Artículo 27 de la Ley de IA de la UE: Evaluación de Impacto en los Derechos Fundamentales (FRIA)
El Artículo 27 requiere que ciertos desplegadores de sistemas de IA de alto riesgo realicen una Evaluación de Impacto en los Derechos Fundamentales antes de poner el sistema en uso. Documenta cómo se utilizará el sistema, a quién afecta, los riesgos para los derechos fundamentales y las medidas de supervisión y gobernanza humanas implementadas — y los resultados se notifican a la autoridad de supervisión del mercado.
Artículo 27 de la Ley de IA de la UE: Evaluación de Impacto en los Derechos Fundamentales (FRIA)
El Artículo 27 requiere que ciertos desplegadores de sistemas de IA de alto riesgo realicen una Evaluación de Impacto en los Derechos Fundamentales antes de poner el sistema en uso. Documenta cómo se utilizará el sistema, a quién afecta, los riesgos para los derechos fundamentales y las medidas de supervisión y gobernanza humanas implementadas — y los resultados se notifican a la autoridad de supervisión del mercado.
Última actualización: 4 de julio de 2026
¿Quién Debe Realizar una FRIA
La obligación de FRIA recae en un conjunto definido de desplegadores de sistemas de IA de alto riesgo, no en los proveedores y no en todos los desplegadores:
- Entidades regidas por el derecho público, y entidades privadas que prestan servicios públicos, cuando despliegan sistemas de IA de alto riesgo
- Desplegadores de sistemas de puntuación crediticia del Anexo III — IA de alto riesgo utilizada para evaluar la solvencia crediticia o establecer una puntuación crediticia (excluyendo la detección de fraude)
- Desplegadores de sistemas de seguros del Anexo III — IA de alto riesgo utilizada para la evaluación de riesgos y la fijación de precios en seguros de vida y salud
- La evaluación debe completarse antes de que el sistema se ponga en uso
Donde una Evaluación de Impacto en la Protección de Datos según el Artículo 35 del GDPR ya cubre parte del mismo terreno, la FRIA puede basarse en ella en lugar de duplicarla.
Qué Debe Cubrir la Evaluación
El Artículo 27(1) establece los elementos que una FRIA debe describir:
- Una descripción de los procesos del desplegador en los que se utilizará el sistema de alto riesgo, de acuerdo con su propósito previsto
- El período y frecuencia durante los cuales se pretende utilizar el sistema
- Las categorías de personas naturales y grupos que probablemente se vean afectados en el contexto específico
- Los riesgos específicos de daño que probablemente afecten a esas categorías de personas
- Una descripción de las medidas de supervisión humana implementadas, según las instrucciones de uso
- Las medidas para tomar si los riesgos se materializan, incluidos los acuerdos de gobernanza interna y los mecanismos de queja
Notificar a la Autoridad
La FRIA no es un ejercicio puramente interno — sus resultados se informan al regulador:
- Una vez realizada la evaluación, el desplegador notifica a la autoridad de supervisión del mercado de sus resultados
- La Oficina de IA está encargada de desarrollar un cuestionario de plantilla para ayudar a los desplegadores a cumplir de una manera simplificada
- La FRIA debe actualizarse si alguno de sus elementos cambia o ya no está actualizado durante el período de uso
- Complementa, y no reemplaza, las obligaciones de conformidad y gestión de riesgos del proveedor
Cómo AIAgentree Ayuda
Una FRIA debe describir las medidas de supervisión y monitoreo humanas por escrito — AIAgentree proporciona la evidencia en funcionamiento de que esas medidas realmente operan:
- Flujos de trabajo de supervisión y aprobación humanas dan sustancia concreta a las medidas de supervisión que una FRIA debe describir, con un registro de quién revisó qué y cuándo
- Registros de decisiones que evidencian la manipulación y seguimiento de resultados apoyan el monitoreo continuo de los riesgos para las personas afectadas que una FRIA compromete
- Retención de auditoría (seis meses o más) con residencia de datos de la UE en Alemania mantiene esa evidencia de supervisión disponible si la autoridad solicita ver cómo se implementa la evaluación en la práctica
Preguntas Frecuentes
¿Quién debe realizar una Evaluación de Impacto en los Derechos Fundamentales?
Ciertos desplegadores de sistemas de inteligencia artificial de alto riesgo: organismos regidos por la ley pública y entidades privadas que proporcionan servicios públicos, más desplegadores de los sistemas de alto riesgo del Anexo III utilizados para la evaluación de la solvencia crediticia y para la evaluación y precio del riesgo en los seguros de vida y salud. Es una obligación del desplegador, no del proveedor.
¿Cuándo debe completarse la FRIA?
