Los responsables del despliegue franceses llegan a la evaluación de impacto relativa a los derechos fundamentales del artículo 27 de la Ley de IA de la UE (FRIA, en francés analyse d'impact sur les droits fondamentaux) desde un punto de partida conocido: una práctica madura de protección de datos construida en torno a la analyse d'impact relative à la protection des données (AIPD) de la CNIL, el nombre francés de la EIPD del RGPD. Esta guía adapta la plantilla de FRIA genérica al contexto francés. Explica cómo el artículo 27(4) permite reutilizar una AIPD como base, qué aportan las guías de IA publicadas por la CNIL y dónde se detienen, y qué autoridad francesa recibe la notificación del artículo 27(3) una vez que se resuelvan las designaciones. La fecha vinculante de preparación es el 2 de agosto de 2026. El Digital Omnibus (acordado de forma provisional hacia el 7 de mayo de 2026) aplazaría las obligaciones autónomas de alto riesgo del anexo III, incluida la FRIA del artículo 27, hasta el 2 de diciembre de 2027, pero aún no es ley, así que siga preparándose sobre la base del 2 de agosto de 2026. Puede redactar una evaluación estructurada con el generador de FRIA gratuito.
La FRIA en Francia: una obligación del artículo 27 leída a través de la CNIL
La FRIA es una obligación del responsable del despliegue en virtud del artículo 27 de la Ley de IA de la UE, y alcanza a las organizaciones francesas de dos maneras. Los organismos de Derecho público y las entidades privadas que prestan servicios públicos deben realizar una FRIA antes de desplegar cualquier sistema de alto riesgo del anexo III. En Francia, ese grupo incluye los organismes de sécurité sociale, los hospitales públicos, los centros escolares y las universidades, los operadores de vivienda social y los concesionarios que prestan servicios públicos. Por otra parte, con independencia de su carácter público o privado, todo responsable del despliegue que utilice IA para evaluar la solvencia o establecer calificaciones crediticias entra en el ámbito de aplicación del anexo III, punto 5(b), con una excepción para la IA empleada para detectar fraude financiero; y lo mismo ocurre con todo responsable del despliegue que utilice IA para la evaluación de riesgos y la fijación de precios en los seguros de vida y de salud, conforme al anexo III, punto 5(c).
La obligación recae en el responsable del despliegue, la organización que pone el sistema en uso bajo su propia autoridad. El proveedor facilita las aportaciones que el responsable del despliegue necesita en virtud de los artículos 11 a 13 (la documentación técnica del anexo IV, las instrucciones de uso y los riesgos y limitaciones conocidos del sistema), y el responsable del despliegue construye la FRIA sobre ese material. El responsable del despliegue también asume la notificación del artículo 27(3). Para un responsable del despliegue francés, la consecuencia práctica es que el deber no puede delegarse en el proveedor de IA.
La mayoría de los despliegues de alto riesgo que ya exigen una FRIA en Francia también tratan datos personales, por lo que ya requieren una AIPD en virtud del artículo 35 del RGPD. La puntuación de la admisibilidad a prestaciones, la calificación crediticia y la fijación de precios en los seguros de vida y de salud implican el tratamiento a gran escala de datos personales de personas identificables, con frecuencia de colectivos vulnerables. Esa superposición es la razón por la que la vía francesa hacia la FRIA pasa por la AIPD. Para confirmar, en primer lugar, si un sistema concreto es de alto riesgo, recorra la guía de clasificación de alto riesgo; para la capa de protección de datos, consulte nuestro artículo complementario sobre las EIPD para sistemas de IA.
Reutilice su AIPD: el artículo 27(4) y la metodología de EIPD de la CNIL
El artículo 27(4) es la disposición clave para los responsables del despliegue franceses. Establece que, cuando alguna de las obligaciones del artículo 27 ya se cumpla mediante una evaluación de impacto relativa a la protección de datos realizada en virtud del artículo 35 del Reglamento (UE) 2016/679 (el RGPD) o del artículo 27 de la Directiva (UE) 2016/680, la evaluación de impacto relativa a los derechos fundamentales prevista en el apartado 1 «complementará dicha evaluación de impacto relativa a la protección de datos». La lectura práctica es que una AIPD existente se reutiliza como aportación a la FRIA. No sustituye a la FRIA, que igualmente debe abordar todos los derechos pertinentes de la Carta.
Francia dispone de una infraestructura de EIPD inusualmente sólida en la que apoyarse. Desde 2015, la CNIL publica una metodología de PIA compuesta por tres guías (un método, plantillas y una base de conocimientos), junto con un programa de PIA gratuito y de código abierto. Una EIPD es obligatoria en virtud del artículo 35 del RGPD cuando es probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, lo que abarca los sistemas de IA de alto riesgo sujetos a una FRIA. La AIPD que se elabora con esa metodología se convierte en el sustrato que la FRIA amplía.
El cuadro siguiente muestra qué elementos del artículo 27(1) suele cubrir ya una AIPD y qué debe añadir todavía la FRIA. El patrón es constante: la AIPD resuelve bien la capa de protección de datos y, en parte, el contexto del sistema, mientras que el análisis específico de derechos —no discriminación, buena administración y derechos sociales— es donde la FRIA hace la mayor parte de su trabajo propio. El generador de EIPD a FRIA está concebido precisamente en torno a esta reutilización.
| Elemento de la FRIA (artículo 27(1)) | ¿Cubierto por la AIPD/EIPD de la CNIL? | Lo que la FRIA debe añadir todavía |
|---|---|---|
| (a) Descripción del sistema y finalidad prevista | En parte: la AIPD describe el tratamiento | El encuadre del proceso por parte del responsable del despliegue más la finalidad prevista del proveedor (aportaciones del anexo IV y del artículo 13) |
| (b) Duración y frecuencia de uso | En su mayor parte: la sección de contexto de la AIPD | Volumen de decisiones, alcance geográfico y cadencia del despliegue |
| (c) Categorías de personas afectadas | En parte: la AIPD enumera a los interesados | Terceros afectados indirectamente y colectivos vulnerables (artículos 24 a 26 de la Carta) |
| (d) Riesgos específicos para los derechos fundamentales | En parte: la AIPD evalúa los riesgos para los derechos y libertades, pero desde la óptica de la protección de datos | Todos los derechos de la Carta ajenos a la protección de datos: no discriminación, buena administración, seguridad social |
| (e) Medidas de supervisión humana | De forma somera: la sección de seguridad y medidas de la AIPD | Funciones de supervisión, facultades de intervención y formación alineadas con el artículo 14 |
| (f) Medidas en caso de materializarse los riesgos y reclamaciones | En parte: la AIPD contempla medidas y vías de reparación | Salvaguardias específicas de derechos, reclamación y reparación, y la notificación a la autoridad del artículo 27(3) |
Las guías de IA publicadas por la CNIL y lo que deja en manos de la Oficina de IA
La CNIL ha construido su trabajo sobre IA a partir del RGPD. Desde 2023 ha publicado una serie de recomendaciones y fichas prácticas (fiches pratiques) que explican cómo se aplica el Derecho de protección de datos al desarrollo y al despliegue de la IA. Ninguna de ellas es una plantilla de FRIA del artículo 27.
El 7 de febrero de 2025, la CNIL publicó dos recomendaciones: una sobre cómo informar a los interesados cuando sus datos se utilizan para entrenar modelos de IA, y otra sobre cómo facilitar el ejercicio de los derechos de los interesados (acceso, rectificación, oposición y supresión) en los sistemas de IA.
El 22 de julio de 2025, la CNIL ultimó tres recomendaciones más: sobre cómo determinar cuándo se aplica el RGPD a los modelos de IA, sobre la anotación de datos y sobre el desarrollo seguro de sistemas de IA, junto con una ficha de síntesis y una lista de comprobación de cumplimiento descargable. La CNIL anunció además guías sectoriales futuras, que abarcarán educación, salud y empleo, así como trabajos sobre las responsabilidades de los actores a lo largo de la cadena de valor de la IA.
La CNIL también publica una guía de autoevaluación para sistemas de IA, una rejilla de análisis de siete fichas para valorar la madurez de un sistema de IA frente al RGPD: la integración proporcionada de la IA con un objetivo claro, la construcción de un conjunto de datos de entrenamiento de calidad conforme al RGPD, el desarrollo y entrenamiento del algoritmo, la garantía de la calidad y la transparencia del sistema en uso, la seguridad del tratamiento, la transparencia y los derechos de los usuarios finales, y la asignación de responsabilidades y la documentación del tratamiento.
Todo este material es realmente útil para la capa de protección de datos de un despliegue de IA en Francia. No incluye una plantilla de FRIA del artículo 27. En virtud del artículo 27(5), esa plantilla, que incluye una herramienta automatizada, es competencia de la Oficina Europea de IA y, a fecha de junio de 2026, no se había publicado. Los responsables del despliegue franceses deberían estructurar la FRIA en torno a los seis elementos del artículo 27(1) y tratar el material de AIPD de la CNIL como la aportación de protección de datos.
Quién supervisa la Ley de IA en Francia y a quién se notifica en virtud del artículo 27(3)
Francia todavía no ha designado formalmente sus autoridades nacionales competentes ni sus autoridades de vigilancia del mercado en el marco de la Ley de IA, y no las ha notificado a la Comisión. Incumplió el plazo del 2 de agosto de 2025 para hacerlo y figura entre los Estados miembros que no han formalizado sus designaciones. Hasta que se promulgue una designación, la CNIL, la ACPR y los demás organismos candidatos actúan de facto, sin un estatuto formal en virtud de la Ley de IA.
Un esquema gubernamental de gobernanza publicado el 9 de septiembre de 2025 propone un reparto por sectores. Es una propuesta a la espera de adopción parlamentaria y no ha sido promulgada. Según ella, la DGCCRF sería la autoridad de vigilancia del mercado coordinadora y el punto de contacto único del artículo 70; la DGE asumiría la oficina de enlace y el puesto de Francia en el Consejo Europeo de Inteligencia Artificial; la CNIL lideraría la IA de datos personales y biométrica, además del empleo, la garantía del cumplimiento del Derecho, el control de fronteras y la identificación biométrica (unos quince casos de uso); la ACPR abarcaría la IA de los servicios financieros; Arcom se ocuparía de los contenidos audiovisuales y las ultrafalsificaciones; ANSSI y PEReN aunarían los conocimientos técnicos; y la HAS y la ANSM cubrirían la IA de salud y de productos sanitarios.
Las disposiciones de designación se incluyeron en el proyecto de ley DDADUE (loi portant diverses dispositions d'adaptation au droit de l'Union européenne) en la Assemblée nationale y después se retiraron de él, y el esquema sigue a la espera de adopción parlamentaria. Por otra parte, la CNIL ha defendido públicamente que las autoridades de protección de datos deberían ser designadas autoridades de vigilancia del mercado para una serie de sistemas de IA de alto riesgo, alegando su experiencia en derechos fundamentales y la necesidad de mantener la coherencia entre el RGPD y la Ley de IA.
El cuadro siguiente resume la asignación propuesta. Lea cada fila como una propuesta.
| Ámbito de IA (Francia) | Autoridad propuesta (esquema del 9 sept. 2025) | Situación |
|---|---|---|
| Punto de contacto único / autoridad coordinadora de vigilancia del mercado (art. 70) | DGCCRF | Propuesta; aún no promulgada |
| Puesto de Francia en el Consejo Europeo de IA / oficina de enlace | DGE | Propuesta; aún no promulgada |
| IA de datos personales y biométrica (y empleo, garantía del cumplimiento del Derecho, fronteras, identificación biométrica) | CNIL (responsable de facto) | Propuesta; la CNIL actúa de facto |
| IA de servicios financieros (incl. crédito) | ACPR | Propuesta; aún no promulgada |
| Audiovisual / ultrafalsificaciones / contenidos | Arcom | Propuesta; aún no promulgada |
| Conocimientos técnicos puestos en común | ANSSI + PEReN | Propuesta; aún no promulgada |
| IA de salud y de productos sanitarios | HAS / ANSM | Propuesta; aún no promulgada |
Qué implica la designación pendiente para su notificación
Para un responsable del despliegue francés, la consecuencia práctica es concreta. El destinatario de la notificación del artículo 27(3) aún no está fijado formalmente, de modo que hoy no puede presentar la notificación ante una autoridad designada. Mantenga preparado un expediente completo del artículo 27(1) listo para presentar, vigile el decreto de designación y preséntelo en cuanto se nombre a la autoridad destinataria. La obligación vinculante es preparar el expediente; el destinatario de la presentación sigue por determinar.
