La FRIA no es un apéndice burocrático. Es un proceso estructurado para analizar cómo un sistema de IA puede afectar a los derechos de las personas y establecer las mitigaciones necesarias antes de su despliegue o uso continuado.

La FRIA (Evaluación de Impacto en los Derechos Fundamentales) según el Artículo 27 del Reglamento de IA de la UE es un proceso estructurado que los desplegadores de ciertos sistemas de IA de alto riesgo deben completar antes de poner el sistema en servicio. Identifica posibles impactos adversos en los derechos fundamentales de las personas (como no discriminación, privacidad, dignidad y trato justo) y documenta las mitigaciones necesarias para abordarlos.

Esta plantilla operativa de FRIA, la guía de evidencias y el ejemplo práctico de preselección en reclutamiento ayudan a los equipos a convertir el texto legal en documentación aplicable. Se alinea con los requisitos del Artículo 27 mientras la Oficina de IA finaliza sus directrices oficiales y plantilla a lo largo de 2026.[1][2]

Utilícela como un documento vivo que oriente las decisiones de despliegue, no como una mera casilla de cumplimiento.

Estado normativo actual (mayo de 2026) El Artículo 27 del Reglamento de IA de la UE exige a los desplegadores de sistemas de IA de alto riesgo (listados en el Anexo III) realizar una evaluación de impacto en los derechos fundamentales en los casos previstos, especialmente cuando el desplegador es una autoridad pública, presta servicios públicos o el uso implica un tratamiento que puede afectar significativamente a los derechos. La evaluación debe realizarse antes del primer uso y actualizarse cuando proceda. Las obligaciones de alto riesgo siguen el calendario por fases, con la Oficina de IA elaborando directrices de apoyo, incluida una plantilla, durante 2026. Esta página ofrece un marco práctico y listo para usar basado en el texto legal y los materiales oficiales de implementación. No es asesoramiento jurídico ni sustituye a la plantilla oficial que se publicará. Las simplificaciones propuestas o ajustes de plazos en el marco del Digital Omnibus se indican por separado cuando resultan relevantes y no modifican la obligación principal del Artículo 27.

Una FRIA entra en escena en cuanto su organización actúa como desplegador de un sistema de IA de alto riesgo del Anexo III del Reglamento de IA y se cumple alguno de los supuestos del Artículo 27. Esto suele abarcar a organismos públicos, operadores privados que prestan servicios públicos, o usos que procesan datos de categorías especiales o pueden afectar desproporcionadamente a grupos vulnerables.[3]

Resulta especialmente relevante para equipos de reclutamiento, scoring crediticio, educación, seguros, aplicación de la ley y prestación de servicios públicos. Si evalúa, adquiere o integra una herramienta de IA que toma o apoya decisiones sobre acceso a empleos, préstamos, educación, prestaciones o justicia, una FRIA le permite comprender los impactos concretos en las personas antes del despliegue o del uso continuado.

A diferencia de los registros generales de riesgos, la FRIA se centra específicamente en los efectos sobre la Carta de Derechos Fundamentales de la UE (no discriminación, privacidad, protección de datos, dignidad, igualdad, derecho a un recurso efectivo y otros). Obliga a analizar de forma explícita las personas afectadas, la gravedad, la probabilidad y la supervisión humana, transformando derechos abstractos en salvaguardas operativas.

Consulte también: Anexo III del Reglamento de IA: Sistemas de IA de alto riesgo para ayuda en la clasificación y IA en Reclutamiento: Sistemas de Alto Riesgo según el Reglamento de IA de la UE o Puntuación crediticia y seguros: sistemas de IA de alto riesgo según el Reglamento de IA de la UE para contexto sectorial específico.

Las directrices oficiales que se publiquen ofrecerán mayor claridad sobre su aplicación práctica y una plantilla. Hasta entonces, este marco proporciona a los desplegadores un punto de partida estructurado que se corresponde directamente con las expectativas del Artículo 27.

Una FRIA sólida contiene estos elementos principales. Trátela como un registro vivo que se actualiza a lo largo del ciclo de vida del sistema.

La tabla siguiente traduce la obligación legal en preguntas prácticas y solicitudes de evidencia. Desarrolla los elementos del Artículo 27 (descripción del sistema, finalidad prevista y contexto de uso, personas afectadas, posibles impactos en los derechos fundamentales, gravedad y probabilidad, y medidas de mitigación).

