Una EIPD para inteligencia artificial no es una descripción del algoritmo ni un formulario que se completa al final. Es un proceso previo al tratamiento para demostrar que la finalidad, los datos y el funcionamiento son necesarios y proporcionados, identificar impactos sobre las personas y reducirlos antes de desplegar. La clasificación «alto riesgo» del AI Act y el «alto riesgo» del RGPD no son conceptos idénticos: deben analizarse por separado y coordinarse cuando concurran.
Cuándo necesita EIPD un sistema de IA
El artículo 35.1 del RGPD exige una evaluación de impacto relativa a la protección de datos cuando sea probable que un tratamiento, especialmente si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades atendiendo a su naturaleza, alcance, contexto y fines.
El artículo 35.3 señala, entre otros, tres supuestos: evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado —incluida la elaboración de perfiles— que fundamente decisiones con efectos jurídicos o similares; tratamiento a gran escala de categorías especiales o datos penales; y observación sistemática a gran escala de una zona de acceso público.
En IA suelen acumularse criterios de riesgo: perfilado, predicción, combinación de fuentes, personas vulnerables, datos sensibles, observación, uso innovador, gran escala o decisiones que condicionan empleo, crédito, educación, salud o acceso a servicios. No hace falta esperar a que el sistema esté clasificado como «alto riesgo» por el Reglamento de IA: si el tratamiento de datos puede generar alto riesgo conforme al RGPD, la EIPD es obligatoria.
Tampoco todo sistema incluido en las categorías de alto riesgo del AI Act exige automáticamente una EIPD. Si no trata datos personales, el RGPD puede no aplicar. Si los trata, el responsable debe realizar su propio análisis del artículo 35 y de las listas y criterios de la autoridad de control.
La decisión de no hacer EIPD también debe documentarse. Debe explicar el tratamiento analizado, los criterios considerados, las medidas existentes, la fecha y quién aprobó la conclusión.
EIPD, evaluación de conformidad y evaluación de derechos fundamentales
Son instrumentos relacionados, pero no intercambiables:
| Evaluación | Responsable principal | Objeto | Pregunta central |
|---|---|---|---|
| EIPD del RGPD | Responsable del tratamiento | Riesgos del tratamiento de datos personales | ¿Cómo puede afectar a las personas y cómo se reduce el riesgo? |
| Evaluación de conformidad del AI Act | Principalmente proveedor, según el caso | Cumplimiento del sistema de IA de alto riesgo | ¿Cumple el sistema los requisitos aplicables del Reglamento? |
| FRIA del artículo 27 del AI Act | Determinados responsables del despliegue | Impacto sobre derechos fundamentales | ¿Cómo afecta el uso concreto del sistema a los derechos en su contexto? |
El artículo 27 del AI Act prevé que, cuando obligaciones de la evaluación de derechos fundamentales ya estén cubiertas por una EIPD, la FRIA la complemente. La solución eficiente es un expediente coordinado con un inventario común de sistema, datos, personas, decisiones, riesgos y medidas, manteniendo la trazabilidad de qué requisito cubre cada documento.
Paso 1. Delimitar el tratamiento real
La unidad de análisis no es solo el modelo. Debe describirse el tratamiento completo:
- finalidad empresarial y decisiones que apoya o adopta;
- personas afectadas, incluidas quienes no son usuarias;
- datos de entrada, inferidos, generados y registrados;
- fuentes, licitud, calidad y periodos de conservación;
- entrenamiento, validación, inferencia, monitorización y reentrenamiento;
- destinatarios, encargados, subencargados y transferencias;
- integración con otros sistemas y actuación posterior;
- intervención humana y vías de reclamación.
Un mismo modelo puede integrarse en tratamientos distintos. Un clasificador para priorizar documentos administrativos no presenta los mismos riesgos que el mismo componente aplicado a candidaturas laborales.
Conviene dibujar un flujo desde la recogida hasta la supresión. Cada paso debe mostrar dato, finalidad, sistema, actor, ubicación, acceso, salida y evidencia. Las zonas desconocidas —telemetría del proveedor, retención de prompts o uso para mejora— son hallazgos que deben resolverse, no casillas que pueden dejarse vacías.
Paso 2. Confirmar finalidad, base jurídica y transparencia
La finalidad debe ser determinada y comprensible. «Mejorar el servicio con IA» no permite valorar necesidad ni informar a las personas. Es preferible: «priorizar solicitudes entrantes para reducir el tiempo de asignación, sin decidir su aceptación».
Cada operación necesita una base del artículo 6 RGPD. Si existen categorías especiales, también una excepción del artículo 9.2. El interés legítimo exige identificar el interés, probar necesidad y ponderar derechos; el contrato cubre solo lo objetivamente necesario; el consentimiento debe ser libre, específico, informado e inequívoco.
