Skip to main content

EU AI Act vs. DSGVO 2026: ¿en qué coinciden y en qué se diferencian?

Ambos reglamentos se aplican a la vez, pero protegen bienes jurídicos distintos. Esta comparativa detallada muestra cuándo rige la DSGVO, cuándo el EU AI Act y cuándo ambos generan obligaciones de forma acumulativa, con casos de uso concretos para pymes.

Reservar conformidad DSGVO + EU AI ActWito Digital Audit (WDA) gratuito

Dos reglamentos, dos bienes jurídicos: la DSGVO (Reglamento (UE) 2016/679) protege los datos personales y la privacidad de las personas físicas. El EU AI Act (Reglamento (UE) 2024/1689) protege la seguridad de las personas y sus derechos fundamentales frente a los sistemas de IA, con independencia de que se traten o no datos personales.

Los dos reglamentos: ¿qué protegen y cuándo se aplican ambos?

La DSGVO está en vigor desde el 25 de mayo de 2018 y protege la autodeterminación informativa: todo tratamiento de datos personales, sea analógico o digital, con o sin IA, queda sujeto a ella. Sus exigencias centrales son la limitación de la finalidad, la minimización de datos, los derechos de acceso y la obligación de suscribir un contrato de encargo de tratamiento (AVV) con los proveedores externos.

El EU AI Act entró en vigor el 1 de agosto de 2024 y protege la seguridad y los derechos fundamentales frente a los sistemas de IA. No regula puntos de datos, sino el propio sistema de IA: su clase de riesgo, su documentación y la supervisión humana sobre sus decisiones. La fecha clave para las pymes es el 2 de agosto de 2026, cuando entran plenamente en vigor todas las obligaciones de alto riesgo.

La conclusión decisiva para las medianas empresas: si un sistema de IA emplea datos personales (datos de candidatos, de clientes o de empleados), se aplican ambos reglamentos de forma acumulativa. Las exigencias de cumplimiento se suman, no se sustituyen. Quien ya cumple la DSGVO ha sentado parte de los cimientos, pero no ha satisfecho todas las obligaciones del EU AI Act.

Según la guía de Bitkom sobre EU AI Act + DSGVO 2024, las áreas de solapamiento son especialmente amplias en los sistemas de IA de alto riesgo en RR. HH., la personalización de marketing y la comunicación automatizada con clientes. Justo para las pymes que emplean herramientas de IA a través de servicios en la nube surge aquí un entramado de cumplimiento complejo.

4% Umsatz (DSGVO) vs. 7% (AI Act)

Maximale Bußgelder im Vergleich

Quelle: Art. 83 DSGVO + Art. 99 Verordnung (EU) 2024/1689, 2024
2018 (DSGVO) vs. 2025–2027 (AI Act)

Gestaffelte Inkrafttretensjahre

Quelle: EU-Kommission — EU AI Act Übergangsfristen 2024, 2024
99 Artikel DSGVO vs. 113 Artikel AI Act

Umfang der beiden Regelwerke

Quelle: Verordnung (EU) 2016/679 + Verordnung (EU) 2024/1689, 2024
27 EU-Mitgliedsstaaten

Geltungsbereich beider Verordnungen

Quelle: EU-Kommission — Geltungsbereich DSGVO + AI Act 2024, 2024

Tabla comparativa: DSGVO vs. EU AI Act, las 7 dimensiones más importantes

La confrontación directa muestra dónde discurren en paralelo ambos reglamentos y dónde se diferencian de forma fundamental. Todos los datos según la situación jurídica vigente en el segundo trimestre de 2026:

| Criterio | DSGVO | EU AI Act |

|---|---|---|

| Bien jurídico protegido | Datos personales y privacidad | Seguridad de las personas y derechos fundamentales frente a la IA |

| Ámbito de aplicación | Todos los responsables que tratan datos personales | Proveedores y responsables del despliegue de IA (también sin datos personales) |

| Clases de riesgo | Sin clases formales de riesgo (pero DSFA en caso de alto riesgo) | 4 clases: riesgo inaceptable / alto / limitado / mínimo |

| Obligaciones centrales | AVV, DSFA, registro de actividades de tratamiento, TOM, derechos de los afectados | Sistema de gestión de riesgos, documentación técnica, supervisión humana, evaluación de conformidad |

| Autoridad competente (DE) | BfDI + autoridades estatales de protección de datos | BNetzA + BfDI (cuando hay datos personales) |

| Sanciones | Hasta 20 M EUR o el 4 % de la facturación anual (el importe que sea mayor) | Hasta 35 M EUR / 7 % (prácticas prohibidas) o 15 M EUR / 3 % (alto riesgo) |

| Entrada en vigor | 25.05.2018 (directamente aplicable) | 01.08.2024 → escalonada hasta el 02.08.2026 (plena vigencia de alto riesgo) |

Lo que la tabla no muestra: el efecto acumulativo

En los sistemas de IA que tratan datos personales, el cumplimiento discurre en dos niveles a la vez. Según la FAQ del BMWK sobre el EU AI Act 2024, la aplicación acumulativa es expresamente buscada: el EU AI Act "se suma" a la DSGVO, no limita sus exigencias ni la deja sin efecto.

Para las pymes esto significa que una evaluación de impacto relativa a la protección de datos (DSFA) conforme al art. 35 de la DSGVO para un sistema de IA de selección de personal todavía no cubre la evaluación de conformidad conforme al art. 43 del EU AI Act. Ambos exámenes son autónomos, aunque afecten al mismo sistema y partes de la documentación puedan reutilizarse.

En positivo: las empresas con una documentación DSGVO impecable parten con una ventaja considerable. El registro de actividades de tratamiento, el registro de AVV y las estructuras de DSFA pueden ampliarse en lugar de empezar de cero. Según la análisis comparativo de reglamentos de la Fundación Heinrich Böll 2024, las empresas con un cumplimiento DSGVO sólido pueden reducir el esfuerzo inicial del AI Act entre un 30 y un 50 %.

Die Anforderungen des EU AI Act treten neben die der DSGVO — bei KI-Systemen mit personenbezogenen Daten gelten beide Verordnungen kumulativ. Die DSGVO-Behörden sind dabei auch für die Durchsetzung der AI-Act-Anforderungen zuständig, soweit diese den Datenschutz berühren.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), BfDI Tätigkeitsbericht 2024 — Stellungnahme zum EU AI Act, BfDI, 2024

Caso de uso 1: IA de cribado de candidaturas, ambos reglamentos de forma acumulativa

Una mediana empresa emplea una herramienta de IA que evalúa automáticamente las candidaturas entrantes según su adecuación a la descripción del puesto y elabora una lista corta de candidatos priorizados. Este escenario genera obligaciones de ambos reglamentos a la vez.

Obligaciones de la DSGVO

  • Base jurídica conforme al art. 6 de la DSGVO: el tratamiento de datos de candidatos solo es lícito con consentimiento (art. 6, apdo. 1, letra a) o para la ejecución de la relación laboral (art. 6, apdo. 1, letra b)
  • Derechos de acceso (art. 15 de la DSGVO): los candidatos tienen derecho a obtener información sobre qué datos se tratan y sobre qué lógica se basa la decisión de la IA
  • Obligación de supresión (art. 17 de la DSGVO): los datos de candidatos rechazados deben suprimirse tras un plazo claramente definido (por lo general, 6 meses tras la denegación)
  • DSFA (art. 35 de la DSGVO): la toma de decisiones automatizada con consecuencias de gran alcance para los candidatos exige una evaluación de impacto relativa a la protección de datos

Obligaciones del EU AI Act

  • Clasificación de alto riesgo (anexo III, n.º 4a): los sistemas de selección automatizada de candidatos en el contexto laboral se consideran de alto riesgo, sin excepción
  • Evaluación de conformidad (art. 43 del EU AI Act): antes del despliegue o de una modificación sustancial debe realizarse una evaluación de conformidad
  • Transparencia (art. 13 del EU AI Act): la empresa, como responsable del despliegue, debe informar a los candidatos de que se emplea un sistema de IA
  • Supervisión humana (art. 14 del EU AI Act): el personal de RR. HH. debe poder revisar y corregir las decisiones de la IA; no se admite ninguna denegación totalmente automática sin control humano

Resultado: quien emplee esta IA necesita tanto una DSFA conforme a la DSGVO como una evaluación de conformidad conforme al EU AI Act, dos documentos autónomos aunque sus contenidos se solapen. Según la guía de Bitkom sobre EU AI Act + DSGVO 2024, se recomienda un proceso de documentación integrado que aborde de forma sistemática ambos perfiles de requisitos.

Caso de uso 2: automatización de marketing con ChatGPT, responsabilidades separadas

Una pyme utiliza ChatGPT (GPT-4o) a través de la API de OpenAI para generar automáticamente correos personalizados a clientes existentes: recomendaciones de producto basadas en el historial de compra, saludos personalizados y contenidos específicos por segmento. También aquí se aplican ambos reglamentos, pero con un enfoque distinto.

