Skip to content
Confir.
Prueba gratuita
Blog

Plantilla de EIDF: evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27

Template3 February 2026· 17 min de lectura

Plantilla de EIDF del Artículo 27 de la Ley de IA de la UE: seis secciones obligatorias, ámbito limitado a organismos públicos y responsables del despliegue del Anexo III 5(b)/5(c). Plazo: 2 de diciembre de 2027.

El Artículo 27 de la Ley de IA de la UE (Reglamento (UE) 2024/1689) exige a determinados responsables del despliegue de sistemas de IA de alto riesgo completar una evaluación de impacto relativa a los derechos fundamentales (EIDF, en inglés FRIA) antes del primer uso — no después, no como un proyecto continuo, sino como una puerta documentada antes de que el sistema entre en funcionamiento. Esta página proporciona la estructura de plantilla legal, explica quién debe completarla y recorre cada sección obligatoria con orientaciones prácticas sobre lo que un regulador querrá ver realmente.

Para el contexto jurídico del Artículo 27 — incluida la exposición sancionadora para los responsables del despliegue que incumplan esta obligación — consulte la guía jurídica del Artículo 27.

Quién debe completar una EIDF

El ámbito del Artículo 27 es estrecho. No todo responsable del despliegue de un sistema de IA de alto riesgo debe realizar una EIDF. Tres categorías quedan comprendidas:

1. Organismos de Derecho público. Esto abarca ministerios y agencias gubernamentales, entidades locales, universidades públicas, servicios nacionales de salud, tribunales, autoridades garantes del cumplimiento del Derecho y organismos de seguridad social. Si su organización está establecida para servir a un interés público y está sujeta al Derecho administrativo público, es casi con seguridad un organismo de Derecho público.

2. Entidades privadas que prestan servicios públicos. El Reglamento no define esta categoría de forma exhaustiva, pero por lo general se entiende que incluye a los operadores privados a los que se ha confiado un mandato de servicio público — por ejemplo, una empresa privada que gestiona un sistema público de admisibilidad a prestaciones sociales en virtud de un contrato con la administración, o un operador privado que gestiona infraestructura pública crítica. Un banco privado que evalúa el crédito de clientes minoristas no es, por esta sola razón, una entidad privada que presta un servicio público; queda comprendido por otra vía (véase más adelante).

3. Responsables del despliegue de sistemas del Anexo III, punto 5, letra b) o letra c). Con independencia de que sean organismos públicos o privados, los responsables del despliegue de sistemas utilizados para evaluar la solvencia o las calificaciones crediticias (Anexo III, punto 5, letra b)) o para evaluar el riesgo y fijar los precios de los seguros de vida y de salud (Anexo III, punto 5, letra c)) deben completar una EIDF. Un banco regional que utiliza un modelo de calificación crediticia para préstamos al consumo queda comprendido. Una aseguradora de vida que utiliza un sistema de IA para fijar el precio de las pólizas queda comprendida. Esta es la categoría que más a menudo pasan por alto los equipos de cumplimiento del sector privado.

Una exclusión explícita: el Artículo 27, apartado 1, excluye el Anexo III, punto 2 (sistemas de gestión de infraestructuras críticas) del requisito de la EIDF. Todas las demás categorías del Anexo III comprendidas siguen estando sujetas a él cuando el responsable del despliegue entra en la categoría 1 o 2 anterior.

La obligación se aplica al primer uso del sistema (Artículo 27, apartado 2). Un responsable del despliegue puede apoyarse en una EIDF completada previamente para despliegues comparables, o en una EIDF ya realizada por el proveedor, pero debe verificar que la evaluación anterior cubre el contexto de despliegue actual. Si ha cambiado cualquiera de los elementos enumerados en el Artículo 27, apartado 1, el responsable del despliegue debe actualizar la evaluación.

En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), las obligaciones para los sistemas de IA de alto riesgo autónomos del Anexo III — incluido el Artículo 27 — se aplican a partir del 2 de diciembre de 2027 (aplazado respecto de la fecha original del 2 de agosto de 2026). Para la IA de alto riesgo integrada en productos regulados cubiertos por el Anexo I, la fecha es el 2 de agosto de 2028. Eso son aún menos de 18 meses para muchos responsables del despliegue comprendidos, y una EIDF para un sistema de calificación crediticia en un gran prestamista llevará meses prepararla adecuadamente.

Las seis secciones obligatorias (Artículo 27, apartado 1, letras a) a f))

El Artículo 27, apartado 1, especifica seis elementos que la evaluación debe cubrir. Todo responsable del despliegue comprendido debe abordar los seis por escrito. No existe discrecionalidad legal para omitir una sección porque parezca menos pertinente.

Sección A — Descripción de los procesos del responsable del despliegue y del uso previsto [Artículo 27, apartado 1, letra a)]

Documente los procesos específicos en los que se utilizará el sistema de IA de alto riesgo, en consonancia con la finalidad prevista del proveedor. Esto es más que una descripción del producto: debe describir el flujo de trabajo organizativo, las decisiones que el sistema apoyará o automatizará, la unidad de negocio responsable y el alcance geográfico y temporal.

Un responsable del despliegue de calificación crediticia documentaría: qué productos de préstamo evalúa el sistema, en qué fase del proceso de solicitud, si los resultados se utilizan como determinante único o como una entrada entre varias, y quién, dentro de la organización, actúa sobre esos resultados.

Esta sección es también donde confirma que su uso previsto se enmarca dentro de la finalidad prevista del proveedor tal como se documenta en las instrucciones de uso. Si su despliegue va más allá de esa finalidad prevista, puede estar asumiendo obligaciones de nivel de proveedor en virtud del Artículo 25.

Sección B — Período y frecuencia de uso [Artículo 27, apartado 1, letra b)]

Indique el período durante el cual el sistema estará en uso y la frecuencia con la que se desplegará — cuántas decisiones por día o mes, si el uso es continuo o periódico, y cualquier punto de revisión planificado.

Esto importa por dos razones. Primero, un sistema utilizado para tramitar miles de decisiones crediticias individuales por semana plantea riesgos de daño agregado distintos de los de uno utilizado para decisiones ocasionales de alto impacto. Segundo, los datos de frecuencia informan las obligaciones de supervisión del Artículo 26 y los desencadenantes de revisión para mantener la EIDF actualizada.

Sección C — Categorías de personas y grupos afectados [Artículo 27, apartado 1, letra c)]

Identifique todas las categorías de personas físicas y grupos cuyos intereses puedan verse afectados por el funcionamiento del sistema. Esto incluye a los sujetos directos de las decisiones asistidas por IA (solicitantes de préstamos, tomadores de seguros), pero también a las personas indirectamente afectadas — por ejemplo, las personas a cargo de un tomador de seguro cuya reclamación se ve afectada, o los hogares afectados por una decisión crediticia.

Preste especial atención a los grupos potencialmente vulnerables: personas en dificultades económicas, personas mayores, personas con discapacidad, migrantes o personas con historiales crediticios atípicos, y minorías cuyas características pueden correlacionarse con motivos protegidos de un modo que el modelo no haya tenido plenamente en cuenta. La vulnerabilidad no es una razón para excluir a un grupo del análisis; es una razón para dar mayor peso a su evaluación.

Sección D — Riesgos específicos de daño [Artículo 27, apartado 1, letra d)]

Evalúe los riesgos específicos de daño que probablemente afecten a las categorías de personas identificadas en la Sección C, teniendo en cuenta la información facilitada por el proveedor con arreglo al Artículo 13 (las obligaciones de transparencia e información para los sistemas de IA de alto riesgo).

Este es el núcleo analítico de la evaluación. El análisis debe ser específico de su despliegue. Las afirmaciones genéricas — «el sistema puede producir resultados discriminatorios» — no satisfacen el Artículo 27, apartado 1, letra d). Debe identificar:

  • Qué derechos fundamentales están en riesgo. Para un sistema de calificación crediticia: el derecho a la no discriminación (artículo 21 de la Carta), el derecho a la tutela judicial efectiva (artículo 47 de la Carta) y la dignidad (artículo 1 de la Carta). Para un sistema de fijación de precios de seguros de vida: riesgos de no discriminación similares, más el derecho a la protección de la salud (artículo 35 de la Carta).
  • Para qué grupos. Si el modelo funciona con menor exactitud para los solicitantes con patrones de ingresos no estándar — autónomos, trabajadores de temporada, migrantes recientes — documéntelo.
  • Con qué gravedad evaluada. Que le denieguen una hipoteca es un daño materialmente distinto de que le denieguen un complemento de seguro de prima. Calibre en consecuencia.
  • Teniendo en cuenta la información facilitada por el proveedor. La información que el proveedor comunica en virtud del Artículo 13 debe incluir métricas de exactitud, limitaciones conocidas y riesgos previsibles. Si la documentación del proveedor es insuficiente, eso es en sí mismo una señal de cumplimiento que debe plantear al proveedor en virtud del Artículo 26.

El Artículo 27, apartado 4, crea un puente útil: si ya se ha realizado una evaluación de impacto relativa a la protección de datos (EIPD, en inglés DPIA) del RGPD con arreglo al artículo 35 del Reglamento (UE) 2016/679 para el mismo tratamiento, la EIDF debe complementarla — no duplicarla. Coordine ambas evaluaciones. La EIPD cubre los riesgos para la privacidad y la protección de datos. La EIDF cubre el panorama más amplio de los derechos fundamentales: no discriminación, acceso a vías de recurso, dignidad, proceso equitativo. Ambas pueden aplicarse al mismo sistema, y deben prepararse en una secuencia coherente.

Sección E — Medidas de supervisión humana [Artículo 27, apartado 1, letra e)]

Describa las medidas de supervisión humana que implementará, de acuerdo con las instrucciones de uso del proveedor. Esta sección traduce el diseño de supervisión del Artículo 14 del proveedor a su realidad operativa específica.

Indique de forma concreta:

  • Quién ostenta la responsabilidad de la supervisión (cargo y cualificación o formación mínima exigida).
  • Qué autoridad de toma de decisiones tiene el supervisor humano: ¿puede anular el resultado de la IA, y en qué circunstancias está obligado a hacerlo?
  • Qué información recibe el supervisor para emitir ese juicio — no solo el resultado de la IA, sino las entradas de apoyo y cualquier indicador de confianza.
  • Qué ocurre cuando el supervisor no está disponible (vía de escalado, umbral mínimo de personal).
  • Cómo se registran las decisiones de anulación y si retroalimentan la vigilancia poscomercialización del proveedor con arreglo al Artículo 72.

La instrucción «un responsable cualificado revisa las decisiones de alto riesgo» no es suficiente. Especifique qué significa «alto riesgo» en su contexto (p. ej., cualquier solicitud en la que el resultado del modelo caiga por debajo de un umbral de confianza definido, o todas las solicitudes de personas mayores de 70 años), y documente qué revisa el responsable y cómo se registra la decisión.

Sección F — Medidas si los riesgos se materializan [Artículo 27, apartado 1, letra f)]

Documente las medidas que adoptará si los riesgos identificados en la Sección D se producen efectivamente — tanto la respuesta operativa como los mecanismos de gobernanza y de reclamación a los que pueden acceder las personas afectadas.

Esta sección tiene dos partes diferenciadas:

Respuesta de gobernanza interna: ¿Qué hace su organización cuando un riesgo se materializa? Defina la cadena de escalado: a quién se notifica, en qué plazo y quién tiene autoridad para suspender el uso del sistema en espera de una investigación. Tenga en cuenta que, en virtud del Artículo 26, los responsables del despliegue deben informar a los proveedores de los riesgos e incidentes graves, y deben comunicar esos incidentes a las autoridades de vigilancia del mercado cuando el sistema de IA presente un riesgo. Documente cómo opera esa cadena de notificación.

Mecanismos de reclamación y recurso: Las personas afectadas cuyos intereses se vean dañados por una decisión asistida por IA tienen derecho a la tutela judicial efectiva con arreglo al artículo 47 de la Carta. Su EIDF debe documentar cómo alguien a quien se le ha denegado un crédito o se le ha cobrado una prima de seguro elevada a causa de un resultado de IA puede impugnar esa decisión. Esto significa identificar el canal de reclamación (DPO, defensor del cliente, equipo de revisión interno), el proceso de revisión y los criterios aplicados. Un mecanismo que existe en teoría pero no se comunica a las personas afectadas no satisfará este requisito.

Cómo realizar la evaluación

Comience por obtener las instrucciones de uso del proveedor, el resumen de la documentación técnica y la declaración de conformidad del Artículo 47 — estos aportan los hechos para las Secciones A, D y E. Si el proveedor no los ha facilitado, solicítelos en virtud del Artículo 26 antes de proceder.

Trabaje las seis secciones por orden, implicando a su DPO y a su equipo jurídico en el análisis de derechos (Sección D) y en los mecanismos de reclamación (Sección F). La Sección D requiere el mayor tiempo: trabaje cada derecho pertinente de la Carta de forma sistemática, documente la evaluación de la gravedad para cada grupo identificado en la Sección C y anote la fuente de cada juicio (documentación del proveedor, pruebas internas, comparables del sector).

Una vez completada, notifique a la autoridad nacional de vigilancia del mercado pertinente y presente la plantilla cumplimentada en virtud del Artículo 27, apartado 3. La Oficina de IA está obligada por el Artículo 27, apartado 5, a publicar un cuestionario estándar — vigile sus publicaciones para conocer su salida. Conserve el registro de la notificación.

Establezca los desencadenantes de revisión antes de que se presente la evaluación, no después. Vuelva a examinar la EIDF ante: cualquier cambio en el sistema o en el alcance del despliegue; cualquier cambio en las poblaciones afectadas; cualquier incidente identificado en su supervisión del Artículo 26; y al menos una vez al año. Una EIDF que nunca se actualiza es un riesgo de cumplimiento, no un activo de cumplimiento.

Una nota sobre el uso honesto de una plantilla

Una plantilla estructura el trabajo; no puede hacer el análisis. Las seis secciones del Artículo 27, apartado 1, no son casillas que rellenar — son indicaciones para un razonamiento organizativo genuino sobre daños específicos a personas específicas en un contexto de despliegue específico. Una EIDF que es exhaustiva sobre el papel pero genérica en el fondo no satisfará a una autoridad de vigilancia del mercado que realice una revisión, y no servirá a las personas cuyos derechos fundamentales están en juego.

La evaluación debe reflejar su despliegue real: sus procesos, su capacidad de supervisión, sus mecanismos de reclamación y su evaluación honesta de los riesgos que el sistema crea. Un modelo de calificación crediticia en una fintech de 40 personas requerirá un análisis distinto del mismo modelo en un gran banco minorista que tramita 10 000 solicitudes al mes — aunque ambos deban completar las seis secciones.

Cómo ayuda Confir

Confir ejecuta el flujo de trabajo de la EIDF como un proceso estructurado y basado en reglas dentro de su área de cumplimiento AITO (Transparencia y Supervisión Humana) — preguntas por pasos mapeadas a cada una de las seis secciones del Artículo 27, apartado 1, con la aplicabilidad determinada automáticamente durante la fase de clasificación AIRC. La evaluación completada se registra en el registro de auditoría y queda disponible para su presentación a la autoridad de vigilancia del mercado.

Guías relacionadas

Preguntas frecuentes

¿Qué es una evaluación de impacto relativa a los derechos fundamentales en virtud de la Ley de IA de la UE?

Una evaluación de impacto relativa a los derechos fundamentales (EIDF) es un análisis previo al despliegue exigido por el Artículo 27 del Reglamento (UE) 2024/1689. Determinados responsables del despliegue de sistemas de IA de alto riesgo deben documentar, por escrito, cómo es probable que el sistema afecte a los derechos fundamentales de las personas cuyos intereses toca — abarcando el contexto de despliegue, las poblaciones afectadas, los riesgos específicos de daño, las medidas de supervisión humana y las medidas que se adoptarán si esos riesgos se materializan. Debe completarse y notificarse a la autoridad nacional de vigilancia del mercado antes del primer uso.

¿Quién debe completar una EIDF?

