NOTICIAS

Listado de noticias

El uso de las FRIAS o evaluaciones de impacto de derechos fundamentales, clave para testar las herramientas de IA

  • 19/03/2025

En un principio, el Reglamento de IA las reduce a sistemas de alto riesgo en empresas públicas y privadas que utilicen estas y que empleen scoring financiero o en seguros de salud y vida.

Las evaluaciones de impacto sobre los derechos fundamentales (EIDF o FRIAs) son un requisito en virtud del artículo 27 de la Ley de Inteligencia Artificial de la UE («Ley de IA», «la Ley»), y deben llevarse a cabo en determinadas circunstancias para los sistemas de IA de alto riesgo.

Para Gary Robertson, Manager de Privacidad, Riesgos y Cumplimiento Normativo en Ecix, “hablar de las FRIAS supone hacerlo de un modelo parecido al que hay en privacidad con las PIAS. Estas herramientas sirven para las evaluaciones de impacto en protección de datos, y con las FRIAS hablamos de las evaluaciones de impacto en derechos fundamentales. Con estas herramientas se trata de evaluar el despliegue de estas herramientas de IA en los derechos y libertades de las personas”.

Estas herramientas serán aplicables a partir del 2 de agosto de 2026. “Su aplicación a nivel organizativo es bastante reducida. Originalmente, en la negociación del RIA, el Parlamento Europeo propuso que cualquier organización que tuviera un sistema de riesgo medio y alto tuviera que hacer esta evaluación de impacto”.

“Pero durante los Trílogos se acordó que no fuera así, que solo tuviera que hacer esa evaluación las administraciones públicas, los operadores privados que trabajen para estas administraciones y las entidades privadas que desplieguen IA en hacer scoring crediticio de personas físicas o utilizar IA para decidir sobre las condiciones de acceso a seguros de vida y salud”, comenta.

¿Cómo implementarlo de forma práctica?

En el XVII Foro de la Privacidad, que tuvo lugar hace unos días en Madrid, una de las mesas redondas se centró en la relación entre IA y Derechos Fundamentales para luego definir aspectos prácticos de cómo definir una FRIA.
Ahí fueron interesantes las opiniones de Esther García, responsable de la Oficina Corporativa de Privacidad, CaixaBank; Meritxell Borras i Solé, directora de la Autoridad Catalana de Protección de Datos; y Alessandro Mantelero, Profesor titular de Derecho Privado y Derecho y Tecnología en la Universidad Politécnica de Torino sobre el modelo de gestión de FRIAS, del que se han hecho ya algunas pruebas.

Esther García nos presenta el panorama práctico: “porque aún no hay ningún modelo establecido salvo el generado por la Autoridad de Protección de Datos Catalana con unos DPOS en el que colaboró esta experta. En el caso de CaixaBank, entidad regulada por el sector en el que está activa, se está estudiando qué metodología emplear respecto a la IA. Muchas de nuestras PIAS ya hacen algún análisis de derechos fundamentales y se indican a qué derechos puede afectar. No partimos de cero porque hacíamos esas evaluaciones”.

Desde su punto de vista, se trata ahora de ver qué metodología y profesionales se encargan de la implementación de las FRIAS. “Lo primero que debemos evaluar es si nuestra organización está en esos supuestos del artículo 27 del RIA, si ese responsable del despliegue es una autoridad pública, o es una entidad financiera que hace tratamiento de la evaluación de la solvencia o entidad aseguradora si hace análisis de riesgos o fijación de precios en algunos tipos de seguros. Otra cuestión es si eres proveedor de algunas entidades, tienes que hacer una FRIA para poder emitir mi evaluación de conformidad”.

Sobre la evaluación de conformidad que está en el artículo 43 del RIA, “te exige que hagas una serie de manifestaciones en cuanto al cumplimiento del RIA, una de las cuales pasa por el sistema de gestión de riesgos del artículo 9, que te dice que se miren los riesgos en relación con la seguridad, salud y derechos fundamentales de las personas. Con lo cual, esa FRIA no solo sería obligatoria para las organizaciones citadas, sino también para sus proveedores”.

Para esta experta, “si al final tu organización tiene que implementar esa FRIA, no deberían esperar hasta el plazo final de agosto de 2026 y no tener nada hecho. Sobre la metodología, hay dos cuestiones a considerar: o nos esperamos a que la Oficina de IA de la Comisión Europea nos dé el modelo del artículo 43 que parece que nos dará y una herramienta, pero no sabemos cuándo, o trabajamos con lo que ya hay publicado y desde ahí se define una metodología propia para empezar a trabajar”.

