Cómo redactar una Evaluación de Impacto sobre Derechos Fundamentales (FRIA) bajo el Reglamento de IA de la UE: una guía práctica

Un banco español ha estado utilizando un modelo de scoring crediticio impulsado por IA durante 18 meses. El tratamiento de datos cumple con el RGPD. La documentación técnica está actualizada. Todas las casillas de la Evaluación de Impacto relativa a la Protección de Datos han sido marcadas. Según todos los estándares convencionales de cumplimiento, la organización está bien gobernada.

Entonces, una auditoría interna revela algo que nadie programó ni aprobó. Los solicitantes de ciertos códigos postales de Madrid y Barcelona están siendo rechazados a una tasa muy superior a la referencia estadística. El patrón parece, de forma inconfundible, discriminación indirecta.

El tratamiento de datos era lícito. La documentación técnica era precisa. La DPIA estaba completa. Pero ninguno de esos instrumentos fue diseñado para detectar este tipo de daño — porque no estaban mirando lo correcto. Estaban mirando datos. No personas.

Bajo el Reglamento de IA de la UE, esa brecha tiene un nombre. Tiene un plazo legal. Y conlleva una multa de hasta 15 millones de euros o el 3% del volumen de negocios anual mundial.

Se llama Evaluación de Impacto sobre Derechos Fundamentales (FRIA).

La FRIA es una de las obligaciones menos comprendidas del Reglamento de IA de la UE. La mayoría de las organizaciones afectadas no saben que están sujetas a ella. Muchas de las que sí lo saben asumen que es solo una versión ampliada de la DPIA que ya realizan para el RGPD. No lo es. Esta guía explica qué es una FRIA, quién debe realizarla, en qué se diferencia de una DPIA y exactamente cómo redactarla — sección por sección — para que, cuando AESIA pida verla, su organización tenga un documento que demuestre un cumplimiento genuino y riguroso.

La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute incluye un taller dedicado de FRIA — un marco de finalización paso a paso con plantillas listas para usar. Actualmente  €79.99 €49.99. Únase a más de 89 profesionales ya certificados.

Qué es una Evaluación de Impacto sobre Derechos Fundamentales

Una Evaluación de Impacto sobre Derechos Fundamentales (FRIA) es una evaluación estructurada obligatoria que determinados responsables del despliegue de sistemas de IA de alto riesgo deben completar antes de poner esos sistemas en funcionamiento. Es exigida por el Artículo 27 del Reglamento de IA de la UE, con obligaciones aplicables desde los plazos de sistemas de alto riesgo establecidos en el Reglamento.

La FRIA plantea una pregunta que las evaluaciones de riesgo técnico y las DPIAs no plantean: ¿las personas afectadas por las decisiones de este sistema de IA tienen sus derechos fundamentales adecuadamente protegidos?

No sus datos. Sus derechos — como seres humanos, como ciudadanos, como trabajadores, como prestatarios, como pacientes, como miembros de grupos que los sistemas de IA históricamente han tratado de forma desigual.

La FRIA se basa en la Carta de los Derechos Fundamentales de la UE, que consagra 54 derechos y principios en siete títulos que cubren dignidad, libertades, igualdad, solidaridad, derechos de los ciudadanos, justicia y principios generales. Una FRIA exige que el responsable del despliegue evalúe cuáles de estos derechos podría afectar el sistema de IA, con qué gravedad y qué está haciendo la organización para protegerlos.

No estaba en el borrador original de la Comisión Europea del Reglamento de IA. Fue introducida por el Parlamento Europeo en junio de 2023, específicamente para garantizar que el cumplimiento del Reglamento de IA de la UE no se detuviera en listas de comprobación técnicas — que exigiera a las organizaciones enfrentarse genuinamente a las consecuencias humanas de sus despliegues de IA.

El plazo y la sanción:

Las obligaciones de FRIA están vinculadas a los plazos de sistemas de alto riesgo bajo el Reglamento de IA de la UE. Para los sistemas autónomos de alto riesgo del Anexo III, el acuerdo provisional del Digital Omnibus del 7 de mayo de 2026 ha trasladado el plazo al 2 de diciembre de 2027. Para las organizaciones que ya utilizan estos sistemas antes de esa fecha, la FRIA debe completarse lo antes posible y, como máximo, antes del plazo aplicable.

El incumplimiento del Artículo 27 constituye una infracción del Capítulo III del Reglamento de IA de la UE, sujeta a multas de hasta 15 millones de euros o el 3% del volumen de negocios anual mundial.

Quién debe realizar una FRIA bajo el Artículo 27

No todos los responsables del despliegue de un sistema de IA de alto riesgo están obligados a realizar una FRIA formal. El Artículo 27 se aplica a categorías específicas de responsables del despliegue. Entender si está dentro del alcance es el primer paso.

