Skip to content
Confir.
Prueba gratuita
Glosario

¿Qué es una evaluación de impacto relativa a los derechos fundamentales (EIDF)?

Definition18 June 2026· 7 min de lectura

La EIDF es un deber del artículo 27: ciertos responsables del despliegue evalúan los daños a derechos de la IA de alto riesgo antes del primer uso.

Una evaluación de impacto relativa a los derechos fundamentales (EIDF) es la evaluación que ciertos responsables del despliegue de un sistema de IA de alto riesgo deben completar, antes de ponerlo en uso por primera vez, sobre los riesgos que el sistema plantea para los derechos fundamentales de las personas en su contexto de uso específico. La introduce el artículo 27 del Reglamento (UE) 2024/1689 (la Ley de IA) y es un deber del lado del responsable del despliegue, no del proveedor.

Aquí, "derechos fundamentales" sigue la Carta de los Derechos Fundamentales de la UE: no discriminación, dignidad humana, acceso a servicios esenciales públicos y privados, intimidad, proceso justo y tutela efectiva. Eso es más amplio que la protección de datos por sí sola.

Esta entrada define el término, dice quién debe una, enumera qué debe contener y la distingue de una evaluación de la conformidad y de una EIPD. Para profundizar, sigue los enlaces a la guía completa del artículo 27 y a la plantilla paso a paso.

¿Quién debe completar una EIDF?

El artículo 27(1) limita el deber a responsables del despliegue concretos. No aplica a todo responsable del despliegue de IA de alto riesgo. Lo estrecho es la clave.

Dos grupos deben una EIDF:

  • Responsables del despliegue de carácter público. Los organismos de Derecho público, más las entidades privadas que prestan servicios públicos (un municipio, una agencia de prestaciones públicas o un operador privado que presta un servicio público esencial), que desplieguen cualquier sistema de alto riesgo del anexo III.
  • Dos casos privados, sectoriales, con independencia del carácter público. Los responsables del despliegue de los sistemas de anexo III, punto 5(b) de evaluación de la solvencia y puntuación crediticia (excluida la detección de fraude), y los responsables del despliegue de los sistemas de anexo III, punto 5(c) de evaluación de riesgos y fijación de precios en seguros de vida y de salud.

La mayoría de los responsables del despliegue del sector privado (marketing general, adtech, logística interna, optimización de rutas) no deben una EIDF independiente. Una EIDF solo se adhiere a un sistema que sea de alto riesgo conforme al artículo 6. Si el sistema no es de alto riesgo, no hay deber de EIDF en absoluto. Los dos casos privados anteriores son la excepción estrecha: son las únicas categorías del anexo III que el artículo 27 nombra con independencia de si el responsable del despliegue ejerce una función pública.

El tamaño de la empresa es irrelevante para el disparador. Un prestamista pequeño que use un modelo de puntuación crediticia del anexo III debe una EIDF exactamente igual que uno grande; la condición de pyme o empresa emergente solo afecta al límite de la sanción, nunca a si el deber aplica. Tampoco comprar el sistema ya hecho elimina el deber: la EIDF se adhiere al contexto de uso propio del responsable del despliegue, que el proveedor no puede haber evaluado de antemano. Para los papeles subyacentes, consulta responsable del despliegue y sistema de IA de alto riesgo.

Qué debe contener una EIDF

El artículo 27(1)(a)-(f) fija seis elementos de contenido obligatorios. El responsable del despliegue debe evaluar y documentar cada uno: la lista no es un menú del que elegir.

ElementoQué exige
27(1)(a)Una descripción de los procesos del responsable del despliegue en los que se usará el sistema de IA de alto riesgo, en consonancia con su finalidad prevista.
27(1)(b)El periodo de tiempo y la frecuencia con que se prevé usar el sistema.
27(1)(c)Las categorías de personas físicas y colectivos que probablemente se vean afectados en el contexto de uso específico.
27(1)(d)Los riesgos de perjuicio concretos que probablemente afecten a esas personas o colectivos, teniendo en cuenta la información del proveedor.
27(1)(e)Las medidas de supervisión humana, conforme a las instrucciones de uso.
27(1)(f)Las medidas que se adoptarán si esos riesgos se materializan, incluidas la gobernanza interna y los mecanismos de reclamación.

La evaluación es prospectiva y específica del contexto: se pregunta qué podría hacer este sistema, en los procesos de este responsable del despliegue, a los derechos de las personas a las que toca, y no si el modelo es técnicamente sólido, que es la pregunta del proveedor. El elemento 27(1)(d) se nutre explícitamente de la información que aporta el proveedor, de modo que una EIDF se construye sobre la documentación del proveedor, no en su lugar.