En su opinión, “hay publicadas varias iniciativas. La primera que se publicó y tuvo cierta repercusión fue la que acompañaba ciertas directrices de una IA fiable. Ahí nos daban una opción para hacer algo parecido a una FRIA y que te sirviera de base. Otras propuestas más recientes tienen que ver con la metodología aprobada por el Consejo de Europa llamada Huderia, esta metodología hace un framework para ver cómo se analiza el impacto en derechos fundamentales y el propio Consejo hace una aproximación teórica indicando que en un cierto tiempo publicará su modelo”.
Por otro lado, el Instituto Anes de DDHH tiene publicada una propuesta y el Gobierno de Canadá tiene publicada una propuesta de sistemas algorítmicos. Finalmente, existe un modelo llamado PIO (Principios e Indicadores Observables) que es del Observatorio de Ética Artificial de Cataluña, que es una especie de checklist para ver el impacto que la IA tiene en los derechos fundamentales. “La metodología que más conozco y que he aplicado en un caso práctico es la de la Autoridad Catalana de Protección de Datos. Un modelo liderado por el profesor Mantelero de la Universidad Politécnica de Milán”, indica.

Sobre este modelo, Esther García señala que “lo que hace este modelo es aplicar la metodología del profesor Mantelero y lo aterriza en un modelo de ejemplo concreto. Ese modelo habrá que ir evolucionando con unas preguntas básicas que se incorporan a cada caso. De momento nos ha servido como framework para analizar distintos casos prácticos. Ese modelo que ya se ha aprobado lo que hace es definir tres bloques: uno donde se define la planificación y determinación del alcance, las características del producto si tiene IA, su contexto que determina los riesgos de esa IA”.

Junto a ello, “hay otra parte de recopilación de datos y análisis de riesgos potenciales que tiene esa aplicación de IA y se van haciendo evaluaciones de impacto con los niveles de riesgo y, finalmente, lo que se hace es la gestión del riesgo. A los riesgos ya identificados se les van aplicando medidas o controles para eliminar el riesgo, que es difícil, o mitigarlo a través de esas medidas. La ventaja de este modelo es que tiene una metodología y casos de los que se han publicado. Al mismo tiempo, es una metodología contextual que se basa mucho en el criterio experto, con lo cual tendremos que ver quién hace esa FRIA”.

Un modelo español fiable

Otro elemento que define este modelo es que establece “una probabilidad grave de un perjuicio para cada derecho fundamental. No te hace una media de los derechos, sino que te dice que en los derechos identificados señala el grado de afectación que puede haber. Te individualiza los riesgos existentes y luego, al igual que la PIA, es una herramienta transparente que ayuda a la rendición de cuentas. Estas FRIAS habrá en su momento que entregarlas a las autoridades de vigilancia y control del mercado. Aún queda por saber quiénes serán esas autoridades de control”.

En el caso de España, “la lista de autoridades de derechos fundamentales está, pero no se le ha dado publicidad. Por otro lado, la autoridad de vigilancia del mercado parece que va a ser sectorial. Con carácter general, parece que será la AESIA, pero a nivel sectorial para entidades financieras, sería el Banco de España; para el sector asegurador no está claro y quedará por debatir cuando una entidad financiera tiene un modelo de IA en RRHH si será competente la autoridad sectorial o la propia AESIA. Esto no está claro”.

A juicio de esta experta, “una vez elegida la metodología, hay que ver quién realmente hace ese ejercicio. Es un ejercicio que, al igual que las PIAS, va a necesitar multitud de expertos involucrados. Al mismo tiempo, tendremos que profundizar en todo lo relacionado con derechos fundamentales para ver cómo esta tecnología puede afectarlos. La forma de hacerlo será con equipos multidisciplinares que vayan levantando la mano en cada una de sus disciplinas y, luego, a raíz de ese conjunto, se saquen los outputs más enriquecedores”.

En su opinión, otro elemento clave sería coordinar ese ejercicio práctico con lo que estás haciendo de PIAS, “se trata de buscar sinergias entre ambos trabajos y, al mismo tiempo, ver las diferencias. Se trata de que ambas evaluaciones sean complementarias porque tienen puntos en común. Cuando está todo claro, tienes que ponerte a calendarizar la realización de las FRIAS, para que estén ya hechos en el momento que entre en vigor esta aplicación y puedas remitirlas a la correspondiente autoridad independiente del mercado. Eso no será antes del 2 de agosto de 2026”.