Antes de que el desplegador ponga el sistema de inteligencia artificial de alto riesgo en uso. También debe mantenerse actualizada —si alguno de sus elementos cambia o se vuelve obsoleto durante el período de uso, el desplegador actualiza la evaluación.
¿Qué debe cubrir una FRIA?
Los procesos y el propósito previsto del desplegador para el sistema, el período y la frecuencia de uso, las categorías de personas y grupos que probablemente se vean afectados, los riesgos específicos de daño para ellos, las medidas de supervisión humana en lugar, y las medidas para tomar si los riesgos se materializan, incluyendo la gobernanza interna y los mecanismos de quejas.
¿Debemos informar a un regulador sobre la FRIA?
Sí. Una vez que se realiza la evaluación, el desplegador notifica a la autoridad de vigilancia del mercado sobre sus resultados. La Oficina de Inteligencia Artificial está desarrollando un cuestionario de plantilla para apoyar una forma simplificada de cumplir con esta notificación.
¿Puede una FRIA reutilizar nuestra Evaluación de Impacto en la Protección de Datos del GDPR?
En parte. Donde una Evaluación de Impacto en la Protección de Datos del GDPR ya cubre elementos superpuestos, la FRIA puede basarse en y complementarla en lugar de duplicar el trabajo. La FRIA todavía tiene su propio enfoque en los derechos fundamentales que una Evaluación de Impacto en la Protección de Datos del GDPR no reemplaza completamente.
Continúa explorando la guía de la Ley de IA de la UE
Guía de cumplimiento de la Ley de IA de la UE
La guía completa para el cumplimiento de la Ley de IA de la UE para agentes de IA — comienza aquí.
Artículo 12 — Registro y registro de eventos
Qué debe registrar cada sistema de IA de alto riesgo y cómo capturar la información.
Artículo 14 — Supervisión humana
Diseñar controles efectivos de supervisión humana para decisiones de IA.
Anexo III — Sistemas de IA de alto riesgo
Qué casos de uso de IA clasifica la Ley como de alto riesgo.
Lista de verificación de cumplimiento de la Ley de IA de la UE
Una lista de verificación paso a paso para alcanzar y documentar el cumplimiento.
Calculadora de costos de cumplimiento
Estima el esfuerzo y el costo de cumplimiento de la Ley de IA de la UE.
Plazos y cronograma
Fechas clave de aplicación, incluido el plazo del 2 de agosto de 2026.
Multas y sanciones
Niveles de sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual global.
Obligaciones de transparencia (Art. 13 y 50)
Deberes de divulgación para sistemas de IA y sus resultados.
Gestión de riesgos y evaluación de conformidad
Construya un sistema de gestión de riesgos y evalúe la conformidad.
Obligaciones de GPAI
Reglas para proveedores de modelos de IA de propósito general.
Ley de IA de la UE para empresas estadounidenses
Alcance extraterritorial y qué deben hacer los proveedores estadounidenses.
Actualización omnibus
Los últimos cambios en el cronograma y las reglas de la Ley de IA de la UE.
Calculadora de Penalizaciones
Estima tu multa máxima bajo los niveles del Artículo 99.
Artículo 11 + Anexo IV
Qué documentación técnica requiere la Ley de IA de la UE.
Artículo 26: Obligaciones del Desplegado
Qué deben hacer los desplegadores de IA de alto riesgo, incluyendo la retención de registros.
Artículo 17: Gestión de la Calidad
El SGQ que los proveedores de IA de alto riesgo deben documentar.
Artículo 10: Gobernanza de Datos
Calidad de los datos, mitigación de sesgos y deberes de gobernanza.
Artículo 4: Alfabetización en IA
El deber de alfabetización en IA del personal en vigor desde febrero de 2025.
Desplegado vs Proveedor
Quién asume qué obligación — y cuándo un desplegado se convierte en un proveedor.
¿A quién se aplica?
Alcance, operadores y alcance extraterritorial de la Ley de IA de la UE.
Monitoreo Post-Mercado
Artículos 72–73: monitoreo continuo y notificación de incidentes.
ISO 42001 vs Ley de IA de la UE
Cómo se relaciona el estándar voluntario con la ley vinculante.
NIST AI RMF vs Ley de IA de la UE
Un cruce práctico entre el marco y la ley.
Ley de IA de la UE para la Atención Médica
IA médica de alto riesgo, interacción con MDR/IVDR y supervisión clínica.
Ley de IA de la UE para Servicios Financieros
Puntuación crediticia, precios de seguros y regulación financiera existente.
Ley de IA de la UE para Recursos Humanos y Empleo
Contratación de IA como alto riesgo, más la superposición de NYC LL144 y EEOC.