Evaluacion de Impacto sobre los Derechos Fundamentales (FRIA) — Obligacion del desplegador en el Reglamento de IA de la UE
Definición
Definición técnica
¿Qué es una Evaluación de Impacto en Derechos Fundamentales (FRIA)?
Una Evaluación de Impacto en Derechos Fundamentales (FRIA) es una evaluación estructurada exigida por el EU AI Act a los desplegadores de determinados sistemas de IA de alto riesgo, para evaluar cómo el despliegue de esos sistemas puede afectar a los derechos fundamentales de las personas afectadas. A diferencia de una Evaluación de Impacto en Protección de Datos (DPIA), que se centra específicamente en los riesgos de protección de datos, la FRIA tiene un alcance más amplio, cubriendo todos los derechos fundamentales protegidos por la Carta de los Derechos Fundamentales de la UE, incluyendo el derecho a la dignidad, la no discriminación, la privacidad, el proceso justo y la protección de datos personales.
El EU AI Act (Artículo 27) exige que los desplegadores de sistemas de IA de alto riesgo utilizados en servicios públicos, servicios financieros, seguros, empleo y educación realicen una FRIA antes de desplegar el sistema. La evaluación debe cubrir: una descripción de los procesos del desplegador, las categorías y el volumen de personas afectadas, los riesgos específicos a los derechos fundamentales, las medidas tomadas para abordar esos riesgos y si el despliegue es consistente con la Carta de la UE. La FRIA debe registrarse en la base de datos de la UE para sistemas de IA de alto riesgo que mantiene la Comisión Europea.
La relevancia estructural de la FRIA es que desplaza el foco del cumplimiento de IA del producto al contexto de despliegue. Un mismo sistema de IA puede tener implicaciones distintas para los derechos fundamentales según quién lo use, en qué población, bajo qué procedimientos y con qué consecuencias aguas abajo. La FRIA obliga a que ese análisis específico de contexto ocurra antes del despliegue, con evidencia documentada, en lugar de aflorar solo después de que se produzca el daño.
Por qué importa operativamente
¿Por qué importa operativamente la FRIA?
La FRIA importa porque extiende las obligaciones de cumplimiento de IA de los proveedores a los desplegadores de una manera que muchas organizaciones no han anticipado. Aunque los proveedores son responsables de construir sistemas conformes, los desplegadores, las organizaciones que efectivamente usan esos sistemas en contextos operativos, asumen la responsabilidad de evaluar si su contexto de despliegue específico crea riesgos para los derechos fundamentales que el diseño genérico del sistema no abordó.
Una plataforma de selección de personal que despliega una herramienta de cribado por IA de un tercero en un país concreto se enfrenta a riesgos de contexto que el proveedor no puede anticipar plenamente: matices del derecho antidiscriminatorio local, composición demográfica específica del pool de candidatos, regulaciones laborales sectoriales. Un modelo de credit scoring desplegado en un segmento de mercado puede producir patrones de impacto dispar distintos a los de otro. Un sistema de elegibilidad para prestaciones públicas puede interactuar con el marco asistencial local de formas que el desarrollador nunca modeló. La FRIA es el mecanismo mediante el cual el desplegador debe documentar, evaluar y abordar esos riesgos específicos del despliegue antes de que el sistema entre en producción.
Para las compras, la FRIA también reconfigura la conversación. Los compradores ya no pueden asumir que el marcado CE del proveedor o su evaluación de conformidad son suficientes para su uso; deben realizar su propia FRIA cuando aplique. Los proveedores, a su vez, reciben cada vez más solicitudes de documentación que sustente el proceso de FRIA de sus clientes: datos de pruebas de sesgo, desagregaciones de rendimiento por grupos demográficos, especificaciones del uso previsto. La división de responsabilidades proveedor-desplegador del EU AI Act se vuelve operativa en esta transferencia de evidencia.