Desde su punto de vista, la implementación de las FRIAS es exante, debe ir de la mano del desarrollo del proyecto. “De lo contrario, si se hace con posterioridad, puede haber algún problema con el negocio. Se trata de que la FRIA no sea un obstáculo al desarrollo de ese sistema de IA, se trata de que al final ese desarrollo se implemente de la mejor manera. Eso es lo que defiende el profesor Mantelero en el modelo de la APDCAT”.

Reportar a la Autoridad

En cuanto a la autoridad a la que hay que reportar dichas FRIAS, Robertson señala que “a día de hoy no está claro. El Reglamento de IA, a diferencia del de Protección de Datos, sí que obliga a reportar las conclusiones de estas evaluaciones de impacto a la autoridad de control. Por el momento, no se especifica cuál, podría pensarse que sería la propia AESIA, en España, pero no está claro aún. Todavía no se conoce el mapa que hay de autoridades de control. Junto a la AESIA, está el Banco de España y veremos cómo queda la AEPD al final en este nuevo escenario”.

Nuestro interlocutor nos explica que “el RIA, como tal, no se va a aplicar a IAS que se hayan puesto en servicio antes del 2 de agosto de 2026. Es un periodo transitorio, esta especie de vacatio legis. A todas las IAS que salgan a día de hoy no se les aplica el Reglamento, salvo que se introduzcan cambios significativos o modificaciones sustanciales. Tampoco se sabe lo que es a día de hoy. Por eso, cualquier IA que se despliegue a partir del 2 de agosto de 2026 debería tener la FRIA realizada”.

Sin embargo, Robertson es consciente de que “si tu empresa está implementando un sistema de IA de alto riesgo, aunque no estés en los grupos que señala el RIA como grupos obligados, sí debería hacerse dicha evaluación de impacto sobre derechos fundamentales de terceros. El no hacer dicha evaluación de impacto tiene una sanción elevada en el propio RIA”.

En cuanto a la implementación de dicha FRIA, este experto indica que “en función del modelo de gobierno que implemente cada empresa, la responsabilidad final será de uno u otro profesional. Estamos en esa fase, quién hace qué para cumplir con el Reglamento de IA. Hay compañías que lo han atribuido al DPO; otras al Compliance Officer; otras que lo plantean a nivel colegial con comités multidisciplinares que se ocupen de ello. Hay que darse cuenta de que las FRIAS son transversales, tocan derechos fundamentales, también el tema tecnológico, seguridad. Acepta perfiles de distinta naturaleza”.

Al final, “realizar esa evaluación de impacto sobre derechos fundamentales es más laborioso que una simple evolución de protección de datos. La FRIA comparte mucho contenido con la PIA, en cuanto a valorar esos procesos en los que se va a utilizar el sistema de IA, el periodo de tiempo en el que se va a utilizar, la categoría de personas que pueden verse afectadas, además de las amenazas y riesgos que puede haber en esa IA y qué controles se proponen para mitigar esas amenazas. Luego hay que elaborar una memoria que hay que reportar a la autoridad de control”.

Desde su punto de vista, “este es el paso clave, diferente a la evaluación de protección de datos. En protección de datos, hasta ahora no había que reportar las conclusiones de las PIAS a la autoridad de control. La última sanción de la AEPD a la Liga, entre otros motivos, es por no haber realizado una evaluación de impacto de dicho tratamiento biométrico bajo sospecha”.

Para Gary Robertson, el papel del profesional encargado de gestionar los riesgos de los sistemas de IA debe tener claro si está o no obligado por lo que marca el RIA en estos temas, “esa información debe compartirla a su Consejo de Administración para que entiendan la gravedad de la situación y que hay que hacer la FRIA para evitar cualquier multa y daños reputacionales al recibir esa multa porque tendrá una difusión que nos afectará mucho. En los sistemas de IA de alto riesgo, antes comentado, es obligatorio realizar una evaluación de impacto, no hay ninguna voluntariedad”.

 

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
METODOS Y TECNOLOGIA DE SISTEMAS Y PROCESOS, S.L.
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
proofpointsubir1491214442
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.