Conforme al artículo 27(3), una vez hecha la EIDF, el responsable del despliegue notifica los resultados a la autoridad de vigilancia del mercado (mediante la plantilla que ha de facilitar la Oficina de IA) y mantiene la evaluación actualizada cuando cambie cualquier elemento. Un cambio material en los procesos, los colectivos afectados o el periodo de uso reabre la EIDF. El cómo pertenece a una plantilla de EIDF paso a paso.

En qué se diferencia una EIDF de una evaluación de la conformidad y de una EIPD

La EIDF se confunde de forma habitual con dos deberes vecinos. Son distintos.

EIDF frente a evaluación de la conformidad

Una evaluación de la conformidad conforme al artículo 43 es un deber del proveedor, hecho antes de introducir el sistema en el mercado, para probar que cumple los requisitos técnicos de los artículos 9-15. Una EIDF es un deber del responsable del despliegue, hecho antes del primer uso, para evaluar los daños a derechos en el contexto de uso real. Parte distinta, etapa distinta, pregunta distinta. Completar una no libera de la otra.

EIDF frente a EIPD

Una EIPD conforme al artículo 35 del Reglamento (UE) 2016/679 (RGPD) está centrada en los datos: evalúa los riesgos para los datos personales y la intimidad. Una EIDF cubre el conjunto más amplio de derechos fundamentales: discriminación, acceso a servicios, dignidad, proceso justo. El artículo 27(4) permite que una EIDF complemente a una EIPD existente cuando los elementos se solapan, pero una EIPD no satisface el deber de EIDF, y una EIDF no satisface el artículo 35 del RGPD. Para el cotejo completo, consulta en qué se diferencia una EIDF de una EIPD.

Un apunte sobre la aplicación, para que el término se sostenga solo: incumplir el deber de EIDF del artículo 27 es una infracción de obligación del responsable del despliegue conforme al artículo 99(4), de hasta 15 millones de euros o el 3 % del volumen de negocios anual total mundial, lo que sea mayor. Para pymes y empresas emergentes, el artículo 99(6) fija la multa en el menor de los dos importes.

Cuándo aplica el deber de EIDF

El artículo 27 no tiene una fecha de EIDF separada; sigue el calendario de alto riesgo del anexo III. Tal como se promulgó, las obligaciones autónomas de alto riesgo del anexo III conforme al artículo 6(2) aplican desde el 2 de agosto de 2026.

El Digital Omnibus alcanzó un acuerdo político provisional el 6-7 de mayo de 2026 (el COREPER confirmó el texto en torno al 13 de mayo de 2026), en el que se acordó aplazar el alto riesgo autónomo del anexo III al 2 de diciembre de 2027. Pero, a junio de 2026, aún no es ley: todavía necesita la votación del pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta entonces, el texto vigente fija jurídicamente el 2 de agosto de 2026. El aplazamiento son fechas de calendario fijas; la variante de "parar el reloj" supeditada a las normas fue rechazada. Planifica con el 2 de agosto de 2026 hasta que el aplazamiento se promulgue.

Cómo ayuda Confir

El flujo de clasificación de Confir formula un conjunto estructurado de preguntas en lenguaje llano sobre cómo usa tu organización cada sistema de IA, y luego deriva si el deber de EIDF del artículo 27 te aplica y cuáles de los seis elementos del artículo 27(1)(a)-(f) aún debes. Cuando se requiere una EIDF, genera el expediente de la evaluación, marca el solapamiento con una EIPD existente y hace seguimiento de la notificación a la autoridad de vigilancia del mercado. El motor es determinista y basado en reglas (sin inferencia de modelos, sin alucinaciones). El mismo cuestionario, la misma conclusión, siempre.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Definition

La alfabetización en materia de IA en la Ley de IA de la UE: definición, obligación y qué exige

La alfabetización en materia de IA se define en el artículo 3, punto 56, de la Ley de IA de la UE. El Artículo 4 es obligatorio desde el 2 de febrero de 2025, para todos los sistemas de IA, no solo los de alto riesgo.

Definition

La Oficina Europea de IA: definición y función conforme al Reglamento de IA

La Oficina Europea de IA, dentro de la Comisión, supervisa los modelos de IA de uso general, elabora códigos de buenas prácticas y hace cumplir el GPAI.

Definition

Sistema de IA: definición en virtud de la Ley de IA de la UE

¿Qué se considera un sistema de IA en virtud del Reglamento (UE) 2024/1689? Definición del Artículo 3, características clave, casos límite y por qué importa para el cumplimiento.