EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo
La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.
Cuando un sistema de IA trata datos personales de formas que probablemente entrañen un riesgo alto para las personas, dos marcos jurídicos pueden exigir ambos una evaluación de impacto formal —y ninguno exime del otro—. La Evaluación de Impacto relativa a la Protección de Datos (EIPD, Artículo 35 del RGPD) del RGPD y la Evaluación de Impacto relativa a los Derechos Fundamentales (EIDF, Artículo 27 del Reglamento (UE) 2024/1689) de la Ley de IA de la UE son deberes distintos. Acertar con la delimitación no es gestión de papeleo; es la diferencia entre un despliegue conforme y una constatación de las autoridades de vigilancia.
Qué es una EIPD —y cuándo se exige—
Una EIPD es una evaluación de riesgos documentada exigida con arreglo al Artículo 35 del RGPD antes de tratar datos personales de formas que probablemente entrañen un riesgo alto para los derechos y las libertades de las personas físicas. La obligación recae sobre el responsable del tratamiento y debe completarse antes de que comience el tratamiento.
Tres categorías activan siempre una EIPD con arreglo al Artículo 35, apartado 3, del RGPD:
- Evaluación sistemática y exhaustiva de aspectos personales, incluida la elaboración de perfiles, cuando las decisiones producen efectos jurídicos o similarmente significativos
- Tratamiento a gran escala de datos de categoría especial (Artículo 9 del RGPD: salud, biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, orientación sexual)
- Observación sistemática de zonas de acceso público a gran escala
Los sistemas de IA en la contratación, los préstamos, el diagnóstico sanitario y la fijación de precios de los seguros cumplen casi invariablemente la categoría 1 o la 2. Un modelo automatizado de calificación crediticia de un banco regional marca ambas —elabora perfiles de personas a gran escala y sus resultados determinan el acceso al crédito, un efecto significativo en el sentido del Artículo 22 del RGPD—.
Cuando las tres presunciones no resuelven la cuestión, se aplica el marco de los nueve criterios del CEPD: se exige una EIPD cuando concurren dos o más criterios —puntuación/elaboración de perfiles, decisiones automatizadas con efecto significativo, observación sistemática, datos sensibles, tratamiento a gran escala, cotejo de datos, interesados vulnerables, tecnología innovadora o tratamiento que impide a las personas ejercer sus derechos—. La mayoría de los despliegues de IA con consecuencias satisfacen tres o cuatro.
Qué es una EIDF —y quién la debe—
La Evaluación de Impacto relativa a los Derechos Fundamentales es una obligación de la Ley de IA de la UE, no del RGPD. El Artículo 27 del Reglamento (UE) 2024/1689 exige a determinados responsables del despliegue de IA de alto riesgo realizar una EIDF antes de poner en funcionamiento un sistema de IA de alto riesgo.
El alcance es más estrecho de lo que podría parecer. El Artículo 27 se aplica a:
- Los responsables del despliegue que son organismos públicos de cualquier sistema de IA de alto riesgo enumerado en el Anexo III
- Los responsables del despliegue privados de sistemas de IA de alto riesgo que entran específicamente en el Anexo III, punto 5, letra b) (evaluación de la solvencia, calificación crediticia —excluida la detección de fraude—) o el punto 5, letra c) (evaluación de riesgos y fijación de precios de los seguros de vida y de salud)
Los empleadores privados que despliegan IA para la selección de personal (Anexo III, punto 4, letra a)) o la supervisión de los empleados (punto 4, letra b)) no deben una EIDF con arreglo al Artículo 27 a menos que sean también un organismo público. Esta es una lectura errónea habitual: la obligación de EIDF no sigue a todos los usos del Anexo III; sigue a categorías específicas de responsable del despliegue.
La EIDF debe cubrir: una descripción de los procesos en los que se utiliza el sistema de IA, el periodo y la frecuencia de uso, las categorías de personas físicas afectadas, los riesgos específicos para los derechos fundamentales, las medidas adoptadas para abordar esos riesgos y qué otras personas u organismos participaron en la realización de la evaluación. El Artículo 27, apartado 4, permite expresamente que la EIDF se base en una EIPD existente —puede incorporar las conclusiones de su EIPD en lugar de reproducirlas—.
