Cumplimiento y ética

FRIA (Fundamental Rights Impact Assessment)

La FRIA o evaluación de impacto sobre los derechos fundamentales es una obligación del AI Act (Art. 27) que ciertos deployers de sistemas de alto riesgo deben realizar antes del primer uso del sistema. Es complementaria de la DPIA (RGPD) pero más amplia: cubre toda la Carta de Derechos Fundamentales de la UE, no solo protección de datos. Aplica desde el 2 de agosto de 2026.

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

La FRIA fue introducida por el Parlamento Europeo en 2023 durante el trámite del AI Act y quedó codificada en el Art. 27. No aplica a todos los deployers de alto riesgo: solo a (a) organismos de derecho público y entidades privadas que prestan servicios públicos (educación, sanidad, justicia, vivienda, servicios sociales); y (b) deployers privados de sistemas de scoring crediticio y de suscripción de seguros de vida y salud. Esto hace que el alcance real sea más estrecho que la DPIA del RGPD, pero más profundo donde aplica. Los criterios obligatorios del Art. 27.1 cubren tres bloques: descripción (uso previsto, contexto, frecuencia, perfiles afectados), riesgo (qué derechos fundamentales se ven afectados y cómo, con qué severidad, durante cuánto tiempo), y mitigación (medidas técnicas, organizativas, supervisión humana, mecanismos de queja y reparación). Los resultados deben notificarse a la autoridad de vigilancia (en España, AESIA con coordinación AEPD si hay datos personales). Una DPIA bien hecha puede integrarse en la FRIA, evitando duplicación. Sanción por incumplimiento: hasta 15 M € o 3% del volumen anual mundial.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa española que entre en el alcance de la FRIA (sector público, servicio público, scoring crediticio, suscripción de seguros vida/salud), prepararla a tiempo es obligación legal directa. La práctica recomendada: identificar antes de junio de 2026 si tu organización entra en alguna de las categorías; inventariar sistemas IA que serán alto riesgo desde 2 ago 2026; conducir FRIA por cada sistema, integrándola con DPIAs ya existentes; consultar con representantes de los grupos afectados cuando sea posible (refuerza calidad y defensa); documentar de forma que sea presentable a AESIA si hay inspección; revisar la FRIA cuando el sistema cambie sustancialmente. La AI Office publicará una plantilla oficial; conviene no esperar a ella, los criterios ya están claros y trabajar antes ahorra tiempo.

Ejemplo concreto

Caso real

Un ayuntamiento mediano español preparó FRIA en marzo-abril de 2026 para tres sistemas IA municipales: un asistente conversacional para ciudadanos (concluyó: no alto riesgo, FRIA no obligatoria pero hicieron evaluación voluntaria simplificada), un sistema de detección de fraude en ayudas sociales (alto riesgo Anexo III punto 5.c, FRIA obligatoria), y un sistema de optimización de rutas de servicios municipales (no alto riesgo). FRIA del sistema de fraude: 6 semanas de trabajo, consultora externa especializada (~18.000 €), participación de Servicios Sociales y representante de defensoría ciudadana, documentación de mitigaciones (supervisión humana real en cada caso señalado, canal de reclamación específico, revisión semestral). Resultado: sistema desplegado el 1 de agosto con expediente FRIA listo, presentado a la autoridad. Sin sustos en agosto.