30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
Plantilla gratuita · Riesgos y evaluación

Plantilla de evaluación de impacto de IASepa a quién afecta su IA antes de desplegarla

Un solo documento que cubre la evaluación de impacto sobre los derechos fundamentales (FRIA) del artículo 27 del EU AI Act, las evaluaciones de impacto algorítmico del sector público y las revisiones voluntarias de buenas prácticas. Determine si se requiere una evaluación, describa el sistema y las personas afectadas, califique los riesgos, registre las mitigaciones y obtenga la aprobación, en un formato que un equipo de GRC puede usar tal cual.

Cuándo necesita una evaluación de impacto de IA

Algunos supuestos son obligaciones legales; otros son buenas prácticas que clientes y auditores esperan cada vez más. Un solo sí basta para realizar la evaluación.

Obligatorio
Organismos públicos que despliegan IA de alto riesgo (art. 27 del EU AI Act)
Los organismos de derecho público y las entidades privadas que prestan servicios públicos deben completar una evaluación de impacto sobre los derechos fundamentales antes del primer uso de la mayoría de los sistemas de alto riesgo del anexo III.
Obligatorio
Calificación crediticia y tarificación de seguros de vida o salud
Cualquier responsable del despliegue, incluidos bancos y aseguradoras, que use IA de alto riesgo para evaluar la solvencia o para evaluar riesgos y fijar precios en seguros de vida y salud debe completar una FRIA.
Obligatorio
Tratamiento de datos personales de alto riesgo (art. 35 del RGPD)
La elaboración de perfiles a gran escala o las decisiones automatizadas con efectos jurídicos o similares exigen una EIPD. La FRIA la complementa; esta plantilla cubre en paralelo los aspectos específicos de la IA.
Obligatorio
Directivas del sector público y normas de contratación
La Directiva canadiense sobre la toma de decisiones automatizada exige evaluaciones de impacto algorítmico para los sistemas de decisión automatizados federales, y las normas de contratación las exigen cada vez más a los proveedores.
Buena práctica
Decisiones trascendentes sobre personas
Contratación, crédito, vivienda, sanidad, educación, prestaciones: si el sistema toma o influye materialmente en estas decisiones, evalúelo aunque ninguna ley lo exija.
Buena práctica
Certificación y alineación con marcos de referencia
ISO/IEC 42001 espera evaluaciones de impacto de los sistemas de IA como parte del sistema de gestión, y el NIST AI RMF sitúa la identificación de impactos en su función Map.

Calendario: tras el ómnibus digital de la UE adoptado en junio de 2026, las obligaciones de alto riesgo del AI Act, incluida la obligación de FRIA del artículo 27, se aplican desde el 2 de diciembre de 2027 para los sistemas independientes del anexo III y desde el 2 de agosto de 2028 para la IA integrada en productos regulados. Varios estados de EE. UU. tomaron el camino contrario: la SB 189 de Colorado (en vigor el 1 de enero de 2027) eliminó los mandatos de evaluación de impacto en favor de deberes de transparencia. En cualquier caso, una evaluación documentada sigue siendo su mejor prueba de conducta razonable.

Qué cubre la plantilla

Un cuestionario de cribado más un formulario de evaluación de nueve secciones, con filas de ejemplo resueltas que muestran el nivel de calidad esperado en descripciones de riesgos y mitigaciones.

1
Cuestionario de cribado
Seis preguntas que determinan si una evaluación es exigida por ley, por contrato o recomendada, con un registro del resultado del cribado.
2
Descripción del sistema y uso previsto
Proveedor, versión del modelo, caso de uso real, procesos de negocio en los que opera el sistema y frecuencia de uso.
3
Personas y grupos afectados
Cada grupo al que llega el sistema, cómo se ve afectado, a qué escala y qué factores de vulnerabilidad se aplican.
4
Datos y entradas del modelo
Categorías de datos, atributos sensibles, procedencia, carencias de representatividad y variables sustitutivas de atributos protegidos.
5
Registro de riesgos calificado
Riesgos para los derechos fundamentales y las personas: discriminación, privacidad, daño económico y equidad procedimental, cada uno calificado por probabilidad y gravedad.
6
Medidas de supervisión humana
Modelo de supervisión, quién revisa qué resultados, autoridad para anular decisiones, controles del sesgo de automatización y parada de emergencia.
7
Mitigación y riesgo residual
Mitigaciones con responsables y plazos, riesgo residual recalificado y mecanismos de reclamación y reparación.
8
Registro de consultas
A quién consultó, qué le dijeron y qué cambió en el despliegue como resultado.
9
Activadores de revisión
Los eventos que reabren la evaluación, desde cambios de modelo hasta deriva, reclamaciones y cambios regulatorios.
10
Aprobación y firmas
Una decisión explícita de desplegar, desplegar con condiciones o detener, con una tabla de firmas y el registro de la notificación del artículo 27.

Cómo encaja en su estructura de gobernanza

La evaluación de impacto se sitúa entre la clasificación y el seguimiento diario. Tres conexiones que conviene cuidar:

Clasifique primero
Realice primero la clasificación de riesgos del EU AI Act: el nivel resultante determina si se aplica el artículo 27 y la profundidad que necesita la evaluación.
Combínela con su EIPD
Según el AI Act, la FRIA complementa la evaluación de impacto en la protección de datos en lugar de sustituirla. Realícelas juntas y crúcelas con referencias en vez de duplicar contenido.
Alimente su registro de riesgos
Los riesgos residuales, los activadores de revisión y las condiciones de aprobación pertenecen a su registro de riesgos vivo y a su proceso de respuesta a incidentes, no a un cajón.
Empezar

Conozca cada sistema de IA antes de evaluarlo

No puede evaluar el impacto de una IA que no ve. Aona descubre cada herramienta de IA en uso en su organización, mapea qué datos fluyen hacia ellas y mantiene listo para auditoría el inventario del que dependen sus evaluaciones de impacto.