FRIA y DPIA no son lo mismo: por qué una no sustituye a la otra

Se parecen, se solapan y a menudo se confunden. Pero la FRIA del AI Act y la DPIA del RGPD son instrumentos estructuralmente distintos. Dar una por la otra es un error con consecuencias.

Hay un malentendido que circula con demasiada comodidad: la idea de que si ya hiciste tu evaluación de impacto en protección de datos (DPIA), tienes cubierta la evaluación de impacto en derechos fundamentales (FRIA). Es un atajo tentador y, en general, incorrecto. Las dos evaluaciones se parecen lo suficiente para confundirlas y difieren lo suficiente para que confundirlas salga caro. Vale la pena separarlas con precisión.

Dos instrumentos, dos normas, dos objetos

La DPIAData Protection Impact Assessment— nace del Artículo 35 del RGPD. Su objeto es el tratamiento de datos personales. Se exige cuando un tratamiento probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas: tecnologías nuevas, tratamiento a gran escala de categorías especiales de datos, observación sistemática, y los supuestos de las listas de las autoridades de control. Pregunta, en esencia: ¿este tratamiento de datos pone en riesgo a las personas y cómo lo mitigo?

La FRIAFundamental Rights Impact Assessment— nace del Artículo 27 del AI Act. Su objeto no son los datos, sino el sistema de IA de alto riesgo y su impacto sobre los derechos fundamentales de las personas afectadas por su uso. La exige a determinados desplegadores de sistemas de alto riesgo del Anexo III. Pregunta algo distinto: ¿este sistema de IA, por cómo decide y sobre quién decide, afecta a derechos fundamentales, y qué medidas de gobernanza y supervisión humana pongo alrededor?

El objeto es diferente. El disparador es diferente. La norma es diferente. Que compartan metodología —identificar riesgos, valorarlos, mitigarlos, documentarlos— no los convierte en el mismo documento.

Dónde se cruzan (y por qué eso confunde)

El solapamiento es real. Un mismo sistema de IA de alto riesgo que procesa datos personales puede requerir las dos evaluaciones a la vez. Y buena parte del análisis de contexto, de finalidad y de personas afectadas es común. Es lógico que quien ha hecho una sienta que ya ha hecho la otra.

El Digital Omnibus reconoce ese solapamiento y busca reducir duplicidades: permite apoyarse en el trabajo ya hecho en una DPIA para partes de la FRIA. Pero conviene leer esto con cuidado. Que puedas reutilizar análisis de la DPIA como insumo de la FRIA es una buena práctica de eficiencia. Que la DPIA sustituya a la FRIA como regla general no es lo que dice el marco. Son instrumentos estructuralmente independientes: uno cubre el riesgo sobre los datos, el otro el riesgo sobre los derechos fundamentales, y hay impactos sobre derechos que una DPIA bien hecha simplemente no está diseñada para capturar.

Qué cubre una que la otra no

Un ejemplo aclara la diferencia. Imagina un sistema que ordena y prioriza candidatos en un proceso de selección.

La DPIA se ocupará del tratamiento: qué datos personales se procesan, con qué base jurídica, cuánto tiempo se conservan, qué medidas de seguridad los protegen, si hay transferencias internacionales.

La FRIA se ocupará de otra cosa: si el sistema puede introducir discriminación, cómo afecta al derecho a un trato equitativo, qué pasa con las personas descartadas, qué supervisión humana existe sobre sus decisiones, cómo se garantiza que una persona no quede excluida por un sesgo del modelo. Son preguntas sobre derechos, no sobre datos. Una DPIA competente puede rozarlas, pero no es su función responderlas.

El calendario: cada una con su reloj

Aquí hay otro punto que la confusión oscurece. La DPIA es una obligación del RGPD vigente hoy: si tu tratamiento cae en Art.35, la evaluación se exige ya, con independencia del AI Act.

La FRIA sigue el calendario del alto riesgo del Anexo III. Con el Digital Omnibus, esa fecha se desplaza al 2 de diciembre de 2027. Es decir: puedes tener hoy la obligación de una DPIA y todavía no la de una FRIA para el mismo sistema. Tratarlas como el mismo documento borra esa diferencia de plazos y lleva a errores en los dos sentidos —creerse cubierto cuando no lo estás, o adelantar trabajo con una lógica equivocada.

Qué hacer en la práctica

Tres recomendaciones sobrias:

  1. No fusiones los documentos. Mantén la DPIA como DPIA y la FRIA como FRIA, aunque compartan secciones. Cada una responde a una autoridad y a una norma distinta.
  2. Reutiliza, no sustituyas. Aprovecha el análisis de contexto y de personas afectadas de la DPIA como insumo de la FRIA. Es eficiente y el Omnibus lo favorece. Pero completa la FRIA con lo que le es propio: el impacto en derechos fundamentales y la supervisión humana.
  3. Ubica cada una en su calendario. La DPIA, cuando el tratamiento la exija (hoy). La FRIA, cuando el sistema de alto riesgo del Anexo III entre en su fecha de aplicación.

La distinción no es un tecnicismo académico. Es la diferencia entre documentar diligencia de verdad y creer que la has documentado. En gobernanza de IA, esa diferencia es todo.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.