Si trabajas con IA en una empresa europea en 2026, te van a aparecer tres siglas que parecen lo mismo pero no lo son: DPIA, AIPD y FRIA. La confusión es real: la documentación está dispersa entre el RGPD y el AI Act, las traducciones complican (DPIA = AIPD en español), y el AI Act introduce el FRIA, que es algo nuevo que mucha gente todavía no sabe que existe.
Este post aclara qué es cada una, quién tiene que hacerlas, cuándo se combinan y cuándo basta con una. Si vienes de la guía de AIPD para sistemas de IA o del pillar de IA y RGPD para empresas, esto cierra el rincón legal de las evaluaciones de impacto.
Las siglas en 30 segundos
|
Sigla |
Nombre completo |
Marco |
Para qué |
|---|---|---|---|
|
DPIA |
Data Protection Impact Assessment |
RGPD Art. 35 |
Evalúa riesgo a la protección de datos personales |
|
AIPD |
Análisis de Impacto en Protección de Datos |
RGPD Art. 35 (ES) |
Es exactamente lo mismo que DPIA, traducción al español usada por la AEPD |
|
FRIA |
Fundamental Rights Impact Assessment |
AI Act Art. 27 |
Evalúa riesgo a derechos fundamentales (más amplio) |
Empezamos por aclarar la primera confusión: DPIA = AIPD, son la misma cosa. La AEPD usa "AIPD" en español, las normativas europeas en inglés usan "DPIA". Cuando alguien diga "tienes que hacer una AIPD para tu chatbot" y otro diga "necesitamos DPIA", están hablando del mismo documento.
Lo distinto es FRIA: es nueva, viene del AI Act, y se aplica a casos diferentes.
DPIA / AIPD — la del RGPD
Cuándo es obligatoria
El Art. 35 RGPD dice que hay que hacer DPIA cuando un tratamiento "entrañe un alto riesgo para los derechos y libertades de las personas físicas". La AEPD publicó una lista de tratamientos donde es obligatoria sí o sí. Para IA, los más típicos son:
Tratamientos a gran escala de datos sensibles (art. 9 RGPD: salud, biometría, ideología, orientación sexual...).
Tratamientos con uso de tecnologías innovadoras (LLMs encajan).
Decisiones automatizadas con efecto jurídico significativo (scoring crediticio, contratación automática, denegación de servicios).
Monitoreo sistemático a gran escala.
Tratamientos de datos de menores a gran escala.
Si tu producto IA cae en cualquiera de esos, AIPD obligatoria.
Qué tiene que contener
El Art. 35.7 RGPD pide:
Descripción sistemática del tratamiento y sus finalidades.
Evaluación de necesidad y proporcionalidad.
Evaluación de los riesgos para los derechos y libertades de los interesados.
Medidas previstas para mitigar esos riesgos (técnicas y organizativas).
Para IA, la AEPD ha precisado expectativas adicionales (memorización del modelo, inferencia, decisiones discriminatorias, alucinaciones, prompt injection...). Detalle en la guía AIPD para IA.
Quién la hace
El responsable del tratamiento (controller). Es decir, la empresa o entidad que decide los fines y medios del tratamiento. Tu DPO la dirige y firma; si no tienes DPO, alguien con responsabilidad de protección de datos.
Cuándo hay que consultar a la AEPD
Si tras la DPIA queda riesgo residual alto que no has podido mitigar, antes de empezar el tratamiento tienes que consultar a la autoridad de control (Art. 36 RGPD). En España, la AEPD. Te responden en hasta 8 semanas (extensible a 14).
Esto rara vez pasa: si haces bien la DPIA y aplicas medidas razonables, casi siempre el riesgo se mitiga a "medio" o "bajo" sin consulta previa.
FRIA — la del AI Act
Cuándo es obligatoria
El Art. 27 del AI Act introduce el FRIA. Es obligatorio antes de desplegar un sistema de IA de alto riesgo, pero solo para ciertos deployers:
Organismos públicos o entidades privadas que prestan servicios públicos.
Deployers de IA de alto riesgo en evaluación de solvencia crediticia.
Deployers de IA de alto riesgo en pricing y suscripción de seguros de vida y salud.
