Actualización normativa · 14 de julio de 2026Las prohibiciones y la alfabetización en IA siguen vigentes desde febrero de 2025. La reforma aprobada en junio de 2026 fija nuevos plazos para las obligaciones específicas de alto riesgo: 2 de diciembre de 2027 para sistemas del Anexo III y 2 de agosto de 2028 para determinados sistemas integrados en productos.

Se llama evaluación de impacto en derechos fundamentales, la FRIA. Y no aplica a todo el mundo, así que lo primero es quitarte el susto: te digo exactamente quién está obligado y quién no.

Quién tiene que hacerla

La FRIA es obligatoria, entre otros supuestos previstos por el artículo 27, para organismos de derecho público y entidades privadas que prestan servicios públicos cuando despliegan determinados sistemas de alto riesgo. También se exige a quienes usan los sistemas del Anexo III destinados a evaluar solvencia o puntuación crediticia y a valorar riesgos o precios en seguros de vida y salud.

Si tu empresa no encaja en ninguno de estos tres supuestos, no tienes esta obligación específica, aunque sí mantienes el resto de obligaciones de alto riesgo que ya hemos visto en la serie.

Qué tiene que incluir

La evaluación debe describir los procesos en los que se usará el sistema, el periodo de uso y su frecuencia, las categorías de personas afectadas, los riesgos concretos de perjuicio para sus derechos fundamentales, y las medidas de supervisión humana previstas junto con el plan de actuación si esos riesgos se materializan.

La buena noticia para quien ya cumple el RGPD

Si tu empresa ya ha hecho una evaluación de impacto relativa a la protección de datos, gran parte del trabajo ya está hecho. Ambas evaluaciones comparten estructura: identificar riesgos, valorar su probabilidad e impacto, y definir medidas de mitigación. La FRIA añade el foco en derechos fundamentales más allá de la privacidad, pero no se construye desde cero si ya existe esa base.

Con qué frecuencia hay que revisarla

No es un documento que se hace una vez y se archiva. Debe revisarse cuando cambian las circunstancias del sistema, cuando cambia su finalidad, o cuando cambia de forma relevante la población afectada.

Por dónde empezar

Si tu empresa entra en alguno de los tres supuestos, revisa primero si ya tienes una evaluación de impacto del RGPD para ese mismo sistema. Si la tienes, el trabajo es de adaptación, no de creación. Si no la tienes, ese es el punto de partida real.

¿Tu empresa entra en alguno de estos tres supuestos?

Fuentes oficiales y actualización

Contenido informativo. No sustituye asesoramiento jurídico adaptado al caso concreto.

Convierte el contenido en un plan para tu empresa

Revisamos sistemas, usos, responsables y evidencias para priorizar lo que realmente necesita atención.

Solicitar diagnóstico inicial

Francisco Rodríguez Mendoza

Consultor en gobernanza de IA, AI Act y gestión de riesgos. PMP® e ingeniero de telecomunicaciones.

Ver perfil profesional →