El EU AI Act (Reglamento 2024/1689) introduce obligaciones no solo para las empresas que desarrollan sistemas de IA, sino para toda organizacion que los utilice. El reglamento denomina a estas organizaciones "deployers" — y si su empresa utiliza herramientas impulsadas por IA en sus operaciones, usted es uno. Este articulo explica las obligaciones especificas que los deployers tienen bajo el Art. 26 y Art. 27, la diferencia entre una DPIA y una Evaluacion de Impacto en los Derechos Fundamentales (FRIA), y los pasos practicos que debe tomar antes del 2 de agosto de 2026.

Quien es un deployer?

El Art. 3(4) define a un deployer como toda persona fisica o juridica que utiliza un sistema de IA bajo su propia autoridad. Usted no construyo la IA — pero decidio desplegarla en su organizacion, y eso le hace responsable de como funciona y como afecta a las personas.

Si su departamento de RRHH utiliza seleccion de candidatos asistida por IA, su departamento financiero emplea scoring crediticio por IA, o su servicio de atencion al cliente opera un chatbot de IA — su organizacion es deployer para cada uno de esos sistemas. Las obligaciones escalan con el riesgo: los sistemas de riesgo minimo requieren poco, pero los sistemas de alto riesgo exigen documentacion estructurada, supervision humana y evaluaciones de impacto.

Art. 26: Obligaciones fundamentales de los deployers

El articulo 26 establece lo que todo deployer de un sistema de IA de alto riesgo debe hacer. No son sugerencias — son requisitos legales con mecanismos de aplicacion.

Uso conforme a las instrucciones. Los deployers deben operar los sistemas de IA de alto riesgo de acuerdo con las instrucciones de uso del proveedor. Esto significa leer la documentacion, comprender el proposito previsto y las limitaciones del sistema, y no reutilizarlo para fines que el proveedor no ha previsto ni validado.

Garantizar la supervision humana. Designe personas competentes para supervisar el funcionamiento del sistema de IA. Estas personas deben tener la autoridad, competencia y recursos para anular o desestimar la salida del sistema. Documente quienes son estas personas, que formacion han recibido y cual es el proceso de escalamiento cuando la IA produce resultados incorrectos o sesgados.

Monitorear el funcionamiento. Los deployers deben monitorear el sistema de IA durante su operacion para detectar riesgos. Si el sistema produce salidas inesperadas, muestra signos de sesgo o funciona fuera de sus parametros previstos, debe actuar — y debe tener procesos establecidos para detectar estos problemas.

Conservar registros. Los registros generados automaticamente deben conservarse durante un periodo apropiado al proposito previsto del sistema de IA de alto riesgo, y al menos seis meses. Estos registros deben estar disponibles para las autoridades de supervision a solicitud.

Realizar una DPIA. Al desplegar un sistema de IA de alto riesgo que procesa datos personales, los deployers deben realizar una DPIA segun el Art. 35 del RGPD. Esto no es nuevo — el RGPD ya lo requeria — pero el AI Act lo hace explicito y obligatorio para todos los deployers de IA de alto riesgo.

Informar a las personas afectadas. Los individuos sujetos a decisiones tomadas o asistidas por un sistema de IA de alto riesgo deben ser informados de que el sistema se esta utilizando, a menos que esto ya sea evidente por las circunstancias.

Art. 27: Evaluacion de Impacto en los Derechos Fundamentales

El articulo 27 introduce una nueva obligacion que va mas alla del RGPD: la Evaluacion de Impacto en los Derechos Fundamentales (FRIA). Esto se aplica especificamente a deployers de sistemas de IA de alto riesgo que son organismos de derecho publico, entidades privadas que prestan servicios publicos, o deployers que utilizan IA para ciertos propositos incluyendo scoring crediticio, evaluacion de riesgos en seguros de vida y salud, y aplicacion de la ley.

La FRIA requiere que los deployers evaluen el impacto del sistema de IA en los derechos fundamentales — incluyendo el derecho a la no discriminacion, privacidad, libertad de expresion y dignidad humana — antes de poner el sistema en funcionamiento. La evaluacion debe enviarse a la autoridad de vigilancia del mercado competente.

FRIA vs DPIA: cual es la diferencia?

Estas dos evaluaciones sirven propositos diferentes y ninguna reemplaza a la otra.

Una DPIA (RGPD Art. 35) se centra en los riesgos de proteccion de datos. Pregunta: que datos personales se procesan, cuales son los riesgos para la privacidad de los individuos, y que medidas mitigan esos riesgos? Cubre la minimizacion de datos, la limitacion del almacenamiento, los controles de acceso y los escenarios de violacion de datos.

Una FRIA (AI Act Art. 27) se centra en el impacto mas amplio de las decisiones impulsadas por IA en los derechos fundamentales. Pregunta: podria este sistema de IA discriminar contra grupos protegidos? Podria afectar el acceso a servicios esenciales? Podria socavar la autonomia o dignidad humana? La FRIA examina el impacto de la toma de decisiones, no solo el procesamiento de datos.

En la practica, un sistema de IA de alto riesgo que procesa datos personales requerira ambas evaluaciones. Comparten algo de terreno comun — ambas consideran riesgos para los individuos — pero abordan la cuestion desde angulos diferentes. Su DPIA protege a los interesados. Su FRIA protege a los titulares de derechos fundamentales. A menudo son las mismas personas, pero el analisis difiere.

Que deben documentar los deployers

Para cada sistema de IA en su organizacion, deberia poder responder estas preguntas:

  • Proveedor y modelo. Quien construyo el sistema de IA? Que version utiliza?
  • Proposito previsto. Para que lo utiliza? Esta dentro del uso previsto por el proveedor?
  • Clasificacion de riesgos. Es de riesgo minimo, limitado o alto segun el AI Act? Documente su razonamiento.
  • Personas afectadas. Quien se ve afectado por las salidas o decisiones del sistema? Empleados, clientes, candidatos, el publico?
  • Supervision humana. Quien revisa la salida de la IA? Cual es su autoridad para anular? Que formacion han recibido?
  • Estado de conformidad. Ha completado el proveedor una evaluacion de conformidad? Hay un marcado CE? Esta el sistema registrado en la base de datos de IA de la UE?
  • Estado DPIA. Se ha realizado una evaluacion de impacto en la proteccion de datos para este sistema?
  • Estado FRIA. Si es necesario, se ha realizado y presentado una evaluacion de impacto en los derechos fundamentales?
  • Registros y monitoreo. Se conservan los registros? Quien monitorea el funcionamiento del sistema?

Pasos practicos para deployers

Paso 1: Inventarie sus sistemas de IA

No puede gobernar lo que no ha mapeado. Liste cada servicio impulsado por IA en su organizacion — desde plataformas empresariales con IA integrada hasta herramientas individuales adoptadas por equipos. Agregue cada uno a su registro de servicios de datos con su proposito, categorias de datos y controles de acceso.

Paso 2: Clasifique el riesgo

Para cada sistema de IA, determine su nivel de riesgo bajo el AI Act. Las categorias de alto riesgo estan listadas en el Anexo III e incluyen IA para reclutamiento, scoring crediticio, acceso a servicios esenciales e identificacion biometrica. Documente su clasificacion y el razonamiento detras de ella.

Paso 3: Documente el proposito y las personas afectadas

Para cada sistema de IA, registre su proposito previsto, las categorias de personas afectadas por sus salidas, y si toma o apoya decisiones sobre individuos. Esta documentacion es la base tanto de su DPIA como de su FRIA.

Paso 4: Realice evaluaciones de impacto

Para sistemas de IA de alto riesgo: complete una DPIA segun el Art. 35 del RGPD y, donde aplique el Art. 27, una FRIA. Estas deben referenciarse mutuamente pero permanecen como evaluaciones separadas con alcances distintos.

Paso 5: Seguimiento de conformidad y gobernanza

Mantenga registros de las declaraciones de conformidad de los proveedores, marcados CE y registros en la base de datos de IA de la UE. Almacene estos documentos junto con sus DPA y SLA — forman parte de su cadena de gobernanza de proveedores.

Como Readmodel® apoya el cumplimiento de deployers de IA

Readmodel® trata los servicios de IA como parte de su mapa de datos, no como un silo de cumplimiento separado. Cuando agrega un servicio de IA a su proyecto, puede documentar su clasificacion de riesgos, las disposiciones de supervision humana y el estado de conformidad junto con los elementos de datos que procesa, las bases legales y los periodos de retencion.

El registro de riesgos senala automaticamente los servicios de IA clasificados como alto riesgo pero sin una DPIA documentada. La funcion de almacenamiento de documentos le permite adjuntar declaraciones de conformidad, instrucciones de uso del proveedor y documentacion FRIA directamente al servicio relevante. La exportacion ROPA incluye campos de gobernanza de IA, de modo que su registro Art. 30 refleja tanto los requisitos del RGPD como del AI Act en un unico documento.

La gobernanza de IA no requiere una plataforma separada ni un compromiso de consultoria de seis cifras. Requiere documentacion estructurada integrada con su mapa de datos existente. Readmodel® proporciona esa estructura — cree una cuenta gratuita y comience a documentar sus obligaciones de deployer de IA hoy mismo.

El plazo se acerca

Las obligaciones de los deployers bajo el Art. 26 entran en vigor el 2 de agosto de 2026. Si ya mantiene un mapa de datos RGPD, tiene la base. Amplielo con campos especificos de IA — clasificacion de riesgos, supervision humana, estado de conformidad — y realice las evaluaciones de impacto requeridas. Los reguladores esperaran documentacion, no promesas. Comience ahora.