FRIA AI Act: ¿quién debe realizarla, cómo llevarla a cabo y antes de cuándo?

Cuando se habla de cumplimiento del AI Act, la documentación técnica exigida a los proveedores suele concentrar la mayor parte de la atención. Sin embargo, los desplegadores tienen sus propias obligaciones específicas - incluyendo una evaluación frecuentemente ignorada: la FRIA, o Fundamental Rights Impact Assessment. Exigida por el Artículo 27 del Reglamento (UE) 2024/1689 a determinadas categorías de desplegadores, debe realizarse antes de que cualquier sistema de IA de alto riesgo entre en servicio.

Se ha escrito muy poco sobre la FRIA en lenguaje comprensible. El resultado: muchas organizaciones afectadas no saben que están sujetas a ella, o la confunden con la Evaluación de Impacto sobre la Protección de Datos (EIPD) del RGPD. Esta guía aclara ambas cuestiones.

¿Qué es la FRIA y de dónde viene?

La FRIA es una evaluación estructurada que el desplegador de un sistema de IA de alto riesgo debe realizar para medir el impacto potencial de ese sistema sobre los derechos fundamentales de las personas afectadas. Se inspira en las evaluaciones de impacto existentes en el derecho de la UE - especialmente la EIPD del RGPD - pero su alcance es considerablemente más amplio.

Mientras que la EIPD se centra en los riesgos relacionados con el tratamiento de datos personales, la FRIA cubre el conjunto de la Carta de los Derechos Fundamentales de la Unión Europea:

• La dignidad humana y la integridad personal
• El derecho a la no discriminación (Artículo 21 de la Carta)
• La protección de datos y el respeto a la vida privada
• La libertad de expresión e información
• El derecho a la tutela judicial efectiva y a un proceso justo
• Los derechos del niño y los derechos de las personas vulnerables
• La igualdad entre mujeres y hombres
• Los derechos de los trabajadores, especialmente en materia de condiciones laborales

En la práctica, la FRIA obliga al desplegador a responder una pregunta fundamental: "¿Al utilizar este sistema de IA, ¿arriesgo vulnerar los derechos básicos de las personas que este sistema afecta?"

¿Quién está sujeto a la FRIA?

Contrariamente a lo que su nombre podría sugerir, la FRIA no se aplica a todos los desplegadores de sistemas de alto riesgo. El Artículo 27 la reserva a categorías específicas:

Organismos de derecho público

Cualquier autoridad pública u organismo gestionado por el Estado que despliegue un sistema de IA de alto riesgo está sujeto a la FRIA. Esto incluye las administraciones nacionales y locales, los establecimientos públicos (hospitales, universidades públicas, agencias de empleo...), los organismos de seguridad social, las autoridades judiciales y policiales, y los organismos de control fronterizo.

Operadores de servicios esenciales

Las empresas privadas que gestionan infraestructuras críticas o prestan servicios esenciales también están concernidas. Esto incluye a los operadores de energía, transporte, agua, salud digital o banca sistémica que despliegan sistemas de IA de alto riesgo.

Instituciones de enseñanza y formación profesional

Los centros escolares, las universidades y los organismos de formación que utilizan sistemas de IA para evaluar al alumnado, gestionar el acceso a los programas de formación u orientar los itinerarios formativos están sujetos a la FRIA si dichos sistemas entran en el Anexo III.

Si usted es una empresa privada estándar - no un operador de infraestructuras críticas - que simplemente utiliza una herramienta de RRHH con IA o una solución de scoring comercial, en principio no está sujeto a la FRIA. Sus obligaciones son las del Artículo 26 (supervisión humana, registros, información a las personas afectadas), pero no la evaluación formal del Artículo 27.

FRIA vs EIPD: las diferencias concretas

• Base legal: la EIPD deriva del Artículo 35 del RGPD, la FRIA del Artículo 27 del AI Act. Son dos obligaciones distintas derivadas de dos reglamentos diferentes.
• Alcance: la EIPD cubre únicamente los riesgos relacionados con el tratamiento de datos personales. La FRIA abarca todos los derechos fundamentales, incluidos los no relacionados con la privacidad.
• Desencadenante: la EIPD se activa por un tratamiento de datos de alto riesgo. La FRIA se activa por el despliegue de un sistema de IA del Anexo III por parte de un desplegador afectado.
• Coordinación posible: ambas evaluaciones pueden realizarse conjuntamente y su contenido puede solaparse - especialmente en protección de datos y no discriminación. El reglamento fomenta activamente esta coordinación para evitar duplicaciones.

Cómo realizar una FRIA: los pasos

Paso 1 - Descripción del sistema y su contexto

Comience documentando con precisión el sistema de IA en cuestión: su finalidad, su funcionamiento técnico simplificado, las decisiones que produce o influencia, y el contexto organizativo en el que se despliega.