La EIPD debe comprobar la información de los artículos 13 y 14 y, cuando proceda, las exigencias relativas a decisiones automatizadas. La explicación no tiene que revelar secretos empresariales, pero sí permitir entender qué datos influyen, para qué se usa la salida, qué consecuencias puede tener y cómo impugnar.
Paso 3. Evaluar necesidad y proporcionalidad
Antes de calcular riesgos, hay que demostrar que el tratamiento está justificado. Para cada dato, inferencia y función se pregunta:
- ¿Contribuye de forma demostrable a la finalidad?
- ¿Existe una alternativa menos intrusiva?
- ¿La mejora obtenida compensa la afectación?
- ¿Puede reducirse precisión, frecuencia, población o conservación?
- ¿Se puede mantener la decisión en manos de una persona?
Un sistema técnicamente preciso puede ser desproporcionado. Por ejemplo, captar continuamente ubicación para comprobar una actuación puntual puede exceder lo necesario aunque el dato sea exacto.
La minimización también se aplica a variables derivadas, logs, embeddings y explicaciones. Deben evitarse proxies que reconstruyan categorías sensibles. La conservación se fija por finalidad y componente; no se adopta el plazo más largo para todo el sistema.
Paso 4. Identificar impactos sobre personas
La EIPD protege derechos y libertades, no únicamente bases de datos. El inventario debe contemplar:
- exclusión injustificada de una oportunidad o servicio;
- discriminación directa, indirecta o por variables proxy;
- pérdida de control, vigilancia o efecto inhibidor;
- revelación de datos sensibles o inferencias íntimas;
- identidad equivocada y dificultad para corregir;
- manipulación, pérdida de autonomía o trato degradante;
- indefensión por falta de explicación o canal efectivo;
- fraude, suplantación, daño económico o reputacional;
- afectación acumulativa de errores a grupos vulnerables.
Cada escenario se formula con causa, acontecimiento, persona afectada y consecuencia. «Fuga de datos» es demasiado genérico; «un proveedor reutiliza conversaciones de pacientes para mejorar un servicio y personal no autorizado infiere información clínica» permite diseñar controles concretos.
Paso 5. Valorar el riesgo inicial
La valoración combina probabilidad y gravedad desde la perspectiva de la persona. La gravedad considera intensidad, duración, reversibilidad, número de ámbitos afectados y vulnerabilidad. La probabilidad analiza exposición, motivación de atacantes, frecuencia, complejidad y controles ya implantados.
No debe reducirse todo a una media. Un evento improbable con daño irreversible puede exigir evitar la operación. Es útil registrar incertidumbre y calidad de la evidencia: datos históricos, pruebas internas, literatura, auditorías o mera estimación.
Una matriz mínima contiene:
| Escenario | Personas | Probabilidad | Gravedad | Riesgo inicial | Evidencia |
|---|---|---|---|---|---|
| Falso negativo en selección | Candidaturas | Media | Alta | Alto | Pruebas estratificadas |
| Acceso indebido a prompts | Usuarios | Media | Alta | Alto | Test de permisos |
| Inferencia de salud | Clientes | Baja/media | Muy alta | Alto | Análisis de variables |
Paso 6. Diseñar medidas vinculadas a cada riesgo
Una lista genérica de cifrado y formación no basta. Cada medida debe indicar qué escenario reduce, responsable, plazo, evidencia, eficacia esperada y riesgo residual.
Medidas sobre datos
- excluir variables no necesarias y proxies injustificados;
- separar identificadores y aplicar seudonimización;
- controlar procedencia, exactitud y representatividad;
- establecer retención diferenciada y borrado verificable;
- impedir uso secundario por proveedores sin base y autorización.
Medidas sobre el modelo
- evaluar rendimiento por grupos relevantes y tipos de error;
- documentar límites, población prevista y usos prohibidos;
- calibrar umbrales según el coste de cada error;
- probar deriva y degradación;
- evitar inferencias que no sean necesarias para la finalidad.
Medidas sobre la decisión
- reservar decisiones significativas a personal competente;
- mostrar fuentes, incertidumbre y factores relevantes;
- impedir la aceptación automática por defecto;
- habilitar corrección, alegaciones e impugnación;
- registrar cuándo una persona modificó el resultado y por qué.
Medidas de seguridad y proveedor
- permisos mínimos, autenticación, cifrado y trazas;
- pruebas de inyección, extracción y aislamiento entre clientes;
- contratos del artículo 28 y control de subencargados;
- regiones de tratamiento, transferencias y medidas suplementarias;
- plan de incidentes y capacidad de recuperar evidencias.
Paso 7. Consulta, DPD y aprobación
El DPD debe asesorar cuando esté designado, pero la responsabilidad de la EIPD corresponde al responsable del tratamiento. Deben participar negocio, privacidad, seguridad, equipo técnico, compras, responsables de proceso y, cuando resulte apropiado, personas afectadas o sus representantes.
La consulta no significa trasladar la decisión al proveedor. El responsable del despliegue conoce la finalidad y el contexto y debe cuestionar documentación, métricas y límites.
La aprobación debe identificar riesgos aceptados, propietario y fundamento. Si, después de las medidas, persiste un alto riesgo que no puede mitigarse razonablemente, el artículo 36 exige consulta previa a la autoridad de control antes de tratar.
Paso 8. Revisar durante todo el ciclo de vida
La EIPD no termina con el lanzamiento. El artículo 35.11 exige revisar cuando cambie el riesgo. En IA deben activar revisión:
- un nuevo modelo, versión o proveedor;
- cambio de finalidad o población;
- nuevas fuentes o categorías de datos;
- aumento de autonomía o integración;
- deriva, incidentes o reclamaciones;
- cambios normativos o de contexto;
- resultados desiguales persistentes.
Las métricas operativas se vinculan a los riesgos: falsos positivos por grupo, anulaciones, reclamaciones, accesos indebidos, tiempo de corrección y decisiones automáticas bloqueadas.
Plan de trabajo en 30 días
Semana 1: alcance
- nombrar responsable y equipo;
- describir finalidad y decisión;
- mapear datos, actores y flujos;
- decidir y documentar si procede EIPD.
Semana 2: necesidad y riesgo
- confirmar bases jurídicas y transparencia;
- evaluar alternativas menos intrusivas;
- formular escenarios de impacto;
- valorar riesgo inicial y evidencia.
Semana 3: medidas y pruebas
- asignar controles a riesgos;
- ejecutar pruebas funcionales, sesgo, privacidad y seguridad;
- revisar proveedor, contratos y transferencias;
- calcular riesgo residual.
Semana 4: decisión
- obtener asesoramiento del DPD;
- coordinar EIPD, FRIA y conformidad cuando corresponda;
- aprobar, limitar o detener el despliegue;
- fijar monitorización y fecha de revisión.
Checklist de una EIPD defendible
- Tratamiento, no solo modelo, descrito de extremo a extremo.
- Criterios de obligatoriedad y decisión documentados.
- Finalidad, bases jurídicas y excepciones del artículo 9 identificadas.
- Necesidad y alternativas menos intrusivas evaluadas.
- Escenarios centrados en consecuencias para personas.
- Probabilidad, gravedad, incertidumbre y evidencia registradas.
- Medidas trazadas a cada riesgo con responsable y prueba.
- Intervención humana efectiva y vías de impugnación.
- Proveedores, transferencias y ciclo de vida incluidos.
- Riesgo residual aprobado o consulta previa planteada.
- Monitorización y disparadores de revisión definidos.
Preguntas frecuentes
¿Todo sistema de IA necesita una EIPD?
No. Se exige cuando el tratamiento probablemente entrañe alto riesgo. La decisión debe analizarse y documentarse.
¿Ser de alto riesgo en el AI Act obliga automáticamente a realizarla?
No automáticamente: son conceptos y ámbitos distintos. Pero muchos usos de alto riesgo tratan datos personales de forma intensa y probablemente cumplirán criterios del artículo 35.
¿Puede hacerla el proveedor?
Puede aportar documentación y análisis, pero el responsable debe evaluar su finalidad, contexto y riesgos. No puede delegar su responsabilidad.
¿Una revisión humana excluye el artículo 22 RGPD?
Solo si es real: la persona debe tener competencia, información, tiempo y autoridad para cambiar la decisión. Una ratificación rutinaria no basta.
¿Qué diferencia hay entre EIPD y FRIA?
La EIPD se centra en riesgos del tratamiento de datos personales; la FRIA abarca impactos más amplios sobre derechos fundamentales en determinados despliegues de IA de alto riesgo. Deben complementarse.
¿Cuándo hay que consultar a la AEPD?
Cuando la EIPD muestre un alto riesgo residual que el responsable no pueda mitigar antes del tratamiento, conforme al artículo 36.
En Summum Consultoría podemos acompañar el análisis, coordinar a privacidad, negocio y tecnología, y revisar el expediente completo de la EIPD, incluida su coordinación con la adaptación al AI Act. La EIPD no garantiza por sí sola el cumplimiento: convierte las decisiones y salvaguardas en un proceso verificable.