Obligaciones de la DSGVO

  • AVV con OpenAI (art. 28 de la DSGVO): cuando se transmiten datos de clientes (aunque solo sean la dirección de correo y el historial de compra) a la API de OpenAI, OpenAI actúa como encargado del tratamiento. Es imprescindible un contrato de encargo de tratamiento. OpenAI ofrece un AVV estándar que debe suscribirse de forma expresa
  • Minimización de datos (art. 5 de la DSGVO): solo pueden transmitirse los datos realmente necesarios para la personalización; no cabe transferir dosieres completos de clientes
  • Base jurídica para la elaboración de perfiles (art. 6 + art. 22 de la DSGVO): la elaboración automatizada de perfiles con fines de marketing exige consentimiento o un interés legítimo con la correspondiente ponderación de intereses

Obligaciones del EU AI Act

  • Reglas GPAI (art. 53 del EU AI Act): ChatGPT se considera un modelo de IA de uso general (General Purpose AI). Desde el 2 de agosto de 2025, OpenAI, como proveedor, debe cumplir deberes de transparencia y publicar políticas de uso. Como usuario, usted debe comprobar que OpenAI cumple esas obligaciones
  • Sin clasificación de alto riesgo: la generación de correos de marketing no se encuadra en el anexo III del EU AI Act, por lo que no se exige evaluación de conformidad
  • Transparencia frente a los destinatarios: si los textos generados por IA pudieran ser malinterpretados por los destinatarios como redactados por una persona, debe valorarse un etiquetado conforme al art. 50 del EU AI Act

Resultado: en la automatización de marketing con ChatGPT, la DSGVO ocupa el primer plano, en particular el AVV y la minimización de datos. El EU AI Act desempeña un papel secundario (sin obligaciones de alto riesgo), pero los requisitos GPAI exigibles a OpenAI como proveedor deben ser verificables.

Consecuencias prácticas para las pymes: combinar el cumplimiento de forma eficiente

La buena noticia: una estrategia de cumplimiento inteligente trata la DSGVO y el EU AI Act como un sistema integrado, no como dos proyectos separados. Los siguientes potenciales de sinergia son especialmente relevantes para las pymes:

Integrar la documentación

  • DSFA ampliable: las evaluaciones de impacto relativas a la protección de datos ya existentes (art. 35 de la DSGVO) pueden combinarse con los requisitos de gestión de riesgos del art. 9 del EU AI Act; un mismo análisis de riesgos satisface dos exigencias regulatorias
  • Registro de tratamientos como base: el registro de actividades de tratamiento de la DSGVO (art. 30 de la DSGVO) aporta la lista de sistemas sobre la que puede construirse el inventario de IA del EU AI Act
  • AVV y obligaciones del responsable del despliegue: el AVV con OpenAI conforme a la DSGVO puede agruparse, junto con la documentación del responsable del despliegue del EU AI Act, en una única documentación de proveedores

Concentrar las responsabilidades

El EU AI Act no exige un "responsable de IA" formal, pero recomienda una responsabilidad designada para el cumplimiento en materia de IA. En la práctica conviene que el delegado de protección de datos (DSB) asuma la responsabilidad del cumplimiento del AI Act o se complemente con un "AI Officer" que colabore estrechamente con el DSB. Según la FAQ del BMWK sobre el EU AI Act 2024, este solapamiento de funciones es expresamente admisible y ahorra costes de coordinación considerables.

Resultado: las empresas que tratan la DSGVO y el EU AI Act como un marco de cumplimiento integrado reducen el esfuerzo total entre un 30 y un 50 % frente a una gestión separada, con una documentación más coherente al mismo tiempo.

