Facilita y Gestiona RGPD: qué resuelven bien y dónde empieza lo que no cubren

Las herramientas gratuitas de la AEPD son un excelente punto de partida para el RGPD básico de una PYME. La propia Agencia advierte de su límite: obtener los documentos no implica cumplir. Y la IA queda, por diseño, fuera de su alcance.

Cuando una PYME española da sus primeros pasos en protección de datos, hay dos nombres que aparecen enseguida: Facilita RGPD y Gestiona RGPD, las herramientas gratuitas de la Agencia Española de Protección de Datos. Y aparecen con razón: son un servicio público bien hecho. Guían a la empresa con cuestionarios sencillos y generan la documentación básica que el RGPD exige para tratamientos de bajo riesgo — registro de actividades, cláusulas informativas, contratos de encargo. Para miles de pequeñas empresas han sido la diferencia entre no tener nada y tener lo esencial.

Precisamente porque son valiosas, conviene entender con la misma claridad qué resuelven y qué no. Y aquí el punto de partida no lo ponemos nosotros: lo pone la propia AEPD, que advierte de que obtener los documentos de estas herramientas no implica, por sí mismo, el cumplimiento de la normativa. La documentación generada es un punto de partida que hay que adaptar, mantener y, sobre todo, cumplir en la práctica.

Lo que queda fuera, por diseño

Las herramientas de la AEPD están diseñadas para un escenario concreto: tratamientos de datos personales de escaso riesgo, en el marco del RGPD y la LOPDGDD. Todo lo que se salga de ese escenario queda fuera de su alcance — no por defecto de las herramientas, sino porque nunca pretendieron cubrirlo. En 2026, para una empresa que usa inteligencia artificial, ese "fuera" es cada vez más grande:

El AI Act no existe en ellas. El Reglamento de IA introduce un cuerpo de obligaciones propio —alfabetización, transparencia, clasificación de riesgo, y el calendario que se despliega entre 2025 y 2028— que es ajeno al perímetro RGPD de estas herramientas. Ninguno de sus cuestionarios pregunta qué sistemas de IA usas ni qué obligaciones te activan.

La especificidad de la IA tampoco. Un registro de actividades de tratamiento no es un inventario de sistemas de IA. Clasificar un tratamiento por su base jurídica no es clasificar un sistema por su nivel de riesgo. Y los escenarios que más crecen —IA generativa en el puesto de trabajo, agentes con autonomía, scoring de personas— exigen análisis que un generador de documentos genéricos no puede hacer.

La evidencia viva es el tercer límite. Los documentos generados son una foto del día que se generaron. El cumplimiento —del RGPD y, cada vez más, del AI Act— es una película: los sistemas cambian, los usos cambian, las obligaciones se activan por fechas. Sin un registro que viva con la organización, la foto envejece en silencio.

El error no es usarlas; es quedarse ahí

Nada de lo anterior es una crítica a las herramientas. Es una descripción de su perímetro, coherente con la advertencia de la propia Agencia. El error que vemos en la práctica no es usar Facilita o Gestiona: es creer que, con los documentos generados, "protección de datos" está resuelto y, por extensión, que la IA también. Ni lo primero es del todo cierto —lo dice la AEPD— ni lo segundo tiene base alguna.

La secuencia razonable para una PYME que usa IA se parece a esto:

  1. Usa las herramientas públicas para la base RGPD si tu escenario encaja en su alcance. Son gratuitas, oficiales y buenas en lo suyo.
  2. Reconoce dónde acaban: en cuanto hay IA que evalúa personas, datos sensibles, decisiones automatizadas o simplemente la pregunta "¿qué me exige el AI Act?", estás fuera de su perímetro.
  3. Cubre ese tramo con método: inventario de sistemas, clasificación de riesgo, obligaciones por fecha y evidencia trazable de cada decisión — que es lo que un día te pedirán, y lo que los documentos genéricos no pueden darte.

Si quieres saber cuánto de ese tramo te aplica, el diagnóstico gratuito te da la primera foto en unos minutos: qué obligaciones del AI Act te tocan según lo que ya usas. A partir de ahí, la diferencia entre la foto y el cumplimiento la marca lo de siempre: la evidencia.

Facilita RGPD y Gestiona RGPD son servicios públicos de la Agencia Española de Protección de Datos. Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.

Recibe análisis como este en tu correo

Novedades regulatorias y de producto de Alethexis. Sin ruido.

Acepto recibir comunicaciones de Alethexis —contenido sobre IA y regulación, y novedades de producto— y he leído la política de privacidad. Puedo darme de baja en cualquier momento.