Paso 2 - Identificación de las personas afectadas

Determine quién está afectado por el sistema - directamente (personas sujetas a sus decisiones) o indirectamente (personas cuyos derechos podrían verse afectados sin contacto directo con el sistema). Preste especial atención a los grupos vulnerables: menores, personas mayores, personas con discapacidad, minorías.

Paso 3 - Cartografía de los derechos fundamentales potencialmente afectados

Para cada derecho fundamental enumerado en la Carta, evalúe si ese derecho puede verse afectado por el sistema en su contexto de despliegue, la probabilidad y gravedad del impacto potencial, y si el impacto sería directo o indirecto.

Paso 4 - Identificación y evaluación de los riesgos concretos

Traduzca los impactos potenciales en riesgos concretos. Por ejemplo: un sistema de scoring crediticio puede crear un riesgo de discriminación indirecta si sus datos de entrenamiento reflejan sesgos históricos relacionados con el género o el origen.

Paso 5 - Medidas de mitigación

Para cada riesgo identificado, documente las medidas en vigor o previstas: supervisión humana de las decisiones sensibles, mecanismos de recurso y contestación para las personas afectadas, procedimientos de detección y corrección de sesgos, restricciones de uso, formación del personal.

Paso 6 - Plan de seguimiento y revisión

La FRIA no es un ejercicio puntual. Defina un calendario de revisión, los indicadores de seguimiento que monitorizará, y las condiciones que desencadenarían una nueva evaluación (modificación sustancial del sistema, cambio de contexto de despliegue, incidentes notificados...).

Paso 7 - Registro y publicación

Los resultados de la FRIA deben registrarse en la base de datos de la UE de sistemas de IA de alto riesgo (Artículo 71). Determinada información puede quedar exenta de publicación por razones de confidencialidad.

Errores frecuentes que deben evitarse

• Realizar la FRIA tras el despliegue: el Artículo 27 es explícito - la evaluación debe realizarse antes de la puesta en servicio.
• Limitarse a los datos personales: reducir la FRIA a una EIPD ampliada es un error frecuente. La no discriminación, el acceso a la justicia y los derechos de los trabajadores deben abordarse incluso si el sistema no trata datos personales.
• No involucrar a las personas afectadas: consultar a representantes de las poblaciones concernidas refuerza significativamente la calidad de la evaluación.
• Ignorar los riesgos indirectos: un sistema puede afectar a derechos sin que las personas concernidas tengan contacto directo con él.
• No revisarla nunca: planifique revisiones periódicas.

El módulo Desplegador de AiActo guía a las organizaciones a través de la realización de su FRIA con más de 15 campos estructurados, cubriendo todos los requisitos del Artículo 27 y generando un documento exportable listo para el registro reglamentario.

Preguntas frecuentes

¿Es la FRIA obligatoria para una empresa privada que utiliza software de RRHH con IA?

En principio, no, si la empresa es una entidad comercial estándar. El Artículo 27 se dirige a los organismos de derecho público, los operadores de servicios esenciales y los centros educativos. Una PYME que utilice una herramienta de selección de CVs con IA debe cumplir las obligaciones del Artículo 26, pero no necesariamente realizar una FRIA formal.

¿Puede combinarse la FRIA con la EIPD del RGPD?

Sí, y el reglamento lo fomenta. Ambas evaluaciones pueden realizarse conjuntamente si el sistema de IA trata datos personales. Lo importante es asegurarse de que la FRIA cubra el alcance completo de los derechos fundamentales, más allá del enfoque de protección de datos de la EIPD.

¿Qué ocurre si el sistema de IA se modifica después de la FRIA?

Cualquier modificación sustancial del sistema de IA activa la obligación de revisar la FRIA. El reglamento no define con precisión "modificación sustancial", pero el principio general es que un cambio que afecte a las capacidades del sistema, los datos de entrenamiento o el alcance de aplicación requiere una nueva evaluación.

¿Debe hacerse pública la FRIA?

Los resultados de la FRIA deben registrarse en la base de datos de la UE de sistemas de IA de alto riesgo. Determinada información comercialmente sensible puede quedar exenta de publicación. La regla general es la transparencia, con excepciones limitadas para proteger los secretos comerciales legítimos.

¿Cuál es la sanción por no realizar una FRIA?

El incumplimiento de las obligaciones del Artículo 27 constituye una infracción del Capítulo III del AI Act, sancionable con multas de hasta 15 millones de euros o el 3 % de la facturación mundial anual.

La FRIA es una de las obligaciones menos conocidas del AI Act - y sin embargo una de las más significativas para los organismos públicos y los operadores de servicios esenciales. Realizarla seriamente, antes del despliegue, es tanto una exigencia legal como un acto de responsabilidad hacia las personas a las que afectan sus sistemas de IA. Consulte el calendario del AI Act en AiActo para planificar este paso en su calendario de cumplimiento.