Esquema de la plantilla de FRIA

Esta estructura garantiza que la FRIA permanezca vinculada a las decisiones reales de despliegue y no se convierta en un apéndice estático.

Una FRIA creíble se basa en evidencias verificables, no en suposiciones. Céntrese en los artefactos que pueda obtener o generar de forma realista.

Principales tipos de evidencias y métodos de recopilación:

• Aportaciones de los interesados: Realice entrevistas estructuradas o talleres con personas afectadas o sus representantes, usuarios de primera línea (por ejemplo, reclutadores u oficiales de crédito) y equipos internos de cumplimiento. Utilice preguntas como: «Descríbame un caso habitual. ¿En qué punto la salida de la IA podría generar un trato injusto?». Documente los comentarios anonimizados y los registros de participación.

• Documentación del proveedor: Solicite la documentación técnica, el resumen de gestión de riesgos, las descripciones de los conjuntos de datos, los resultados de pruebas de equidad y las instrucciones de uso. Pregunte específicamente por cualquier análisis previo de derechos fundamentales o auditorías de sesgos. Verifíquelo todo frente a su contexto de uso concreto.

• Diseño de la supervisión humana: Documente la información exacta que reciben los revisores humanos, los mecanismos de anulación, los programas de formación y las métricas de rendimiento de la supervisión (por ejemplo, tasa de anulaciones, tiempo de revisión). Incluya registros o escenarios simulados que demuestren la supervisión en acción.

• Vías de apelación o revisión: Detalle exactamente cómo puede una persona comprender, impugnar o solicitar revisión humana de una decisión asistida por IA. Registre la plantilla de comunicación enviada a los interesados y el flujo interno de escalada.

• Métricas y registros de pruebas: Recopile métricas de equidad (por ejemplo, paridad demográfica, igualdad de oportunidades), precisión por subgrupo, resultados de pruebas de robustez y evaluaciones de ciberseguridad. Exija a los proveedores que compartan datos desagregados cuando sea posible.

• Registros internos: Incluya las evaluaciones de impacto en protección de datos (EIPD), auditorías internas previas, planes de monitorización posterior a la comercialización y registros de incidentes de despliegues piloto.

Almacene todo en un repositorio con control de versiones. El Escáner de Evidencia puede ayudar a detectar tempranamente los elementos faltantes o débiles.

Cuando existan lagunas de evidencia, indíquelas explícitamente en la FRIA y trátelas como riesgos hasta que se resuelvan.

Escenario: Una empresa mediana de servicios financieros implanta una herramienta de IA para la preselección de candidatos (punto 4 del Anexo III) que evalúa currículos y transcripciones de entrevistas iniciales para puestos de atención al cliente. La herramienta asigna una puntuación de «ajuste cultural», habilidades comunicativas y retención prevista. Apoya —pero no automatiza completamente— la preselección. Se trata de un desplegador privado que gestiona un elevado volumen de candidaturas y trata datos personales, incluidas características inferidas.

Resumen de las principales entradas de la FRIA (abreviado para ilustración):

• Sistema y finalidad: La herramienta de IA analiza entradas textuales y de vídeo para generar una puntuación de compatibilidad de 0 a 100 y una lista ordenada. Su objetivo es reducir el tiempo de preselección manteniendo la calidad. Limitaciones: entrenada principalmente con contrataciones históricas exitosas (riesgo de perpetuar sesgos pasados).

• Personas afectadas: Candidatos a empleo (especialmente jóvenes, hablantes no nativos, personas con discapacidad que afecta al habla o al formato del currículo, minorías étnicas). Indirectamente afecta a los empleados actuales que participan en los procesos de selección.

• Impactos en derechos: No discriminación (artículo 21 de la Carta), igualdad de oportunidades, dignidad (si las salidas sesgadas fomentan estereotipos), derecho a un recurso efectivo (si los candidatos no pueden comprender o impugnar las decisiones).

Registro de riesgos del ejemplo de FRIA

Este ejemplo muestra cómo la FRIA impulsa acciones concretas: inclusión de cláusulas contractuales actualizadas para disponer de datos continuos de equidad, nuevo módulo de formación para reclutadores, modificación de las comunicaciones a candidatos y ciclo de revisión cada seis meses. La FRIA completada se almacena de forma centralizada y se integra en el sistema de gestión de la calidad de la organización.

El mismo enfoque es válido para usos en educación (proctoring) o apoyo a la puntuación crediticia: siempre ancle la evaluación en el contexto concreto de su despliegue.