Importante: NO se aplica a todos los deployers de IA de alto riesgo. Si tu empresa privada usa un sistema de IA de alto riesgo (por ejemplo, IA de selección de personal) pero no presta servicios públicos y no es scoring crediticio o pricing de seguros, FRIA no obligatorio. Aún así, DPIA sí si se cumplen los criterios del RGPD.
A partir del 2 de agosto de 2026 (fecha de aplicación parcial del AI Act para alto riesgo), los deployers obligados deben completar el FRIA antes de poner en uso el sistema y notificar el resultado a la autoridad nacional de vigilancia del mercado.
Qué tiene que contener
El Art. 27.1 AI Act pide:
Descripción de los procesos del deployer en los que se va a usar el sistema de IA.
Periodo de tiempo y frecuencia de uso.
Categorías de personas físicas y grupos previsiblemente afectados.
Riesgos específicos de perjuicio que pueden afectar a esas categorías.
Descripción de las medidas de supervisión humana.
Medidas a adoptar si los riesgos se materializan, incluyendo gobernanza interna y mecanismos de reclamación.
Es más amplio que la DPIA: cubre derechos fundamentales más allá de la protección de datos (libertad de expresión, no discriminación, acceso a la justicia, derecho a una buena administración).
Quién la hace
El deployer (usuario del sistema de IA, no el proveedor). El proveedor del sistema de IA tiene otras obligaciones (documentación técnica, registro CE, gestión de calidad), pero no hace el FRIA: lo hace quien despliega el sistema en su organización.
Notificación a la autoridad
A diferencia de la DPIA (consulta previa solo en riesgo alto residual), el FRIA siempre obliga a notificar el resultado a la autoridad nacional de vigilancia del mercado. En España, AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Es una obligación de transparencia ex post, no de consulta ex ante.
Cómo se relacionan: complementarias, no sustitutivas
El propio Art. 27.4 AI Act lo aclara: si una obligación del FRIA ya está cubierta por una DPIA del Art. 35 RGPD, el FRIA complementa la DPIA. Es decir, no haces dos documentos en paralelo si los puntos comunes ya están en uno.
En la práctica esto se traduce en un documento integrado cuando ambas evaluaciones aplican:
Documento: Evaluación de Impacto Integrada (DPIA + FRIA)
1. Descripción del tratamiento / sistema IA (común)
2. Finalidad y proporcionalidad (común)
3. Categorías de interesados y afectados (común)
4. [DPIA] Riesgos a la protección de datos
5. [FRIA] Riesgos a otros derechos fundamentales
6. Medidas de mitigación (común)
7. Supervisión humana (FRIA)
8. Mecanismo de reclamaciones (FRIA)
9. Notificación a AEPD si aplica (Art. 36 RGPD)
10. Notificación a AESIA (Art. 27.3 AI Act)Esto reduce duplicación y simplifica auditorías.
Tabla resumen: cuál necesitas
|
Tu caso |
DPIA/AIPD |
FRIA |
Notas |
|---|---|---|---|
|
Empresa privada usa LLM cloud para procesar datos personales sin decisión automatizada |
✅ Posiblemente |
❌ |
Depende si es "alto riesgo" RGPD |
|
Banco que despliega IA para scoring crediticio |
✅ Sí |
✅ Sí |
Doc integrado |
|
Aseguradora con IA de pricing de salud |
✅ Sí |
✅ Sí |
Doc integrado |
|
Ayuntamiento que despliega chatbot al ciudadano |
✅ Si trata datos personales |
✅ Sí |
Servicio público |
|
Empresa privada con IA de selección de personal (alto riesgo) |
✅ Sí |
❌ |
No es servicio público ni los casos del Art. 27 |
|
Hospital privado con IA de triaje |
✅ Sí |
✅ Si presta servicio público |
Depende del régimen jurídico |
|
SaaS B2B que ofrece API de IA a clientes |
❌ Tú no |
❌ Tú no |
Quien la haga es el cliente que despliega |
|
Investigación interna sin datos personales |
❌ |
❌ |
Documenta igualmente como buena práctica |
Plazos críticos del AI Act
Para situarte en el calendario:
2 de febrero de 2025: aplicación de prohibiciones (IA de scoring social, etc.) e IA literacy obligatoria.
2 de agosto de 2025: aplicación de obligaciones para modelos de propósito general (GPAI).
2 de agosto de 2026: aplicación general para sistemas de alto riesgo del Anexo III. Aquí entra el FRIA en obligación efectiva.
2 de agosto de 2027: aplicación final completa.
Para el AI Act en empresas españolas tienes el detalle de cómo afecta país a país.
Errores comunes
"Como ya hice DPIA, no me hace falta FRIA"
Falso si tu organización está dentro de los obligados del Art. 27. La DPIA cubre datos personales; el FRIA cubre derechos fundamentales más amplios (incluyendo no discriminación, libertad de expresión, derecho a una buena administración). Hay solapamiento, pero el FRIA pide cosas que la DPIA no (notificación a AESIA, mecanismo de reclamaciones específico, evaluación de derechos no centrados en datos).
"Como soy SaaS no me toca el FRIA"
Mitad verdad. Tu cliente que despliega el sistema sí puede estar obligado, y te va a pedir información (riesgos, medidas, instrucciones de uso) para hacer su FRIA. Si vendes IA a entidades públicas o sectores Art. 27, espera RFPs cargadísimos de preguntas para preparar el FRIA del cliente.
"El FRIA lo hace el proveedor del sistema"
Falso. El FRIA lo hace el deployer. El proveedor tiene otras obligaciones distintas (documentación técnica, sistema de gestión de calidad, registro CE...), pero el FRIA es del deployer.
"Hago FRIA solo y me ahorro DPIA"
Falso. Si tratas datos personales y se cumplen los criterios del Art. 35 RGPD, DPIA es obligatoria sí o sí, independiente del AI Act. El FRIA complementa, no sustituye.
"AIPD y DPIA son cosas distintas"
Falso. AIPD = traducción española de DPIA. Misma figura jurídica, distinto idioma.
Plantilla de decisión rápida
1. ¿Trato datos personales?
└── Sí → ¿Cumplo criterios Art. 35 RGPD?
├── Sí → DPIA OBLIGATORIA
└── No → DPIA recomendada como buena práctica
2. ¿Soy deployer de IA de alto riesgo (Anexo III)?
└── Sí → ¿Soy organismo público O empresa con servicio público
O scoring crediticio O pricing seguros vida/salud?
├── Sí → FRIA OBLIGATORIA
└── No → FRIA no obligatoria (sí recomendable)
3. ¿Hago decisiones automatizadas con efecto jurídico?
└── Sí → DPIA + Art. 22 RGPD (derecho a no ser objeto de
decisiones automatizadas), valorar FRIA aunque no obligueDocumentos relacionados que también te pueden tocar
DPA con tu proveedor de IA (Art. 28 RGPD): contrato de encargado del tratamiento. Obligatorio cuando uses un proveedor de IA que procese datos personales por cuenta tuya.
Checklist proveedor IA RGPD: due diligence antes de firmar.
Transferencias internacionales en IA: si el proveedor es americano, además de DPA hay TIA.
Registro de Actividades del Tratamiento (RAT) (Art. 30 RGPD): inventario obligatorio de tratamientos.
Sistema de gestión de calidad AI Act (Art. 17): obligatorio para proveedores de IA de alto riesgo.
Conclusión
DPIA y AIPD son la misma cosa con dos nombres distintos; FRIA es nueva del AI Act y aplica solo a deployers concretos. Si trabajas en sector regulado o sirves al público, prepárate para hacer un documento integrado que cubra ambas. El esfuerzo extra es asumible si lo planteas como gobernanza, no como burocracia.
Las multas no son simbólicas: hasta el 4% global anual por incumplimiento RGPD, hasta 35 M€ o 7% global por las prohibiciones más graves del AI Act (Art. 99 AI Act). Mejor hacerlas bien la primera vez que aprenderlo del expediente.
Datos verificados con AEPD, EDPB, Comisión Europea (Art. 27 AI Act), artificialintelligenceact.eu y AESIA (abril 2026).
