Skip to content
Confir.
Prueba gratuita
Blog

EIDF vs EIPD: en qué se diferencian y cómo se conectan las evaluaciones de impacto del Reglamento de IA y del RGPD

Guide26 May 2026· 18 min de lectura

EIDF vs EIPD: la EIPD del art. 35 del RGPD cubre riesgos de datos; la EIDF del art. 27 cubre derechos fundamentales. Quién, cuándo y la fecha de alto

Una EIPD (evaluación de impacto relativa a la protección de datos) es un instrumento del RGPD conforme al artículo 35 del RGPD (Reglamento (UE) 2016/679): evalúa los riesgos para los datos personales y la privacidad de los interesados. Una EIDF (evaluación de impacto relativa a los derechos fundamentales) es un instrumento del Reglamento de IA conforme al artículo 27 del Reglamento (UE) 2024/1689: evalúa los riesgos de daño a los derechos fundamentales derivados del despliegue de un sistema de IA de alto riesgo.

Son instrumentos de evaluación de impacto hermanos, con contenidos que se solapan, pero no son sustitutivos. Cada uno descansa sobre una base jurídica distinta, se activa con un detonante distinto y responde ante una autoridad distinta. Una EIDF puede apoyarse en una EIPD existente, y el Reglamento de IA lo fomenta expresamente. Pero una EIPD no salda la obligación del artículo 27, y una EIDF no satisface el artículo 35 del RGPD.

Esta página expone, por orden: qué es cada evaluación, quién debe realizar cuál y cuándo, una tabla comparativa lado a lado, cómo se solapan ambas para que evites trabajo duplicado, cuándo empieza realmente a apretar la obligación de la EIDF y cómo difieren los regímenes de sanciones.

EIDF vs EIPD: la distinción en una frase

Dos leyes distintas, dos daños distintos

La forma más limpia de mantenerlas separadas es por el daño que cada una está construida para captar. Una EIPD existe para proteger los datos personales y la privacidad: es céntrica en los datos. Una EIDF existe para proteger los derechos fundamentales en su conjunto: no discriminación, dignidad humana, acceso a servicios públicos y privados esenciales, proceso justo y derecho a una tutela efectiva. La privacidad es uno de tantos derechos fundamentales; por eso la lente de la EIDF es más amplia que la de la EIPD, aunque compartan un centro de gravedad en torno a la persona afectada.

Esa diferencia procede directamente de los reglamentos de los que parten. El RGPD regula el tratamiento de datos personales, punto. El Reglamento de IA regula los sistemas de IA por nivel de riesgo, y la EIDF es uno de los deberes que coloca específicamente sobre el responsable del despliegue de un sistema de IA de alto riesgo.

Por qué importa la comparación para los responsables del despliegue de IA de alto riesgo

Si tu empresa ya realiza EIPD, el instinto es preguntarse si el Reglamento de IA simplemente añade otra sección a un formulario que ya completas. No es así. La EIDF es un producto firmado aparte, con su propio detonante jurídico, su propio ámbito y —algo crucial— su propio deber de notificación a un regulador distinto. Tratarla como "la EIPD más un párrafo" es como las empresas acaban con una evaluación que no satisface ninguna de las dos leyes. El resto de esta página muestra dónde convergen ambas de verdad y dónde deben permanecer separadas.

Qué es una EIPD (artículo 35 del RGPD)

Cuándo se activa una EIPD

Conforme al artículo 35(1) del RGPD, se exige una EIPD cuando un tipo de tratamiento —en particular el que usa nuevas tecnologíasentrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas. La elaboración de perfiles sistemática y extensa con efectos significativos, el tratamiento a gran escala de categorías especiales de datos y la observación sistemática a gran escala de una zona de acceso público son los detonantes de manual conforme al artículo 35(3). La evaluación debe llevarse a cabo antes de que comience el tratamiento.

