EIPD para inteligencia artificial: guía práctica

·

Una EIPD para inteligencia artificial no es una descripción del algoritmo ni un formulario que se completa al final. Es un proceso previo al tratamiento para demostrar que la finalidad, los datos y el funcionamiento son necesarios y proporcionados, identificar impactos sobre las personas y reducirlos antes de desplegar. La clasificación «alto riesgo» del AI Act y el «alto riesgo» del RGPD no son conceptos idénticos: deben analizarse por separado y coordinarse cuando concurran.

Cuándo necesita EIPD un sistema de IA

El artículo 35.1 del RGPD exige una evaluación de impacto relativa a la protección de datos cuando sea probable que un tratamiento, especialmente si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades atendiendo a su naturaleza, alcance, contexto y fines.

El artículo 35.3 señala, entre otros, tres supuestos: evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado —incluida la elaboración de perfiles— que fundamente decisiones con efectos jurídicos o similares; tratamiento a gran escala de categorías especiales o datos penales; y observación sistemática a gran escala de una zona de acceso público.

En IA suelen acumularse criterios de riesgo: perfilado, predicción, combinación de fuentes, personas vulnerables, datos sensibles, observación, uso innovador, gran escala o decisiones que condicionan empleo, crédito, educación, salud o acceso a servicios. No hace falta esperar a que el sistema esté clasificado como «alto riesgo» por el Reglamento de IA: si el tratamiento de datos puede generar alto riesgo conforme al RGPD, la EIPD es obligatoria.

Tampoco todo sistema incluido en las categorías de alto riesgo del AI Act exige automáticamente una EIPD. Si no trata datos personales, el RGPD puede no aplicar. Si los trata, el responsable debe realizar su propio análisis del artículo 35 y de las listas y criterios de la autoridad de control.

La decisión de no hacer EIPD también debe documentarse. Debe explicar el tratamiento analizado, los criterios considerados, las medidas existentes, la fecha y quién aprobó la conclusión.

EIPD, evaluación de conformidad y evaluación de derechos fundamentales

Son instrumentos relacionados, pero no intercambiables:

EvaluaciónResponsable principalObjetoPregunta central
EIPD del RGPDResponsable del tratamientoRiesgos del tratamiento de datos personales¿Cómo puede afectar a las personas y cómo se reduce el riesgo?
Evaluación de conformidad del AI ActPrincipalmente proveedor, según el casoCumplimiento del sistema de IA de alto riesgo¿Cumple el sistema los requisitos aplicables del Reglamento?
FRIA del artículo 27 del AI ActDeterminados responsables del despliegueImpacto sobre derechos fundamentales¿Cómo afecta el uso concreto del sistema a los derechos en su contexto?

El artículo 27 del AI Act prevé que, cuando obligaciones de la evaluación de derechos fundamentales ya estén cubiertas por una EIPD, la FRIA la complemente. La solución eficiente es un expediente coordinado con un inventario común de sistema, datos, personas, decisiones, riesgos y medidas, manteniendo la trazabilidad de qué requisito cubre cada documento.

Paso 1. Delimitar el tratamiento real

La unidad de análisis no es solo el modelo. Debe describirse el tratamiento completo:

Un mismo modelo puede integrarse en tratamientos distintos. Un clasificador para priorizar documentos administrativos no presenta los mismos riesgos que el mismo componente aplicado a candidaturas laborales.

Conviene dibujar un flujo desde la recogida hasta la supresión. Cada paso debe mostrar dato, finalidad, sistema, actor, ubicación, acceso, salida y evidencia. Las zonas desconocidas —telemetría del proveedor, retención de prompts o uso para mejora— son hallazgos que deben resolverse, no casillas que pueden dejarse vacías.

Paso 2. Confirmar finalidad, base jurídica y transparencia

La finalidad debe ser determinada y comprensible. «Mejorar el servicio con IA» no permite valorar necesidad ni informar a las personas. Es preferible: «priorizar solicitudes entrantes para reducir el tiempo de asignación, sin decidir su aceptación».

Cada operación necesita una base del artículo 6 RGPD. Si existen categorías especiales, también una excepción del artículo 9.2. El interés legítimo exige identificar el interés, probar necesidad y ponderar derechos; el contrato cubre solo lo objetivamente necesario; el consentimiento debe ser libre, específico, informado e inequívoco.

La EIPD debe comprobar la información de los artículos 13 y 14 y, cuando proceda, las exigencias relativas a decisiones automatizadas. La explicación no tiene que revelar secretos empresariales, pero sí permitir entender qué datos influyen, para qué se usa la salida, qué consecuencias puede tener y cómo impugnar.

Paso 3. Evaluar necesidad y proporcionalidad

Antes de calcular riesgos, hay que demostrar que el tratamiento está justificado. Para cada dato, inferencia y función se pregunta:

  1. ¿Contribuye de forma demostrable a la finalidad?
  2. ¿Existe una alternativa menos intrusiva?
  3. ¿La mejora obtenida compensa la afectación?
  4. ¿Puede reducirse precisión, frecuencia, población o conservación?
  5. ¿Se puede mantener la decisión en manos de una persona?