Marco regulatorio / Regulatory Framework
¿Qué marcos rigen la FRIA?
| Framework | Obligaciones de FRIA | | — | — | | EU AI Act — Art. 27 | Obliga a los desplegadores de sistemas de IA de alto riesgo en servicios públicos, servicios financieros, seguros, empleo y educación a realizar una FRIA antes del despliegue y registrarla en la base de datos de la UE. | | Carta de los Derechos Fundamentales de la UE | Marco de derechos que la FRIA debe evaluar: dignidad, libertades, igualdad, solidaridad, ciudadanía y justicia. | | GDPR — DPIA (Art. 35) | La DPIA y la FRIA son evaluaciones complementarias. Para sistemas de alto riesgo que procesan datos personales, ambas pueden ser obligatorias simultáneamente. | | ISO/IEC 42001 | Los controles del Anexo A sobre evaluación de impacto de IA incluyen la evaluación de impacto en derechos fundamentales como componente del sistema de gestión. | | ISO/IEC 42005 | Norma específica para la evaluación de impacto de sistemas de IA. Proporciona orientación metodológica que puede integrarse en el proceso de FRIA. |
Cómo lo evalúa Zertia
¿Cómo evalúa Zertia los requisitos de FRIA?
Zertia evalúa los requisitos de FRIA como parte de la Evaluación EU AI Act y la Auditoría de Sistemas de IA de Alto Riesgo. La evaluación examina si los desplegadores han realizado una FRIA que cubra todos los elementos exigidos por el Artículo 27, si la evaluación está registrada en la base de datos de la UE y si los riesgos identificados se han abordado con medidas de mitigación adecuadas. La auditoría incluye la verificación de la solidez metodológica de la FRIA: cobertura del alcance, adecuación en la identificación de riesgos, trazabilidad de la mitigación y procedimientos de monitorización continua.
Para desplegadores que aún no han realizado una FRIA, Zertia puede estructurar el proceso de evaluación como parte del engagement de Evaluación EU AI Act. La metodología integra la guía de ISO/IEC 42005 sobre evaluación de impacto de IA con los requisitos específicos del Artículo 27, produciendo una FRIA documentada que es regulatoriamente conforme y metodológicamente defendible.
Auditoría de Sistemas de IA de Alto Riesgo →
Recursos relacionados
¿Qué recursos complementarios refuerzan la implementación de la FRIA?
- EU AI Act — Artículo 27 — Evaluación de impacto en derechos fundamentales (eur-lex.europa.eu)
- Carta de los Derechos Fundamentales de la UE — Marco de derechos que la FRIA debe abordar (eur-lex.europa.eu)
- ISO/IEC 42005 — Norma de evaluación de impacto de sistemas de IA (iso.org)
- Playbook: Playbook de Cumplimiento de Sistemas de IA de Alto Riesgo
- Análisis de riesgo de IA: Repositorio de riesgos de IA de Zertia
- Términos relacionados: Sistema de IA de Alto Riesgo · DPIA · Sesgo Algorítmico · Supervisión Humana · Evaluación de la Conformidad
FAQ
Preguntas frecuentes sobre la FRIA
P: ¿Quién está obligado a realizar una FRIA, el proveedor o el desplegador de IA?
Bajo el Artículo 27 del EU AI Act, la obligación recae sobre los desplegadores, no sobre los proveedores. El proveedor es responsable del diseño técnico y de la evaluación de conformidad del sistema de IA como producto. El desplegador es responsable de evaluar cómo su contexto de despliegue específico, la población afectada, los procesos con los que se integra, el entorno operativo, impacta sobre los derechos fundamentales. Es una obligación distinta que no se satisface apoyándose en la documentación del proveedor. Un desplegador que simplemente adjunta la declaración de conformidad del proveedor a su expediente no cumple con el Artículo 27.
P: ¿Cuál es la diferencia entre una FRIA y una DPIA?
Una DPIA se centra en los riesgos de protección de datos para tratamientos que probablemente entrañen un riesgo alto para los derechos de las personas bajo el GDPR. Una FRIA cubre todos los derechos fundamentales bajo la Carta de la UE, de los cuales la protección de datos es uno. En la práctica, para sistemas de IA que procesan datos personales y son clasificados como de alto riesgo bajo el EU AI Act, ambas evaluaciones pueden ser obligatorias. A menudo pueden integrarse en un proceso conjunto, pero abordan obligaciones legales distintas bajo marcos regulatorios distintos. Confundirlas crea un vacío de documentación que aflora bajo enforcement.
P: ¿Todas las organizaciones que usan sistemas de IA de alto riesgo deben hacer una FRIA?
No todas. El Artículo 27 del EU AI Act exige la FRIA específicamente para desplegadores que sean organismos de derecho público o entidades privadas que proporcionen servicios de interés público en los ámbitos listados (servicios financieros, seguros, empleo, educación). Las empresas privadas que despliegan sistemas de alto riesgo en contextos no listados pueden no estar obligadas, aunque la evaluación de impacto es una buena práctica en cualquier caso. La prueba estructural no es solo si el sistema es de alto riesgo, sino si el desplegador entra en las categorías específicas del Artículo 27.
P: ¿Qué debe contener la FRIA para cumplir con el Artículo 27?
La FRIA debe contener: una descripción de los procesos del desplegador en los que se usará el sistema de IA de alto riesgo; el período de tiempo y la frecuencia del uso previsto; las categorías de personas físicas y grupos probablemente afectados; los riesgos específicos de daño a los derechos fundamentales, teniendo en cuenta el propósito previsto del sistema; una descripción de las medidas de supervisión humana aplicadas; y las medidas a tomar en caso de que los riesgos se materialicen, incluyendo arreglos de gobernanza, mecanismos de queja y procedimientos de reparación. Una FRIA que omita cualquiera de estos elementos es estructuralmente incompleta, por exhaustivas que sean las partes que sí cubre.
P: ¿Cómo se relaciona la FRIA con ISO/IEC 42001 y 42005?
ISO/IEC 42001 establece el sistema de gestión que institucionaliza la evaluación de impacto de IA como disciplina organizativa. ISO/IEC 42005 aporta orientación metodológica específica para realizar evaluaciones de impacto de IA, incluyendo las dimensiones de derechos fundamentales. La FRIA, como requisito regulatorio del EU AI Act, puede implementarse dentro de un sistema de gestión ISO 42001 usando la metodología ISO 42005. Esa integración produce un paquete de cumplimiento coherente: la obligación regulatoria (FRIA bajo el Artículo 27), el sistema de gestión (ISO 42001) y la metodología (ISO 42005), cada uno abordando una capa distinta de la misma cuestión de gobernanza.
P: ¿Con qué frecuencia debe actualizarse una FRIA tras el despliegue inicial?
El EU AI Act no especifica una cadencia fija. La regla estructural es que la FRIA debe mantenerse precisa. Cualquier cambio material en el sistema, el contexto de despliegue, la población afectada o el perfil de riesgo dispara una reevaluación. En la práctica, las organizaciones que operan sistemas de IA de alto riesgo deberían integrar la revisión de la FRIA en un ciclo definido (anual como mínimo) y en los procedimientos de gestión del cambio (siempre que el sistema o su contexto cambien materialmente). Una FRIA que se realizó una vez en el despliegue y nunca se ha revisado es un documento regulatorio que probablemente ha perdido su valor probatorio.
CTA contextual
¿Listo para hacer defendible tu FRIA?
Los desplegadores de sistemas de IA de alto riesgo en servicios financieros, seguros, empleo y servicios públicos deben realizar una FRIA antes del despliegue. Zertia estructura la evaluación y la integra con tu proceso de cumplimiento del EU AI Act.
Términos relacionados
P: ¿Qué términos se conectan con la FRIA?
- Sistema de IA de Alto Riesgo — Categoría para la que la FRIA es obligatoria bajo el EU AI Act
- DPIA — Evaluación de impacto complementaria con foco específico en protección de datos
- Evaluación de la Conformidad — La obligación del proveedor; la FRIA es la contrapartida del desplegador
- Sesgo Algorítmico — Una dimensión de riesgo central de la evaluación de derechos fundamentales
- Supervisión Humana — Una medida de mitigación frecuentemente identificada en la FRIA
- EU AI Act — El Reglamento que establece la obligación de FRIA
Por qué importa operativamente
Por que importa la FRIA operativamente?
Marco regulatorio
Which frameworks govern the FRIA?
| Framework | FRIA obligations |
|---|---|
| EU AI Act — Art. 27 | Requires deployers of high-risk AI systems in public services, financial services, insurance, employment, and education to conduct a FRIA before deployment and register it in the EU database. |
| EU Charter of Fundamental Rights | Rights framework that the FRIA must assess: dignity, freedoms, equality, solidarity, citizenship, and justice. |
| GDPR — DPIA (Art. 35) | DPIA and FRIA are complementary assessments. For high-risk systems processing personal data, both may be simultaneously required. |
| ISO/IEC 42001 | Annex A controls on AI impact assessment include fundamental rights impact assessment as a component of the management system. |
| ISO/IEC 42005 | Specific standard for AI system impact assessment. Provides methodological guidance that can be integrated into the FRIA process. |
Cómo lo evalúa Zertia
Como evalua Zertia los requisitos de la FRIA?
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
