Skip to content
Confir.
Prueba gratuita
Blog

Artículo 27 de la Ley de IA de la UE: evaluación de impacto relativa a los derechos fundamentales

EU AI Act Guide9 March 2026· 18 min de lectura

El Artículo 27 de la Ley de IA de la UE obliga a los organismos públicos y a los responsables del despliegue de crédito/seguros a completar una EIDF antes del primer uso. Ámbito, contenido y plazo de diciembre de 2027.

El Artículo 27 del Reglamento (UE) 2024/1689 exige a determinados responsables del despliegue de sistemas de IA de alto riesgo completar una evaluación de impacto relativa a los derechos fundamentales — una EIDF — antes de poner un sistema en funcionamiento. No es una obligación del proveedor. No es la evaluación de la conformidad (eso es el Artículo 43). Es un ejercicio dirigido a los responsables del despliegue, orientado a las organizaciones cuyo uso de IA de alto riesgo conlleva el mayor riesgo de perjuicio para los derechos de las personas, y debe finalizarse antes del primer despliegue.

El plazo para los sistemas de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027, tras el acuerdo del Ómnibus Digital alcanzado entre el Parlamento Europeo y el Consejo en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026.

Qué es el Artículo 27 — y qué no es

Antes de seguir adelante, dos confusiones habituales que conviene aclarar.

El Artículo 27 es la obligación de la EIDF. No es la evaluación de la conformidad (Artículo 43), ni la lista de comprobación de obligaciones generales del responsable del despliegue (Artículo 26), ni la gestión de riesgos del proveedor (Artículo 9). La EIDF es un instrumento independiente, específico del responsable del despliegue. Su lógica es: el proveedor evaluó los riesgos sistémicos durante el desarrollo; el responsable del despliegue evalúa qué significan esos riesgos en su contexto operativo específico, para su población específica de personas afectadas.

El Artículo 27 no se aplica a todos los responsables del despliegue de IA de alto riesgo. El desencadenante es más estrecho. Debe cumplir el criterio por quién es usted (su tipo organizativo) o en qué ámbito está desplegando. Una empresa privada de logística que utiliza internamente un sistema de optimización de rutas del Anexo III no activa el Artículo 27. Un prestamista privado que utiliza un sistema de calificación crediticia del Anexo III para decidir sobre solicitudes de préstamo sí lo hace.

Quién debe realizar una EIDF

El Artículo 27, apartado 1, establece dos vías hacia la obligación. Cualquiera de ellas es suficiente.

Vía 1 — Organismos de Derecho público

Todo organismo de Derecho público — a nivel nacional, regional o municipal — que despliegue un sistema de IA de alto riesgo enumerado en el Anexo III debe realizar una EIDF antes del despliegue, con independencia del caso de uso. Esto abarca las agencias del gobierno central, las autoridades regionales, los ayuntamientos, los hospitales públicos, las empresas públicas que ejercen funciones públicas y las instituciones educativas públicas.

Un municipio que despliega un sistema de admisibilidad a prestaciones del Anexo III encaja de lleno aquí. También una autoridad policial regional que utiliza una herramienta de evaluación de riesgos del Anexo III para la prevención de delitos. La obligación de la EIDF es incondicional para estos organismos: si el sistema es de alto riesgo con arreglo al Anexo III, la EIDF es obligatoria.

Las entidades privadas que ejercen autoridad pública o prestan servicios en virtud de un mandato público se incluyen sobre la misma base. Un hospital privado que opera en virtud de un contrato con el servicio nacional de salud, prestando servicios que de otro modo prestaría el Estado, cumple el criterio. Una clínica privada comercialmente independiente no lo hace.

Vía 2 — Responsables del despliegue de categorías específicas del Anexo III

Incluso sin ningún carácter de Derecho público, una organización privada debe realizar una EIDF si despliega un sistema de IA de alto riesgo que entra en cualquiera de estas dos categorías del Anexo III:

  • Anexo III, punto 5, letra b) — evaluación de la solvencia y calificación crediticia (excluyendo la detección de fraude). Esto abarca a los bancos, prestamistas, cooperativas de crédito y proveedores de pago aplazado que utilizan IA para evaluar solicitudes de préstamo, fijar límites de crédito o evaluar el riesgo de reembolso.
  • Anexo III, punto 5, letra c) — evaluación de riesgos y fijación de precios en los seguros de vida y de salud. Las aseguradoras que utilizan IA para evaluar los perfiles de riesgo de los solicitantes, fijar las primas o determinar las condiciones de cobertura entran en esta categoría.

Estas dos categorías se singularizan por el agudo potencial de resultados discriminatorios que afectan al acceso de las personas a servicios financieros esenciales. Una fintech de 30 personas que despliega un modelo de solvencia en un prestamista regional debe realizar una EIDF. El tamaño de la empresa no cambia la obligación.

Cuándo debe completarse la EIDF

El Artículo 27 exige la evaluación antes de que el sistema se ponga en funcionamiento por primera vez — antes de que empiece a tratar datos reales sobre personas reales y a fundamentar decisiones reales.

Para los sistemas que ya estén desplegados cuando la obligación entre en vigor el 2 de diciembre de 2027, la EIDF debe completarse en ese momento. Para los sistemas que se desplieguen por primera vez a partir del 2 de diciembre de 2027, la EIDF debe preceder al primer uso.

De manera importante, cuando un responsable del despliegue realice despliegues posteriores del mismo sistema en un contexto sustancialmente similar — la misma autoridad municipal desplegando el mismo sistema de admisibilidad a prestaciones en dos departamentos distintos, por ejemplo —, la EIDF original puede actualizarse y reutilizarse en lugar de reconstruirse desde cero. La evaluación debe actualizarse siempre que el uso del sistema cambie materialmente: nueva población de personas afectadas, nuevo caso de uso, actualización significativa del propio sistema de IA o nuevos riesgos identificados mediante la vigilancia.

Qué debe contener la EIDF

La EIDF no es un documento de formato libre. El Artículo 27, apartado 2, establece lo que debe cubrirse.

Una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema. Esto ancla la evaluación en la realidad operativa. Para un prestamista: ¿cómo se sitúa el modelo de calificación crediticia dentro del flujo de trabajo de originación de préstamos? ¿En qué punto llega su resultado a un responsable de la toma de decisiones, y en qué forma?

El período y la frecuencia de uso previsto. ¿Se consulta el sistema para cada solicitud, o solo por encima de cierto umbral? ¿Se utiliza de forma continua o para campañas específicas? La frecuencia afecta al impacto acumulativo, en particular para las poblaciones afectadas que interactúan con el sistema de forma reiterada.

Las categorías de personas físicas y grupos que probablemente se verán afectados. ¿Quiénes son los sujetos de los resultados del sistema? Para un sistema de admisibilidad a prestaciones: los solicitantes, incluidos los subgrupos potencialmente vulnerables (solicitantes de edad avanzada, personas con discapacidad, hogares de renta baja). Para un modelo de calificación crediticia: los solicitantes de préstamos con perfiles demográficos diversos. La EIDF exige que esto sea específico, no genérico.

Los riesgos específicos de perjuicio que probablemente impactarán a esas personas y grupos. Este es el núcleo analítico. El responsable del despliegue se apoya en la información de transparencia del Artículo 13 del proveedor — las instrucciones de uso, las limitaciones conocidas, las características técnicas — y la traduce en un riesgo específico del despliegue. Un modelo de crédito con una exactitud conocidamente menor para los solicitantes con expediente crediticio escaso plantea un mayor riesgo de denegación discriminatoria para las personas con un historial crediticio limitado. Esa cadena causal debe trazarse en la EIDF.

Medidas de supervisión humana. El responsable del despliegue debe documentar los procedimientos de supervisión que tiene establecidos, coherentes con los requisitos del Artículo 14 y con las instrucciones de uso del proveedor. ¿Quién revisa los resultados límite? ¿Qué formación tienen esos revisores? ¿Qué autoridad ostentan para anular el sistema?

Medidas para abordar los riesgos materializados. ¿Qué ocurre cuando algo va mal? Vías de escalado internas, mecanismos de reclamación a disposición de las personas afectadas, procedimientos de subsanación. La EIDF debe especificar cómo una persona afectada puede impugnar una decisión, y qué proceso de gobernanza gestiona esa impugnación.