• Tratar la FRIA como un ejercicio legal puntual en lugar de una herramienta operativa viva que se revisa tras modificaciones sustanciales o nueva evidencia de daño.
• Copiar el análisis de riesgos genérico del proveedor sin adaptarlo al contexto de uso, la población afectada o el diseño de supervisión propios.
• Centrarse exclusivamente en la precisión técnica y descuidar la dignidad, la igualdad de oportunidades o el derecho a un recurso efectivo.
• No recopilar o conservar evidencias suficientes, lo que impide demostrar el cumplimiento ante auditorías o investigaciones.
• Omitir la participación significativa de las personas afectadas o sus representantes, generando puntos ciegos sobre los impactos reales.
• Establecer ciclos de revisión poco realistas (por ejemplo, «cada cinco años») que no se ajustan a la velocidad de actualización de los modelos ni a la notificación de incidentes.
• Confundir las responsabilidades de proveedor y desplegador: el desplegador es el propietario de la FRIA adaptada a su contexto, aunque el proveedor facilite documentación de apoyo.

• Verifique si su sistema de IA es de alto riesgo y si se aplican los supuestos del Artículo 27 (utilice la guía de clasificación del Service Desk del Reglamento de IA).
• Solicite y revise toda la documentación disponible del proveedor desde las fases iniciales de contratación.
• Elabore un mapa de las personas afectadas y de los derechos de la Carta relevantes para su contexto de despliegue.
• Analice escenarios iniciales de riesgo con aportaciones multifuncionales (jurídicas, técnicas, operativas y, cuando sea posible, de agentes externos).
• Documente las mitigaciones con responsables claros, métricas y planes de prueba.
• Diseñe y registre los procesos de supervisión humana antes del primer uso.
• Almacene la FRIA y las evidencias de apoyo en una ubicación centralizada con control de versiones.
• Programe el primer ciclo de revisión e intégralo en sus actividades de monitorización posterior a la comercialización.
• Ejecute su paquete de evidencias a través del Escáner de Evidencia para detectar lagunas antes de la aprobación final.

¿Preparado para poner en práctica su FRIA? Utilice el Escáner de Evidencia para validar su documentación o descargue nuestro informe de ejemplo gratuito de FRIA completada para un caso de preselección en reclutamiento. Muestra exactamente cómo se rellena la plantilla en la práctica y enlaza directamente con los artefactos que debe conservar.

¿Todos los sistemas de IA necesitan una FRIA? No. La obligación solo se aplica a los desplegadores de determinados sistemas de IA de alto riesgo en los supuestos específicos del Artículo 27. La mayoría de sistemas de riesgo limitado o mínimo no la requieren. Los modelos de IA de propósito general (GPAI) no están sujetos a esta obligación de desplegador.

¿Puede un proveedor aportar suficiente información para nuestra FRIA? Los proveedores pueden y deben suministrar material de apoyo sustancial (documentación técnica, resultados de pruebas, resúmenes de riesgos). Sin embargo, el desplegador sigue siendo responsable de la evaluación adaptada a su contexto, que incluye las personas afectadas locales, el diseño de supervisión, las vías de apelación y la monitorización continua. Un paquete del proveedor por sí solo rara vez resulta suficiente.

¿Qué evidencias fortalecen una FRIA? Resultados de pruebas concretos y desagregados; aportaciones documentadas de interesados; planes de mitigación con control de versiones, responsables asignados y métricas de efectividad; procedimientos claros de supervisión humana con registros de formación; y una periodicidad de revisión realista vinculada a la monitorización posterior a la comercialización. La evidencia que facilita la labor de los auditores demuestra que las decisiones se basaron en datos, no en suposiciones.

Fuentes

• Service Desk del Reglamento de IA – Artículo 27: Evaluación de impacto en derechos fundamentales para sistemas de IA de alto riesgo (ai-act-service-desk.ec.europa.eu)
• Comisión Europea: Apoyo a la implementación del Reglamento de IA con directrices claras (digital-strategy.ec.europa.eu, 4 de diciembre de 2025)
• Reglamento (UE) 2024/1689 (eur-lex.europa.eu)
• Páginas de la Oficina de IA y gobernanza (digital-strategy.ec.europa.eu)

Todas las afirmaciones legales se basan exclusivamente en estas fuentes oficiales primarias de la UE. Esta página tiene fines de preparación operativa y no constituye asesoramiento jurídico.