El Reglamento de IA de la UE introduce una potente herramienta de cumplimiento que muchas organizaciones apenas empiezan a comprender: la Evaluación de Impacto en los Derechos Fundamentales, o FRIA. A diferencia de las evaluaciones técnicas de conformidad, centradas en las especificaciones del sistema, la FRIA exige que los responsables del despliegue analicen cómo afectan sus sistemas de IA a los derechos fundamentales de personas reales, desde la privacidad y la no discriminación hasta la dignidad humana y el acceso a la justicia. Con la llegada de las obligaciones de alto riesgo a lo largo de la implantación escalonada del EU AI Act, las organizaciones que despliegan sistemas de IA de alto riesgo necesitan entender no solo qué es una FRIA, sino cómo realizarla de forma eficaz. Esta guía ofrece un marco completo, plantillas prácticas y ejemplos sectoriales que le ayudarán a cumplir sus obligaciones en virtud del Artículo 27 del EU AI Act. Una nota sobre los plazos de entrada: en mayo de 2026 los legisladores de la UE acordaron provisionalmente aplazar los plazos de alto riesgo (véase el calendario actualizado más abajo). El propio requisito de la FRIA no cambia y, hasta que ese aplazamiento sea ley, la fecha original del 2 August 2026 sigue siendo aplicable, por lo que el consejo práctico es seguir preparándose. Puede crear un borrador de evaluación en cuestión de minutos con nuestro generador de FRIA gratuito.
¿Qué es una Evaluación de Impacto en los Derechos Fundamentales (FRIA)?
Una Evaluación de Impacto en los Derechos Fundamentales es un proceso de evaluación sistemático diseñado para identificar, valorar y mitigar los posibles efectos adversos de los sistemas de IA de alto riesgo sobre los derechos fundamentales de las personas. Exigida por el Artículo 27 del EU AI Act, la FRIA constituye la primera evaluación de impacto del mundo jurídicamente vinculante centrada específicamente en la IA y los derechos fundamentales.
La FRIA examina los posibles efectos en todo el espectro de derechos protegidos por la Carta de los Derechos Fundamentales de la UE, incluida la dignidad humana (Artículo 1), el derecho a la vida y a la integridad (Artículos 2-3), el respeto de la vida privada y familiar (Artículo 7), la protección de datos personales (Artículo 8), la no discriminación (Artículo 21), la igualdad entre mujeres y hombres (Artículo 23), los derechos del menor, de las personas mayores y de las personas con discapacidad (Artículos 24-26), la libertad de expresión (Artículo 11) y el derecho a la tutela judicial efectiva y a un juicio justo (Artículo 47).
La evaluación funciona como una medida proactiva que ayuda a las organizaciones a identificar y abordar posibles daños antes de que se produzcan. Cuando se realiza correctamente, una FRIA no solo garantiza el cumplimiento normativo, sino que también aporta garantías éticas y una posición defendible ante reguladores y tribunales.
FRIA frente a EIPD: claves de las diferencias
Muchas organizaciones suponen erróneamente que la FRIA no es más que un nuevo nombre para la Evaluación de Impacto relativa a la Protección de Datos (EIPD) ya exigida por el GDPR. Aunque ambas evaluaciones valoran riesgos y comparten similitudes metodológicas, difieren sustancialmente en alcance y enfoque.
La EIPD prevista en el Artículo 35 del GDPR se centra principalmente en la protección de datos y la privacidad (Artículos 7-8 de la Carta), se activa por el tratamiento de alto riesgo de datos personales y tiene como parte responsable al responsable del tratamiento. La FRIA del Artículo 27 del AI Act abarca todos los derechos fundamentales de la Carta de la UE, se activa por el despliegue de sistemas de IA de alto riesgo y tiene como parte responsable al responsable del despliegue, y se aplica con independencia de que intervengan o no datos personales.
El EU AI Act reconoce expresamente esta relación complementaria. El Artículo 27(4) establece que, si las obligaciones de la FRIA ya se cumplen mediante una EIPD realizada conforme al GDPR, la FRIA debe complementar esa evaluación. En la práctica, las organizaciones a menudo realizarán ambas evaluaciones de forma simultánea y podrán consolidarlas en un único informe integrado, pero el alcance de la FRIA es fundamentalmente más amplio.
