Se llama evaluación de impacto en derechos fundamentales, la FRIA. Y no aplica a todo el mundo, así que lo primero es quitarte el susto: te digo exactamente quién está obligado y quién no.
Quién tiene que hacerla
La FRIA es obligatoria, entre otros supuestos previstos por el artículo 27, para organismos de derecho público y entidades privadas que prestan servicios públicos cuando despliegan determinados sistemas de alto riesgo. También se exige a quienes usan los sistemas del Anexo III destinados a evaluar solvencia o puntuación crediticia y a valorar riesgos o precios en seguros de vida y salud.
Si tu empresa no encaja en ninguno de estos tres supuestos, no tienes esta obligación específica, aunque sí mantienes el resto de obligaciones de alto riesgo que ya hemos visto en la serie.
Qué tiene que incluir
La evaluación debe describir los procesos en los que se usará el sistema, el periodo de uso y su frecuencia, las categorías de personas afectadas, los riesgos concretos de perjuicio para sus derechos fundamentales, y las medidas de supervisión humana previstas junto con el plan de actuación si esos riesgos se materializan.
La buena noticia para quien ya cumple el RGPD
Si tu empresa ya ha hecho una evaluación de impacto relativa a la protección de datos, gran parte del trabajo ya está hecho. Ambas evaluaciones comparten estructura: identificar riesgos, valorar su probabilidad e impacto, y definir medidas de mitigación. La FRIA añade el foco en derechos fundamentales más allá de la privacidad, pero no se construye desde cero si ya existe esa base.
Con qué frecuencia hay que revisarla
No es un documento que se hace una vez y se archiva. Debe revisarse cuando cambian las circunstancias del sistema, cuando cambia su finalidad, o cuando cambia de forma relevante la población afectada.
Por dónde empezar
Si tu empresa entra en alguno de los tres supuestos, revisa primero si ya tienes una evaluación de impacto del RGPD para ese mismo sistema. Si la tienes, el trabajo es de adaptación, no de creación. Si no la tienes, ese es el punto de partida real.
¿Tu empresa entra en alguno de estos tres supuestos?
- Reglamento (UE) 2024/1689
- Consejo de la UE: simplificación y nuevos plazos de alto riesgo
- Recursos y guías de AESIA
Contenido informativo. No sustituye asesoramiento jurídico adaptado al caso concreto.
Convierte el contenido en un plan para tu empresa
Revisamos sistemas, usos, responsables y evidencias para priorizar lo que realmente necesita atención.
Solicitar diagnóstico inicial