Häufige Fragen: EU AI Act vs. DSGVO für KMU

No. El EU AI Act no exige una figura de responsable propia. En la práctica conviene situar la responsabilidad del cumplimiento del AI Act en el delegado de protección de datos (DSB) ya existente o designar a un "AI Officer" que coopere estrechamente con el DSB. El BMWK confirma expresamente en sus FAQ 2024 que la combinación de ambas funciones es admisible y razonable. Para las pymes sin DSB obligatorio basta con una persona interna designada o un proveedor externo de cumplimiento.
En parte sí. Un AVV conforme al art. 28 de la DSGVO y la documentación del responsable del despliegue del EU AI Act cubren obligaciones distintas, pero ambos pueden reunirse en una documentación de proveedores estructurada. En particular, el registro de actividades de tratamiento (DSGVO) y el registro de sistemas de IA (AI Act) pueden llevarse como un documento integrado. No son completamente idénticos: el EU AI Act exige además pruebas de la evaluación de conformidad y de la supervisión humana que van más allá de los requisitos de la DSGVO.
La DSGVO se aplica de forma activa desde 2018, en Alemania a través de las autoridades estatales de protección de datos y del BfDI. El EU AI Act se aplica de forma progresiva desde 2025: las prácticas prohibidas desde febrero de 2025 y las obligaciones de alto riesgo desde agosto de 2026. En Alemania se prevé que la Agencia Federal de Redes (BNetzA) actúe como autoridad de vigilancia del mercado; el BfDI es competente para los solapamientos con la protección de datos. Las primeras multas relevantes del AI Act se esperan para 2026/2027. Las autoridades de la DSGVO también examinarán aspectos del AI Act siempre que haya datos personales afectados.
Una DSFA (evaluación de impacto relativa a la protección de datos; en inglés, DPIA — Data Protection Impact Assessment) es una valoración estructurada del riesgo conforme al art. 35 de la DSGVO. Es obligatoria cuando un tratamiento de datos probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas, en particular en decisiones automatizadas, elaboración de perfiles a gran escala y tratamiento de categorías sensibles de datos. La DSFA documenta qué datos se tratan, qué riesgos existen, qué medidas técnicas y organizativas (TOM) se adoptan frente a ellos y si el riesgo residual es aceptable. En los sistemas de IA de alto riesgo conviene ampliar la DSFA con valoraciones de riesgo específicas del AI Act.
Una evaluación de conformidad conforme al art. 43 del EU AI Act es el examen formal de si un sistema de IA de alto riesgo cumple las exigencias del reglamento en materia de gestión de riesgos, calidad de los datos, documentación técnica, transparencia y supervisión humana. Para muchos sistemas de alto riesgo se admite una autoevaluación por parte del proveedor (sin organismo externo). Como responsable del despliegue, usted debe comprobar la declaración de conformidad del proveedor y asegurarse de emplear el sistema solo en su finalidad prevista. La evaluación de conformidad no es lo mismo que una DSFA: cubre otras áreas de requisitos.
Si su sistema de IA no trata datos personales, la DSGVO no se aplica (a ese sistema). El EU AI Act, en cambio, rige con independencia de ello. Un sistema de IA de control de calidad en la producción que analice exclusivamente imágenes de producto y no trate datos de personas queda igualmente sujeto al EU AI Act. En ese caso concreto hay que examinar la clase de riesgo: los sistemas de producción críticos para la seguridad pueden clasificarse como de alto riesgo (anexo III, n.º 2). Para la analítica pura de imágenes o procesos sin relación con personas, el riesgo suele ser mínimo, pero es necesario un examen expreso.
Los mayores solapamientos surgen en los sistemas de IA de alto riesgo con datos personales. Tanto la DSFA (DSGVO) como el sistema de gestión de riesgos (EU AI Act) exigen un análisis de riesgos, con un enfoque distinto pero estructuralmente similar. Las medidas técnicas y organizativas (TOM conforme a la DSGVO) y los requisitos técnicos de robustez (EU AI Act) se solapan en seguridad, control de acceso y cifrado. Los deberes de transparencia frente a las personas afectadas (DSGVO) y frente a los usuarios (EU AI Act) pueden cumplirse en un documento integrado. Los deberes de registro (DSGVO) y los requisitos de logs (EU AI Act) pueden combinarse técnicamente.
Depende del tipo de infracción. Las infracciones de la DSGVO se denuncian ante la autoridad estatal de protección de datos competente (según la sede de la empresa) o ante el BfDI. Las violaciones graves de datos personales deben notificarse en un plazo de 72 horas (art. 33 de la DSGVO). Las infracciones del EU AI Act se denuncian ante la autoridad nacional de vigilancia del mercado (en Alemania, previsiblemente la BNetzA). Cuando un sistema de IA presenta tanto infracciones de protección de datos como del AI Act, pueden ser competentes ambas autoridades, y el BfDI coordina los aspectos de protección de datos del AI Act. En incidentes graves se recomienda encarecidamente una coordinación temprana con un asesor de cumplimiento.

Conformidad DSGVO + EU AI Act: integrada, eficiente y con seguridad jurídica

Wito AI acompaña a las pymes en el cumplimiento combinado de la DSGVO y el EU AI Act, desde el análisis de riesgos integrado hasta la documentación completa. Aproveche su base DSGVO existente y reduzca el esfuerzo de cumplimiento del AI Act entre un 30 y un 50 %.

Reservar conformidad DSGVO + EU AI ActWito Digital Audit (WDA) gratuito
  • DSFA + evaluación de conformidad integradas
  • AVV + documentación del responsable del despliegue del AI Act combinadas
  • Reducción del esfuerzo del 30-50 % gracias a la integración
  • Preparación para la fecha clave del 2 de agosto de 2026

EU AI Act vs. DSGVO 2026: ¿en qué coinciden y en qué se diferencian?

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen