Reglamento de IA de la UE y Selección de Personal: Lo que Todo Departamento de RRHH Necesita Saber en 2026
El Reglamento de IA de la UE (Reglamento 2024/1689) clasifica los sistemas de IA utilizados para el reclutamiento, el cribado de CVs y la gestión de empleados como de ALTO RIESGO según el Anexo III, punto 4. A partir de agosto de 2026, los deployers deben implementar sistemas de gestión de riesgos, garantizar la supervisión humana, realizar evaluaciones de impacto sobre derechos fundamentales y registrar sus sistemas en la base de datos europea de IA. En España, la AESIA (Agencia Española de Supervisión de la IA), creada por el Real Decreto 729/2023, es la autoridad nacional supervisora responsable de la aplicación del Reglamento.
Marco Legal
El Reglamento de IA de la UE — Reglamento (UE) 2024/1689 de 13 de junio de 2024 — entró en vigor el 1 de agosto de 2024. El artículo 6 define los sistemas de IA de alto riesgo por remisión al Anexo III. El Anexo III, punto 4 incluye expresamente: sistemas de IA destinados a utilizarse en el reclutamiento o la selección de personas físicas, en particular para publicar ofertas de empleo, filtrar solicitudes o evaluar a los candidatos en el contexto de entrevistas o pruebas. También incluye: sistemas de IA para tomar decisiones sobre promoción y resolución de relaciones contractuales de trabajo, para la asignación de tareas basada en el comportamiento individual o en rasgos o características personales, y para supervisar y evaluar el rendimiento y el comportamiento de las personas en dichas relaciones.
El artículo 26 establece las obligaciones de los deployers (organizaciones que utilizan, no desarrollan, los sistemas de IA de alto riesgo): utilizar los sistemas conforme a las instrucciones de uso, asignar la supervisión humana a personas cualificadas, monitorizar el rendimiento, notificar incidentes graves y realizar una evaluación de impacto sobre los derechos fundamentales (art. 27) cuando el sistema afecta a empleados o candidatos. El artículo 5 prohíbe de forma absoluta determinadas prácticas de IA: los sistemas de inferencia de emociones en el lugar de trabajo (art. 5.1.f) — prohibidos desde el 2 de febrero de 2025 — y la identificación biométrica en tiempo real en espacios públicos.
El Reglamento de IA se superpone al RGPD, artículo 22 (decisiones automatizadas con efectos significativos), que ya se aplica a la IA de selección. Las empresas deben cumplir con ambos marcos normativos simultáneamente — el Reglamento de IA no reemplaza al RGPD sino que añade nuevas obligaciones adicionales. En España, la Ley Orgánica 3/2018 (LOPDGDD) y el Estatuto de los Trabajadores (art. 64.5.d, obligación de consulta al comité de empresa) también se aplican en el ámbito de RRHH junto al Reglamento de IA.
Pasos para el Cumplimiento
- Auditar todas las herramientas de IA utilizadas en RRHH frente al Anexo III, punto 4. Elabora un inventario de todas las herramientas de IA de tu stack de RRHH: ATS (Applicant Tracking Systems), herramientas de análisis de CVs, herramientas de análisis de entrevistas en vídeo (HireVue, Retorio), plataformas de pruebas psicométricas, IA de gestión del rendimiento, algoritmos de planificación de plantillas. Para cada herramienta, determina si toma o informa decisiones sobre contratación, promoción, despido o asignación de tareas. Si la respuesta es afirmativa, es probablemente de alto riesgo bajo el Anexo III, punto 4. Documenta los hallazgos. Esta auditoría debe implicar a RRHH, Legal, IT y los proveedores de cada herramienta. Solicita a los proveedores su hoja de ruta de cumplimiento del Reglamento de IA y si proporcionarán la documentación técnica exigida por el art. 11.