EIPD frente a EIDF: las distinciones esenciales
Los dos instrumentos comparten un parecido de familia —ambos preguntan «¿qué perjuicio podría causar esto a las personas?»— pero difieren en la base jurídica, el alcance, las obligaciones procedimentales y el conjunto de derechos que examinan.
| Aspecto | EIPD del RGPD (Artículo 35 del RGPD) | EIDF de la Ley de IA (Artículo 27 de la Ley de IA) |
|---|---|---|
| Base jurídica | Reglamento (UE) 2016/679 | Reglamento (UE) 2024/1689 |
| Quién debe realizarla | Todo responsable del tratamiento que trate datos personales de formas de alto riesgo | Responsables del despliegue que son organismos públicos de IA del Anexo III; responsables del despliegue privados de solvencia/seguros |
| Desencadenante | Riesgo alto para los derechos y las libertades derivado del tratamiento de datos | Desplegar un sistema de IA de alto riesgo en las categorías cubiertas |
| Momento | Antes de que comience el tratamiento | Antes de que el sistema se ponga en funcionamiento |
| Derechos en el ámbito | Privacidad, protección de datos y derechos conexos | Toda la carta de derechos fundamentales (no discriminación, dignidad, acceso a la justicia, participación democrática) |
| Intervención del DPD | Consulta obligatoria (Artículo 35, apartado 2, del RGPD) | Sin requisito legal de DPD; consulta aconsejable |
| Autoridad de vigilancia | Consulta previa exigida si el riesgo residual sigue siendo alto (Artículo 36 del RGPD) | Sin requisito equivalente de consulta previa |
| ¿Puede basarse en la otra? | La EIPD es anterior a la EIDF; sin disposición formal de «basarse en la EIDF» | La EIDF puede basarse explícitamente en una EIPD o complementarla (Artículo 27, apartado 4) |
La EIPD es un instrumento del RGPD que hacen cumplir las autoridades nacionales de protección de datos. La EIDF es un instrumento de la Ley de IA de la UE exigible por las autoridades de vigilancia del mercado de la Ley de IA una vez que se aplique el régimen de alto riesgo (2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del Ómnibus Digital acordado en mayo de 2026). Las dos vías de ejecución son separadas; satisfacer una no exime de la otra.
Qué debe cubrir cada evaluación
EIPD: requisitos del Artículo 35, apartado 7, del RGPD
El contenido legal mínimo es: a) una descripción sistemática de las operaciones de tratamiento y sus fines; b) una evaluación de la necesidad y la proporcionalidad; c) una evaluación de los riesgos para los derechos y las libertades; d) las medidas previstas para abordar esos riesgos.
Para los sistemas de IA, la «descripción sistemática» requiere sustancia —tipo de modelo, características de entrada, categorías de resultados, mecanismo de decisión, poblaciones afectadas y flujos de datos—. La evaluación de riesgos debe abordar la discriminación (características indirectas que producen disparidades por características protegidas), la opacidad (el derecho a una explicación del Artículo 22 del RGPD para las decisiones significativas basadas únicamente en el tratamiento automatizado), la exactitud de los datos, la seguridad y la ampliación encubierta del alcance. Las medidas de mitigación deben ser específicas y estar documentadas con responsable y calendarios de revisión. Si el riesgo residual sigue siendo alto tras la mitigación, el Artículo 36 del RGPD exige la consulta previa con la autoridad de vigilancia —normalmente hasta ocho semanas—.
EIDF: requisitos del Artículo 27
La EIDF pide a los responsables del despliegue que documenten: los procesos y el contexto de uso; el periodo y la frecuencia; las categorías de personas físicas afectadas; los derechos fundamentales específicos en riesgo; y las medidas adoptadas para abordar los riesgos identificados. Cuando una EIPD ya capta parte de esto —en particular las categorías de personas afectadas y el análisis de perjuicios—, el Artículo 27, apartado 4, permite que la EIDF la referencie y se base en ella en lugar de repetirla.
Los derechos en el ámbito de la EIDF son más amplios que los de una EIPD. Más allá de la privacidad, debería abordar: la no discriminación con arreglo al Artículo 21 de la Carta de los Derechos Fundamentales de la UE; el acceso a la educación, el empleo y los servicios esenciales; la dignidad humana; el derecho a la tutela judicial efectiva; y —para la IA del sector público en contextos de justicia o democráticos— el debido proceso y las elecciones libres.
Realizar ambas evaluaciones a la vez
Para los responsables del despliegue que deben ambas, un flujo de trabajo paralelo supera a dos procesos secuenciales. La descripción del tratamiento de la EIPD proporciona la columna factual para la sección de contexto de uso de la EIDF; el análisis de personas afectadas de la EIPD se corresponde con el requisito de «categorías de personas físicas» de la EIDF; la sección de riesgo de discriminación de la EIPD aborda la preocupación central de no discriminación de la EIDF.
Complete primero el cribado y la descripción de la EIPD, y luego amplíe el análisis de riesgos para cubrir toda la carta de derechos fundamentales más allá de la privacidad. Consolide las medidas de mitigación en un único registro de controles; la revisión por el DPD de la EIPD y el visto bueno de la EIDF pueden programarse en la misma sesión.
Una nota estructural: la EIDF debe presentarse a la autoridad de vigilancia del mercado que la solicite; la EIPD permanece interna salvo que se active la consulta del Artículo 36 del RGPD. La EIDF debería poder presentarse como un registro autónomo aunque internamente referencie secciones de la EIPD.
Intervención del DPD: obligatoria para la EIPD, aconsejable para la EIDF
El Artículo 35, apartado 2, del RGPD exige consultar al DPD al realizar una EIPD —no es opcional—. El DPD debe asesorar, y su opinión, se siga o no, debe documentarse.
La Ley de IA no impone una función legal equivalente del DPD en la EIDF. Pero la mayoría de los sistemas que activan una EIDF también requieren una EIPD, por lo que el DPD ya estará implicado. Incluirlo en el visto bueno de la EIDF produce un registro de impacto sobre los derechos único y coherente. Para los sistemas en contextos de solvencia o de seguros, ambas evaluaciones pueden ser examinadas por la autoridad de protección de datos y la autoridad de vigilancia del mercado de la Ley de IA —un registro integrado y respaldado por el DPD es la posición más sólida—.
Mantener actualizadas ambas evaluaciones
Ninguna es un trámite puntual. Revise la EIPD siempre que el tratamiento cambie materialmente —reentrenamiento del modelo, nuevos casos de uso, nuevos datos de entrada o distribución de resultados modificada—. El Artículo 35 del RGPD no fija un intervalo determinado; la orientación de las autoridades de vigilancia recomienda normalmente una revisión anual para el tratamiento de alto riesgo.
La EIDF requiere actualización antes de cualquier cambio significativo en la naturaleza, el alcance, el contexto o la finalidad del despliegue. Un reentrenamiento del modelo que desplace la población afectada, o un nuevo despliegue en otro país, deberían activar cada uno una revisión.
El enfoque más seguro es una lista de desencadenantes compartida: cualquier evento que motive la revisión de la EIPD también motiva la revisión de la EIDF. Una única puerta, con el visto bueno conjunto del DPD y el responsable de cumplimiento, es más limpia que dos calendarios de revisión separados.
Cómo ayuda Confir
Para los responsables del despliegue que deben una EIDF —organismos públicos y operadores privados del ámbito de la solvencia o de los seguros de vida/salud—, Confir ejecuta la EIDF del Artículo 27 como parte de su evaluación de cumplimiento estructurada. La recopilación reúne los elementos exigidos por el Artículo 27: contexto de uso, poblaciones afectadas, mapeo de riesgos para los derechos fundamentales y medidas de mitigación. La evaluación es determinista y basada en reglas: las mismas entradas producen el mismo resultado estructurado, con cada conclusión vinculada a la disposición específica que la activó.
Confir también estructura las entradas afines al RGPD dentro de sus áreas de evaluación AITO (Transparencia y Supervisión Humana) y AITR (Datos y Robustez Técnica), de modo que el registro factual que alimenta una EIDF ya está captado en un formato coherente. Esto no es asesoramiento jurídico y no sustituye la revisión de la EIPD por parte del DPD —pero reduce la carga de duplicación para los equipos de cumplimiento que ejecutan ambos instrumentos en paralelo—.
Preguntas frecuentes
¿Sustituye una EIPD de IA a la EIDF de la Ley de IA de la UE?
No. Tienen bases jurídicas diferentes, condiciones desencadenantes diferentes y requisitos procedimentales diferentes. Una EIPD se exige con arreglo al Artículo 35 del RGPD cuando el tratamiento de IA probablemente entrañe un riesgo alto para los derechos de los interesados. Una EIDF se exige con arreglo al Artículo 27 del Reglamento (UE) 2024/1689 para categorías específicas de responsable del despliegue de IA de alto riesgo. Completar una no exime de la otra —aunque el Artículo 27, apartado 4, permite que la EIDF se base en una EIPD existente para evitar duplicar el mismo análisis factual—.
¿Qué responsables del despliegue deben realmente una EIDF con arreglo al Artículo 27?
Dos categorías de responsable del despliegue: los organismos públicos que despliegan cualquier sistema de IA de alto riesgo del Anexo III; y las entidades privadas que despliegan sistemas de IA de alto riesgo con arreglo al Anexo III, punto 5, letra b) (solvencia/calificación crediticia, excluida la detección de fraude) o el punto 5, letra c) (evaluación de riesgos y fijación de precios de los seguros de vida y de salud). La mayoría de los empleadores privados que despliegan IA para la selección de personal o la supervisión de los empleados no deben una EIDF —una lectura errónea habitual del alcance del Artículo 27—.
¿En qué momento del proceso debe completarse una EIPD?
Antes de que comience el tratamiento. El Artículo 35, apartado 1, del RGPD establece que la evaluación debe realizarse «antes del tratamiento». Un sistema de IA ya en funcionamiento sin una EIPD completada infringe el RGPD. Debe realizarse una evaluación retrospectiva de inmediato y, si el riesgo residual sigue siendo alto, puede exigirse la consulta previa con la autoridad de vigilancia con arreglo al Artículo 36 del RGPD.
¿Cuál es la función del DPD en una EIPD de IA?
Obligatoria con arreglo al Artículo 35, apartado 2, del RGPD. Debe consultarse al DPD cuando se está realizando la EIPD. El responsable del tratamiento debe documentar el asesoramiento del DPD y si se siguió. No existe un requisito legal equivalente de DPD en la EIDF del Artículo 27, pero implicar al DPD en el visto bueno de la EIDF es aconsejable cuando el mismo sistema requiere ambas evaluaciones.
¿Pueden una EIPD y una EIDF compartir documentación?
Sí, por diseño. El Artículo 27, apartado 4, de la Ley de IA permite explícitamente que la EIDF se base en una EIPD existente o la complemente. En la práctica, la descripción del tratamiento, las categorías de personas afectadas y el análisis de perjuicios de la EIPD deberían formar la columna factual de la EIDF. La EIDF amplía luego ese análisis para cubrir toda la carta de derechos fundamentales más allá de la privacidad —no discriminación, dignidad, acceso a los servicios, debido proceso—. Un registro de controles compartido evita mantener dos inventarios de mitigación separados.
¿Con qué frecuencia debe revisarse una EIPD de IA?
Siempre que el tratamiento cambie materialmente —reentrenamiento del modelo, nuevas categorías de entrada, casos de uso ampliados o cambios en la distribución de los resultados—. No hay un intervalo legal determinado, pero la mayoría de las orientaciones de las autoridades de vigilancia recomiendan al menos una revisión anual para el tratamiento de alto riesgo en curso. Un desencadenante de revisión alineado con el calendario de revisión de la EIDF (que también requiere actualización antes de cambios significativos en el despliegue) es el enfoque más práctico.
¿Qué ocurre si el riesgo residual sigue siendo alto tras la mitigación de la EIPD?
El Artículo 36 del RGPD exige la consulta previa con la autoridad de vigilancia competente antes de que comience el tratamiento. Esto suele llevar hasta ocho semanas. La autoridad puede facilitar asesoramiento por escrito, imponer condiciones o recomendar no proceder. Los plazos de despliegue deben tener en cuenta esta ventana desde el principio.
Guías relacionadas
- plantilla de EIDF del Artículo 27
- cumplimiento de la IA del sector público
- requisitos de cumplimiento de IA para fintech
- normas de IA del sector de los seguros
- cuestionario de diligencia debida de proveedores
- guía de cumplimiento del Artículo 27
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →