El Reglamento Europeo de IA introduce una nueva y poderosa herramienta de cumplimiento que muchas organizaciones apenas comienzan a comprender: la Evaluación de Impacto en Derechos Fundamentales, o FRIA (por sus siglas en inglés). A diferencia de las evaluaciones de conformidad técnica centradas en las especificaciones del sistema, la FRIA exige a los responsables del despliegue examinar cómo sus sistemas de IA afectan a los derechos fundamentales de personas concretas, desde la privacidad y la no discriminación hasta la dignidad humana y el acceso a la justicia. Con la fecha límite de cumplimiento próxima en agosto de 2026, las organizaciones que despliegan sistemas de IA de alto riesgo necesitan comprender no solo qué es una FRIA, sino cómo realizarla de manera eficaz. Esta guía ofrece un marco integral, plantillas prácticas y ejemplos sectoriales para ayudarle a cumplir con sus obligaciones en virtud del artículo 27 del Reglamento Europeo de IA.
¿Qué es una Evaluación de Impacto en Derechos Fundamentales (FRIA)?
Una Evaluación de Impacto en Derechos Fundamentales es un proceso de evaluación sistemático diseñado para identificar, valorar y mitigar los posibles efectos adversos de los sistemas de IA de alto riesgo sobre los derechos fundamentales de las personas. Establecida como obligatoria en virtud del artículo 27 del Reglamento Europeo de IA, la FRIA representa la primera evaluación de impacto jurídicamente vinculante del mundo centrada específicamente en la IA y los derechos fundamentales.
La FRIA examina los posibles impactos en todo el espectro de derechos protegidos por la Carta de los Derechos Fundamentales de la UE, incluidos la dignidad humana (artículo 1), el derecho a la vida y a la integridad (artículos 2-3), el respeto a la vida privada y familiar (artículo 7), la protección de datos personales (artículo 8), la no discriminación (artículo 21), la igualdad entre mujeres y hombres (artículo 23), los derechos del niño, de las personas mayores y de las personas con discapacidad (artículos 24-26), la libertad de expresión (artículo 11) y el derecho a la tutela judicial efectiva y a un juicio justo (artículo 47).
La evaluación funciona como una medida proactiva, ayudando a las organizaciones a identificar y abordar posibles perjuicios antes de que se produzcan. Cuando se realiza adecuadamente, una FRIA no solo garantiza el cumplimiento normativo, sino que también proporciona una garantía ética y una posición defendible ante los reguladores y los tribunales.
FRIA frente a EIPD: comprender las principales diferencias
Muchas organizaciones asumen erróneamente que una FRIA es simplemente un nuevo nombre para la Evaluación de Impacto en la Protección de Datos (EIPD) ya exigida por el RGPD. Aunque ambas evaluaciones valoran riesgos y comparten similitudes metodológicas, difieren sustancialmente en alcance y enfoque.
La EIPD en virtud del artículo 35 del RGPD se centra fundamentalmente en la protección de datos y la privacidad (artículos 7-8 de la Carta), se activa por el tratamiento de datos personales de alto riesgo y recae sobre el responsable del tratamiento. La FRIA en virtud del artículo 27 del Reglamento de IA abarca todos los derechos fundamentales de la Carta de la UE, se activa por el despliegue de sistemas de IA de alto riesgo, recae sobre el responsable del despliegue y se aplica con independencia de que se traten datos personales.
El Reglamento Europeo de IA reconoce explícitamente esta relación de complementariedad. El artículo 27(4) establece que, si las obligaciones de la FRIA ya se cumplen mediante una EIPD realizada conforme al RGPD, la FRIA debe complementar dicha evaluación. En la práctica, las organizaciones a menudo realizarán ambas evaluaciones de forma simultánea y podrán consolidarlas en un único informe integrado, pero el alcance de la FRIA es fundamentalmente más amplio.
Una diferencia metodológica crucial es que la FRIA exige una evaluación por derecho fundamental. No es admisible compensar un impacto negativo en un derecho (como la no discriminación) con un impacto positivo en otro (como la eficiencia operativa). Cada derecho debe evaluarse de forma independiente.
¿Cuándo es obligatoria la FRIA según el Reglamento Europeo de IA?
La obligación de realizar una FRIA no se aplica a todo responsable de despliegue de un sistema de IA de alto riesgo. El artículo 27 establece categorías específicas de responsables del despliegue que deben completar esta evaluación.
Los organismos públicos regidos por el derecho público deben realizar una FRIA antes de desplegar sistemas de IA de alto riesgo incluidos en el Anexo III. Dichos organismos se crean para satisfacer necesidades de interés general, poseen personalidad jurídica, se financian principalmente con fondos del Estado o de autoridades públicas, o están sujetos a la supervisión de gestión por parte de autoridades públicas.
Las entidades privadas que prestan servicios públicos también entran en el ámbito de aplicación. Esto incluye entidades que operan en educación, sanidad, servicios sociales, vivienda y administración de justicia. El término amplio «servicios públicos», sin criterios definitorios, sugiere la intención legislativa de abarcar a cualquier responsable del despliegue cuyos servicios afecten razonablemente al interés público.
Con independencia de su naturaleza pública o privada, los responsables del despliegue deben realizar FRIA para los sistemas de IA destinados a evaluar la solvencia crediticia o establecer puntuaciones crediticias (salvo los utilizados para detectar fraude financiero), así como los sistemas de IA para la evaluación de riesgos y fijación de precios en seguros de vida y de salud.
- Organismos públicos que utilizan IA de alto riesgo para servicios públicos
- Entidades privadas que prestan servicios esenciales (educación, sanidad, servicios sociales, vivienda)
- Todos los responsables del despliegue que utilicen IA para la evaluación de solvencia crediticia o la calificación crediticia
- Todos los responsables del despliegue que utilicen IA para la evaluación de riesgos y fijación de precios en seguros de vida y de salud
Categorías de IA de alto riesgo sujetas a FRIA
Para los organismos públicos y las entidades privadas que prestan servicios públicos, la FRIA es obligatoria para los sistemas de IA en la mayoría de las categorías del Anexo III.
La Categoría 1 (Biometría) abarca los sistemas de identificación biométrica remota, la categorización biométrica basada en atributos sensibles y los sistemas de reconocimiento de emociones. La Categoría 3 (Educación) incluye los sistemas que determinan el acceso o la admisión a centros educativos, evalúan los resultados del aprendizaje, determinan el nivel educativo adecuado y controlan comportamientos prohibidos durante los exámenes.
La Categoría 4 (Empleo) abarca los sistemas de contratación y selección, los sistemas que afectan a decisiones laborales (promoción, despido, asignación de tareas) y los sistemas de supervisión y evaluación del rendimiento. La Categoría 5 (Servicios esenciales) incluye los sistemas que evalúan la elegibilidad para prestaciones de asistencia pública, la evaluación de solvencia crediticia, la evaluación de riesgos en seguros de vida y de salud, y la clasificación y despacho de llamadas de emergencia.
La Categoría 6 (Aplicación de la ley) abarca la evaluación del riesgo de las víctimas, los sistemas de tipo polígrafo, la evaluación de la fiabilidad de las pruebas, la evaluación del riesgo de reincidencia y los sistemas de elaboración de perfiles. La Categoría 7 (Migración) incluye los sistemas de evaluación de riesgos, el examen de solicitudes de asilo y visado, y los sistemas de identificación. La Categoría 8 (Justicia) abarca los sistemas de asistencia a las autoridades judiciales y la resolución alternativa de conflictos.
Una exención destacable: los sistemas de IA utilizados como componentes de seguridad en infraestructuras digitales críticas, tráfico rodado o suministro de servicios públicos no están sujetos a los requisitos de FRIA.
Plantilla FRIA: secciones clave
El artículo 27(1) especifica los elementos obligatorios que toda FRIA debe contener. La Oficina Europea de IA está desarrollando un cuestionario-plantilla oficial para facilitar el cumplimiento, pero las organizaciones deberían estructurar sus evaluaciones en torno a estos componentes obligatorios.
La Sección 1 cubre la Descripción del sistema y finalidad prevista. Documente los procesos del responsable del despliegue en los que se utilizará el sistema de IA, alineados con su finalidad prevista tal como la define el proveedor. La información requerida incluye: nombre y versión del sistema de IA, datos de contacto del proveedor, descripción clara de la finalidad prevista, casos de uso específicos dentro de su organización, contexto y entorno operativo, y especificaciones técnicas relevantes para el impacto en los derechos.
La Sección 2 cubre la Duración y frecuencia de uso. Documente la fecha prevista de inicio del despliegue, la duración prevista (indefinida, plazo fijo, piloto), la frecuencia de uso del sistema (continua, periódica, activada por eventos), las métricas de volumen (número de decisiones por día/semana/mes) y el ámbito geográfico.
La Sección 3 cubre las Categorías de personas afectadas. Identifique a los usuarios directos, las personas sujetas a decisiones impulsadas por IA, los terceros afectados indirectamente y los grupos demográficos específicos. Las poblaciones vulnerables que requieren especial atención incluyen: menores, personas mayores, personas con discapacidad, grupos socioeconómicamente desfavorecidos, minorías étnicas o religiosas, personas cuya lengua materna no es la local e individuos con alfabetización digital limitada.
La Sección 4 cubre los Riesgos específicos para los derechos fundamentales. Para cada derecho potencialmente afectado, evalúe la probabilidad (de rara a casi segura), la gravedad (de insignificante a catastrófica), la reversibilidad (de fácilmente reversible a irreversible) y la escala de la población afectada (de individual a toda la sociedad).
La Sección 5 cubre las Medidas de supervisión humana. Documente las personas designadas responsables de la supervisión, los requisitos de cualificación y formación, las capacidades de intervención, los procedimientos de escalado, los protocolos de monitorización y los requisitos de documentación.
La Sección 6 cubre las Medidas de mitigación de riesgos. Incluya medidas técnicas (pruebas de sesgo, umbrales de precisión, controles de calidad de datos, registro de actividades), medidas organizativas (estructuras de gobernanza, políticas, formación, ciclos de revisión) y salvaguardias procedimentales (derecho a revisión humana, mecanismos de reclamación, vías de recurso accesibles, procedimientos alternativos).
Cómo realizar una FRIA: guía paso a paso
Paso 1: Determinar la aplicabilidad de la FRIA. Confirme que se requiere una FRIA verificando si su sistema de IA está clasificado como de alto riesgo en virtud del artículo 6 y el Anexo III, si su organización es un organismo público o una entidad privada que presta servicios públicos, o si el sistema de IA entra en el ámbito del Anexo III, punto 5(b) o (c), relativo a la evaluación crediticia o de seguros.
Paso 2: Recopilar información del proveedor de IA. El proceso de FRIA depende en gran medida de la información que los proveedores están obligados a facilitar en virtud de los artículos 11-13, incluida la documentación técnica conforme al Anexo IV, las instrucciones de uso, las capacidades y limitaciones del sistema, los riesgos conocidos y las medidas de mitigación, así como datos sobre los conjuntos de datos de entrenamiento y los posibles sesgos.
Paso 3: Constituir el equipo de evaluación. Las FRIA requieren experiencia diversa que incluya profesionales jurídicos/de cumplimiento, delegados de protección de datos, expertos técnicos, expertos del sector (recursos humanos, sanidad, finanzas), representantes que comprendan a las comunidades afectadas y profesionales de gestión de riesgos.
Paso 4: Mapear las personas y derechos afectados. Enumere todas las categorías de personas que interactúan con el sistema o se ven afectadas por él, identifique qué derechos fundamentales podrían verse impactados para cada categoría y considere tanto los impactos directos como los indirectos.
Paso 5: Realizar la evaluación de riesgos. Para cada derecho en riesgo identificado, describa el escenario de daño potencial, evalúe la probabilidad y la gravedad, asigne un nivel de riesgo y documente su razonamiento y las evidencias.
Paso 6: Diseñar medidas de mitigación. Para cada riesgo identificado, proponga medidas específicas, evalúe su viabilidad, valore el riesgo residual tras la mitigación, documente la responsabilidad de la implementación y establezca mecanismos de seguimiento.
Pasos 7-10: Documente las disposiciones de supervisión humana, establezca mecanismos de reclamación y recurso, obtenga la revisión y aprobación del departamento jurídico y la dirección de la organización, y notifique a la autoridad de vigilancia del mercado una vez completada la evaluación.
Ejemplos de FRIA por sector
Ejemplo en servicios financieros: calificación crediticia: Un banco que despliega IA para la evaluación de solvencia crediticia debe identificar los grupos afectados (solicitantes de préstamos, con mayor riesgo para las poblaciones históricamente desatendidas), los derechos principales en riesgo (no discriminación, derecho a la propiedad, acceso a servicios esenciales), los factores de riesgo (los datos de entrenamiento pueden reflejar sesgos históricos, las variables proxy podrían correlacionarse con características protegidas) e implementar medidas de mitigación que incluyan auditorías de sesgo periódicas, vías alternativas de evaluación, revisión humana para los casos límite y explicaciones claras de los factores de decisión.
Ejemplo en sanidad: triaje con IA: Un servicio de urgencias hospitalario que utiliza IA para priorizar la atención al paciente debe abordar los grupos afectados (todos los pacientes de urgencias, con especial atención a personas mayores, con discapacidad o hablantes no nativos), los derechos principales (derecho a la vida, acceso a la atención sanitaria, dignidad humana, no discriminación), los factores de riesgo (posible sesgo en el reconocimiento de síntomas entre grupos demográficos) y garantizar que la IA funcione únicamente como apoyo a la decisión, con evaluación clínica humana obligatoria.
Ejemplo en recursos humanos: cribado en selección de personal: Una empresa que utiliza IA para cribar currículos debe considerar los grupos afectados (todos los candidatos, en particular aquellos con trayectorias no convencionales, interrupciones de carrera o cualificaciones extranjeras), los derechos principales (no discriminación, derecho al trabajo, igualdad entre mujeres y hombres), los factores de riesgo (los datos históricos de contratación pueden codificar sesgos) e implementar medidas que incluyan la anonimización de características protegidas, pruebas periódicas de sesgo y revisión humana de las candidaturas rechazadas en grupos infrarrepresentados.
Integración de la FRIA con otros requisitos de cumplimiento
Alineación con la EIPD del RGPD: Cuando un sistema de IA trata datos personales, es probable que necesite tanto una EIPD como una FRIA. Las estrategias incluyen realizarlas de forma simultánea, partir de la EIPD existente y ampliarla a derechos adicionales, utilizar marcos de evaluación de riesgos coherentes, consolidar la documentación y coordinar las medidas de supervisión.
Conexión con la documentación técnica del Anexo IV: Los responsables del despliegue que realizan FRIA deben solicitar al proveedor la documentación del Anexo IV, utilizar las evaluaciones de riesgos del proveedor como base, verificar que las medidas documentadas por el proveedor se aplican en su contexto de despliegue y documentar cualquier riesgo específico del despliegue no cubierto por la documentación del proveedor.
Relación con la evaluación de conformidad: Aunque la evaluación de conformidad es principalmente una obligación del proveedor, los responsables del despliegue deben verificar que el sistema de IA ha completado la evaluación de conformidad, comprender qué aspectos cubrió y reconocer que la evaluación de conformidad aborda requisitos técnicos mientras que la FRIA aborda los impactos específicos del despliegue sobre los derechos fundamentales.
Registro en la base de datos de la UE: Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE en virtud del artículo 71. Asegúrese de que su sistema esté debidamente registrado por el proveedor y de que la información del registro sea coherente con la documentación de su FRIA.
Sanciones y aplicación
El incumplimiento de los requisitos de FRIA expone a las organizaciones a sanciones significativas en el marco de aplicación del Reglamento Europeo de IA: multas de hasta 15 millones de EUR o el 3 % del volumen de negocios total anual mundial por infracciones de las obligaciones del responsable del despliegue, incluidos los requisitos de FRIA. Las autoridades de vigilancia del mercado tienen la potestad de investigar y exigir acciones correctivas.
Más allá de las sanciones formales, no realizar las FRIA adecuadamente genera riesgo reputacional derivado de violaciones de derechos fundamentales, responsabilidad legal si se materializan los daños y riesgo operativo si las autoridades exigen modificaciones o la discontinuación del sistema.
Calendario y próximos pasos
Fechas clave: 2 de agosto de 2025 para las prácticas de IA prohibidas, 2 de agosto de 2026 para los requisitos de FRIA del artículo 27 y 2 de agosto de 2027 como plazo ampliado para determinados sistemas de IA del sector público.
Más de 12 meses antes del plazo: Inventariar todos los sistemas de IA, clasificarlos por nivel de riesgo, identificar cuáles requieren FRIA, comenzar a recopilar información de los proveedores y establecer las estructuras de gobernanza.
De 6 a 12 meses antes del plazo: Desarrollar plantillas y procedimientos de FRIA, formar al personal, realizar FRIA piloto, establecer relaciones con las autoridades de vigilancia del mercado e implementar las medidas técnicas de supervisión humana.
De 3 a 6 meses antes del plazo: Completar las FRIA de todos los sistemas dentro del ámbito de aplicación, documentar las medidas de mitigación y verificar su implementación, establecer mecanismos de reclamación y recurso y preparar las notificaciones.
De forma continua tras el cumplimiento: Monitorizar los sistemas de IA para detectar cambios que requieran actualización de la FRIA, seguir las directrices regulatorias de la Oficina de IA, realizar revisiones periódicas y mantener la documentación y las pistas de auditoría.
Preguntas frecuentes
¿Cuál es la diferencia entre FRIA y EIPD?
La EIPD en virtud del artículo 35 del RGPD se centra específicamente en los derechos de protección de datos y privacidad cuando se tratan datos personales. La FRIA en virtud del artículo 27 del Reglamento de IA tiene un alcance más amplio, evaluando los impactos sobre todos los derechos fundamentales de la Carta de la UE, incluidos la no discriminación, la dignidad, la libertad de expresión, el acceso a la justicia y muchos otros. Además, la FRIA puede ser obligatoria incluso cuando no se tratan datos personales. Aunque las organizaciones pueden integrar ambas evaluaciones, la FRIA requerirá normalmente un análisis adicional más allá de lo que cubre una EIPD.
¿Quién es responsable de realizar la FRIA?
La obligación de realizar la FRIA recae sobre los responsables del despliegue de sistemas de IA de alto riesgo, no sobre los proveedores. Sin embargo, los proveedores desempeñan un papel de apoyo al suministrar la información que los responsables del despliegue necesitan para completar sus evaluaciones. En la práctica, los responsables del despliegue pueden basarse en FRIA o evaluaciones de impacto realizadas previamente por los proveedores si las circunstancias son suficientemente similares, pero la responsabilidad última recae siempre en el responsable del despliegue.
¿Con qué frecuencia debe actualizarse la FRIA?
La FRIA debe realizarse antes del primer despliegue del sistema de IA de alto riesgo. Se requieren actualizaciones cuando el responsable del despliegue determine que cualquiera de los elementos evaluados ha cambiado o ya no está vigente. Esto incluye cambios en el propio sistema de IA, cambios en el contexto de despliegue, cambios en las poblaciones afectadas o nueva información sobre riesgos. Las organizaciones deben establecer ciclos de revisión periódicos para identificar proactivamente cuándo se necesitan actualizaciones.
¿La Oficina de IA proporciona una plantilla FRIA oficial?
El artículo 27(5) exige a la Oficina Europea de IA desarrollar un cuestionario-plantilla, incluida una herramienta automatizada, para ayudar a los responsables del despliegue a cumplir con las obligaciones de FRIA. A principios de 2026, esta plantilla oficial aún no se ha publicado. Las organizaciones deberían desarrollar sus propias plantillas basándose en los requisitos del artículo 27, a la vez que vigilan la publicación de directrices oficiales. Cuando se publique la plantilla oficial, las organizaciones podrían necesitar adaptar sus evaluaciones para alinearse con ella.
¿Se puede utilizar una EIPD existente para cumplir los requisitos de la FRIA?
Parcialmente. El artículo 27(4) permite a los responsables del despliegue basarse en las EIPD existentes al realizar las FRIA. Si determinadas obligaciones de la FRIA ya se cumplen mediante una EIPD, la FRIA debe complementar dicha evaluación en lugar de duplicarla. No obstante, dado que el alcance de la FRIA es más amplio y abarca todos los derechos fundamentales (no solo la protección de datos), casi siempre será necesario un análisis adicional más allá de lo que cubre una EIPD.
¿Qué ocurre si se identifican riesgos elevados que no pueden mitigarse?
A diferencia de las EIPD del RGPD, la FRIA es principalmente un requisito de documentación y no tiene la facultad de bloquear el despliegue de un sistema de IA de alto riesgo con independencia de los riesgos identificados. Sin embargo, desplegar sistemas con riesgos elevados no mitigados para los derechos fundamentales genera una exposición legal, reputacional y operativa significativa. Las organizaciones deben valorar cuidadosamente si el despliegue es aconsejable cuando los riesgos sustanciales no pueden abordarse adecuadamente.
Conclusiones clave
La FRIA representa un nuevo requisito de cumplimiento significativo, pero también es una oportunidad para demostrar un despliegue responsable de la IA y generar confianza ante clientes, reguladores y el público. Las organizaciones que inviertan en FRIA exhaustivas y bien fundamentadas estarán mejor posicionadas para identificar riesgos de forma temprana, implementar salvaguardias eficaces y navegar por el cambiante panorama regulatorio de la IA. Las fechas clave se aproximan: 2 de agosto de 2026 para la entrada en vigor de los requisitos de FRIA. Comience ahora inventariando sus sistemas de IA, identificando cuáles requieren FRIA y desarrollando las capacidades de evaluación que su organización necesita.