse, la documentación técnica del AI Act complementa el registro de actividades del RGPD, la supervisión humana del AI Act refuerza el Art. 22, y la AESIA y la AEPD coordinan sus actuaciones para evitar duplicidades.