Ejemplo práctico: un organismo público francés que puntúa la admisibilidad a prestaciones
Imagine una caja pública francesa de protección social, un organisme de sécurité sociale como una caja de prestaciones familiares o de prestaciones sociales, que despliega un sistema de IA para puntuar a los beneficiarios de cara a una revisión de control. El sistema señala los hogares para una revisión por pago indebido o una nueva comprobación de la admisibilidad. Esto corresponde al anexo III, punto 5(a): la IA utilizada por las autoridades públicas, o en su nombre, para evaluar la admisibilidad a prestaciones y servicios esenciales de asistencia pública, o para concederlos, reducirlos, retirarlos o recuperarlos. Como organismo público que despliega un sistema de alto riesgo del anexo III, la caja debe realizar una FRIA del artículo 27 antes del primer uso. Ya realiza una AIPD de la CNIL sobre el mismo tratamiento, por lo que este caso muestra en la práctica la reutilización del artículo 27(4).
Un anclaje jurídico merece atención. Si la puntuación determina una reducción o suspensión de prestaciones sin intervención humana significativa, constituye una decisión basada únicamente en el tratamiento automatizado que produce efectos jurídicos o significativos de modo similar, algo que el artículo 22(1) del RGPD prohíbe salvo que sea aplicable una excepción del artículo 22(2). Para una decisión sobre prestaciones públicas, la vía habitual es el artículo 22(2)(b), la autorización por el Derecho de la Unión o de un Estado miembro que establezca salvaguardias adecuadas. El control más limpio es mantener a una persona implicada de forma significativa, con autoridad para anular la decisión, de modo que esta no sea exclusivamente automatizada, y reconocer al destinatario el derecho a expresar su punto de vista y a impugnar el resultado. Ese requisito debe figurar tanto en la AIPD como en la FRIA.
Cada riesgo del registro se valora según su probabilidad y su gravedad, y ambas valoraciones se combinan en un único nivel de riesgo mediante la matriz de puntuación de la plantilla de FRIA. Dejar constancia del razonamiento que sustenta cada valoración importa tanto como la valoración en sí.
El registro de riesgos de la FRIA de puntuación de prestaciones
El registro siguiente es la sección 4 de la FRIA (artículo 27(1)(d)) de este despliegue. Es el nivel de concreción que esperarían una autoridad de vigilancia del mercado francesa y un tribunal, y el tipo de resultado que produce el generador de FRIA.
| Derecho fundamental | Escenario de daño | Probabilidad | Gravedad | Riesgo | Mitigación | Residual |
|---|---|---|---|---|---|---|
| No discriminación (art. 21 de la Carta) | Variables indirectas (lugar de residencia, composición del hogar, frecuencia de contactos previos) se correlacionan con características protegidas, de modo que las familias monoparentales y los beneficiarios con discapacidad o nacidos en el extranjero son señalados para control en proporciones desmesuradas. | Probable | Grave | Alto | Pruebas trimestrales de impacto dispar entre los grupos protegidos; eliminación o transformación de las variables indirectas; auditoría algorítmica independiente; publicación de la metodología de puntuación y de los criterios de selección. | Medio |
| Vida privada y protección de datos (arts. 7 y 8 de la Carta; RGPD) | El cruce de múltiples bases de datos administrativas para construir la puntuación es intrusivo y excede lo necesario. | Posible | Grave | Alto | Prueba de minimización de datos y de necesidad heredada de la AIPD/EIPD de la CNIL; restricción de las bases de datos cruzadas; documentación de la base jurídica; programa de PIA de la CNIL para la capa de protección de datos. | Medio |
| Buena administración y tutela judicial efectiva (principio general de buena administración; art. 47 de la Carta) | Una puntuación opaca desencadena una suspensión de prestaciones que el beneficiario no puede comprender ni impugnar. | Posible | Grave | Alto | Revisión humana obligatoria antes de cualquier suspensión; motivación individualizada e inteligible de toda decisión desfavorable; canal de recurso accesible; la puntuación nunca cancela automáticamente una prestación. | Bajo |
| Seguridad social; derechos del menor y de las personas con discapacidad (arts. 34, 24 y 26 de la Carta) | Una señalización errónea suprime ingresos de subsistencia esenciales para un hogar dependiente. | Improbable | Catastrófica | Alto | Salvaguardia por situación de necesidad sin suspensión mientras está pendiente de revisión; vía manual acelerada; seguimiento continuo de las tasas de falsos positivos y de error por grupo. | Medio |
| Artículo 22 del RGPD (decisiones exclusivamente automatizadas) | La puntuación determina la reducción o suspensión sin intervención humana significativa, lo que la convierte en una decisión exclusivamente automatizada e ilícita con efectos jurídicos o significativos de modo similar. | Posible | Grave | Alto | Mantener una revisión humana significativa, que no sea un mero trámite, con autoridad para anular la decisión, de modo que esta no sea exclusivamente automatizada; cuando se invoque una excepción del artículo 22(2), aplicar las salvaguardias exigidas (intervención humana significativa, derecho a expresar el punto de vista y a impugnar la decisión); mantener la AIPD y la FRIA en un único expediente integrado. | Medio |
Una lista de comprobación de la FRIA específica para Francia
La vía francesa hacia la FRIA tiene un orden natural. Parta de la AIPD, amplíela al conjunto completo de derechos de la Carta y, a continuación, reúna el expediente de notificación para que esté listo cuando se nombre a la autoridad destinataria.
- Realice o actualice primero la AIPD. Use la metodología de PIA de la CNIL y su programa de PIA gratuito para documentar la capa de protección de datos: base jurídica, necesidad, proporcionalidad, minimización de datos, seguridad y derechos de los interesados. Esta es la aportación del artículo 27(4).
- Confirme el supuesto desencadenante. Compruebe el sistema frente al artículo 6 y al anexo III con la guía de clasificación de alto riesgo y confirme su categoría de responsable del despliegue.
- Amplíe a todos los derechos de la Carta. Añada los derechos ajenos a la protección de datos que la AIPD no alcanza: la no discriminación (artículo 21), la buena administración (un principio general del Derecho de la UE) y la tutela judicial efectiva (artículo 47 de la Carta), y los derechos sociales (artículos 34, 24 y 26). Documente la supervisión humana en virtud del artículo 14.
- Asigne las obligaciones a controles y pruebas. Use el mapeo de controles para vincular cada requisito del artículo 27 con un control concreto y un elemento de prueba.
- Reúna el expediente de notificación. Documente los seis elementos del artículo 27(1) para que el expediente esté listo para presentarse en virtud del artículo 27(3) en cuanto Francia nombre a la autoridad destinataria.
- Vigile las piezas en movimiento. Siga el decreto de designación y la situación del Digital Omnibus, y vuelva a consultar el panorama de la Ley de IA de la UE para conocer el calendario de plazos vigente.
Dos guías complementarias
Dos guías complementarias profundizan en cuestiones afines. Para una FRIA de calificación crediticia desarrollada por completo, que incluye la excepción de detección de fraude del anexo III, punto 5(b), y la interacción con el artículo 22 del RGPD, consulte el ejemplo de FRIA de calificación crediticia. Para conocer cómo aborda Francia las normas armonizadas de la Ley de IA de la UE, consulte el debate sobre Francia y la prEN 18286.
Preguntas frecuentes
¿Es la CNIL la autoridad competente para la FRIA en Francia?
Aún no formalmente. Francia no ha promulgado las designaciones de autoridades de la Ley de IA e incumplió el plazo del 2 de agosto de 2025. Un esquema gubernamental del 9 de septiembre de 2025 propone a la DGCCRF como punto de contacto único del artículo 70, a la CNIL como responsable de facto de la IA de datos personales y biométrica, y a la ACPR para la IA de los servicios financieros, pero las disposiciones de designación quedaron estancadas en el proyecto de ley DDADUE en el Parlamento. Hasta que se adopte un decreto, el destinatario de la notificación del artículo 27(3) no está fijado formalmente, así que mantenga lista para presentar su documentación del artículo 27(1).
¿Puede una AIPD francesa (EIPD) sustituir a la FRIA?
No. El artículo 27(4) establece que la FRIA complementa una EIPD realizada en virtud del artículo 35 del RGPD; no la sustituye. Se reutilizan las partes que la AIPD ya cubre, como los datos, la seguridad y algunos riesgos, y la FRIA evalúa además todos los derechos pertinentes de la Carta de la UE, incluidas la no discriminación, la buena administración y los derechos sociales, más allá de la protección de datos por sí sola.
¿Facilita la CNIL una plantilla de FRIA?
No. La CNIL publica material centrado en el RGPD —recomendaciones sobre IA y fichas prácticas, una guía de autoevaluación para sistemas de IA y una metodología de EIPD (AIPD) con un programa de PIA gratuito y de código abierto—, pero sin una plantilla de FRIA del artículo 27. La plantilla oficial de FRIA es competencia de la Oficina Europea de IA en virtud del artículo 27(5) y no se había publicado a fecha de junio de 2026.
¿Qué autoridades francesas supervisarán los sistemas de IA de alto riesgo?
Según el esquema propuesto del 9 de septiembre de 2025, la DGCCRF coordina como punto de contacto único, la CNIL lidera la IA de datos personales y biométrica (y el empleo, la garantía del cumplimiento del Derecho y la identificación biométrica), la ACPR abarca las finanzas, Arcom cubre los contenidos audiovisuales y las ultrafalsificaciones, y ANSSI junto con PEReN prestan apoyo técnico. Todo ello sigue siendo una propuesta a la espera de adopción parlamentaria.
¿Abarcan las guías de IA de la CNIL la Ley de IA de la UE?
Las recomendaciones de la CNIL se basan en el RGPD. Interpretan cómo se aplica el Derecho de protección de datos al desarrollo y al despliegue de la IA. La CNIL se coordina con la Ley de IA en la práctica y ha defendido públicamente que las autoridades de protección de datos deberían ser designadas autoridades de vigilancia del mercado para los sistemas de IA de alto riesgo que afectan a los derechos fundamentales, con el fin de mantener la coherencia entre el RGPD y la Ley de IA.
¿Qué responsables del despliegue franceses deben realizar una FRIA?
Los organismos de Derecho público y las entidades privadas que prestan servicios públicos y despliegan IA de alto riesgo del anexo III, además de, con independencia de su carácter público o privado, todo responsable del despliegue que utilice IA para la solvencia o la calificación crediticia conforme al anexo III, punto 5(b) (salvo la detección de fraude), o para la evaluación de riesgos y la fijación de precios en los seguros de vida y de salud conforme al anexo III, punto 5(c).
Tras la FRIA, ¿qué notifico y a quién en Francia?
El artículo 27(3) exige que el responsable del despliegue notifique los resultados de la FRIA a la autoridad de vigilancia del mercado, utilizando la plantilla del artículo 27(5) de la Oficina de IA cuando exista. Dado que Francia aún no ha designado formalmente esa autoridad, mantenga preparado un expediente completo del artículo 27(1) listo para presentar. La fecha vinculante de preparación sigue siendo el 2 de agosto de 2026, a menos que el Digital Omnibus se publique en el Diario Oficial, lo que la trasladaría al 2 de diciembre de 2027.
Conclusiones clave
Una FRIA francesa es más eficiente cuando parte del trabajo que ya tiene. Realice o actualice la AIPD de la CNIL, reutilícela como aportación del artículo 27(4), amplíe después la evaluación a todos los derechos pertinentes de la Carta y reúna el expediente del artículo 27(1) para que esté listo para notificar en cuanto Francia nombre a la autoridad destinataria. La fecha vinculante de preparación es el 2 de agosto de 2026, y el Digital Omnibus solo la trasladaría al 2 de diciembre de 2027 una vez que se publique en el Diario Oficial, de modo que el rumbo práctico es el mismo en cualquier caso: prepárese ahora. Puede redactar una evaluación estructurada con el generador de FRIA gratuito y, para ver cómo se traduce esto en un despliegue real, solicite una demostración. Este artículo tiene únicamente carácter informativo general y no constituye asesoramiento jurídico; confirme sus obligaciones en virtud del artículo 27 con asesores cualificados y vuelva a verificar la situación normativa —tanto las designaciones de autoridades francesas como el Digital Omnibus siguen en movimiento— antes de basarse en cualquier plazo o vía de notificación.