Tres categorías de responsable del despliegue: (1) los organismos de Derecho público (agencias gubernamentales, autoridades públicas, tribunales, hospitales públicos); (2) las entidades privadas que prestan servicios públicos; y (3) cualquier responsable del despliegue — público o privado — de un sistema de IA de alto riesgo utilizado para la solvencia o la calificación crediticia (Anexo III, punto 5, letra b)) o para la evaluación del riesgo y la fijación de precios de los seguros de vida o de salud (Anexo III, punto 5, letra c)). Los responsables del despliegue de sistemas del Anexo III, punto 2 (infraestructuras críticas) quedan explícitamente excluidos. Un empleador privado que utiliza un sistema de IA de selección de personal no queda comprendido automáticamente — tendría que reunir por separado la condición de organismo público o de prestador de servicios públicos.

¿Es una EIDF lo mismo que una evaluación de impacto relativa a la protección de datos del RGPD?

No. Una EIPD (con arreglo al artículo 35 del RGPD) se centra en los riesgos para los datos personales y la privacidad. La EIDF cubre el conjunto más amplio de los derechos fundamentales recogidos en la Carta de la UE — incluidos la no discriminación, el acceso a vías de recurso efectivas, la dignidad y las garantías de un juicio justo. Cuando ya se ha completado una EIPD para el mismo tratamiento, el Artículo 27, apartado 4, exige que la EIDF la complemente, no la sustituya. Ambas evaluaciones pueden aplicarse al mismo sistema de IA y deben coordinarse.

¿Cuándo debe completarse y notificarse la EIDF?

La EIDF debe completarse antes del primer uso del sistema (Artículo 27, apartado 2). Una vez completada, el responsable del despliegue debe notificar a la autoridad nacional de vigilancia del mercado pertinente y presentar la plantilla cumplimentada de la Oficina de IA (Artículo 27, apartado 3). En virtud del Ómnibus Digital acordado en mayo de 2026, la obligación del Artículo 27 para los sistemas de alto riesgo autónomos del Anexo III se aplica a partir del 2 de diciembre de 2027 (aplazada respecto de la fecha original del 2 de agosto de 2026). Para la IA de alto riesgo integrada en productos regulados con arreglo al Anexo I, la fecha es el 2 de agosto de 2028.

¿Puede un responsable del despliegue apoyarse en una EIDF completada por el proveedor?

Sí, en parte. El Artículo 27, apartado 2, permite a un responsable del despliegue apoyarse en una EIDF existente realizada por el proveedor para despliegues comparables. Pero el responsable del despliegue debe verificar que la evaluación anterior cubre el contexto de despliegue específico — los mismos procesos, poblaciones afectadas y configuración de supervisión organizativa. Si ha cambiado cualquiera de los seis elementos enumerados en el Artículo 27, apartado 1, o ya no está actualizado, el responsable del despliegue debe actualizar la evaluación antes del uso.

¿Qué ocurre si la EIDF necesita actualizarse tras el despliegue?

El Artículo 27, apartado 2, exige al responsable del despliegue actualizar la EIDF si cualquiera de los elementos enumerados en el Artículo 27, apartado 1, cambia durante el uso. Los desencadenantes de actualización incluyen: cambios en el propio sistema de IA (que también pueden requerir una nueva evaluación con arreglo al Artículo 26), cambios en el alcance del despliegue o en las poblaciones afectadas, cambios en la legislación aplicable y hallazgos materiales de la supervisión continua que el responsable del despliegue debe realizar en virtud del Artículo 26. Trátela como un documento vivo con intervalos de revisión definidos, no como una presentación única. --- Revisado por última vez en junio de 2026. Cita el Reglamento (UE) 2024/1689 (Ley de IA de la UE).

Revisado por última vez en junio de 2026. Cita el Reglamento (UE) 2024/1689 (Ley de IA de la UE).

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Plantilla de política de uso de IA para el cumplimiento de la Ley de IA de la UE

Plantilla de política de uso de IA para la Ley de IA de la UE: 12 secciones que abarcan las prácticas prohibidas del Art. 5, la clasificación de riesgo del Art. 6, la supervisión del Art. 14 y los plazos de incidentes del Art. 73.

Template

Declaración UE de conformidad para IA de alto riesgo: el Artículo 47 y el Anexo V explicados

Declaración UE de conformidad para IA de alto riesgo: plantilla del Artículo 47 y del Anexo V, los 7 campos obligatorios, un ejemplo práctico y las reglas de conservación durante 10 años.

Template

Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia

Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.