FRIA no es DPIA con otro nombre. El Art. 27 introduce un artefacto regulatorio nuevo, con audiencia distinta y método propio.
Fundamental Rights Impact Assessment paso a paso: quién está obligado, qué incluye, cómo se integra con ISO 42001.
Audiencia: DPO, Legal IA, Product Lead de sistemas de alto riesgo
El Reglamento (UE) 2024/1689 — EU AI Act — introduce en el Art. 27 la Fundamental Rights Impact Assessment (FRIA): una evaluación de impacto sobre derechos fundamentales que ciertos operadores de sistemas de IA de alto riesgo deben realizar antes del despliegue. La FRIA aplica desde el 2 de febrero de 2027 para sistemas ya en producción que ingresen al ámbito regulado.
La FRIA se confunde frecuentemente con la DPIA del GDPR Art. 35 o con el Conformity Assessment del propio AI Act (Art. 43). Son tres artefactos distintos con audiencia, objeto y metodología distintas. Esta guía describe específicamente la FRIA — el resto se referencia.
La FRIA es obligatoria para dos tipos de deployer (en español: implementador) de sistemas de IA de alto riesgo: (a) organismos regidos por derecho público, y (b) entidades privadas que presten servicios públicos. Cuando estos operadores despliegan un sistema de IA del Anexo III (alto riesgo), deben realizar FRIA antes del primer uso.
Adicionalmente, los deployers de sistemas del Anexo III puntos 5(b) (evaluación de solvencia / scoring crediticio) y 5(c) (precios de seguros de vida y salud basados en IA), aunque sean privados sin función pública, también deben realizar FRIA.
Esto significa que la FRIA no aplica a todo deployer de IA. Aplica selectivamente. Pero cuando aplica, su ausencia es no cumplimiento del AI Act — y el AI Act tiene multas hasta el 7% de la facturación global anual.
DPIA (GDPR Art. 35): obligación del controller de datos. Evalúa impacto sobre la privacidad y los derechos de los titulares de datos. Audiencia: autoridad de protección de datos. Foco: tratamiento de datos personales.
Conformity Assessment (AI Act Art. 43): obligación del provider del sistema de IA de alto riesgo. Evalúa conformidad técnica del sistema con los requisitos del AI Act (Arts. 9-15). Audiencia: organismo notificado o autoevaluación documentada. Foco: las propiedades del sistema.
FRIA (AI Act Art. 27): obligación del deployer (no del provider). Evalúa impacto sobre derechos fundamentales del uso específico del sistema en su contexto. Audiencia: autoridad nacional competente del AI Act + posibles afectados. Foco: el uso del sistema, no sus propiedades técnicas.
En la práctica, una organización puede tener que producir las tres: DPIA por GDPR, Conformity Assessment por AI Act (si actúa como provider), FRIA por AI Act (si actúa como deployer obligado). La integración documental ahorra trabajo; la confusión metodológica genera no cumplimiento.
Elemento (a): descripción de los procesos del deployer en los que se usará el sistema de IA de alto riesgo en línea con su uso previsto.
Elemento (b): descripción del período de tiempo y de la frecuencia en que se prevé usar el sistema.
Elemento (c): categorías de personas físicas y grupos probablemente afectados por el uso en el contexto específico.
Elemento (d): riesgos específicos de daño que probablemente impacten en las categorías identificadas en (c), considerando información del provider del sistema (Art. 13).
Elemento (e): descripción de la implementación de medidas de supervisión humana, conforme a las instrucciones del provider.
Elemento (f): medidas a tomar en caso de materialización de los riesgos, incluidos arreglos de gobierno interno y mecanismos de queja.
Estos seis elementos son el contenido mínimo. La FRIA puede extenderse a criterios adicionales sectoriales, pero no puede omitir ninguno de los seis.
Checklist
Fase 1: alcance. Identificar el sistema o sistemas en producción que califican como alto riesgo y para los cuales el deployer está obligado a FRIA. Esto requiere lectura precisa del Anexo III del AI Act y verificación con el provider sobre la clasificación del sistema.
Fase 2: stakeholder mapping. Identificar las categorías de personas afectadas por el uso del sistema en el contexto específico de la organización — no en términos generales, sino con anclaje en el caso de uso real.
Fase 3: análisis de impacto. Para cada categoría identificada, evaluar qué derechos fundamentales pueden verse afectados (dignidad, igualdad, no discriminación, libertad, privacidad, libertad de expresión, debido proceso, etc.) y con qué probabilidad e intensidad.
Fase 4: medidas de mitigación. Documentar las medidas técnicas y organizativas que reducen el riesgo identificado. La supervisión humana significativa (Art. 14) es típicamente central.
Fase 5: plan de respuesta. Documentar qué hace la organización si el riesgo se materializa — mecanismo de queja, retiro del sistema del proceso, escalamiento, comunicación a afectados.
Fase 6: revisión y actualización. La FRIA no es estática. Cambios en el sistema, en su uso o en el contexto disparan revisión.
ISO/IEC 42005 (publicada 2024) es el estándar específico de impact assessment para sistemas de IA. Su metodología es voluntaria y compatible con la FRIA del AI Act — usar 42005 como marco metodológico para producir la FRIA es práctica defensible.
ISO/IEC 42001:2023 (sistema de gestión de IA) provee el sistema bajo el cual la FRIA opera como artefacto recurrente. Cláusulas 6.1 (acciones para abordar riesgos) y 7.5 (información documentada) de 42001 sostienen la producción y mantenimiento de las FRIA.
Una organización con ISO 42001 certificada e ISO 42005 aplicada metodológicamente tiene la base sistémica para producir FRIA defensibles. No es automático — la FRIA exige actividad específica por sistema y por contexto — pero la infraestructura está. Ver análisis publicado de cobertura del 70% en este sitio.
Tratar FRIA como DPIA renombrado
Si se reusa una DPIA cambiando títulos, el resultado no cubre los seis elementos del Art. 27. La FRIA es artefacto nuevo con foco en derechos fundamentales, no solo privacidad.
Producir FRIA sin involucramiento legal
La evaluación sobre derechos fundamentales no es solo técnica. Sin abogado constitucional o experto en derechos humanos en el equipo, la evaluación queda débil.
No actualizar la FRIA cuando cambia el uso
Una FRIA producida una vez y nunca revisada pierde validez cuando el sistema o su contexto cambian. La obligación es continua.
La FRIA es uno de los tres artefactos estructurales que el AI Act exige y que ninguna certificación ISO cubre completamente. La construcción ordenada — integrada con ISO 42001, ISO 42005 y, donde aplique, GDPR — es operativamente posible. Lo que no funciona es la improvisación cuando el plazo de 2027 ya está encima.
Evaluación preliminar bajo criterio ISO 19011, sin venta de implementación ni de certificación.
Solicitar diagnóstico