Un sistema técnicamente preciso puede ser desproporcionado. Por ejemplo, captar continuamente ubicación para comprobar una actuación puntual puede exceder lo necesario aunque el dato sea exacto.

La minimización también se aplica a variables derivadas, logs, embeddings y explicaciones. Deben evitarse proxies que reconstruyan categorías sensibles. La conservación se fija por finalidad y componente; no se adopta el plazo más largo para todo el sistema.

Paso 4. Identificar impactos sobre personas

La EIPD protege derechos y libertades, no únicamente bases de datos. El inventario debe contemplar:

Cada escenario se formula con causa, acontecimiento, persona afectada y consecuencia. «Fuga de datos» es demasiado genérico; «un proveedor reutiliza conversaciones de pacientes para mejorar un servicio y personal no autorizado infiere información clínica» permite diseñar controles concretos.

Paso 5. Valorar el riesgo inicial

La valoración combina probabilidad y gravedad desde la perspectiva de la persona. La gravedad considera intensidad, duración, reversibilidad, número de ámbitos afectados y vulnerabilidad. La probabilidad analiza exposición, motivación de atacantes, frecuencia, complejidad y controles ya implantados.

No debe reducirse todo a una media. Un evento improbable con daño irreversible puede exigir evitar la operación. Es útil registrar incertidumbre y calidad de la evidencia: datos históricos, pruebas internas, literatura, auditorías o mera estimación.

Una matriz mínima contiene:

EscenarioPersonasProbabilidadGravedadRiesgo inicialEvidencia
Falso negativo en selecciónCandidaturasMediaAltaAltoPruebas estratificadas
Acceso indebido a promptsUsuariosMediaAltaAltoTest de permisos
Inferencia de saludClientesBaja/mediaMuy altaAltoAnálisis de variables

Paso 6. Diseñar medidas vinculadas a cada riesgo

Una lista genérica de cifrado y formación no basta. Cada medida debe indicar qué escenario reduce, responsable, plazo, evidencia, eficacia esperada y riesgo residual.

Medidas sobre datos

Medidas sobre el modelo

Medidas sobre la decisión

Medidas de seguridad y proveedor

Paso 7. Consulta, DPD y aprobación

El DPD debe asesorar cuando esté designado, pero la responsabilidad de la EIPD corresponde al responsable del tratamiento. Deben participar negocio, privacidad, seguridad, equipo técnico, compras, responsables de proceso y, cuando resulte apropiado, personas afectadas o sus representantes.

La consulta no significa trasladar la decisión al proveedor. El responsable del despliegue conoce la finalidad y el contexto y debe cuestionar documentación, métricas y límites.

La aprobación debe identificar riesgos aceptados, propietario y fundamento. Si, después de las medidas, persiste un alto riesgo que no puede mitigarse razonablemente, el artículo 36 exige consulta previa a la autoridad de control antes de tratar.

Paso 8. Revisar durante todo el ciclo de vida

La EIPD no termina con el lanzamiento. El artículo 35.11 exige revisar cuando cambie el riesgo. En IA deben activar revisión:

Las métricas operativas se vinculan a los riesgos: falsos positivos por grupo, anulaciones, reclamaciones, accesos indebidos, tiempo de corrección y decisiones automáticas bloqueadas.

Plan de trabajo en 30 días

Semana 1: alcance

Semana 2: necesidad y riesgo

Semana 3: medidas y pruebas

Semana 4: decisión

Checklist de una EIPD defendible

Preguntas frecuentes

¿Todo sistema de IA necesita una EIPD?

No. Se exige cuando el tratamiento probablemente entrañe alto riesgo. La decisión debe analizarse y documentarse.

¿Ser de alto riesgo en el AI Act obliga automáticamente a realizarla?

No automáticamente: son conceptos y ámbitos distintos. Pero muchos usos de alto riesgo tratan datos personales de forma intensa y probablemente cumplirán criterios del artículo 35.

¿Puede hacerla el proveedor?

Puede aportar documentación y análisis, pero el responsable debe evaluar su finalidad, contexto y riesgos. No puede delegar su responsabilidad.

¿Una revisión humana excluye el artículo 22 RGPD?

Solo si es real: la persona debe tener competencia, información, tiempo y autoridad para cambiar la decisión. Una ratificación rutinaria no basta.

¿Qué diferencia hay entre EIPD y FRIA?

La EIPD se centra en riesgos del tratamiento de datos personales; la FRIA abarca impactos más amplios sobre derechos fundamentales en determinados despliegues de IA de alto riesgo. Deben complementarse.

¿Cuándo hay que consultar a la AEPD?

Cuando la EIPD muestre un alto riesgo residual que el responsable no pueda mitigar antes del tratamiento, conforme al artículo 36.

En Summum Consultoría podemos acompañar el análisis, coordinar a privacidad, negocio y tecnología, y revisar el expediente completo de la EIPD, incluida su coordinación con la adaptación al AI Act. La EIPD no garantiza por sí sola el cumplimiento: convierte las decisiones y salvaguardas en un proceso verificable.