Quién la realiza y qué debe contener

La EIPD es obligación del responsable del tratamiento, realizada con el asesoramiento del delegado de protección de datos cuando se haya designado uno. Su contenido mínimo lo fija el artículo 35(7) del RGPD:

  1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;
  2. una evaluación de la necesidad y la proporcionalidad del tratamiento en relación con esos fines;
  3. una evaluación de los riesgos para los derechos y libertades de los interesados; y
  4. las medidas previstas para afrontar esos riesgos, incluidas garantías y medidas de seguridad.

Cuando subsiste un alto riesgo residual tras la mitigación, el artículo 36 del RGPD obliga al responsable a consultar a la autoridad de control antes de que comience el tratamiento. La lente de la EIPD permanece céntrica en los datos en todo momento: base jurídica, minimización de datos, conservación, seguridad y derechos de los interesados. Para la mecánica específica de la IA —cómo acotar una EIPD cuando el tratamiento se sitúa dentro de un modelo— consulta la EIPD para sistemas de IA.

Qué es una EIDF (artículo 27 del Reglamento de IA)

Quién está dentro del ámbito conforme al artículo 27

Se exige una EIDF conforme al artículo 27(1) del Reglamento (UE) 2024/1689 antes de que determinados responsables del despliegue pongan en uso un sistema de IA de alto riesgo. Es una obligación del lado del responsable del despliegue, distinta de la evaluación de la conformidad y los deberes de gestión de riesgos del proveedor. Vincula a dos grupos: a los responsables del despliegue que sean organismos de Derecho público o entidades privadas que presten servicios públicos; y a cualquier responsable del despliegue de los sistemas de alto riesgo del anexo III, punto 5(b) (solvencia y calificación crediticia) y del anexo III, punto 5(c) (evaluación de riesgos y fijación de precios en los seguros de vida y de salud). La mayoría de los demás responsables del despliegue del sector privado no deben una EIDF autónoma. Para la obligación completa, consulta el artículo 27 y la EIDF.

Qué debe contener una EIDF del artículo 27

El artículo 27(1) fija los elementos de contenido. El responsable del despliegue debe describir:

  • los procesos del responsable del despliegue en que se usará el sistema de IA de alto riesgo, en consonancia con su finalidad prevista;
  • el período de tiempo y la frecuencia con que se prevé usar el sistema;
  • las categorías de personas físicas y colectivos que probablemente se vean afectados por su uso en el contexto específico;
  • los riesgos específicos de daño que probablemente afecten a esas personas o colectivos, teniendo en cuenta la información del proveedor;
  • las medidas de supervisión humana, conforme a las instrucciones de uso; y
  • las medidas que se adoptarán si esos riesgos se materializan, incluidos los mecanismos de gobernanza interna y los mecanismos de reclamación.

Algo crucial: el artículo 27(3) dispone que, cuando estos elementos ya estén cubiertos por otra obligación —como una EIPD—, la EIDF puede complementar esa evaluación en lugar de repetirla. La lente de los derechos fundamentales llega más allá de la privacidad: discriminación, dignidad, acceso a servicios esenciales, proceso justo y tutela efectiva se sitúan todos dentro de la EIDF.

Notificar a la autoridad

La EIDF no es un documento solo interno. Conforme al artículo 27(4)-(5), una vez realizada la evaluación, el responsable del despliegue debe notificar a la autoridad de vigilancia del mercado los resultados, usando la plantilla que facilitará la Oficina de IA, y debe actualizar la EIDF siempre que cualquiera de sus elementos cambie o deje de estar al día. Puedes extender una recogida de datos existente para convertirla en la evaluación con la plantilla de EIDF.

Quién debe hacer cuál: ámbito y detonante comparados

Organismos públicos y prestadores de servicios públicos

El ámbito de la EIPD es universal en todos los sectores: cualquier responsable que lleve a cabo un tratamiento probablemente de alto riesgo conforme al artículo 35 del RGPD debe una EIPD, intervenga o no la IA. El ámbito de la EIDF es más estrecho. El primer grupo dentro del ámbito son los organismos públicos y las entidades privadas que prestan servicios públicos: piensa en un ayuntamiento, una agencia de prestaciones públicas o un operador privado que presta un servicio público esencial a través de un sistema de IA de alto riesgo.