Una diferencia metodológica crucial es que la FRIA exige una evaluación derecho por derecho. No es admisible compensar un impacto negativo sobre un derecho (como la no discriminación) con un impacto positivo sobre otro derecho (como la eficiencia operativa). Cada derecho debe evaluarse de forma independiente.
| Dimensión | EIPD — Artículo 35 del GDPR | FRIA — Artículo 27 del AI Act |
|---|---|---|
| Enfoque principal | Protección de datos y privacidad (Artículos 7-8 de la Carta) | Todos los derechos fundamentales de la Carta de la UE |
| Activación | Tratamiento de alto riesgo de datos personales | Despliegue de un sistema de IA de alto riesgo incluido en el ámbito de aplicación |
| Parte responsable | Responsable del tratamiento | Responsable del despliegue |
| ¿Se requieren datos personales? | Sí: la evaluación versa sobre datos personales | No: se aplica incluso cuando no se tratan datos personales |
| Método de evaluación | Riesgo global para los interesados | Derecho por derecho; sin compensar un derecho con otro |
| Relación | Puede reutilizarse como punto de partida para una FRIA | Complementa, no sustituye, a una EIPD (Art. 27(4)) |
¿Cuándo se exige una FRIA en virtud del EU AI Act?
La obligación de realizar una FRIA no se aplica a todo responsable del despliegue de un sistema de IA de alto riesgo. El Artículo 27 establece categorías específicas de responsables del despliegue que deben completar esta evaluación.
Los organismos públicos regidos por el derecho público deben realizar una FRIA antes de desplegar los sistemas de IA de alto riesgo enumerados en el Anexo III. Tales organismos se crean para satisfacer necesidades de interés general, tienen personalidad jurídica, están financiados mayoritariamente por el Estado o por autoridades públicas, o están sujetos a la supervisión de su gestión por autoridades públicas.
Las entidades privadas que prestan servicios públicos también están dentro del ámbito de aplicación. Esto incluye entidades que operan en educación, sanidad, servicios sociales, vivienda y administración de justicia. El amplio término «servicios públicos», sin criterios definitorios, sugiere la intención del legislador de abarcar a cualquier responsable del despliegue cuyos servicios afecten razonablemente al interés público.
Con independencia de su carácter público o privado, los responsables del despliegue deben realizar FRIA para los sistemas de IA destinados a evaluar la solvencia o a establecer calificaciones crediticias (salvo los utilizados para detectar fraude financiero), así como para los sistemas de IA de evaluación de riesgos y fijación de precios en seguros de vida y salud.
- Organismos públicos que utilizan IA de alto riesgo para servicios públicos
- Entidades privadas que prestan servicios esenciales (educación, sanidad, servicios sociales, vivienda)
- Todos los responsables del despliegue que utilizan IA para la evaluación de la solvencia o la calificación crediticia
- Todos los responsables del despliegue que utilizan IA para la evaluación de riesgos y la fijación de precios de seguros de vida y salud
Categorías de IA de alto riesgo sujetas a FRIA
Para los organismos públicos y las entidades privadas que prestan servicios públicos, las FRIA son obligatorias para los sistemas de IA de la mayoría de las categorías del Anexo III.
La Categoría 1 (Biometría) abarca los sistemas de identificación biométrica remota, la categorización biométrica basada en atributos sensibles y los sistemas de reconocimiento de emociones. La Categoría 3 (Educación) incluye los sistemas que determinan el acceso o la admisión a centros educativos, los que evalúan los resultados del aprendizaje, los que valoran el nivel educativo adecuado y los que supervisan comportamientos prohibidos durante los exámenes.
La Categoría 4 (Empleo) abarca los sistemas de contratación y selección, los sistemas que afectan a decisiones laborales (ascenso, despido, asignación de tareas) y los sistemas de supervisión y evaluación del rendimiento. La Categoría 5 (Servicios esenciales) incluye los sistemas que evalúan la elegibilidad para prestaciones de asistencia pública, la evaluación de la solvencia, la evaluación de riesgos en seguros de vida y salud, y la clasificación y el envío de llamadas de emergencia.
La Categoría 6 (Aplicación de la ley) abarca la evaluación del riesgo de victimización, los sistemas de tipo polígrafo, la evaluación de la fiabilidad de las pruebas, la evaluación del riesgo de reincidencia y los sistemas de elaboración de perfiles. La Categoría 7 (Migración) incluye los sistemas de evaluación de riesgos, el examen de solicitudes de asilo y de visado, y los sistemas de identificación. La Categoría 8 (Justicia) abarca los sistemas que asisten a las autoridades judiciales y a la resolución alternativa de litigios.
Una exención destacable: los sistemas de IA utilizados como componentes de seguridad en infraestructuras digitales críticas, en el tráfico rodado o en el suministro de servicios públicos no están sujetos a los requisitos de la FRIA.
Plantilla FRIA: secciones clave
El Artículo 27(1) especifica los elementos obligatorios que debe contener toda FRIA. En virtud del Artículo 27(5), la Oficina Europea de IA debe elaborar un cuestionario modelo oficial (incluida una herramienta automatizada), pero a junio de 2026 aún no se ha publicado, y su ausencia no exime de la obligación. Mientras tanto, estructure su evaluación en torno a los seis componentes obligatorios que se exponen a continuación. El European Center for Not-for-Profit Law (ECNL) y el Instituto Danés de Derechos Humanos también publicaron A Guide to Fundamental Rights Impact Assessments (diciembre de 2025), con una plantilla descargable y una metodología de cinco fases construida directamente sobre los elementos del Artículo 27(1): una orientación útil para profesionales mientras la herramienta oficial está pendiente (se trata de orientación de la sociedad civil, no de una plantilla vinculante de la UE). Para producir rápidamente un borrador estructurado, utilice nuestro generador de FRIA gratuito o descargue la plantilla.
La Sección 1 abarca la Descripción del sistema y finalidad prevista. Documente los procesos del responsable del despliegue en los que se utilizará el sistema de IA, en consonancia con la finalidad prevista definida por el proveedor. La información requerida incluye el nombre y la versión del sistema de IA, los datos de contacto del proveedor, una descripción clara de la finalidad prevista, los casos de uso concretos dentro de su organización, el contexto y el entorno operativos, y las especificaciones técnicas relevantes para los impactos en los derechos.
La Sección 2 abarca la Duración y frecuencia de uso. Documente la fecha prevista de inicio del despliegue, la duración esperada (indefinida, a plazo fijo, piloto), la frecuencia de uso del sistema (continua, periódica, activada por eventos), las métricas de volumen (número de decisiones por día/semana/mes) y el alcance geográfico.
La Sección 3 abarca las Categorías de personas afectadas. Identifique a los usuarios directos, a las personas sujetas a decisiones impulsadas por IA, a los terceros indirectamente afectados y a los grupos demográficos específicos. Las poblaciones vulnerables que requieren especial atención incluyen a los menores, las personas mayores, las personas con discapacidad, los grupos socioeconómicamente desfavorecidos, las minorías étnicas o religiosas, los hablantes no nativos del idioma y las personas con escasa alfabetización digital.
La Sección 4 abarca los Riesgos específicos para los derechos fundamentales. Para cada derecho potencialmente afectado, evalúe la probabilidad (de rara a casi segura), la gravedad (de insignificante a catastrófica), la reversibilidad (de fácilmente reversible a irreversible) y la magnitud de la población afectada (desde individual hasta de alcance social).
La Sección 5 abarca las Medidas de supervisión humana. Documente las personas designadas responsables de la supervisión, los requisitos de cualificación y formación, las capacidades de intervención, los procedimientos de escalado, los protocolos de seguimiento y los requisitos de documentación.
La Sección 6 abarca las Medidas de mitigación de riesgos. Incluya medidas técnicas (pruebas de sesgo, umbrales de exactitud, controles de calidad de los datos, registro), medidas organizativas (estructuras de gobernanza, políticas, formación, ciclos de revisión) y salvaguardas procedimentales (derecho a revisión humana, mecanismos de reclamación, vías de reparación accesibles, procedimientos de respaldo).
| Sección | Qué documentar | Base |
|---|---|---|
| 1. Descripción del sistema y finalidad prevista | Procesos del responsable del despliegue, finalidad prevista, proveedor, contexto operativo | Art. 27(1)(a) |
| 2. Duración y frecuencia de uso | Fecha de inicio, duración, frecuencia, volumen, alcance geográfico | Art. 27(1)(b) |
| 3. Categorías de personas afectadas | Sujetos directos, terceros y grupos vulnerables | Art. 27(1)(c) |
| 4. Riesgos específicos para los derechos fundamentales | Registro de riesgos: cada derecho, escenario de daño, probabilidad, gravedad, mitigación, riesgo residual | Art. 27(1)(d) |
| 5. Medidas de supervisión humana | Funciones de supervisión, facultades de intervención, cualificaciones y formación | Art. 27(1)(e) |
| 6. Medidas en caso de materialización de riesgos | Medidas técnicas y organizativas, reclamación/reparación, notificación a la autoridad | Art. 27(1)(f) |
Cómo realizar una FRIA: guía paso a paso
Paso 1: Determinar la aplicabilidad de la FRIA. Confirme que se exige una FRIA comprobando si su sistema de IA está clasificado como de alto riesgo conforme al Artículo 6 y al Anexo III, si su organización es un organismo público o una entidad privada que presta servicios públicos, o si el sistema de IA entra dentro del Anexo III, punto 5(b) o (c), relativo a la evaluación de crédito o de seguros.
Paso 2: Recabar información del proveedor de IA. El proceso de la FRIA depende en gran medida de la información que los proveedores están obligados a facilitar en virtud de los Artículos 11-13, incluida la documentación técnica conforme al Anexo IV, las instrucciones de uso, las capacidades y limitaciones del sistema, los riesgos conocidos y las medidas de mitigación, y los datos sobre los conjuntos de datos de entrenamiento y los posibles sesgos.
Paso 3: Formar su equipo de evaluación. Las FRIA requieren competencias diversas, entre ellas profesionales de lo jurídico y del cumplimiento, delegados de protección de datos, expertos técnicos, expertos del ámbito (recursos humanos, sanidad, finanzas), representantes que comprendan a las comunidades afectadas y profesionales de la gestión de riesgos.
Paso 4: Cartografiar a las personas y los derechos afectados. Enumere todas las categorías de personas que interactúan con el sistema o se ven afectadas por él, identifique qué derechos fundamentales podrían verse afectados para cada categoría y considere tanto los impactos directos como indirectos.
Paso 5: Realizar la evaluación de riesgos. Para cada derecho en riesgo identificado, describa el posible escenario de daño, evalúe la probabilidad y la gravedad, asigne un nivel de riesgo y documente su razonamiento y sus evidencias.
Paso 6: Diseñar las medidas de mitigación. Para cada riesgo identificado, proponga medidas concretas, evalúe su viabilidad, valore el riesgo residual tras la mitigación, documente la responsabilidad de su implementación y establezca mecanismos de seguimiento.
Pasos 7-9: Documentar las disposiciones de supervisión humana, establecer mecanismos de reclamación y reparación, y obtener la revisión y aprobación de la asesoría jurídica y de la dirección de la organización.
Paso 10: Notificar a la autoridad de vigilancia del mercado. En virtud del Artículo 27(3), una vez realizada la FRIA, el responsable del despliegue debe notificar los resultados a la autoridad de vigilancia del mercado competente, presentando la plantilla cumplimentada del Artículo 27(5) como parte de la notificación (y, hasta que se publique esa plantilla, su propia documentación frente a los criterios del Artículo 27(1)). La notificación informa a la autoridad de que un sistema de alto riesgo está en uso y de que se ha completado una evaluación de derechos. La única exención es el supuesto limitado del Artículo 46(1) —cuando una autoridad ha autorizado la introducción de un sistema en el mercado por razones excepcionales, como la seguridad pública o la protección de la vida y la salud— e incluso entonces solo por un periodo limitado. Los despliegues rutinarios no están exentos; no existe ninguna excepción general por «aplicación de la ley» ni por «confidencialidad operativa».
Ejemplos de FRIA por sector
Ejemplo de calificación crediticia en servicios financieros: un banco que despliega IA para la evaluación de la solvencia debe identificar los grupos afectados (solicitantes de préstamos, con mayor riesgo para las poblaciones históricamente desatendidas), los principales derechos en riesgo (no discriminación, derecho a la propiedad, acceso a servicios esenciales), los factores de riesgo (los datos de entrenamiento pueden reflejar sesgos históricos, las variables proxy podrían correlacionar con características protegidas), e implantar medidas de mitigación que incluyan auditorías de sesgo periódicas, vías alternativas de evaluación, revisión humana de los casos límite y explicaciones claras de los factores de decisión.
Ejemplo de triaje sanitario con IA: un servicio de urgencias hospitalarias que utiliza IA para priorizar la atención a los pacientes debe abordar los grupos afectados (todos los pacientes de urgencias, con especial preocupación por las personas mayores, con discapacidad y hablantes no nativos), los derechos principales (derecho a la vida, acceso a la atención sanitaria, dignidad humana, no discriminación), los factores de riesgo (posible sesgo en el reconocimiento de síntomas entre grupos demográficos) y garantizar que la IA sirva únicamente como apoyo a la decisión, con una evaluación clínica humana obligatoria.
Ejemplo de cribado de selección en recursos humanos: una empresa que utiliza IA para cribar currículums debe considerar los grupos afectados (todos los candidatos, en particular quienes tienen trayectorias no convencionales, lagunas profesionales o titulaciones extranjeras), los derechos principales (no discriminación, derecho al trabajo, igualdad entre mujeres y hombres), los factores de riesgo (los datos históricos de contratación pueden codificar sesgos) e implantar medidas que incluyan la anonimización de las características protegidas, pruebas de sesgo periódicas y revisión humana de las candidaturas rechazadas en grupos infrarrepresentados.
Puntuación de los riesgos de la FRIA: probabilidad × gravedad
Para cada riesgo identificado, valore la probabilidad de que se produzca el daño y su gravedad en caso de que ocurra. Una matriz sencilla convierte esos dos juicios en un único nivel de riesgo que puede priorizar y seguir. Utilice una escala coherente en toda la evaluación y registre el razonamiento que sustenta cada valoración: a los reguladores les importa tanto su método como sus conclusiones.
| Probabilidad / Gravedad | Insignificante | Menor | Moderada | Mayor | Catastrófica |
|---|---|---|---|---|---|
| Rara | Bajo | Bajo | Bajo | Medio | Medio |
| Improbable | Bajo | Bajo | Medio | Medio | Alto |
| Posible | Bajo | Medio | Medio | Alto | Alto |
| Probable | Medio | Medio | Alto | Alto | Crítico |
| Casi segura | Medio | Alto | Alto | Crítico | Crítico |
Ejemplo práctico: un registro de riesgos FRIA cumplimentado
La Sección 4 es donde una FRIA se concreta. El registro siguiente muestra cómo un banco que despliega un sistema de IA de solvencia podría documentar sus riesgos: cada derecho fundamental en juego, el escenario de daño, una valoración de probabilidad y gravedad, la mitigación y el riesgo residual que persiste después. Este es el nivel de especificidad que esperan los reguladores y los tribunales, y exactamente lo que produce el generador de FRIA.
| Derecho fundamental | Escenario de daño | Probabilidad | Gravedad | Riesgo | Mitigación | Residual |
|---|---|---|---|---|---|---|
| No discriminación (Art. 21) | Los datos de entrenamiento reflejan sesgos históricos; variables proxy (p. ej., el código postal) correlacionan con características protegidas, generando tasas de denegación dispares. | Posible | Mayor | Alto | Pruebas trimestrales de impacto dispar; eliminación o transformación de las variables proxy; revisión humana de todas las denegaciones para grupos infrarrepresentados. | Medio |
| Acceso a servicios esenciales / propiedad | Una puntuación baja errónea deniega indebidamente el crédito, limitando el acceso a la vivienda o a compras esenciales. | Improbable | Mayor | Medio | Vía alternativa de evaluación manual; anulación humana; explicación clara de la acción adversa al solicitante. | Bajo |
| Protección de datos personales (Art. 8) | Datos personales excesivos o inexactos degradan la equidad y la exactitud de la decisión. | Posible | Moderada | Medio | Revisión de minimización de datos; integración con la EIPD del GDPR; controles de calidad de los datos en consonancia con el Artículo 10. | Bajo |
Integración de la FRIA con otros requisitos de cumplimiento
Alineación con la EIPD del GDPR: cuando un sistema de IA trata datos personales, es probable que necesite tanto una EIPD como una FRIA. Entre las estrategias figuran realizarlas de forma simultánea, partir de la EIPD existente y ampliarla a derechos adicionales, utilizar marcos de evaluación de riesgos coherentes, consolidar la documentación y coordinar las medidas de supervisión.
Conexión con la documentación técnica del Anexo IV: los responsables del despliegue que realizan FRIA deben solicitar la documentación del Anexo IV a los proveedores, utilizar las evaluaciones de riesgos del proveedor como punto de partida, verificar que las medidas documentadas por el proveedor se implementan en su contexto de despliegue y documentar cualquier riesgo específico del despliegue no cubierto por la documentación del proveedor.
Relación con la evaluación de la conformidad: aunque la evaluación de la conformidad es principalmente una obligación del proveedor, los responsables del despliegue deben verificar que el sistema de IA ha completado la evaluación de la conformidad, comprender qué abarcaba y reconocer que la evaluación de la conformidad aborda los requisitos técnicos, mientras que la FRIA aborda los impactos en los derechos fundamentales específicos del despliegue.
Registro en la base de datos de la UE: los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE en virtud del Artículo 71. Asegúrese de que el proveedor registre debidamente su sistema y de que la información del registro sea coherente con la documentación de su FRIA.
Sanciones y aplicación
El incumplimiento de las obligaciones del responsable del despliegue expone a las organizaciones al tramo intermedio de sanciones del EU AI Act: multas de hasta EUR 15 million o el 3% del volumen de negocios anual total mundial, según cuál sea mayor (Artículo 99(4)). Esto se sitúa por debajo del tramo superior de EUR 35 million o el 7% reservado a las infracciones de las prohibiciones del Artículo 5 (Artículo 99(3)). Conviene señalar un matiz por precisión: el Artículo 99(4) enumera la disposición sobre las obligaciones del responsable del despliegue (Artículo 26), pero no menciona expresamente el Artículo 27 (la FRIA). La lectura predominante entre los profesionales es que un incumplimiento de la FRIA constituye una infracción de las obligaciones del responsable del despliegue que cae en ese mismo tramo de EUR 15M / 3%, pero el vacío textual es real, y también se aplican las normas sancionadoras de los Estados miembros (Artículo 99(1)-(2)). Las pymes y las empresas emergentes tienen un límite máximo equivalente al menor entre el porcentaje y el importe fijo (Artículo 99(6)). Las autoridades de vigilancia del mercado tienen la facultad de investigar y exigir acciones correctoras.
Más allá de las sanciones formales, no realizar correctamente las FRIA genera riesgo reputacional derivado de las vulneraciones de derechos fundamentales, responsabilidad jurídica si los daños se materializan y riesgo operativo si las autoridades exigen modificaciones o la interrupción del sistema.
Calendario y próximos pasos
El EU AI Act se aplica por fases. Las prohibiciones del Artículo 5 y las obligaciones de alfabetización en IA se aplican desde el 2 February 2025; las obligaciones de los modelos de IA de uso general (GPAI), las normas de gobernanza y el marco sancionador, desde el 2 August 2025. Las obligaciones de alto riesgo —incluida la FRIA del Artículo 27— estaban previstas originalmente para aplicarse a partir del 2 August 2026 para los sistemas autónomos del Anexo III, y del 2 August 2027 para la IA de alto riesgo integrada en productos regulados.
En noviembre de 2025 la Comisión propuso el paquete de simplificación Digital Omnibus y, hacia el 7 de mayo de 2026, el Consejo y el Parlamento Europeo alcanzaron un acuerdo político provisional para aplazar los plazos de alto riesgo a dos fechas fijas: el 2 December 2027 para los sistemas autónomos del Anexo III y el 2 August 2028 para los integrados en productos. Y lo más importante: esto todavía no es ley. Aún requiere el respaldo del Parlamento y del Consejo, la revisión jurídico-lingüística y la publicación en el Diario Oficial (prevista antes del 2 August 2026). Las fechas aplazadas solo surten efecto jurídico con la publicación, de modo que, hasta entonces, el 2 August 2026 sigue siendo la fecha vinculante de la FRIA, y conviene seguir preparándose sobre esa base.
Repare en lo que el Omnibus no aplaza: las obligaciones de transparencia del Artículo 50 (informar de que los usuarios interactúan con IA y marcar los contenidos generados por IA y las deepfakes) siguen aplicándose desde el 2 August 2026. La única concesión es un breve periodo de gracia para el marcado legible por máquina de los sistemas generativos ya presentes en el mercado, ampliado hasta el 2 December 2026. En resumen: el plazo de la FRIA se traslada; el de transparencia, no.
| Obligación | Fecha original | Tras el Digital Omnibus* |
|---|---|---|
| Prácticas prohibidas (Art. 5) + alfabetización en IA | 2 Feb 2025 | Sin cambios |
| Modelos GPAI, gobernanza, sanciones | 2 Aug 2025 | Sin cambios |
| Transparencia (Art. 50) | 2 Aug 2026 | Sin cambios (gracia de marcado hasta 2 Dec 2026) |
| FRIA + alto riesgo, autónomos (Anexo III) | 2 Aug 2026 | 2 Dec 2027 |
| Alto riesgo integrado en productos (Anexo I) | 2 Aug 2027 | 2 Aug 2028 |
Una hoja de ruta práctica para preparar la FRIA
Más de 12 meses antes de su fecha aplicable: inventaríe todos los sistemas de IA, clasifíquelos por nivel de riesgo, identifique cuáles requieren FRIA, empiece a recabar información de los proveedores y establezca estructuras de gobernanza.
De 6 a 12 meses antes: desarrolle plantillas y procedimientos de FRIA, forme al personal, realice FRIA piloto e implante medidas técnicas para la supervisión humana.
De 3 a 6 meses antes: complete las FRIA de todos los sistemas dentro del ámbito de aplicación, documente las medidas de mitigación y verifique su implementación, establezca mecanismos de reclamación y reparación, y prepare sus notificaciones del Artículo 27(3).
De forma continua tras el cumplimiento: supervise los sistemas de IA en busca de cambios que requieran actualizar la FRIA, siga la orientación regulatoria de la Oficina de IA (incluida la esperada plantilla oficial), realice revisiones periódicas y mantenga la documentación y los registros de auditoría.
Preguntas frecuentes
¿Cuál es la diferencia entre la FRIA y la EIPD?
La EIPD prevista en el Artículo 35 del GDPR se centra específicamente en los derechos de protección de datos y privacidad cuando se tratan datos personales. La FRIA del Artículo 27 del AI Act tiene un alcance más amplio, pues evalúa los impactos sobre todos los derechos fundamentales de la Carta de la UE, incluidas la no discriminación, la dignidad, la libertad de expresión, el acceso a la justicia y muchos otros. Además, las FRIA pueden ser obligatorias incluso cuando no se tratan datos personales. Aunque las organizaciones pueden integrar ambas evaluaciones, la FRIA exigirá normalmente un análisis adicional más allá de lo que abarca una EIPD.
¿Quién es responsable de realizar la FRIA?
La obligación de la FRIA recae sobre los responsables del despliegue de sistemas de IA de alto riesgo, no sobre los proveedores. No obstante, los proveedores desempeñan un papel de apoyo al facilitar la información que los responsables del despliegue necesitan para completar sus evaluaciones. En la práctica, los responsables del despliegue pueden basarse en FRIA o evaluaciones de impacto realizadas previamente por los proveedores si las circunstancias son suficientemente similares, pero la responsabilidad última y la rendición de cuentas siguen recayendo en el responsable del despliegue.
¿Con qué frecuencia debe actualizarse la FRIA?
La FRIA debe realizarse antes del primer despliegue del sistema de IA de alto riesgo. Las actualizaciones son obligatorias siempre que el responsable del despliegue determine que alguno de los elementos evaluados ha cambiado o ha dejado de estar vigente. Esto incluye cambios en el propio sistema de IA, cambios en el contexto de despliegue, cambios en las poblaciones afectadas o nueva información sobre riesgos. Las organizaciones deben establecer ciclos de revisión periódicos para identificar de forma proactiva cuándo se necesitan actualizaciones.
¿Proporciona la Oficina de IA una plantilla oficial de FRIA?
El Artículo 27(5) exige a la Oficina Europea de IA que elabore un cuestionario modelo, incluida una herramienta automatizada, para ayudar a los responsables del despliegue a cumplir. A junio de 2026, esta plantilla oficial aún no se ha publicado y no existe un plazo perentorio para ella, pero su ausencia no exime de la obligación de la FRIA. Mientras tanto, estructure su evaluación en torno a los elementos del Artículo 27(1). El ECNL y el Instituto Danés de Derechos Humanos publicaron A Guide to Fundamental Rights Impact Assessments (diciembre de 2025) con una plantilla para profesionales, y puede generar ahora un borrador estructurado con nuestro generador de FRIA gratuito. Cuando se publique la plantilla oficial, alinee sus evaluaciones con ella.
¿Ha retrasado el Digital Omnibus el plazo de la FRIA?
En la práctica sí, pero todavía no es definitivo. El Digital Omnibus de la UE, acordado provisionalmente en mayo de 2026, trasladaría la fecha de aplicación de alto riesgo (que la FRIA sigue) del 2 August 2026 al 2 December 2027 para los sistemas autónomos del Anexo III. Sin embargo, el acuerdo todavía no es ley: aún debe adoptarse formalmente y publicarse en el Diario Oficial. Hasta entonces, la fecha original del 2 August 2026 es legalmente vinculante, por lo que los responsables del despliegue prudentes siguen preparándose ahora. El Omnibus cambia el calendario, no el fondo, del Artículo 27.
¿Hay que notificar a alguien tras completar una FRIA?
Sí. En virtud del Artículo 27(3), tras realizar la FRIA el responsable del despliegue debe notificar sus resultados a la autoridad de vigilancia del mercado competente, presentando la plantilla del Artículo 27(5) cuando exista (y su propia documentación hasta entonces). La única exención es el supuesto limitado del Artículo 46(1) —un sistema autorizado por razones excepcionales, como la seguridad pública o la protección de la vida y la salud— y solo por un periodo limitado. Los despliegues rutinarios no están exentos.
¿Podemos utilizar una EIPD existente para satisfacer los requisitos de la FRIA?
Parcialmente. El Artículo 27(4) permite a los responsables del despliegue partir de las EIPD existentes al realizar las FRIA. Si determinadas obligaciones de la FRIA ya se cumplen mediante una EIPD, la FRIA debe complementar esa evaluación en lugar de duplicarla. No obstante, dado el alcance más amplio de la FRIA, que abarca todos los derechos fundamentales (no solo la protección de datos), casi siempre se requerirá un análisis adicional más allá de lo que abarca una EIPD.
¿Qué ocurre si identificamos riesgos altos que no se pueden mitigar?
A diferencia de las EIPD del GDPR, la FRIA es principalmente un requisito de documentación y no tiene la facultad de bloquear el despliegue de un sistema de IA de alto riesgo con independencia de los riesgos identificados. No obstante, desplegar sistemas con riesgos altos no mitigados para los derechos fundamentales genera una exposición jurídica, reputacional y operativa significativa. Las organizaciones deben sopesar cuidadosamente si el despliegue es aconsejable cuando no es posible abordar adecuadamente riesgos sustanciales.
Conclusiones clave
La FRIA representa un nuevo requisito de cumplimiento de gran calado, pero también es una oportunidad para demostrar un despliegue responsable de la IA y generar confianza entre clientes, reguladores y el público. Las organizaciones que inviertan en FRIA rigurosas y bien pensadas estarán mejor posicionadas para identificar riesgos a tiempo, implantar salvaguardas eficaces y navegar el cambiante panorama regulatorio. Los plazos están en flujo —el Digital Omnibus trasladaría el plazo de alto riesgo (y, por tanto, de la FRIA) al 2 December 2027, pero hasta que eso sea ley la fecha vinculante sigue siendo el 2 August 2026—, de modo que la decisión inteligente es la misma en cualquier caso: empezar ahora. Inventaríe sus sistemas de IA, identifique cuáles requieren FRIA y construya un primer borrador con el generador de FRIA gratuito o la plantilla descargable. Este artículo tiene únicamente carácter informativo general y no constituye asesoramiento jurídico; confirme sus obligaciones en virtud del Artículo 27 con asesoría cualificada y vuelva a comprobar la situación regulatoria antes de basarse en cualquier plazo.