Relación con las obligaciones del responsable del despliegue del Artículo 26

La EIDF se inscribe en un conjunto más amplio de obligaciones del responsable del despliegue con arreglo al Artículo 26. Estas incluyen vigilar el funcionamiento del sistema, garantizar que las entradas cumplan la norma de calidad que el proveedor especificó, registrar cuando el Artículo 26 lo exija, e implementar los procedimientos de supervisión humana que describen las instrucciones del proveedor.

El Artículo 27 complementa al Artículo 26 en lugar de sustituirlo. El Artículo 26 es operativo — rige cómo se utiliza el sistema en el día a día. El Artículo 27 es analítico — exige al responsable del despliegue reflexionar de antemano sobre cuál es la exposición a los derechos de ese funcionamiento cotidiano. Los dos se solapan: las medidas de supervisión humana documentadas en la EIDF deben corresponderse con los procedimientos de supervisión implementados con arreglo al Artículo 26, y los datos de vigilancia recogidos en virtud del Artículo 26 pueden alimentar las revisiones de la EIDF.

Los responsables del despliegue deben tratar la preparación de la EIDF como parte de la implementación del Artículo 26, no como un proceso aparte. El inventario de riesgos y la documentación de gobernanza que elaboren a efectos del Artículo 26 informarán directamente la EIDF.

Relación con la evaluación de impacto relativa a la protección de datos del RGPD

Cuando el Artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos (EIPD) — lo que sucede cuando es probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, como ocurrirá a menudo con los sistemas del Anexo III —, la EIDF y la EIPD abordan preocupaciones que se solapan pero que son distintas.

La EIPD se centra en los riesgos derivados del tratamiento de datos personales: base jurídica, minimización de datos, conservación, exactitud. La EIDF se centra en los riesgos para los derechos fundamentales derivados del funcionamiento del sistema de IA en su contexto: discriminación, acceso a servicios esenciales, dignidad, equidad procedimental.

El Artículo 27, apartado 4, de la Ley de IA de la UE reconoce explícitamente este solapamiento y establece que, cuando se exija una EIPD, la EIDF la complementará — lo que significa que ambas pueden realizarse conjuntamente y documentarse en un registro integrado, siempre que ambas obligaciones se aborden por separado. Ejecutarlas en paralelo ahorra tiempo y evita duplicar las consultas a las partes interesadas. Los responsables del despliegue no deben presuponer que completar una EIPD descarga el requisito de la EIDF, ni viceversa.

Notificación a la autoridad de vigilancia del mercado

El Artículo 27, apartado 3, exige a los responsables del despliegue notificar los resultados de la EIDF a la autoridad de vigilancia del mercado pertinente. La Oficina de IA está desarrollando una plantilla o cuestionario para estandarizar este proceso de notificación.

Los organismos públicos están obligados además a registrar sus EIDF en la base de datos de la UE. La Comisión es responsable de mantener esa base de datos; la obligación de registro para los proveedores es el Artículo 49, y el registro de la EIDF para los organismos públicos se incorpora al mismo sistema. Esto crea un registro público de qué sistemas de alto riesgo despliegan los organismos públicos y qué evaluación de derechos sustentó la decisión de despliegue.

Dos ejemplos prácticos

Ejemplo 1 — Municipio que despliega un sistema de admisibilidad a prestaciones

Una ciudad de tamaño medio (200 000 habitantes) decide desplegar un sistema de IA del Anexo III para ayudar a los gestores de casos a evaluar la admisibilidad a las ayudas a la vivienda. El sistema se adquiere a un proveedor tercero.

El municipio es un organismo de Derecho público, por lo que el Artículo 27 se aplica con independencia del caso de uso. Antes de que el sistema entre en funcionamiento, el municipio debe completar una EIDF que cubra: los procesos de admisión y evaluación de casos en los que se utilizará el sistema; la frecuencia (cada nueva solicitud y revisión anual); la población afectada (solicitantes de prestaciones, incluidos residentes de edad avanzada, personas con discapacidad y hogares de renta baja con alfabetización digital limitada); los riesgos específicos que identifica la documentación del Artículo 13 del proveedor (exactitud conocidamente menor para estructuras familiares atípicas; potencial de sesgo algorítmico contra solicitantes de lengua no nativa); las medidas de supervisión humana (revisión obligatoria por el gestor de casos antes de toda denegación; revisión por un supervisor para los casos que afecten a personas vulnerables); y el procedimiento de reclamación (vías administrativas de revisión estándar, con el resultado del sistema divulgado a los recurrentes que lo soliciten).

El municipio notifica los resultados a la autoridad regional de vigilancia del mercado y registra la EIDF en la base de datos de la UE. Cuando posteriormente despliega el mismo sistema para tramitar solicitudes de alojamiento de emergencia, actualiza la EIDF para reflejar la diferente población afectada y el contexto de uso, en lugar de empezar de nuevo.

Ejemplo 2 — Prestamista que despliega un sistema de calificación crediticia

Un prestamista regional con 40 empleados despliega un modelo de solvencia del Anexo III para agilizar las aprobaciones de préstamos personales. El sistema entra en el Anexo III, punto 5, letra b), por lo que se aplica el Artículo 27.

La EIDF documenta: el flujo de trabajo de originación de préstamos (sistema consultado en la fase de suscripción, resultado presentado como una puntuación de riesgo junto con otras entradas); la frecuencia (cada solicitud de préstamo personal); las personas afectadas (solicitantes de préstamos, con especial atención a los solicitantes con expediente crediticio escaso — jóvenes adultos, inmigrantes recientes, trabajadores autónomos —, identificados como grupos de mayor riesgo por las brechas de exactitud); los riesgos específicos (las instrucciones del proveedor señalan que el modelo rinde con menos exactitud por debajo de cierto umbral de historial crediticio; la EIDF lo asocia a un riesgo de tasas de denegación sistemáticamente más altas para los grupos con historial crediticio limitado); la supervisión humana (un suscriptor sénior revisa todas las puntuaciones límite situadas entre umbrales definidos; toda denegación activa un derecho del solicitante a solicitar una revisión exclusivamente humana); y el mecanismo de reclamación (procedimiento interno de reclamaciones conforme a la normativa de crédito al consumo, con el solicitante informado del papel del sistema de IA en la decisión).

El delegado de protección de datos del prestamista confirma que la EIPD del Artículo 35 del RGPD ya exigida para este tratamiento puede ampliarse para abordar los requisitos de la EIDF en un documento integrado. El registro combinado se presenta ante la autoridad nacional de vigilancia del mercado.

Cómo ayuda Confir

El módulo AITO de Confir — Transparencia y Supervisión Humana de la IA — ejecuta el flujo de trabajo de la EIDF del Artículo 27 para los responsables del despliegue que cumplen los requisitos. El cuestionario de admisión establece primero si usted es un organismo público, una entidad privada que presta servicios públicos o un responsable del despliegue de un sistema del Anexo III, punto 5, letra b) o letra c). Si cumple los requisitos, el motor basado en reglas le guía a través de cada elemento obligatorio de la EIDF: la descripción del proceso, las poblaciones afectadas, el mapeo de riesgos extraído de la documentación del Artículo 13 de su proveedor, los procedimientos de supervisión humana y los mecanismos de reclamación y subsanación. El resultado es un documento de EIDF estructurado y fechado, listo para la notificación a la autoridad de vigilancia del mercado.

El motor es determinista y basado en reglas — las mismas respuestas de admisión producen la misma estructura de evaluación, que es auditable y explicable sin resultados de caja negra. Para los responsables del despliegue que también necesitan una EIPD del RGPD, Confir señala el solapamiento y mapea los elementos compartidos para que no esté completando dos ejercicios paralelos de forma independiente.

Sanciones y ejecución

Las infracciones del Artículo 27 entran en el ámbito del Artículo 99, apartado 4, de la Ley de IA de la UE: multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor. Para las organizaciones más pequeñas, el Artículo 99, apartado 6, dispone que la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija — una protección de proporcionalidad que conviene tener en cuenta.

La fecha de ejecución para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, tras el aplazamiento del Ómnibus Digital acordado en mayo de 2026. Eso da a los organismos públicos, prestamistas y aseguradoras aproximadamente 18 meses desde ahora para identificar si el Artículo 27 se aplica a sus despliegues, obtener la documentación del Artículo 13 del proveedor y completar la EIDF antes de que el sistema entre en funcionamiento — o antes de que llegue el plazo para los sistemas ya en funcionamiento.

Empezar ahora en lugar de a finales de 2027 tiene sentido práctico. Reunir la EIDF requiere aportaciones de los equipos jurídico, de operaciones y de datos, y para los sistemas adquiridos a terceros depende de que el proveedor suministre información adecuada del Artículo 13. Perseguir esa documentación bajo presión de plazos es la versión evitable de un problema de cumplimiento del Artículo 27.

Preguntas frecuentes

¿Se aplica el Artículo 27 a todos los responsables del despliegue de IA de alto riesgo?

No. El Artículo 27 se aplica a dos categorías: los organismos de Derecho público que despliegan cualquier sistema de alto riesgo del Anexo III, y los responsables del despliegue privados que utilizan sistemas del Anexo III de la categoría de solvencia/calificación crediticia (punto 5, letra b)) o de la categoría de riesgo y fijación de precios de los seguros de vida/salud (punto 5, letra c)). Una empresa privada que despliega una herramienta de contratación del Anexo III, por ejemplo, no activa el Artículo 27 salvo que opere también como organismo público o en virtud de un mandato de servicio público.

¿Cuál es la diferencia entre una EIDF (Artículo 27) y la evaluación de la conformidad (Artículo 43)?

La evaluación de la conformidad del Artículo 43 es una obligación del proveedor — demuestra, antes de introducir un sistema en el mercado, que el sistema cumple los requisitos técnicos de los Artículos 9 a 15. La EIDF del Artículo 27 es una obligación del responsable del despliegue — evalúa, antes del primer uso, qué riesgos para los derechos fundamentales plantea el sistema en el contexto operativo específico del responsable del despliegue. Son instrumentos separados. Un responsable del despliegue que realiza una EIDF no está descargando la obligación de evaluación de la conformidad de un proveedor, ni viceversa.

¿Cuándo debe completarse la EIDF?

Antes de que el sistema se ponga en funcionamiento por primera vez. Para los nuevos despliegues a partir del 2 de diciembre de 2027, la EIDF debe preceder al primer uso. Para los sistemas ya desplegados cuando la obligación entre en vigor, la EIDF debe completarse antes del 2 de diciembre de 2027.

¿Puede utilizarse la misma EIDF para varios despliegues?

Sí, con actualizaciones. El Artículo 27 permite que la EIDF se actualice y reutilice para despliegues similares posteriores del mismo responsable del despliegue. Si el sistema, la población afectada o el contexto de uso cambian materialmente, la evaluación debe revisarse en lugar de copiarse íntegramente. Un organismo público que despliega el mismo sistema de admisibilidad a prestaciones en dos departamentos puede actualizar la EIDF en lugar de rehacerla, siempre que los contextos de despliegue sean sustancialmente iguales.

¿Debe presentarse la EIDF ante una autoridad?

El Artículo 27, apartado 3, exige a los responsables del despliegue notificar los resultados a la autoridad de vigilancia del mercado pertinente. Los organismos públicos están obligados además a registrar sus EIDF en la base de datos de la UE. La Oficina de IA está desarrollando una plantilla estandarizada para facilitar esta notificación.

¿Cómo se relaciona la EIDF con la EIPD del RGPD?

Son obligaciones separadas con un ámbito que se solapa. La EIPD del Artículo 35 del RGPD cubre los riesgos para la protección de datos; la EIDF del Artículo 27 de la Ley de IA de la UE cubre, de forma más amplia, los riesgos para los derechos fundamentales derivados del despliegue de IA. El Artículo 27, apartado 4, anticipa explícitamente que ambas pueden ser exigidas y establece que la EIDF complementará a la EIPD — pueden realizarse conjuntamente y documentarse en un registro integrado, siempre que cada obligación se aborde por separado. Completar una EIPD no descarga el requisito de la EIDF.

¿Cuáles son las sanciones por no completar una EIDF?

El Artículo 99, apartado 4, fija la multa máxima en 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.