Responsables del despliegue de los puntos 5(b) y 5(c) del anexo III

El segundo grupo dentro del ámbito es específico por sector, con independencia de su carácter público o privado: los responsables del despliegue de sistemas de solvencia y calificación crediticia del anexo III, punto 5(b) (se excluye la detección del fraude) y de sistemas de evaluación de riesgos y fijación de precios en los seguros de vida y de salud del anexo III, punto 5(c). Un banco que puntúa a los solicitantes de préstamos y una aseguradora que fija el precio de la cobertura de salud deben ambos una EIDF aunque sean empresas privadas. Una EIDF solo se aplica a sistemas de IA de alto riesgo, definidos por el artículo 6 como un componente de seguridad de un producto del anexo I o un caso de uso del anexo III. Una EIPD, en cambio, puede aplicarse a un tratamiento sin IA alguna.

Cuándo necesitas ambas

Es común deber ambas a la vez. Una autoridad pública que despliega un sistema de decisión del anexo III trata datos personales (lo que activa una EIPD) y afecta a derechos fundamentales a través de un sistema de IA de alto riesgo (lo que activa una EIDF). El momento difiere: una EIPD vence antes de que comience el tratamiento; una EIDF vence antes de poner en uso por primera vez el sistema de alto riesgo, y luego se mantiene al día. Un ejemplo práctico de doble detonante son los sistemas de IA para decisiones de empleo de alto riesgo usados en contratación y RR. HH.: criban datos personales y condicionan el acceso al trabajo, de modo que se activan ambas evaluaciones.

Tabla comparativa EIDF vs EIPD

Las dos evaluaciones se solapan en contenido pero nunca se sustituyen: leyes distintas, reguladores distintos, detonantes distintos.

DimensiónEIPDEIDF
Base jurídicaArtículo 35 del RGPD (Reglamento (UE) 2016/679)Artículo 27 del Reglamento de IA (Reglamento (UE) 2024/1689)
EnfoqueRiesgos para los datos personales, la privacidad y los derechos de los interesadosRiesgos de daño a los derechos fundamentales por un sistema de IA de alto riesgo
QuiénEl responsable del tratamientoResponsables del despliegue específicos: organismos públicos, prestadores privados de servicios públicos y responsables del despliegue de los puntos 5(b) y 5(c) del anexo III
CuándoAntes de que comience el tratamiento de alto riesgoAntes de poner en uso por primera vez el sistema de IA de alto riesgo, y luego mantenida al día
ÁmbitoCualquier tratamiento probablemente de alto riesgo, con o sin IASolo sistemas de IA de alto riesgo: personas afectadas y supervisión, con notificación a la autoridad de vigilancia del mercado

Cómo se solapan: construir una EIDF sobre una EIPD existente

Qué puedes reutilizar

El artículo 27(3) es la disposición explícita de "hazlo una vez, satisface a muchos": la EIDF puede complementar una EIPD existente cuando los mismos elementos ya están cubiertos. El solapamiento reutilizable es real. La descripción sistemática del caso de uso, las categorías de personas afectadas y parte del análisis de riesgos pueden compartirse entre los dos documentos. Si tu EIPD ya cartografía a quién afecta y cómo, lo trasladas directamente en lugar de volver a deducirlo.

Qué añade la EIDF que una EIPD nunca cubre

Las dos divergen a partir de ahí. Las adiciones exclusivas de la EIDF son: daños a derechos fundamentales más allá de la protección de datos (discriminación, acceso a servicios, proceso justo); medidas de supervisión humana específicas del sistema de IA; mecanismos de reclamación; y notificación a la autoridad de vigilancia del mercado. Las adiciones exclusivas de la EIPD son: la base jurídica del tratamiento; el análisis de necesidad y proporcionalidad; la minimización de datos y la conservación; y la consulta previa del artículo 36 del RGPD cuando el riesgo residual sigue alto. Muchos responsables del despliegue extenderán en la práctica una EIPD para convertirla en una EIDF, pero la EIDF sigue siendo un producto aparte, firmado aparte, sobre su propio detonante jurídico. Para el mapa obligación por obligación, consulta la correspondencia entre el RGPD y el Reglamento de IA, y para el tratamiento conceptual, cómo se cruzan el RGPD y el Reglamento de IA.

Cuándo aprieta de verdad la obligación de la EIDF: el calendario de alto riesgo

La fecha del texto vigente frente al aplazamiento acordado

El artículo 27 no tiene su propio plazo de EIDF; sigue el calendario de alto riesgo del anexo III conforme al artículo 113. Tal como se promulgó, el texto fijaba el 2 de agosto de 2026 como fecha en que se aplican las obligaciones de alto riesgo autónomo del anexo III (artículo 6(2)). El Digital Omnibus alcanzó un acuerdo político provisional el 6 y 7 de mayo de 2026, con el COREPER confirmando el texto hacia el 13 de mayo de 2026, en el que se acuerda aplazar esas obligaciones del 2 de agosto de 2026 al 2 de diciembre de 2027 (y las obligaciones de alto riesgo integrado en productos del anexo I del 2 de agosto de 2027 al 2 de agosto de 2028).

Salvedad de actualidad: a junio de 2026, este aplazamiento está acordado pero aún no es ley. Todavía necesita la votación del pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta que sucedan las tres, el texto vigente fija el 2 de agosto de 2026 para el alto riesgo del anexo III. Las nuevas fechas son fechas fijas del calendario: la propuesta de "parar el reloj", condicionada a las normas, fue rechazada, de modo que el aplazamiento no está ligado a la disponibilidad de normas armonizadas.

Lo que no se ha aplazado

No todo se movió. Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025, y las obligaciones de GPAI (artículos 51 a 55) desde el 2 de agosto de 2025: a ninguna le afecta el calendario de la EIDF. Se añadió un plazo aparte del 2 de diciembre de 2026 para el marcado de contenido y la prohibición de los materiales de abuso sexual infantil ("nudifier"). Los responsables del despliegue no deberían tratar el 2 de diciembre de 2027 como un respiro: las entradas de la EIDF dependen de la documentación del proveedor y de EIPD que tardan meses en montarse, de modo que el trabajo empieza mucho antes de que la fecha apriete.

Sanciones y cómo producir ambas sin duplicar trabajo

En qué difieren las multas entre los dos regímenes

La exposición a sanciones difiere según el instrumento. Un incumplimiento de la EIPD cae bajo el régimen de multas del RGPD (hasta 20.000.000 € o el 4 % del volumen de negocios mundial conforme al artículo 83(5) del RGPD). Un incumplimiento de la EIDF cae bajo el artículo 99 del Reglamento (UE) 2024/1689. Los tramos del Reglamento de IA son:

  • hasta 35.000.000 € o el 7 % del volumen de negocios anual mundial total, lo que sea mayor, por infracciones de práctica prohibida del artículo 5 (artículo 99(3));
  • hasta 15.000.000 € o el 3 % por la mayoría de los demás incumplimientos de obligaciones, incluidos los deberes del responsable del despliegue como la EIDF del artículo 27 (artículo 99(4)); y
  • hasta 7.500.000 € o el 1 % por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades (artículo 99(5)).

El artículo 99(6) establece un límite proporcionado para las pymes y las empresas emergentes: el menor de los dos importes, el porcentaje o el fijo. Un único incidente de IA que toca datos personales puede atraer multas bajo ambos regímenes, de dos autoridades distintas, valoradas de forma independiente.

Producir una EIPD y una EIDF conectadas

Trata la EIPD y la EIDF como una cadena de evidencias conectada: una descripción del caso de uso compartida, un análisis de personas afectadas compartido y dos lentes jurídicas divergentes encajadas encima. La trampa es dejar que los hechos compartidos se desvíen entre documentos: una descripción del sistema distinta en la EIPD y en la EIDF socava ambas.

Cómo ayuda Confir

Confir produce tanto la estructura de la EIPD para sistemas de IA como la EIDF del artículo 27 a partir de una única recogida de datos guiada. La recogida capta la descripción del caso de uso y las categorías de personas afectadas una sola vez, y luego encauza esos hechos compartidos hacia ambos productos, de modo que la EIPD y la EIDF permanezcan coherentes en lugar de divergir entre dos formularios.