Categoría 1: organismos regidos por el derecho público

Cualquier autoridad pública, organismo gubernamental, municipio, universidad pública, hospital público, autoridad pública de vivienda u organismo similar regido por el derecho público que despliegue un sistema de IA de alto riesgo bajo el Anexo III está obligado a realizar una FRIA.

En España, esto incluye departamentos gubernamentales nacionales y regionales, ayuntamientos, universidades públicas, proveedores del sistema sanitario público (hospitales públicos) y toda la gama de agencias y organismos administrativos a nivel nacional, regional y local.

Categoría 2: entidades privadas que prestan servicios públicos

Las empresas privadas que prestan servicios de interés público también están dentro del alcance, aunque no sean organismos públicos. El Considerando 96 del Reglamento de IA de la UE identifica ejemplos de áreas de servicio público: educación, sanidad, servicios sociales, vivienda y administración de justicia.

Esto es más amplio de lo que parece a primera vista. Un hospital privado que presta asistencia sanitaria financiada públicamente, una empresa privada que opera un servicio de empleo contratado públicamente, una universidad privada que ofrece programas de grado o un proveedor privado de atención social pueden entrar todos dentro de esta categoría. Si su servicio puede afectar razonablemente al interés público, es probable que la interpretación de AESIA sobre el alcance sea expansiva.

Categoría 3: responsables del despliegue de IA para scoring crediticio y seguros

Los responsables privados del despliegue que no son organismos públicos y no prestan servicios públicos siguen estando obligados a realizar una FRIA si utilizan sistemas de IA de alto riesgo en dos áreas específicas:

• IA utilizada para evaluar la solvencia de personas físicas o establecer scores crediticios (Anexo III, punto 5(b)) — con la excepción de IA utilizada para detección de fraude
• IA utilizada para evaluación de riesgos y fijación de precios en seguros de vida y salud (Anexo III, punto 5(c))

Esta categoría captura directamente al sector más intensivo en IA de España. Bancos que utilizan modelos de scoring crediticio (CaixaBank, BBVA, Santander y miles de otras entidades de crédito españolas), compañías de seguros que utilizan IA para fijación de precios en vida y salud, y prestamistas fintech que utilizan herramientas automatizadas de evaluación de solvencia entran plenamente dentro del requisito de FRIA.

Quién está exento

Los sistemas de IA utilizados como componentes de seguridad en infraestructura crítica — específicamente la gestión del tráfico rodado, el suministro de agua, el suministro de gas, la calefacción o la electricidad — están explícitamente exentos del Artículo 27.

El alcance práctico es más amplio de lo que parece

Incluso si su organización no está técnicamente obligada a realizar una FRIA formal, la disciplina de una evaluación estilo FRIA es una práctica de gobernanza sólida para cualquier responsable del despliegue de un sistema de IA de alto riesgo. La pregunta subyacente — cómo afecta este sistema a las personas que toca, y qué estamos haciendo para proteger sus derechos — es una que todo responsable del despliegue debería poder responder. Las investigaciones de AESIA harán preguntas que lo exigen.

FRIA vs DPIA: por qué su evaluación existente no es suficiente

Esta es la idea errónea más importante que debe corregirse: una FRIA no es una DPIA, y una DPIA completada no satisface la obligación de FRIA.

Muchos equipos de cumplimiento que oyen hablar de la FRIA por primera vez asumen que es una DPIA rebautizada — quizá con un alcance más amplio. La realidad es más significativa. Las dos evaluaciones tienen objetos diferentes, detonantes diferentes, alcances diferentes y propósitos diferentes. Entender las diferencias es esencial para construir un proceso conforme.

El solapamiento: la investigación estima que una DPIA completa cubre aproximadamente el 30–40% de lo que exige una FRIA, principalmente en las áreas de protección de datos, privacidad y algunos aspectos de no discriminación cuando hay tratamiento de datos involucrado. Este solapamiento está reconocido en el Artículo 27(4), que permite a los responsables del despliegue cuya DPIA ya satisface contenido equivalente de la FRIA utilizar esa DPIA como complemento de — no como sustituto de — su FRIA.

Lo que una DPIA no puede detectar: una DPIA mira el tratamiento de datos. No puede identificar si su sistema de IA produce resultados discriminatorios basados en códigos postales, si su algoritmo de aprobación de préstamos perjudica a minorías étnicas sin tratar datos étnicos directamente, si su IA de gestión del desempeño produce resultados que vulneran los derechos de los trabajadores, o si su herramienta de elegibilidad para beneficios sociales crea barreras que afectan al derecho de acceso a servicios esenciales. Estas son preguntas fundamentalmente de derechos humanos — no preguntas de tratamiento de datos.

El enfoque práctico: para la mayoría de las organizaciones que despliegan sistemas de IA de alto riesgo que tratan datos personales — que son la mayoría — la vía de cumplimiento más eficiente es un documento integrado FRIA-DPIA: una única evaluación estructurada que aborda simultáneamente los requisitos del RGPD y del Reglamento de IA de la UE. Esto reduce duplicaciones, construye una imagen integral del riesgo y produce un documento que satisface tanto a AESIA como a la AEPD.

Para una guía completa sobre cómo interactúan el Reglamento de IA de la UE y el RGPD en el entorno regulatorio español, consulte: Reglamento de IA de la UE vs RGPD en España: Qué debe hacer su empresa para cumplir con ambos.

Los derechos fundamentales que debe evaluar

La FRIA exige que evalúe los posibles impactos frente a los derechos consagrados en la Carta de los Derechos Fundamentales de la UE. No todos los derechos serán relevantes para cada despliegue — un modelo de scoring crediticio no implicará la libertad de reunión, y una herramienta de cribado de RR. HH. no activará el derecho a la seguridad marítima. Su evaluación debe identificar qué derechos están genuinamente en juego para su sistema y contexto específicos.

Los derechos más comúnmente relevantes para sistemas de IA de alto riesgo en organizaciones españolas:

Derecho a la dignidad humana (Artículo 1) El derecho más fundamental de la Carta de la UE. Los sistemas de IA que tratan a las personas como puntos de datos en lugar de como personas, o que producen decisiones tan opacas que las personas no pueden comprenderlas o impugnarlas, corren el riesgo de vulnerar la dignidad. Relevante para prácticamente todo despliegue de alto riesgo.

Derecho a la no discriminación (Artículo 21) Prohíbe la discriminación por razón de sexo, raza, color, origen étnico o social, características genéticas, lengua, religión, opinión política, discapacidad, edad u orientación sexual. Los sistemas de IA entrenados con datos históricos presentan un riesgo significativo de perpetuar o amplificar patrones discriminatorios existentes. Este derecho es central para el análisis FRIA en IA de empleo, crédito, seguros y educación.

Derecho a la privacidad y protección de datos (Artículos 7–8) El solapamiento con el RGPD. Cubierto sustancialmente en su DPIA, pero debe seguir abordándose en la FRIA para garantizar que la evaluación esté completa. Los sistemas de IA que hacen inferencias sobre personas a partir de datos aparentemente inocuos crean riesgos de privacidad que las DPIAs pueden no capturar completamente.

Derecho a la tutela judicial efectiva (Artículo 47) Las personas afectadas por decisiones impulsadas por IA deben tener una vía significativa para impugnar esas decisiones. ¿Permite su despliegue que las personas afectadas comprendan la base de la decisión? ¿Existe un proceso de revisión humana que puedan solicitar? ¿Pueden impugnar efectivamente un resultado? Este derecho se pasa por alto con frecuencia en evaluaciones de cumplimiento técnico.

Derechos de los trabajadores (Artículo 31) Particularmente relevante para IA de empleo — cribado de CV, evaluación del desempeño, monitorización laboral. Los trabajadores tienen derecho a condiciones de trabajo justas y equitativas. Los sistemas de IA que monitorizan, evalúan o determinan resultados laborales deben evaluarse frente a este derecho.

Derechos del niño (Artículo 24) Directamente relevante para sistemas de IA utilizados en educación, servicios de protección infantil o cualquier contexto en el que haya menores entre la población afectada.

Derecho a la igualdad entre mujeres y hombres (Artículo 23) Va más allá de la no discriminación para exigir medidas positivas de igualdad. Los sistemas de IA en empleo y servicios financieros deben evaluarse por equidad de género en resultados, no solo por ausencia de discriminación explícita.

Derecho de acceso a la seguridad social y a la ayuda social (Artículo 34) Relevante para sistemas de IA utilizados en elegibilidad para prestaciones públicas, asignación de vivienda social o evaluación de bienestar — sistemas donde errores o sesgos pueden privar a las personas de apoyo esencial.

El proceso FRIA en seis pasos

Este es el proceso práctico para completar una FRIA que satisfaga los requisitos del Artículo 27 y resista el escrutinio de AESIA. La Oficina de IA de la UE debía publicar un cuestionario oficial de plantilla bajo el Artículo 27(5), pero a mayo de 2026 esa plantilla aún no se había publicado. Por tanto, su FRIA debe construirse directamente a partir de los requisitos del Artículo 27(1). Cuando se publique la plantilla oficial, las evaluaciones existentes deberán mapearse con ella — pero las organizaciones que ya hayan completado una evaluación rigurosa basada en el Artículo 27(1) encontrarán que será un ejercicio sencillo.

Paso 1: reúna a su equipo de evaluación

Una FRIA no es un ejercicio de una sola función. Una evaluación efectiva requiere:

• Responsable legal o de cumplimiento — responsable de los requisitos del Artículo 27 y de la notificación a AESIA
• Representante técnico — alguien que entienda cómo funciona el sistema de IA, qué datos utiliza y cómo produce resultados
• Representante de la unidad de negocio — la persona que utiliza el sistema diariamente y entiende su contexto real de despliegue, no solo su uso previsto
• DPO o responsable de privacidad — para integrar la FRIA con las obligaciones existentes de DPIA cuando sea aplicable

Para sistemas de alto riesgo que afecten a poblaciones amplias o vulnerables, incluir representantes de los grupos afectados o sus representantes en el proceso de evaluación fortalece la calidad y defendibilidad de la FRIA. Esto no es legalmente obligatorio, pero está reconocido como buena práctica tanto por el marco ECNL-Danish Institute for Human Rights como por la orientación de AESIA.

Documente quién participó en la evaluación y su rol. Esto forma parte de la pista de auditoría.

Paso 2: describa el despliegue en términos concretos

Esta es la sección descriptiva exigida por el Artículo 27(1). Debe ser lo suficientemente específica para apoyar un análisis genuino de derechos. “Usamos IA para contratación” no es una descripción conforme. El nivel requerido de especificidad se parece más a esto:

“Desplegamos [nombre del sistema/proveedor] para filtrar y clasificar solicitudes para puestos de [categorías laborales]. El sistema ingiere datos de CV y respuestas del formulario de solicitud, aplica un modelo de scoring para clasificar candidatos y produce una lista corta clasificada. Los responsables humanos de contratación revisan los candidatos mejor clasificados. El sistema procesa aproximadamente [X] solicitudes por [mes/trimestre/año]. Los candidatos por debajo de una puntuación umbral son excluidos automáticamente de la consideración. El sistema se ha configurado con los siguientes parámetros [describir]. Fue actualizado por última vez el [fecha].”

Esta sección debe cubrir:

• Los procesos específicos en los que se utilizará el sistema
• El periodo de tiempo y la frecuencia de uso
• El alcance geográfico y organizativo del despliegue
• Las decisiones que el sistema informa o toma
• Las categorías de personas físicas y grupos que probablemente se verán afectados
• Cualquier grupo vulnerable dentro de la población afectada (personas con discapacidad, grupos étnicos minoritarios, personas mayores, jóvenes)

Paso 3: mapee los grupos afectados y sus posibles riesgos para derechos

Para cada categoría de persona afectada identificada en el Paso 2, trabaje los derechos fundamentales relevantes enumerados en la Sección 4 anterior. Para cada derecho, pregunte:

• ¿Este derecho puede verse potencialmente afectado por este sistema de IA en este despliegue específico?
• Si es así, ¿cómo — cuál es el mecanismo específico de posible daño?
• ¿Quién dentro de la población afectada está más en riesgo?
• ¿Hay grupos que puedan verse afectados de forma desproporcionada?

No todos los derechos serán relevantes para todos los sistemas. Sea específico. Un modelo de scoring crediticio en un banco español requiere un análisis profundo de no discriminación (Artículo 21), derecho a la tutela judicial efectiva (Artículo 47), privacidad (Artículos 7–8) y dignidad humana (Artículo 1). No implica de forma significativa el derecho de los trabajadores marítimos.

Construya una matriz de impacto en derechos: una cuadrícula simple con derechos fundamentales en un eje, grupos afectados en el otro, y una evaluación de probabilidad y gravedad para cada combinación. Este es el núcleo analítico de su FRIA y el documento que demuestra una evaluación genuina en lugar de completar una plantilla.

Para cada combinación derecho-impacto, califique:

• Probabilidad — ¿qué tan probable es este daño? (Raro / Posible / Probable / Casi seguro)
• Gravedad — ¿qué tan grave sería el daño? (Insignificante / Menor / Moderado / Grave / Crítico)

Priorice su esfuerzo de mitigación en combinaciones de alta probabilidad y alta gravedad.

Paso 4: evalúe los riesgos utilizando las instrucciones del proveedor

El Artículo 27(1) exige específicamente que su evaluación de riesgos tenga en cuenta las instrucciones de uso proporcionadas por el proveedor del sistema de IA. Este es un requisito crítico que muchas organizaciones pasan por alto.

La documentación técnica y las instrucciones de uso del proveedor describirán los casos de uso previstos del sistema, sus limitaciones conocidas, cualquier factor de riesgo identificado y los contextos en los que el sistema debe y no debe utilizarse. Su FRIA debe demostrar que ha revisado estos materiales y ha evaluado si su contexto específico de despliegue se encuentra dentro del uso previsto del sistema o representa un caso de uso donde el proveedor ha señalado un mayor riesgo.

Documente específicamente qué materiales del proveedor revisó, la fecha de revisión y cómo informaron su evaluación de riesgos.

Paso 5: diseñe y documente medidas de mitigación

Para cada riesgo identificado de daño a derechos fundamentales, su FRIA debe documentar qué está haciendo su organización al respecto. La sección de mitigación debe cubrir tres áreas:

Medidas de supervisión humana — quién revisa los resultados del sistema de IA antes de que produzcan decisiones con consecuencias, con qué frecuencia, con qué autoridad para anular el sistema y qué formación ha recibido. Esto conecta directamente con los requisitos del Artículo 14. Consulte nuestra guía completa sobre cómo construir supervisión humana conforme al Reglamento de IA de la UE.

Arreglos internos de gobernanza — ¿qué vías de escalado existen cuando el sistema produce un resultado cuestionable? ¿Quién tiene autoridad de decisión? ¿Qué comité o función de gobernanza supervisa este despliegue? ¿Cómo se plantean, investigan y resuelven las preocupaciones?

Mecanismos de reclamación — ¿cómo puede una persona afectada por las decisiones del sistema impugnar esas decisiones? ¿Qué información se le proporciona sobre el papel de la IA? ¿Qué revisión humana está disponible? ¿Cómo se rastrean y resuelven las reclamaciones? ¿Qué reparación está disponible cuando se identifican errores?

Para cada medida de mitigación, documente: cuál es la medida, quién es responsable de implementarla, antes de qué fecha se ha implementado o se implementará, y cómo se monitorizará su efectividad.

Paso 6: documente, registre y notifique

Una vez completada la evaluación, debe:

Producir un documento formal de FRIA estructurado alrededor de los requisitos del Artículo 27(1), cubriendo las tres secciones (descriptiva, evaluación, mitigación). La documentación debe ser lo suficientemente exhaustiva para demostrar a AESIA que se realizó una evaluación genuina y rigurosa — no que se rellenó una plantilla.

Registrarse en la base de datos de la UE — los resultados de la FRIA deben registrarse en la base de datos de la UE de sistemas de IA de alto riesgo. La información comercialmente sensible puede protegerse, pero el principio general es la transparencia.

Notificar a AESIA — consulte la Sección 7 a continuación para los requisitos específicos de notificación.

Archivar para gobernanza interna — la FRIA debe conservarse junto con su otra documentación técnica y registros de gestión de riesgos, actualizarse cuando sea necesario y estar disponible a solicitud de AESIA en cualquier momento.

Qué debe contener una FRIA: los requisitos del Artículo 27(1)

Como referencia, estos son los elementos específicos exigidos por el Artículo 27(1) del Reglamento de IA de la UE, mapeados a los pasos anteriores:

Más allá de este mínimo regulatorio, la documentación FRIA de mejor práctica también incluye: la metodología utilizada para la evaluación, registros de cualquier consulta con partes interesadas, una matriz de riesgos que muestre calificaciones de probabilidad y gravedad, titularidad asignada para cada medida de mitigación, calendarios de implementación y un calendario de monitorización y revisión.

Cómo notificar a AESIA los resultados de su FRIA

El Artículo 27 exige que los responsables del despliegue notifiquen a la autoridad competente de vigilancia del mercado los resultados de su FRIA cuando comience el primer uso del sistema de IA de alto riesgo. En España, esa autoridad es AESIA.

El requisito de notificación sirve a dos propósitos: da a AESIA visibilidad sobre los despliegues de IA de alto riesgo en territorio español, y crea un mecanismo de responsabilidad — una vez que AESIA ha sido notificada, puede comentar la evaluación dentro de tres meses, y los responsables del despliegue deben proporcionar respuesta escrita sobre cualquier preocupación grave planteada.

El proceso de notificación en España:

AESIA proporciona orientación sobre formatos y procedimientos de notificación a través de aesia.digital.gob.es. A medida que los procedimientos de AESIA continúan desarrollándose en línea con la ley nacional de IA actualmente en tramitación parlamentaria, las organizaciones deben consultar el sitio web de AESIA para el formato de notificación y canal de presentación vigentes.

Qué incluir en la notificación:

• Identificación de la organización responsable del despliegue
• Descripción del sistema de IA de alto riesgo que se despliega (nombre del sistema, proveedor, finalidad)
• Referencia a la FRIA realizada (fecha, versión)
• Resumen de los riesgos clave identificados y mitigaciones implementadas
• Confirmación de que la FRIA completa está disponible bajo solicitud

Excepción: AESIA puede eximir despliegues específicos del requisito de notificación en circunstancias excepcionales, incluso por razones de seguridad pública. Esta exención es estrecha y requiere confirmación explícita de AESIA.

Para una guía en profundidad sobre los procesos de notificación de AESIA y lo que la agencia examina al revisar documentación presentada, consulte: AESIA: explicación del regulador de IA de España.

Cuándo debe actualizar su FRIA

Una FRIA no es un ejercicio único. El Artículo 27 exige actualizaciones cuando el responsable del despliegue determine que los elementos evaluados han cambiado o ya no están actualizados. En la práctica, esto significa:

Detonantes obligatorios de revisión:

• El propio sistema de IA se actualiza, se reentrena o se modifica significativamente
• El contexto de despliegue cambia — nuevos casos de uso, poblaciones de usuarios diferentes, alcance geográfico ampliado
• Surge nueva información sobre los riesgos del sistema (por seguimiento posterior a la comercialización, auditorías internas o incidentes públicos que involucren sistemas similares)
• Las categorías de personas afectadas cambian materialmente
• Una reclamación o incidente revela un riesgo que no se identificó en la evaluación original
• El proveedor emite instrucciones de uso o documentación técnica actualizadas

Mejor práctica: establezca un ciclo formal de revisión de FRIA — como mínimo anual — y un proceso de gestión del cambio que señale modificaciones del sistema de IA que requieren revisión de FRIA. Para sistemas de ML con reentrenamiento continuo o periódico, donde el comportamiento del modelo en producción puede desviarse significativamente de la versión evaluada originalmente, trate la FRIA como un documento vivo que requiere mantenimiento activo.

Una FRIA completada en 2026 para un modelo de scoring crediticio que ha sido reentrenado significativamente en 2027 no es una FRIA válida para el despliegue de 2027. La fecha de la evaluación importa, y AESIA preguntará sobre el historial de revisión cuando examine la documentación.

FRIA para organizaciones españolas: ejemplos sectoriales

Scoring crediticio en bancos españoles

BBVA, CaixaBank, Santander y miles de entidades de crédito españolas que utilizan evaluación de solvencia basada en IA están directamente dentro del alcance del Artículo 27. La FRIA para un sistema de scoring crediticio debe abordar:

• No discriminación (Artículo 21): ¿el modelo produce resultados sistemáticamente diferentes para solicitantes de distintos orígenes étnicos, códigos postales u otras características que sirven como proxies de características protegidas? ¿Cómo se documenta la detección y mitigación de sesgos?
• Derecho a la tutela judicial efectiva (Artículo 47): ¿puede un solicitante rechazado entender por qué? ¿Existe un proceso significativo de revisión humana que pueda solicitar? ¿Qué información se le proporciona?
• Dignidad humana (Artículo 1): ¿el sistema trata a los solicitantes como individuos o como perfiles estadísticos? ¿Se reconocen las limitaciones del modelo en el proceso de revisión humana?

Para las instituciones financieras españolas, la FRIA también debe considerar la actividad establecida de aplicación regulatoria de la AEPD en el sector financiero — 890.000 euros en multas contra bancos españoles por uso indebido de datos relacionados con IA bajo el RGPD. Consulte nuestra guía dedicada: Reglamento de IA de la UE para el sector financiero en España.

IA en RR. HH. y contratación

Los empleadores españoles que utilizan herramientas de cribado de CV, sistemas de clasificación de candidatos o software de evaluación del desempeño son responsables del despliegue de alto riesgo bajo el Anexo III. Para empleadores que son organismos públicos o prestan servicios públicos de empleo, una FRIA es obligatoria. Para empleadores privados que utilizan estas herramientas, una FRIA no se exige estrictamente bajo el Artículo 27, pero el análisis subyacente de derechos debe formar parte de la práctica de gobernanza.

La FRIA para un sistema de IA de RR. HH. debe abordar:

• No discriminación (Artículo 21): ¿el sistema perjudica sistemáticamente a candidatos con ciertos nombres, direcciones, antecedentes educativos o lagunas profesionales que se correlacionan con características protegidas?
• Derechos de los trabajadores (Artículo 31): para IA de evaluación del desempeño utilizada sobre empleados existentes, ¿respeta el sistema condiciones de trabajo justas y equitativas?
• Derecho a la tutela judicial efectiva (Artículo 47): ¿pueden los candidatos rechazados entender por qué no fueron seleccionados? ¿Existe un mecanismo de revisión humana?

Consulte nuestra guía sobre obligaciones del Reglamento de IA de la UE para empleadores españoles: Reglamento de IA de la UE y RR. HH. en España.

IA en la administración pública

Los ayuntamientos españoles, gobiernos regionales y agencias nacionales que utilizan IA para elegibilidad de prestaciones, asignación de vivienda o servicios ciudadanos están entre los responsables del despliegue más claramente dentro del alcance del Artículo 27. Las poblaciones afectadas suelen ser las más vulnerables: personas que buscan apoyo de vivienda, prestaciones sociales o servicios públicos esenciales. La FRIA para una IA de elegibilidad de bienestar debe prestar atención particular a:

• Derechos de acceso a la seguridad social (Artículo 34): ¿el sistema crea barreras que impiden efectivamente que personas elegibles accedan al apoyo?
• No discriminación (Artículo 21): ¿existen disparidades sistemáticas en los resultados entre grupos demográficos a los que sirve el sistema?
• Dignidad humana (Artículo 1): ¿el sistema trata a los solicitantes como individuos cuyas circunstancias merecen una evaluación genuina, o como puntos de datos que deben filtrarse?

Los cinco errores más comunes en una FRIA

Error 1: realizar la FRIA después del despliegue

El Artículo 27 es explícito: la FRIA debe completarse antes de que el sistema se ponga en servicio. Una FRIA retrospectiva — completar la evaluación después de que el sistema ya esté funcionando — no satisface la obligación legal. El propósito de una evaluación previa al despliegue es identificar riesgos antes de que se materialicen y afecten a personas. Una organización que realiza su FRIA después del despliegue ya ha fallado en cumplir el estándar que establece la ley.

Error 2: tratar la FRIA como una DPIA ampliada

Una FRIA no es una DPIA con campos adicionales. Una DPIA se centra en datos. Una FRIA se centra en personas y sus derechos fundamentales — incluidos derechos que se ven implicados incluso cuando no se tratan datos personales en un sentido convencional. Los equipos de cumplimiento que asignan la realización de la FRIA a su función de protección de datos sin ampliar el alcance del análisis producen con frecuencia evaluaciones que satisfacen los requisitos del RGPD pero pierden las obligaciones de derechos fundamentales en el centro del Artículo 27.

Error 3: no involucrar a partes interesadas afectadas

La FRIA no debe completarse de forma aislada por un equipo de cumplimiento que nunca ha hablado con las personas afectadas por el sistema de IA. Consultar con representantes de grupos afectados — representantes sindicales para IA de empleo, grupos de defensa de pacientes para IA sanitaria, representantes de consumidores para IA de scoring crediticio — fortalece la calidad del análisis de riesgos y demuestra a AESIA que la evaluación refleja un compromiso genuino con los impactos en derechos, no un ejercicio de plantilla.

Error 4: ignorar riesgos indirectos

Un algoritmo de asignación de vivienda social afecta los derechos fundamentales de personas que nunca interactúan directamente con el software — familiares, vecinos, comunidades. Un modelo de scoring crediticio afecta a personas que nunca sabrán que su solicitud fue filtrada. La FRIA debe tener en cuenta impactos indirectos sobre grupos afectados, no solo aquellos que tienen contacto directo con el sistema.

Error 5: no actualizar cuando el sistema cambia

Los sistemas de machine learning cambian — mediante reentrenamiento, actualizaciones de parámetros, cambios en los datos de entrada o cambios en el contexto de despliegue. Una FRIA completada para la versión 1.0 de un modelo crediticio no sigue siendo válida cuando ese modelo ha sido reentrenado significativamente. Integre la revisión de FRIA en su proceso de gestión de cambios de sistemas de IA y trátela como un documento vivo.

Preguntas frecuentes

¿Todo responsable del despliegue de un sistema de IA de alto riesgo necesita realizar una FRIA?

No. El Artículo 27 se aplica específicamente a organismos regidos por el derecho público, entidades privadas que prestan servicios públicos y responsables del despliegue de sistemas de IA utilizados para scoring crediticio y fijación de precios de seguros de vida y salud. Las empresas privadas que despliegan IA de alto riesgo en empleo u otras categorías del Anexo III generalmente no están obligadas a completar una FRIA formal bajo el Artículo 27, aunque tienen otras obligaciones del Artículo 26, incluida supervisión humana e información a las personas afectadas.

¿Puedo usar mi DPIA existente para satisfacer el requisito de FRIA?

Parcialmente. El Artículo 27(4) permite que una DPIA existente complemente una FRIA cuando ya cubre contenido equivalente. Una DPIA normalmente cubre el 30–40% de lo que exige una FRIA. Tendrá que añadir contenido que aborde derechos fundamentales no cubiertos por obligaciones de protección de datos — particularmente no discriminación, dignidad humana, derecho a la tutela judicial efectiva y derechos de los trabajadores. El enfoque más eficiente es un documento integrado FRIA-DPIA.

¿Qué ocurre si no completo una FRIA?

El incumplimiento del Artículo 27 constituye una infracción del Capítulo III del Reglamento de IA de la UE, sujeta a multas administrativas de hasta 15 millones de euros o el 3% del volumen de negocios anual mundial. AESIA tendrá plenos poderes de investigación y aplicación desde el plazo aplicable, y puede exigir a las organizaciones que modifiquen o suspendan sistemas de IA no conformes.

¿La Oficina de IA de la UE ha publicado una plantilla oficial de FRIA?

A mayo de 2026, el cuestionario oficial de plantilla exigido por el Artículo 27(5) no se ha publicado. Las organizaciones deben construir su FRIA directamente sobre los requisitos del Artículo 27(1). Cuando se publique la plantilla, las evaluaciones existentes deberán mapearse con ella — pero una evaluación rigurosa basada en el Artículo 27(1) hará que ese ejercicio sea sencillo.

¿Quién debe realizar la FRIA — cumplimiento, legal o TI?

Idealmente, un equipo transversal: un responsable legal o de cumplimiento para los requisitos regulatorios, un representante técnico que entienda el sistema de IA, un representante de la unidad de negocio que lo utiliza y un DPO cuando haya datos personales involucrados. Una sola función completando la FRIA sin aportación de las demás normalmente produce una evaluación con puntos ciegos significativos.

¿Cuál es el papel de AESIA en el proceso FRIA?

Los responsables del despliegue deben notificar a AESIA los resultados de su FRIA cuando comience el primer uso del sistema de IA de alto riesgo. AESIA puede comentar la evaluación dentro de tres meses; los responsables del despliegue deben proporcionar respuesta escrita sobre cualquier preocupación grave planteada. AESIA también puede examinar la documentación FRIA como parte de sus actividades más amplias de vigilancia del mercado e investigación. Consulte nuestra guía completa sobre los poderes y procesos de AESIA.

¿Con qué frecuencia debe actualizarse una FRIA?

Siempre que el responsable del despliegue determine que los elementos evaluados han cambiado o ya no están actualizados — incluidos cambios significativos del sistema de IA, cambios en el contexto de despliegue, cambios en las poblaciones afectadas o nueva información de riesgo. La mejor práctica es una revisión formal anual más un proceso de gestión del cambio que señale modificaciones del sistema que requieren reevaluación de la FRIA.

¿Cómo se relaciona una FRIA con la certificación del Reglamento de IA de la UE?

La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute incluye un módulo dedicado de FRIA — cubriendo completamente los requisitos del Artículo 27 con un marco de finalización paso a paso, una plantilla lista para usar y ejemplos trabajados de contextos de despliegue españoles. Es una de las herramientas prácticas que hace que la certificación sea directamente aplicable al trabajo diario de cumplimiento.

Inicie su FRIA antes del plazo

La FRIA es la obligación del Reglamento de IA de la UE que la mayoría de las organizaciones aún no están tomando suficientemente en serio. Es la evaluación que exige mirar más allá de los datos y preguntar si las personas afectadas por su sistema de IA tienen sus derechos fundamentales genuinamente protegidos. Esa no es una pregunta técnica. Es una pregunta de gobernanza — y requiere personas con el conocimiento y las herramientas para responderla correctamente.

La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute cubre todo lo que necesita:

• Un módulo dedicado de FRIA — requisitos del Artículo 27 completos, marco de finalización paso a paso, plantillas listas para usar
• Metodología de análisis de derechos — cómo trabajar sistemáticamente la Carta de la UE para su contexto específico de despliegue
• Integración con DPIA — cómo construir una evaluación FRIA-DPIA integrada eficiente
• Orientación de notificación a AESIA — qué presentar y cómo
• 15 horas de formación experta bajo demanda en los 7 módulos de cumplimiento del Reglamento de IA de la UE
• Certificado digital verificado reconocido en toda Europa

Inscríbase ahora y certifíquese →

Continúe leyendo: guías relacionadas de esta serie

• IA ética y cumplimiento del Reglamento de IA de la UE: la guía completa del profesional para España (Pilar)
• AESIA: explicación del regulador de IA de España — Qué significa para su empresa
• Reglamento de IA de la UE vs RGPD en España: Qué debe hacer su empresa para cumplir con ambos
• Reglamento de IA de la UE y RR. HH. en España: qué deben hacer ahora los empleadores
• Reglamento de IA de la UE para el sector financiero en España: qué deben preparar bancos, fintechs y aseguradoras
• Qué esperar de una auditoría del Reglamento de IA de la UE: guía paso a paso para organizaciones españolas