Situación normativa actual del IA Act - Entrada 6 — Evaluación de Impacto en Derechos Fundamentales (FRIA)

 

Situación normativa actual del IA Act

Entrada 6 — Evaluación de Impacto en Derechos Fundamentales (FRIA)

Qué es una FRIA y por qué es obligatoria

La FRIA es un análisis estructurado que identifica cómo el uso de un sistema de IA de alto riesgo puede afectar a derechos como privacidad, no discriminación, igualdad, libertad de expresión, acceso a servicios esenciales o debido proceso. El IA Act la convierte en un requisito previo al despliegue para ciertos casos, porque estos sistemas pueden alterar de forma significativa la vida de las personas.

La literatura especializada destaca que la FRIA es el puente entre las obligaciones del reglamento y la protección efectiva de derechos, proporcionando un marco replicable para evaluar riesgos y mitigarlos en la práctica .

 

Cuándo es obligatoria una FRIA

Según el Artículo 27, deben realizarla:

·       Administraciones públicas que desplieguen sistemas de alto riesgo.

·       Entidades privadas que prestan servicios públicos (por ejemplo, empresas que gestionan transporte, energía, agua, servicios sociales).

·       Desplegadores de sistemas de los puntos 5(b) y 5(c) del Anexo III, que incluyen ámbitos como aplicación de la ley o migración.

No se exige para todos los sistemas de alto riesgo, pero sí para aquellos cuyo uso puede afectar directamente a derechos fundamentales en contextos sensibles.

 

Qué debe incluir una FRIA (según Art. 27.1)

El reglamento exige que la evaluación contenga, como mínimo:

·       Descripción del proceso en el que se usará el sistema y su finalidad.

·       Duración y frecuencia del uso previsto.

·       Grupos de personas afectadas y características relevantes.

·       Riesgos de daño para esos grupos, teniendo en cuenta la información del proveedor.

·       Supervisión humana prevista y cómo se implementará.

·       Medidas de mitigación y mecanismos internos de gobernanza y reclamación.

Estos elementos están recogidos literalmente en el Artículo 27.1 del IA Act .

 

Cómo se relaciona la FRIA con la DPIA de protección de datos

La FRIA no sustituye a la Evaluación de Impacto en Protección de Datos (DPIA) del RGPD.

Son evaluaciones distintas:

·       La DPIA se centra en privacidad y tratamiento de datos personales.

·       La FRIA abarca un espectro más amplio: discriminación, igualdad, acceso a servicios, libertad, seguridad, impacto social.

En muchos casos, ambas evaluaciones deberán coexistir y complementarse.

 

Cómo realizar una FRIA en la práctica

Las guías especializadas recomiendan un enfoque estructurado en fases:

·       Planificación y alcance: definir el caso de uso, actores y contexto.

·       Identificación y evaluación de impactos: analizar riesgos para derechos fundamentales.

·       Mitigación y rediseño: ajustar procesos, datos, supervisión humana o decisiones automatizadas.

·       Decisión de despliegue y documentación: justificar si el sistema puede usarse y en qué condiciones.

·       Monitorización continua: revisar la FRIA cuando cambien los usos, datos o contexto.

Un enfoque de referencia propone integrar cuestionarios, matrices de riesgo y ciclos de revisión continua para garantizar que la evaluación sea viva y operativa .

 

Qué debe hacer una organización ahora

·       Identificar si está dentro de los desplegadores obligados a realizar FRIA.

·       Preparar una plantilla interna basada en los requisitos del Artículo 27.

·       Coordinar equipos de compliance, legal, datos, tecnología y negocio.

·       Documentar cada decisión y actualización.

·       Establecer un proceso de revisión periódica.

 

La siguiente entrada abordará las obligaciones de transparencia para sistemas de riesgo limitado, que afectan a deepfakes, chatbots y sistemas que interactúan directamente con personas.