Esta es una evaluación de impacto relativa a los derechos fundamentales (EIDF; en inglés, FRIA) completa y desarrollada para un sistema de IA de scoring crediticio: las seis secciones del artículo 27, apartado 1, cumplimentadas para un escenario bancario concreto, con la profundidad propia del crédito al consumo que una plantilla genérica deja fuera. Parte directamente de nuestra guía de plantilla de EIDF, que explica qué es una EIDF, la estructura de seis secciones y en qué se diferencia una EIDF de una EIPD. Un sistema de IA destinado a evaluar la solvencia de personas físicas o a establecer su calificación crediticia es de alto riesgo en virtud del anexo III, punto 5, letra b) del Reglamento de IA de la UE, y su responsable del despliegue debe realizar una EIDF en virtud del artículo 27, con independencia de que sea público o privado. La fecha vinculante es el 2 de agosto de 2026; el Digital Omnibus (acordado provisionalmente en torno al 7 de mayo de 2026) aplazaría las obligaciones autónomas de alto riesgo del anexo III, incluida la EIDF del artículo 27, hasta el 2 de diciembre de 2027, pero a fecha de junio de 2026 aún no es ley, así que conviene seguir preparándose sobre la base del 2 de agosto de 2026. Puede redactar una versión estructurada de la evaluación que figura a continuación con el generador de EIDF gratuito.
Por qué el scoring crediticio activa una EIDF, con independencia del carácter público o privado
El artículo 27, apartado 1 comienza así: «Antes de desplegar uno de los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, con excepción de los sistemas de IA de alto riesgo destinados a ser utilizados en el ámbito que figura en el anexo III, punto 2, los responsables del despliegue que sean organismos de Derecho público o entidades privadas que presten servicios públicos y los responsables del despliegue de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, letras b) y c), llevarán a cabo una evaluación del impacto que la utilización de dicho sistema pueda tener en los derechos fundamentales.» La frase define dos grupos de responsables del despliegue obligados a realizar la evaluación.
El primer grupo lo forman los organismos de Derecho público y las entidades privadas que presten servicios públicos que desplieguen sistemas de alto riesgo del anexo III. El segundo grupo son los responsables del despliegue de los sistemas a que se refiere el anexo III, punto 5, letras b) y c): el scoring crediticio y la fijación de precios de los seguros de vida o de salud. Esa segunda parte no contiene ninguna matización de carácter público o privado. Obliga a todo responsable del despliegue de un sistema de evaluación de la solvencia de la letra b) y a todo responsable del despliegue de un sistema de fijación de precios de seguros de vida o de salud de la letra c), incluidos los bancos comerciales y las entidades de crédito al consumo.
Conviene señalar directamente una trampa de lectura. La expresión «con excepción de […] anexo III, punto 2» excluye los sistemas de infraestructuras críticas únicamente del primer grupo. El punto 2 del anexo III abarca las infraestructuras críticas; el scoring crediticio se sitúa en el punto 5, letra b). Un responsable del despliegue de scoring crediticio de la letra b) queda incluido por la segunda parte de la frase, y la excepción del punto 2 no afecta a esa parte.
El anexo III, punto 5, letra b) abarca los «sistemas de IA destinados a ser utilizados para evaluar la solvencia de personas físicas o para establecer su calificación crediticia, con excepción de los sistemas de IA utilizados para detectar fraudes financieros». Un modelo de probabilidad de impago que dirige decisiones de crédito al consumo encaja de lleno en esa definición. La guía de plantilla de EIDF resume este criterio de activación; el resto de este artículo lo desarrolla por completo. Para una visión más amplia de la clasificación, incluido cómo el artículo 6 y el anexo III determinan qué se considera de alto riesgo, consulte la guía de clasificación de sistemas de IA de alto riesgo.
Un último paso de clasificación hace que el criterio de activación sea inatacable. Con arreglo al artículo 6, apartado 3, un sistema del anexo III puede quedar fuera del alto riesgo cuando no plantea un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, por ejemplo cuando realiza una tarea procedimental limitada. Esa excepción no alcanza al scoring crediticio: el artículo 6, apartado 3, dispone que un sistema del anexo III se considerará siempre de alto riesgo cuando efectúe la elaboración de perfiles de personas físicas, y un modelo de evaluación de la solvencia que valora la situación económica de una persona constituye elaboración de perfiles en el sentido del artículo 4, punto 4, del RGPD. Por tanto, un sistema de scoring crediticio que dirige de forma sustancial las decisiones de crédito sigue siendo de alto riesgo, y su responsable del despliegue mantiene la obligación de realizar la EIDF del artículo 27.
La excepción de detección de fraude: qué entra y qué queda fuera
La definición de la letra b) exceptúa expresamente la IA «utilizada para detectar fraudes financieros». Por tanto, un modelo de detección de fraude puro queda fuera de la categoría de evaluación de la solvencia de la letra b) y no hereda el criterio de activación de la EIDF de scoring crediticio a través de la letra b). Un modelo de fraude puede seguir siendo de alto riesgo por otros motivos y acarrear sus propias obligaciones de gobernanza; sencillamente, no hereda el desencadenante de la EIDF de scoring crediticio de la letra b). Cuando la misma entidad ejecuta modelos de fraude y de prevención del blanqueo de capitales junto a su motor de crédito, el enfoque de gobernanza para estos se aborda en gobernanza de agentes de prevención del blanqueo y pagos.
Dos casos colindantes completan el límite. La mera fijación de precios de seguros distintos del de vida (automóvil, hogar, viaje) queda fuera del punto 5, letra c); un ramo distinto del de vida necesitaría una vía independiente del anexo III o del anexo I para ser de alto riesgo. Solo la evaluación de riesgos y la fijación de precios de los seguros de vida y de salud entran por el punto 5, letra c), que conlleva su propia obligación de EIDF.
| Uso de IA | ¿En el anexo III, punto 5, letra b)? | ¿EIDF del art. 27 por la letra b)? |
|---|---|---|
| Evaluar la solvencia / establecer una calificación crediticia | Sí | Sí |
| Detectar fraudes financieros | No (exceptuado expresamente) | No (no lo activa la letra b)) |
| Fijar precios de seguros distintos del de vida (automóvil, hogar) | No (solo vida y salud entran en la letra c)) | No |
| Fijar precios de seguros de vida o de salud | Sí (por el punto 5, letra c)) | Sí: véase el ejemplo de EIDF para seguros |
Tres capas jurídicas sobre una sola decisión de crédito con IA
Una sola denegación automatizada no se rige únicamente por el Reglamento de IA. Tres cuerpos del Derecho de la UE se superponen sobre la misma decisión, y una EIDF creíble debe tener en cuenta todos ellos. Esta profundidad propia del crédito al consumo es lo que distingue una evaluación práctica de scoring crediticio de la plantilla genérica.
| Capa | Qué exige ante una denegación de crédito | Fuente |
|---|---|---|
| EIDF del Reglamento de IA | Una evaluación de derechos fundamentales en seis partes antes del despliegue; notificar los resultados a la autoridad de vigilancia del mercado. | Reglamento de IA, art. 27, apdos. 1 a 3 |
| Derecho a la explicación del Reglamento de IA | Previa solicitud, una explicación clara y significativa del papel del sistema de IA en la decisión y de los principales elementos de la decisión adoptada, en la medida en que ese derecho no esté ya previsto en el Derecho de la Unión. | Reglamento de IA, art. 86, apdos. 1 y 3 |
| Reglas del RGPD sobre decisiones automatizadas | Una base jurídica del artículo 6 propia para el tratamiento, más una excepción del artículo 22, apartado 2 (contrato, ley habilitante o consentimiento explícito) a la prohibición de las decisiones basadas únicamente en el tratamiento automatizado; en las vías del contrato y del consentimiento explícito, las garantías del artículo 22, apartado 3 (intervención humana, derecho a expresar su punto de vista y a impugnar la decisión). | RGPD, art. 22, apdos. 1 a 3 |
| Transparencia del RGPD | «Información significativa sobre la lógica aplicada», así como la importancia y las consecuencias previstas del tratamiento. | RGPD, art. 13.2.f) / 14.2.g) / 15.1.h) |
| EIPD del RGPD | Una evaluación de riesgos para la protección de datos cuyas partes coincidentes alimentan la EIDF y son complementadas por ella. | RGPD, art. 35; Reglamento de IA, art. 27, apdo. 4 |
El derecho a la explicación del artículo 86 y sus anclajes en el RGPD
El artículo 86 del Reglamento de IA es el anclaje para explicar la denegación dentro del propio Reglamento. Reconoce a «toda persona afectada que se vea sujeta a una decisión que el responsable del despliegue adopte sobre la base de los resultados de salida de un sistema de IA de alto riesgo enumerado en el anexo III […] y que produzca efectos jurídicos o le afecte de manera similar de un modo que considere que tiene efectos adversos para su salud, su seguridad o sus derechos fundamentales […] el derecho a obtener del responsable del despliegue explicaciones claras y significativas sobre el papel del sistema de IA en el procedimiento de toma de decisiones y sobre los principales elementos de la decisión adoptada». El derecho está condicionado a ese umbral: la decisión debe producir efectos jurídicos o afectar de manera significativa y similar a la persona. Una denegación de crédito supera ese umbral, porque condiciona el acceso a un préstamo, una tarjeta o un descubierto, de modo que el solicitante rechazado es una persona afectada que puede invocar el artículo 86. El artículo 86, apartado 3, mantiene el derecho como cláusula de cierre: se aplica únicamente en la medida en que un derecho equivalente no esté ya previsto en el Derecho de la Unión, por lo que, cuando la transparencia del RGPD y los derechos del artículo 22 ya cubren la explicación, prevalecen esas disposiciones y el artículo 86 colma lo que dejan abierto. En el lado del RGPD, los anclajes vinculantes son los artículos 13 a 15 (información significativa sobre la lógica aplicada) y el artículo 22, apartado 3 (intervención humana, derecho a expresar su punto de vista y a impugnar la decisión). El considerando 71 también describe una explicación de la decisión alcanzada, si bien es un considerando no vinculante, por lo que la obligación de explicación se ancla mejor en esos artículos vinculantes y en el artículo 86. El término estadounidense "adverse-action notice" es una abreviatura útil para estas obligaciones, aunque no es un término legal de la UE.
El escenario: el banco y el sistema
El ejemplo práctico utiliza un único responsable del despliegue de principio a fin. El banco es un banco minorista y entidad de crédito al consumo de la UE de tamaño medio, que actúa como responsable del despliegue de un sistema de IA de alto riesgo. El sistema es un modelo de evaluación de la solvencia de aprendizaje automático (proveedor «ScoreCo», modelo v2.3) que genera una puntuación de probabilidad de impago empleada para decidir solicitudes de crédito al consumo: préstamos personales, tarjetas de crédito y descubiertos autorizados.
El diseño de la toma de decisiones es un umbral de tres franjas. Las puntuaciones por encima del umbral superior se aprueban automáticamente; las puntuaciones por debajo del umbral inferior se deniegan automáticamente; la franja intermedia se remite a analistas de riesgos humanos. Un modelo de cribado de fraude independiente se ejecuta primero y queda fuera del alcance de esta EIDF en virtud de la excepción del anexo III, punto 5, letra b). El uso es continuo e indefinido desde la fecha de despliegue, con puntuación en tiempo real en el momento de la solicitud, en torno a 3000 decisiones a la semana (unas 150 000 al año) en los mercados minoristas de la UE del banco, en línea y en oficina. El sistema pertenece al anexo III, punto 5, letra b), por lo que la EIDF es obligatoria en virtud del artículo 27, apartado 1, sea cual sea el carácter público o privado del banco.
La EIDF desarrollada, sección por sección (artículo 27, apartado 1, letras a) a f))
El artículo 27, apartado 1, enumera seis componentes obligatorios. Los dos párrafos siguientes exponen qué función cumple cada uno en el caso del scoring crediticio, y la tabla posterior completa los seis para el ejemplo desarrollado.
Las secciones 1 a 3 fijan los hechos sobre los que razona el resto de la evaluación. La sección 1 recoge el sistema y su finalidad prevista (el modelo de probabilidad de impago de ScoreCo, el flujo de originación en el que se inserta y el diseño de umbral de tres franjas) e indica con claridad que el cribado de fraude es un modelo independiente ajeno a esta EIDF. La sección 2 recoge la duración y la frecuencia: uso continuo en producción, puntuación en tiempo real en el momento de la solicitud y el volumen semanal de decisiones. La sección 3 identifica a las personas afectadas, con especial atención a los solicitantes con historial crediticio escaso y a los solicitantes vulnerables, así como a terceros como cosolicitantes y avalistas.
Las secciones 4 a 6 contienen el análisis. La sección 4 es el registro de riesgos expuesto íntegramente más adelante: cada derecho fundamental, el escenario de perjuicio, una valoración de probabilidad y gravedad, la medida de mitigación y el riesgo residual. La sección 5 documenta las medidas de supervisión humana: los responsables designados que pueden anular una denegación automática, la revisión obligatoria de las denegaciones en los grupos señalados y la función de riesgo de modelos de segunda línea. La sección 6 recoge qué ocurre cuando un riesgo se materializa: la vía de reclamación, los derechos del artículo 22, apartado 3, del RGPD y del artículo 86 que el solicitante puede invocar, la reversión del modelo y el ajuste de umbrales, y la notificación del artículo 27, apartado 3, a la autoridad de vigilancia del mercado.
| Sección de la EIDF | Qué documenta el banco en el caso del scoring crediticio | Base |
|---|---|---|
| 1. Sistema y finalidad prevista | Modelo ScoreCo v2.3; la finalidad prevista es predecir la probabilidad de impago para fundamentar decisiones de crédito al consumo; se utiliza en el flujo de originación con umbrales de aprobación y denegación automáticas y una franja intermedia de análisis humano; el cribado de fraude lo gestiona un modelo independiente y queda excluido. | Art. 27, apdo. 1, letra a) |
| 2. Duración y frecuencia | Uso continuo e indefinido en producción desde la fecha de despliegue; puntuación en tiempo real en la solicitud; ~3000 decisiones/semana, ~150 000/año; mercados minoristas de la UE, en línea y en oficina. | Art. 27, apdo. 1, letra b) |
| 3. Personas y grupos afectados | Solicitantes de crédito (personas físicas), con especial atención a los colectivos con historial crediticio escaso y vulnerables (jóvenes, migrantes recientes, personas que han enviudado o se han divorciado recientemente y vuelven a solicitar crédito a su propio nombre), solicitantes de renta baja, solicitantes cuyas variables sustitutivas se correlacionan con características protegidas y solicitantes con escasa alfabetización digital; además de terceros (cosolicitantes, avalistas, personas a cargo). | Art. 27, apdo. 1, letra c) |
| 4. Riesgos específicos para los derechos fundamentales | El registro de riesgos que figura más abajo: cada derecho, escenario de perjuicio, probabilidad, gravedad, nivel de riesgo, mitigación y riesgo residual. | Art. 27, apdo. 1, letra d) |
| 5. Medidas de supervisión humana | Responsables de riesgo de crédito y analistas designados con autoridad para anular las denegaciones automáticas; revisión humana obligatoria de todas las denegaciones en los grupos señalados; las puntuaciones de baja confianza se derivan a revisión humana; una función de riesgo de modelos de segunda línea; formación en supervisión y registro de actividad. | Art. 27, apdo. 1, letra e) |
| 6. Medidas si los riesgos se materializan | Mecanismo de reclamación; vía de revisión humana e impugnación del artículo 22, apartado 3, del RGPD; explicación de la denegación conforme al artículo 86 del Reglamento de IA; vía alternativa de evaluación manual; reversión del modelo y ajuste de umbrales; escalado de incidentes; notificación del artículo 27, apartado 3, a la autoridad de vigilancia del mercado. | Art. 27, apdo. 1, letra f) |
La sección 4 al completo: el registro de riesgos del scoring crediticio
La sección 4 es donde una EIDF se vuelve concreta. El artículo 27, apartado 1, letra d), exige que la evaluación exponga los riesgos específicos de perjuicio que probablemente afecten a las categorías de personas físicas identificadas en la sección 3; un registro derecho por derecho —cada derecho fundamental en juego, un escenario de perjuicio específico, una valoración de probabilidad y gravedad, la mitigación y el riesgo residual— es una forma defendible de documentar esos riesgos. El registro siguiente lo hace para el caso del scoring crediticio. Los valores de probabilidad, gravedad y riesgo residual constituyen una evaluación de muestra, internamente coherente con la matriz de puntuación que figura a continuación. Ilustran un método defendible; las cifras concretas no las prescribe ningún regulador.
| Derecho fundamental | Escenario de perjuicio | Probabilidad | Gravedad | Riesgo | Mitigación | Residual |
|---|---|---|---|---|---|---|
| No discriminación (art. 21 de la Carta) | Variables sustitutivas (código postal, ocupación, dispositivo, variables vinculadas a la nacionalidad) se correlacionan con características protegidas (origen étnico, sexo, edad), lo que produce tasas de denegación dispares: discriminación indirecta. | Posible | Grave | Alto | Pruebas trimestrales de impacto desigual / ratio de impacto adverso entre grupos protegidos; auditoría de variables sustitutivas con eliminación o transformación; restricciones de equidad; revisión humana de todas las denegaciones en los grupos señalados; motivos documentados. | Medio |
| Acceso a servicios privados esenciales / protección del consumidor | Una puntuación baja errónea deniega indebidamente el crédito, lo que restringe el acceso a servicios esenciales como un vehículo de trabajo, la financiación de la vivienda o compras esenciales, y entraña el riesgo de una exclusión acumulativa del mercado crediticio. La denegación de un nuevo crédito no constituye normalmente una privación de la propiedad existente conforme al artículo 17 de la Carta, que solo se activa cuando se ve afectado un bien ya poseído. | Improbable | Grave | Medio | Vía alternativa de evaluación manual; anulación humana; motivos claros de la decisión adversa; posibilidad de aportar pruebas adicionales (p. ej., historial de pagos de alquiler o de suministros para los historiales escasos). | Bajo |
| Protección de datos personales (art. 8 de la Carta) | Datos de agencias de crédito o de transacciones inexactos, desactualizados o excesivos degradan la exactitud y la equidad; rasgos de categorías especiales inferidos a partir de datos transaccionales. | Posible | Moderada | Medio | Revisión de minimización de datos; integración de la EIPD (art. 27, apdo. 4); controles de calidad de los datos acordes con el artículo 10 del Reglamento de IA; prohibición de entradas de categorías especiales y vigilancia de sus variables sustitutivas; proceso de corrección de los datos de las agencias de crédito (art. 16 del RGPD). | Bajo |
| Tutela judicial efectiva (art. 47 de la Carta) / protección del consumidor | El solicitante no puede entender ni impugnar una denegación automatizada; un resultado de tipo "lo dice el ordenador" sin vía humana ni motivos significativos. | Posible | Grave | Alto | Garantías del artículo 22, apartado 3, del RGPD (intervención humana garantizada, derecho a expresar su punto de vista y a impugnar); explicación clara y significativa del papel de la IA y de los principales factores de la decisión conforme al artículo 86 del Reglamento de IA; códigos de motivo principal; decisiones registradas y auditables. | Medio |
| No discriminación / solicitantes con historial escaso y vulnerables | Los solicitantes con historial crediticio escaso o inexistente (jóvenes, migrantes recientes, personas con actividad crediticia reciente a su propio nombre) se puntúan con datos escasos y se les deniega el crédito o se les fija un precio inadecuado de forma sistemática; el modelo rinde por debajo de lo esperado en los segmentos infrarrepresentados. | Probable | Moderada | Alto | Seguimiento del rendimiento por segmentos (exactitud según el grosor del historial y la cohorte de edad); datos alternativos consentidos (alquiler, suministros, flujo de caja de open banking) con revisión manual para los historiales escasos; derivar las puntuaciones de baja confianza a revisión humana. | Medio |
| Decisiones basadas únicamente en el tratamiento automatizado (art. 22 del RGPD) | La denegación automática en el umbral de puntuación es una decisión basada únicamente en el tratamiento automatizado con efectos significativos (SCHUFA, C-634/21), adoptada sin una base jurídica del artículo 6 y una excepción del artículo 22, apartado 2, o sin las garantías del artículo 22, apartado 3. | Posible | Grave | Alto | Ampararse en la excepción de necesidad contractual del artículo 22, apartado 2, letra a), junto con una base jurídica del artículo 6 propia y las garantías del artículo 22, apartado 3; revisión humana significativa previa solicitud para cada denegación automática; registro de actividad; la base jurídica y la excepción documentadas en la EIPD. | Bajo |
Puntuar el registro: probabilidad × gravedad
Los niveles de riesgo del registro proceden de una matriz de probabilidad por gravedad aplicada de forma coherente en toda la evaluación. Documentar la matriz, y el razonamiento que hay detrás de cada valoración, importa tanto a un regulador como el nivel de riesgo final.
| Probabilidad / Gravedad | Insignificante | Menor | Moderada | Grave | Catastrófica |
|---|---|---|---|---|---|
| Raro | Bajo | Bajo | Bajo | Medio | Medio |
| Improbable | Bajo | Bajo | Medio | Medio | Alto |
| Posible | Bajo | Medio | Medio | Alto | Alto |
| Probable | Medio | Medio | Alto | Alto | Crítico |
| Casi seguro | Medio | Alto | Alto | Crítico | Crítico |
Las medidas de mitigación en detalle
Pruebas de impacto desigual. Realice trimestralmente pruebas del ratio de impacto adverso entre los grupos protegidos, comparando tasas de aprobación, tasas de denegación y resultados de precios. El criterio de las cuatro quintas partes (80 %) es una señal de partida; documente la prueba, las poblaciones y la medida adoptada cuando aparezca una disparidad.
Tratamiento de las variables sustitutivas. Audite las variables de entrada para detectar correlaciones con características protegidas. El código postal, la ocupación, el tipo de dispositivo y las variables vinculadas a la nacionalidad son variables sustitutivas habituales del origen étnico, el sexo o la edad. Elimine o transforme las variables que porten señal sustitutiva y vuelva a probar tras cada cambio.
Revisión humana de las denegaciones. Derive cada denegación de un grupo señalado a un analista designado antes de comunicarla, y otorgue a ese analista autoridad real para anular el modelo. Las puntuaciones de baja confianza pasan a revisión humana.
Motivos de la decisión adversa y la explicación del artículo 86. Facilite al solicitante los motivos principales de la denegación en lenguaje claro, además de la explicación del artículo 86 sobre el papel del sistema de IA en la decisión y los principales elementos de la decisión adoptada. Los códigos de motivo principal asociados a los factores determinantes del modelo hacen que esto sea repetible y auditable.
Vía manual alternativa. Ofrezca una vía hacia una evaluación manual completa a los solicitantes que impugnen una denegación automatizada o que puedan aportar pruebas adicionales, como el historial de pagos de alquiler o de suministros.
Historiales escasos y datos alternativos. Para los solicitantes con historial crediticio escaso, utilice datos alternativos consentidos (alquiler, suministros o flujo de caja de open banking) con revisión manual, y vigile el rendimiento del modelo según el grosor del historial y la cohorte de edad para detectar fallos por segmento.
Cada uno de estos controles necesita un responsable, evidencias y un lugar en el marco de control del banco; asignarlos a los artículos pertinentes del Reglamento de IA es la función de la vista de mapeo de controles.
El artículo 22 del RGPD, SCHUFA y la EIPD
Una denegación automática en un umbral de puntuación es una decisión basada únicamente en el tratamiento automatizado con efectos significativos, lo que la sitúa bajo el artículo 22 del RGPD. El TJUE fijó ese umbral más bajo de lo que muchos prestamistas suponían. En el asunto SCHUFA Holding (Scoring), asunto C-634/21 (sentencia de 7 de diciembre de 2023), el Tribunal declaró que una agencia de información crediticia que genera de forma automatizada un valor de probabilidad de calificación crediticia realiza ella misma una decisión individual automatizada con arreglo al artículo 22, apartado 1, cuando un tercero, como un prestamista, se basa de manera determinante en ese valor para conceder o denegar crédito; el Tribunal señaló que un valor de probabilidad insuficiente conduce, en casi todos los casos, a una denegación. Una puntuación puede por sí misma estar comprendida en el artículo 22 cuando un tercero se basa de manera determinante en ella para conceder o denegar crédito, de modo que un banco que deniega automáticamente en su propio umbral adopta esa decisión de forma aún más directa.
Eso significa que el banco necesita tanto una base jurídica del artículo 6 propia para el tratamiento como una excepción del artículo 22, apartado 2, a la prohibición de las decisiones basadas únicamente en el tratamiento automatizado. La excepción habitual es la necesidad contractual del artículo 22, apartado 2, letra a) —la decisión es necesaria para la celebración de un contrato de crédito—, que, al igual que la vía del consentimiento explícito del artículo 22, apartado 2, letra c), conlleva las garantías del artículo 22, apartado 3: el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión. La vía del artículo 22, apartado 2, letra b), una decisión autorizada por el Derecho de la Unión o de los Estados miembros, exige en cambio que esas garantías se establezcan en la ley habilitante. El artículo 22, apartado 4, restringe además el uso de datos de categorías especiales, razón por la cual el registro de riesgos prohíbe las entradas de categorías especiales y vigila sus variables sustitutivas. La opción restante es mantener a una persona en el circuito en cada denegación para que la decisión no sea exclusivamente automatizada.
El análisis de protección de datos se solapa en gran medida con una EIPD del RGPD. El artículo 27, apartado 4, del Reglamento de IA dispone que, cuando una obligación ya se cumple mediante una EIPD, la EIDF complementa dicha EIPD. Reutilice como punto de partida el trabajo de la EIPD sobre flujos de datos, base jurídica y calidad de los datos, y amplíelo a los derechos de la Carta que una EIPD no cubre. Para el lado de la EIPD, consulte EIPD para sistemas de IA, y para redactar ambas a la vez utilice el generador de EIPD y EIDF.
Después de la EIDF: notificación y seguimiento continuo
El artículo 27 también exige notificación y actualizaciones después de la evaluación. Con arreglo al artículo 27, apartado 3, una vez realizada la EIDF, el responsable del despliegue notifica sus resultados a la autoridad de vigilancia del mercado competente mediante el modelo del artículo 27, apartado 5. La Oficina de IA aún no ha publicado ese modelo a fecha de junio de 2026, así que, entretanto, documente con arreglo a los criterios del artículo 27, apartado 1; la ausencia del modelo no exime de la obligación. La única exención de notificación es el supuesto restringido del artículo 46, apartado 1.
La EIDF es además un documento vivo. El artículo 27, apartado 2, exige una actualización siempre que sus elementos cambien o dejen de estar al día. En el caso de un modelo de scoring crediticio, los desencadenantes prácticos de actualización son el reentrenamiento o el cambio de versión del modelo, el ajuste de un umbral o punto de corte, la deriva del rendimiento o de la distribución, una nueva cohorte de solicitantes o un nuevo mercado, y cualquier cambio en las fuentes de datos que alimentan la puntuación. Un responsable del despliegue puede ampararse en una EIDF realizada previamente para un sistema suficientemente similar, y debe mantener la evaluación actualizada. La perspectiva de la supervisión francesa para los bancos que despliegan este tipo de modelo se aborda en gobernanza de la IA por la ACPR para los bancos franceses.
Preguntas frecuentes
¿Un banco privado tiene que hacer una EIDF para el scoring crediticio con IA?
Sí. El artículo 27, apartado 1, exige una EIDF a los «responsables del despliegue de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, letras b) y c)», y esa parte no contiene ninguna matización de carácter público o privado. Un sistema de evaluación de la solvencia o de scoring crediticio pertenece al anexo III, punto 5, letra b), y, como realiza elaboración de perfiles de personas físicas, la excepción del artículo 6, apartado 3, no lo saca de la categoría de alto riesgo, de modo que todo responsable del despliegue, público o privado, debe llevar a cabo la EIDF. Lo único que la letra b) excluye es la IA utilizada para detectar fraudes financieros.
¿La detección de fraude con IA está cubierta por la EIDF de scoring crediticio?
No. El anexo III, punto 5, letra b), exceptúa expresamente los «sistemas de IA utilizados para detectar fraudes financieros». Por tanto, un modelo de detección de fraude puro no forma parte de la categoría de evaluación de la solvencia de la letra b) y la letra b) no lo arrastra a la EIDF. Puede seguir siendo de alto riesgo por otros motivos, y no hereda el criterio de activación del scoring crediticio.
¿Una calificación crediticia automatizada es una decisión con arreglo al artículo 22 del RGPD?
Puede serlo. En el asunto SCHUFA Holding (Scoring), asunto C-634/21 (sentencia de 7 de diciembre de 2023), el TJUE declaró que generar de forma automatizada un valor de probabilidad de calificación crediticia constituye una decisión individual automatizada con arreglo al artículo 22, apartado 1, cuando un prestamista se basa de manera determinante en ese valor para conceder o denegar crédito. Por tanto, un banco que deniega automáticamente en un umbral de puntuación adopta una decisión exclusivamente automatizada, y necesita una base jurídica del artículo 6 propia y una excepción del artículo 22, apartado 2, además de —en las vías del contrato y del consentimiento explícito— las garantías del artículo 22, apartado 3: intervención humana, derecho a expresar su punto de vista y a impugnar.
¿Qué explicación debe recibir un solicitante al que se le deniega el crédito?
Con arreglo al artículo 86 del Reglamento de IA, el solicitante puede obtener una explicación clara y significativa del papel del sistema de IA en la decisión y de los principales elementos de la decisión adoptada; el artículo 86, apartado 3, lo convierte en una cláusula de cierre que solo se aplica cuando un derecho equivalente no esté ya previsto en el Derecho de la Unión. Con arreglo a los artículos 13 a 15 del RGPD, el banco debe facilitar información significativa sobre la lógica aplicada y sobre la importancia y las consecuencias previstas, y, en virtud del artículo 22, apartado 3, el solicitante puede obtener intervención humana e impugnar la decisión. El término "adverse-action notice" es terminología estadounidense; en la UE, estas obligaciones vinculantes son el equivalente funcional.
¿Puede nuestra EIPD existente cubrir la EIDF para el scoring crediticio?
Solo en parte. El artículo 27, apartado 4, establece que, cuando una obligación ya se cumple mediante una EIPD del RGPD, la EIDF complementa dicha EIPD. Reutilice el análisis de protección de datos que se solapa, y considere la EIDF como más amplia: cubre todos los derechos de la Carta, incluidas la no discriminación, el acceso a servicios esenciales y la tutela judicial efectiva, más allá de la sola protección de datos.
¿Cuándo es legalmente obligatoria la EIDF de scoring crediticio?
La fecha vinculante es el 2 de agosto de 2026. El Digital Omnibus (acordado provisionalmente en torno al 7 de mayo de 2026) aplazaría las obligaciones autónomas de alto riesgo del anexo III, incluida la EIDF del artículo 27, hasta el 2 de diciembre de 2027, pero a fecha de junio de 2026 aún no es ley. Hasta que se publique en el Diario Oficial, sigue vigente el 2 de agosto de 2026, de modo que los responsables del despliegue deben seguir preparándose sobre esa base.
¿Tenemos que informar a un regulador tras completar la EIDF?
Sí. Con arreglo al artículo 27, apartado 3, el responsable del despliegue notifica los resultados de la EIDF a la autoridad de vigilancia del mercado competente y presenta el modelo del artículo 27, apartado 5. La Oficina de IA aún no ha publicado ese modelo a fecha de junio de 2026, así que utilice su propia documentación con arreglo a los criterios del artículo 27, apartado 1, hasta que aparezca. La única exención es el supuesto restringido del artículo 46, apartado 1.
Conclusiones clave
Un sistema de IA de evaluación de la solvencia o de scoring crediticio es de alto riesgo en virtud del anexo III, punto 5, letra b), y su responsable del despliegue debe realizar una EIDF completa del artículo 27 sea cual sea su carácter público o privado. La evaluación desarrollada más arriba muestra un nivel de concreción defendible con arreglo al artículo 27, apartado 1: las seis secciones cumplimentadas, un registro de riesgos derecho por derecho, el análisis de la excepción y las garantías del artículo 22 del RGPD, la obligación de explicación del artículo 86 y la mecánica de reutilización de la EIPD. La fecha vinculante es el 2 de agosto de 2026; el Digital Omnibus trasladaría las obligaciones autónomas de alto riesgo del anexo III al 2 de diciembre de 2027, pero a fecha de junio de 2026 aún no es ley, así que prepárese sobre la base del 2 de agosto de 2026. Empiece un borrador de evaluación de scoring crediticio con el generador de EIDF gratuito. Este artículo tiene únicamente carácter informativo general y no constituye asesoramiento jurídico; confirme sus obligaciones en virtud del artículo 27 con asesores cualificados y vuelva a comprobar el estado regulatorio antes de basarse en cualquier plazo.