- Registrar los sistemas de IA de alto riesgo en la base de datos europea de IA. El artículo 71 exige a los proveedores de sistemas de IA de alto riesgo que se registren en la base de datos gestionada por la Oficina Europea de IA. Los deployers también deben registrar determinados sistemas de alto riesgo. La base de datos es pública y consultable. No registrar un sistema constituye en sí mismo una infracción. Si utilizas un ATS de terceros como Workday o SAP SuccessFactors, verifica si el proveedor ha registrado el sistema. Para las herramientas desarrolladas internamente (modelos de puntuación de candidatos a medida, herramientas internas de seguimiento del rendimiento), tu empresa es el proveedor y debe registrarse como tal.
- Implementar un sistema de gestión de riesgos (art. 9). Establece un proceso iterativo y documentado de gestión de riesgos que cubra todo el ciclo de vida de cada sistema de IA de alto riesgo en RRHH. Incluye: definir la finalidad prevista y los escenarios de uso indebido previsibles, identificar y evaluar los riesgos para los derechos fundamentales (discriminación, privacidad, dignidad), implementar medidas técnicas y organizativas de mitigación, y realizar pruebas periódicas antes del despliegue y a lo largo de la vida operativa del sistema. El sistema de gestión de riesgos debe actualizarse cuando el sistema de IA sufra modificaciones sustanciales o cuando se identifiquen nuevos riesgos a través del monitoreo continuo.
- Garantizar una supervisión humana efectiva (art. 14). Los sistemas de IA de alto riesgo deben diseñarse y desplegarse de modo que las personas puedan supervisarlos, comprenderlos, intervenir en ellos y, en caso necesario, detenerlos. En RRHH específicamente: ningún rechazo de CV debe ser definitivo sin revisión humana, ninguna puntuación de entrevista debe determinar directamente una decisión de contratación sin que un reclutador la revise y pueda anularla, y el sistema debe proporcionar resultados explicables — no solo una puntuación, sino la base de esa puntuación. Documenta los procedimientos de supervisión humana por escrito. Forma a los reclutadores sobre cómo interpretar los resultados de la IA, cuáles son las limitaciones conocidas del sistema y cuándo y cómo anular las recomendaciones de la IA.
- Realizar una Evaluación de Impacto sobre los Derechos Fundamentales (art. 27). Los deployers de IA de alto riesgo en contextos de empleo deben evaluar el impacto sobre los derechos fundamentales antes del despliegue. La evaluación debe cubrir: no discriminación (art. 21 Carta UE de Derechos Fundamentales), privacidad y protección de datos (art. 8), dignidad (art. 1) y condiciones de trabajo justas (art. 31). Identifica los grupos protegidos que podrían verse afectados desproporcionadamente, los datos utilizados para el entrenamiento y la inferencia, el riesgo de proxies que correlacionen con características protegidas (código postal, nombres, centro educativo) y las medidas de mitigación. La evaluación completada debe notificarse a la AESIA. Involucra al comité de empresa donde sea legalmente requerido (art. 64.5.d Estatuto de los Trabajadores).
- Formar al personal de RRHH en alfabetización en IA (art. 4). El Reglamento de IA exige que todas las personas que gestionen la operación de sistemas de IA de alto riesgo tengan la alfabetización en IA suficiente para su función. Los reclutadores que utilizan herramientas de cribado de CVs deben entender cómo funcionan, qué datos utilizan, cuáles son sus limitaciones y tasas de error conocidas, y cómo detectar y corregir resultados problemáticos. La formación debe documentarse con fechas, asistentes y contenido cubierto. Incorpora la alfabetización en IA en tu plan anual de formación de RRHH y conserva los registros disponibles para auditoría.
- Mantener documentación técnica y registros (arts. 11–12). Los sistemas de IA de alto riesgo deben registrar automáticamente los logs durante todo el ciclo de vida. Como deployer, debes conservar estos logs durante al menos 6 meses (art. 12.1) y ponerlos a disposición de las autoridades nacionales cuando lo soliciten. Si utilizas un proveedor tercero, tu Acuerdo de Tratamiento de Datos debe incluir disposiciones sobre el acceso a los logs, la documentación técnica y los derechos de auditoría. Para las herramientas desarrolladas internamente, tu empresa mantiene directamente el expediente técnico (art. 11).
Documentación Necesaria
- Inventario de herramientas de IA en RRHH: listando todas las herramientas de IA, su función, clasificación de riesgo, nombre del proveedor y estado de cumplimiento del proveedor. Actualizado al menos anualmente.
- Cartas de cumplimiento del Reglamento de IA de cada proveedor: confirmación escrita de la hoja de ruta de cumplimiento, estado de registro en la base de datos de IA de la UE y compromiso de proporcionar documentación técnica del art. 11.
- Evaluación de Impacto sobre los Derechos Fundamentales (EIDF): completada para cada sistema de IA de alto riesgo en RRHH antes del despliegue, documentando grupos protegidos, riesgos de sesgo, medidas de mitigación y notificación a la AESIA.
- Documento de procedimiento de supervisión humana: describiendo exactamente cómo funciona la revisión humana para cada decisión de RRHH asistida por IA, quién es responsable, qué mecanismos de anulación existen y cómo se registran las anulaciones.
- Registros de formación en alfabetización en IA: fechas, asistentes, contenido cubierto y resultados de la evaluación para todo el personal de RRHH que opera sistemas de IA de alto riesgo.
- Confirmación de registro en la base de datos de IA de la UE: prueba del registro del sistema o confirmación de que el proveedor ha registrado y que tu despliegue está cubierto.
- Instrucciones de uso del art. 13 de cada proveedor: la documentación obligatoria que permite a los deployers entender y operar correctamente cada sistema de IA de alto riesgo.
Calendario de Aplicación
| Fecha | Obligación | Destinatarios | Observaciones |
|---|---|---|---|
| 1 ago 2024 | Entrada en vigor del Reglamento de IA | Todas las empresas | Inicio auditoría de herramientas de IA en RRHH. Plazo de 2 años para obligaciones alto riesgo. |
| 2 feb 2025 | Aplicación prácticas prohibidas | Todas las empresas | Prohibida la detección de emociones en el lugar de trabajo (art. 5.1.f). Acción inmediata requerida. |
| 2 ago 2025 | Obligaciones modelos GPAI | Proveedores IA (modelos fundacionales) | Afecta principalmente a los proveedores de IA, no a los deployers. Revisar cumplimiento de proveedores. |
| 2 ago 2026 | Plena aplicación obligaciones IA alto riesgo en RRHH | Todos los deployers | Cumplimiento pleno arts. 9–27. Inicio de aplicación por la AESIA en España. |
| 2 ago 2027 | Ámbito ampliado: productos Anexo I | Sectores regulados específicos | Relevancia limitada para RRHH en general. |
| 2 ago 2030 | Plazo adaptación sistemas heredados | Todos los deployers | Sistemas de IA de alto riesgo ya en el mercado antes de ago 2026 que no hayan sufrido modificaciones sustanciales. |
¿Tienes dudas sobre el cumplimiento del Reglamento de IA en RRHH? IgeraFincas responde citando el artículo exacto del Reglamento 2024/1689 y la normativa española aplicable (LOPDGDD, ET, AESIA). Descubre cómo →
Errores Frecuentes
- Asumir que el proveedor del ATS gestiona todo el cumplimiento. Los deployers tienen obligaciones independientes bajo el art. 26 con independencia del estado de cumplimiento del proveedor. Aunque tu proveedor haya registrado su sistema, tú como deployer debes igualmente completar la EIDF, implementar la supervisión humana, formar a tu plantilla en alfabetización en IA y conservar los logs. El cumplimiento del proveedor es necesario pero no suficiente. Solicita a cada proveedor de IA en RRHH una confirmación escrita de qué obligaciones del art. 26 gestiona él y cuáles recaen sobre tu organización.
- Creer que el cumplimiento del art. 22 del RGPD es suficiente. El Reglamento de IA añade obligaciones completamente nuevas sobre el RGPD — son acumulativas, no alternativas. El art. 22 del RGPD aborda las decisiones automatizadas individuales con efectos significativos y otorga a los candidatos el derecho a revisión humana y explicación. El Reglamento de IA añade sistemas de gestión de riesgos, documentación técnica, registro obligatorio, evaluaciones de impacto sobre derechos fundamentales y requisitos de alfabetización en IA. Una empresa que cumple íntegramente con el art. 22 del RGPD todavía necesita realizar un trabajo adicional sustancial para cumplir con el Reglamento de IA.
- Olvidar las herramientas de IA desarrolladas internamente. Los modelos de puntuación de candidatos a medida, los cuadros de mando internos de gestión del rendimiento con funcionalidades de IA o las herramientas de planificación de plantillas desarrolladas por el equipo de ciencia de datos propio están sujetos al Reglamento de IA como sistemas desarrollados internamente — tu empresa es a la vez proveedor y deployer. Estas herramientas a menudo reciben menos escrutinio de cumplimiento que los proveedores externos porque no hay un contrato externo que obligue a realizar la diligencia debida. Audita todas las herramientas internas de análisis de datos utilizadas en decisiones de RRHH.
- No consultar al comité de empresa. En España, el art. 64.5.d del Estatuto de los Trabajadores obliga a la empresa a informar y consultar al comité de empresa sobre la implantación y revisión de sistemas de organización y control del trabajo, incluidos los sistemas de IA que afectan a los empleados. Esta obligación es independiente del Reglamento de IA y su incumplimiento puede dar lugar a la impugnación del despliegue del sistema ante la jurisdicción social, con independencia del cumplimiento del Reglamento de IA.
Preguntas Frecuentes
¿Qué herramientas concretas de RRHH son de alto riesgo bajo el Reglamento de IA?
Cualquier herramienta de IA que tome o influya significativamente en decisiones sobre: contratación (cribado de CVs, puntuación de entrevistas, clasificación de candidatos), promoción, degradación, rescisión del contrato de trabajo, asignación de tareas basada en el comportamiento o el rendimiento, o decisiones salariales basadas en el resultado de la IA. Concretamente: HireVue (análisis de entrevistas en vídeo), Pymetrics (ahora Harver, pruebas psicométricas), Workday AI Recruiting, SAP SuccessFactors Talent Intelligence, la clasificación de candidatos por IA de LinkedIn Recruiter, IBM Watson Talent y herramientas similares. Las herramientas que solo ayudan a programar entrevistas, enviar correos de confirmación automáticos o publicar ofertas en varias bolsas de trabajo sin clasificar candidatos generalmente no son de alto riesgo bajo el Anexo III, punto 4.
¿Qué está prohibido de forma absoluta para la IA en RRHH bajo el art. 5 desde febrero de 2025?
El artículo 5.1.f prohíbe los sistemas de IA que infieran emociones de personas físicas en el lugar de trabajo y en instituciones educativas. Esto prohíbe el software de detección de emociones durante las entrevistas de trabajo — herramientas que afirman detectar entusiasmo, engaño, estrés o rasgos de personalidad a partir de expresiones faciales, microexpresiones, tono de voz o elección de palabras durante las entrevistas. La prohibición se aplica aunque el resultado se describa como una «evaluación de habilidades blandas» o una «puntuación de compromiso del candidato» en lugar de una clasificación emocional. Si aún utilizas detección de emociones en tu proceso de selección, ya eres no conforme desde el 2 de febrero de 2025 y estás expuesto a multas de hasta 35 millones de euros.
¿Sigue aplicándose el art. 22 del RGPD junto con el Reglamento de IA?
Sí, plenamente. El art. 22 del RGPD (derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado con efectos significativos) sigue aplicándose en paralelo al Reglamento de IA. En España, la LOPDGDD y la AEPD también tienen competencias en este ámbito. Para la IA en RRHH, esto significa: necesitas una base jurídica bajo el RGPD (normalmente interés legítimo o consentimiento para la IA de selección), una excepción del art. 22 (por ejemplo, que la decisión sea necesaria para la celebración de un contrato) o una revisión humana genuina, MÁS el cumplimiento de todas las obligaciones de gestión de riesgos del Reglamento de IA. Documenta cómo tu proceso de RRHH satisface simultáneamente ambos marcos normativos.
¿Cuáles son las sanciones por incumplimiento del Reglamento de IA en España?
El Reglamento de IA establece un régimen sancionador escalonado. Infracciones de las prácticas prohibidas (art. 5), incluida la detección de emociones en el lugar de trabajo: hasta 35 millones de euros o el 7% del volumen de negocios mundial anual total, lo que sea mayor. Infracciones de las obligaciones para sistemas de alto riesgo (arts. 9–27) — no implementar gestión de riesgos, supervisión humana, EIDF o formación en alfabetización en IA: hasta 15 millones de euros o el 3% del volumen de negocios. Proporcionar información incorrecta o engañosa a las autoridades nacionales: hasta 7,5 millones de euros o el 1% del volumen de negocios. En España, la AESIA será la responsable de investigar y aplicar estas sanciones a partir de agosto de 2026.
¿Tienen las pymes obligaciones más ligeras bajo el Reglamento de IA?
Las pymes y startups reciben cierto alivio procedimental: requisitos de documentación técnica reducidos (art. 11.2 permite un expediente técnico simplificado), acceso prioritario a los sandbox regulatorios (art. 57) y un enfoque de aplicación proporcional articulado en las directrices de la Oficina Europea de IA. Sin embargo, las obligaciones sustantivas — sistema de gestión de riesgos (art. 9), supervisión humana (art. 14), evaluación de impacto sobre derechos fundamentales (art. 27), alfabetización en IA (art. 4), logging (art. 12) — se aplican a todas las empresas que despliegan IA de alto riesgo, independientemente de su tamaño.
¿Cuándo comienza realmente la aplicación para la IA de RRHH en España?
Las prácticas prohibidas (art. 5) — incluida la detección de emociones en el lugar de trabajo — se aplican desde el 2 de febrero de 2025. Si aún utilizas estas herramientas, ya no cumples la normativa. Las obligaciones de IA de alto riesgo (arts. 9–27) se aplican a partir del 2 de agosto de 2026: para esta fecha debes tener registrados tus sistemas, implementada la gestión de riesgos, completada tu EIDF, formado a tu personal y toda la documentación lista. En España, la AESIA comenzará la aplicación activa a partir de agosto de 2026. Para los sistemas de IA de alto riesgo ya en el mercado antes de agosto de 2026 que no hayan sufrido modificaciones sustanciales, hay un período transitorio adicional de 2 años (hasta agosto de 2028) para adaptarse.
¿Quieres automatizar las consultas de cumplimiento del Reglamento de IA en RRHH? IgeraFincas es el chatbot RAG que responde citando el artículo exacto del Reglamento 2024/1689, la LOPDGDD y el Estatuto de los Trabajadores. Solicita demo gratuita →
Conclusión
El Reglamento de IA de la UE representa el cambio más significativo en el cumplimiento de la tecnología de RRHH desde el RGPD. A partir de agosto de 2026, toda empresa que utilice IA para cribar CVs, puntuar entrevistas en vídeo, asignar tareas basándose en datos de rendimiento o monitorizar el comportamiento de los empleados debe haber implementado un programa de cumplimiento completo que incluya gestión de riesgos, supervisión humana, evaluación de impacto sobre los derechos fundamentales, formación en alfabetización en IA y registro de sistemas. Las obligaciones no son opcionales y la exposición a sanciones es sustancial: hasta 15 millones de euros o el 3% del volumen de negocios mundial por infracciones de las normas sobre IA de alto riesgo. La buena noticia es que el marco de cumplimiento es predecible y manejable con la preparación adecuada: audita tus herramientas de IA en RRHH ahora, involucra a tus proveedores en sus hojas de ruta de cumplimiento del Reglamento de IA, elabora tu documentación, forma a tus reclutadores, consulta al comité de empresa y completa tu EIDF antes del plazo de agosto de 2026.