El motor de síntesis es determinista y basado en reglas: la misma recogida de datos produce el mismo mapa de obligaciones y la misma estructura de evaluación cada vez —la misma lógica cada vez, sin inferencia de modelos, sin alucinaciones—. Cuando aplica el deber de notificación del artículo 27, Confir versiona la EIDF para que, cuando un elemento cambie, puedas volver a notificar a la autoridad de vigilancia del mercado desde un registro limpio y fechado en lugar de reconstruir lo que se evaluó.

Preguntas frecuentes

¿Cuál es la diferencia entre una EIDF y una EIPD?

Una EIPD es una evaluación del artículo 35 del RGPD de los riesgos para los datos personales y la privacidad. Una EIDF es una evaluación del artículo 27 del Reglamento de IA de los riesgos para los derechos fundamentales derivados del despliegue de un sistema de IA de alto riesgo. Tienen bases jurídicas y enfoques distintos: una EIPD es céntrica en los datos, mientras que una EIDF cubre derechos más amplios como la no discriminación y el acceso a servicios.

¿Sustituye una EIDF a una EIPD?

No. Una EIDF no sustituye a una EIPD, y una EIPD no satisface la obligación de EIDF del artículo 27. Son instrumentos distintos bajo leyes distintas. El artículo 27(3) permite que una EIDF se apoye en una EIPD existente y la complemente cuando el contenido se solapa, pero cada evaluación debe completarse y firmarse sobre su propia base jurídica.

¿Quién tiene que hacer una evaluación de impacto relativa a los derechos fundamentales conforme al Reglamento de IA?

Conforme al artículo 27, la EIDF se aplica a los responsables del despliegue que sean organismos de Derecho público o entidades privadas que presten servicios públicos, más cualquier responsable del despliegue de los sistemas de alto riesgo del anexo III, punto 5(b) sobre solvencia y calificación crediticia y del anexo III, punto 5(c) sobre evaluación de riesgos y fijación de precios en los seguros de vida y de salud.

¿Cuándo se exige una EIPD?

Conforme al artículo 35 del RGPD, se exige una EIPD antes de que comience el tratamiento cuando este entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas, especialmente al usar nuevas tecnologías. Es deber del responsable del tratamiento, realizado con el asesoramiento del DPD. Si subsiste un alto riesgo residual, el artículo 36 exige consultar antes a la autoridad de control.

¿Puede una EIDF basarse en una EIPD existente?

Sí. El artículo 27(3) del Reglamento de IA permite que la EIDF complemente una evaluación que ya hayas hecho, como una EIPD, cuando se cubren los mismos elementos. Puedes reutilizar la descripción del caso de uso, el análisis de personas afectadas y parte de la evaluación de riesgos, pero aún debes añadir los daños a los derechos fundamentales, las medidas de supervisión y la notificación a la autoridad.

¿Cuándo empieza a aplicarse el requisito de EIDF del artículo 27?

La EIDF sigue el calendario de alto riesgo del anexo III. Tal como se promulgó, esa fecha es el 2 de agosto de 2026. El Digital Omnibus acordó en mayo de 2026 aplazarla al 2 de diciembre de 2027, pero a junio de 2026 está acordado pero aún no es ley, pendiente de la votación del Parlamento Europeo, la adopción del Consejo y la publicación en el Diario Oficial, de modo que el texto vigente fija el 2 de agosto de 2026.

¿Cuáles son las sanciones por no hacer una EIDF?

Incumplir una obligación del responsable del despliegue como la EIDF del artículo 27 cae bajo el artículo 99(4), con multas de hasta 15.000.000 € o el 3 % del volumen de negocios anual mundial, lo que sea mayor. El tramo superior de 35.000.000 € o el 7 % (artículo 99(3)) se aplica a las prácticas prohibidas del artículo 5, y 7.500.000 € o el 1 % se aplica a facilitar información incorrecta.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →