Obligaciones del Reglamento de IA de la UE para la IA utilizada en selección de personal, supervisión de empleados y evaluación del rendimiento. La categoría 4 del Anexo III abarca todos los sistemas de IA en el ámbito laboral.
Por qué el Reglamento de IA de la UE es central para la tecnología de RRHH
La inteligencia artificial se ha integrado de forma profunda en las prácticas laborales de toda la UE — desde el análisis automatizado de currículos en los sistemas de seguimiento de candidatos hasta los paneles de rendimiento en tiempo real y los análisis de comportamiento en los centros de atención al cliente. El Reglamento de IA de la UE, en vigor desde el 1 de agosto de 2024, con obligaciones aplicables a los sistemas de IA de alto riesgo a partir del 2 de agosto de 2026, considera la IA en el ámbito laboral como un área de sensibilidad en materia de derechos fundamentales que justifica el mayor nivel de escrutinio regulatorio.
El Anexo III, categoría 4 del Reglamento identifica los sistemas de IA utilizados en el empleo, la gestión de trabajadores y el acceso al trabajo por cuenta propia como de alto riesgo, en tres subcategorías diferenciadas: selección y contratación de personal (cat. 4(a)), decisiones sobre promoción, asignación de tareas y supervisión de obligaciones contractuales (cat. 4(b)), y supervisión en tiempo real de los estados emocionales o conductuales de los trabajadores (cat. 4(c)). Esta clasificación es categórica — no existe umbral de materialidad, ni excepción para despliegues de pequeña escala, ni distinción basada en si la herramienta es propia o adquirida a un proveedor externo.
El sector se sitúa en la intersección de tres marcos regulatorios: el Reglamento de IA, el GDPR (en particular el Art. 22 sobre la toma de decisiones automatizada) y el Derecho laboral nacional — incluidos los derechos de codecisión sobre la tecnología en el lugar de trabajo. El cumplimiento exige un enfoque coordinado que abarque los departamentos jurídico, de RRHH, de TI y la participación de los comités de empresa.
Casos de uso de alto riesgo — Todos los sistemas de la categoría 4 del Anexo III
Selección y Contratación de Personal (Cat. 4(a))
Los sistemas de IA utilizados en el ciclo de selección de personal son de alto riesgo sin excepción. Esto incluye:
- Herramientas de cribado de CV y currículos integradas en plataformas ATS (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). La lógica de clasificación, preselección y descarte impulsada por IA se encuadra directamente en la cat. 4(a).
- Herramientas de análisis de entrevistas en vídeo que evalúan expresiones faciales, tono de voz, patrones de habla o microexpresiones para inferir la idoneidad de los candidatos o sus rasgos de personalidad (p. ej., herramientas de tipo HireVue). Estas pueden activar asimismo las obligaciones de transparencia del Art. 50(2) si incorporan reconocimiento de emociones.
- Algoritmos de publicidad laboral dirigida que determinan a qué personas se muestran ofertas de empleo basándose en características inferidas — incluidas la edad, el género o indicadores geográficos — están explícitamente enumerados en la cat. 4(a) y presentan un riesgo particular de segmentación discriminatoria.
Gestión y Supervisión de la Plantilla (Cat. 4(b))
La IA utilizada para gestionar la relación laboral tras la contratación es igualmente de alto riesgo:
- IA de evaluación del rendimiento que genera puntuaciones, calificaciones o clasificaciones utilizadas para fundamentar decisiones de promoción, bonus o despido.
- Algoritmos de asignación de tareas en plataformas de la economía de plataformas (Uber, Deliveroo, Amazon Flex) que asignan trabajo, establecen tarifas y determinan la desactivación. Estos son de alto riesgo conforme a la cat. 4(b) con independencia de la clasificación contractual del trabajador.
- Software de supervisión de productividad que agrega actividad de teclado, uso de aplicaciones, metadatos de comunicaciones o datos de localización para generar métricas de rendimiento. Cuando sus resultados influyen en decisiones contractuales, resulta aplicable la cat. 4(b).
Supervisión Emocional y Conductual en Tiempo Real (Cat. 4(c))
La categoría 4(c) del Anexo III está específicamente dirigida a los sistemas que supervisan el estado emocional o conductual de los trabajadores en tiempo real. Los despliegues habituales en su ámbito de aplicación incluyen:
- Analítica de emociones en centros de llamadas que evalúa el sentimiento del interlocutor y del agente durante las llamadas en curso y genera alertas de rendimiento.
- Plataformas biométricas de bienestar que infieren niveles de estrés, fatiga o implicación a partir de señales fisiológicas o conductuales.
- Supervisión de la atención y el compromiso durante el trabajo remoto mediante inferencia basada en cámara web.
Estos sistemas activan adicionalmente el Art. 50(2): cualquier usuario responsable del despliegue que utilice el reconocimiento de emociones sobre trabajadores debe notificar a estos que están sujetos al sistema. Esta obligación de notificación se aplica con independencia de si se ha cumplido el calendario general de cumplimiento para sistemas de alto riesgo.
Obligaciones del Proveedor frente al Usuario Responsable del Despliegue — La Posición del Empleador
En virtud del Reglamento de IA, la mayoría de los empleadores ocupan el rol de usuario responsable del despliegue — adquieren sistemas de IA de alto riesgo de los proveedores (fabricantes de software) y los despliegan en sus procesos de RRHH. La distinción entre proveedor y usuario responsable del despliegue es jurídicamente relevante, dado que las obligaciones difieren.
Obligaciones del Proveedor (Responsabilidades del Fabricante de Software)
Los proveedores — los fabricantes de software de RRHH — deben, antes de comercializar sistemas de alto riesgo en el mercado de la UE:
- Establecer y mantener un sistema de gestión de la calidad (Art. 9) que abarque la gestión de riesgos, la gobernanza de datos, la documentación técnica y el seguimiento posterior a la comercialización.
- Preparar documentación técnica conforme al Anexo IV que acredite el diseño del sistema, su finalidad prevista, las métricas de rendimiento, los datos de entrenamiento y las limitaciones conocidas.
- Llevar a cabo una evaluación de conformidad conforme al Art. 43 y registrar el sistema en la base de datos de la UE (Art. 49).
- Colocar el marcado CE y emitir una declaración UE de conformidad.
- Facilitar a los usuarios responsables del despliegue instrucciones de uso (Art. 13) que incluyan información sobre las limitaciones, los perfiles de usuario previstos y los requisitos de supervisión.
Obligaciones del Usuario Responsable del Despliegue (Responsabilidades del Empleador)
Los empleadores deben:
- Verificar el cumplimiento del proveedor antes del despliegue: comprobar el marcado CE, la declaración de conformidad y la adecuación de las instrucciones de uso.
- Implantar el sistema de acuerdo con las instrucciones: los usuarios responsables del despliegue no pueden utilizar el sistema para fines distintos de su uso previsto declarado (Art. 25(1)).
- Garantizar una supervisión humana efectiva (Art. 25(2)): los empleados designados para supervisar los resultados de la IA deben tener la autoridad, la competencia técnica y el tiempo necesarios para comprender los resultados del sistema y anularlos cuando proceda. Una revisión humana meramente nominal — una validación mediante casilla de verificación sin evaluación genuina — no satisface este requisito.
- Realizar una evaluación de impacto sobre los derechos fundamentales (FRIA) (Art. 27): obligatoria para los usuarios del sector público; altamente recomendada para los empleadores del sector privado que despliegan sistemas de la cat. 4, en particular cuando los resultados afectan a características protegidas.
- Supervisar los riesgos posteriores al despliegue: si un usuario responsable del despliegue identifica riesgos que el proveedor no había previsto, debe notificarlo al proveedor y, cuando proceda, a la autoridad de vigilancia del mercado.
- Suspender el uso si se producen incidentes graves o si el sistema resulta no conforme en su funcionamiento.
Interacción con el Artículo 22 del GDPR y el Derecho Laboral
Artículo 22 del GDPR — Toma de Decisiones Automatizada
El Art. 22 del GDPR permanece plenamente operativo junto al Reglamento de IA y se aplica directamente a la IA en RRHH. Prohíbe las decisiones basadas únicamente en el tratamiento automatizado cuando dichas decisiones produzcan efectos jurídicos o igualmente significativos sobre el interesado. En el ámbito laboral, las siguientes decisiones se encuentran inequívocamente dentro de su ámbito de aplicación: contratación y descarte, despido, ascenso y degradación, determinación salarial y medidas disciplinarias.
El cumplimiento requiere:
- Intervención humana efectiva antes de cualquier decisión de consecuencias relevantes — el revisor humano debe tener acceso a los datos y la lógica subyacentes, no únicamente a una recomendación resumida.
- Derecho a obtener revisión humana de cualquier decisión automatizada a petición del interesado, con capacidad de reconsideración genuina.
- Una base jurídica para el tratamiento conforme al Art. 6 y, cuando se traten datos de categorías especiales (datos de salud, origen étnico, datos biométricos inferidos a partir del análisis facial), conforme al Art. 9.
El Reglamento de IA y el GDPR son complementarios y no se excluyen mutuamente. El Art. 2(7) del Reglamento de IA confirma que se aplica sin perjuicio del GDPR. Los empleadores deben cumplir ambos regímenes simultáneamente.
Derecho Laboral Nacional — Comités de Empresa y Codecisión
En varios Estados miembros de la UE, el Derecho laboral nacional confiere derechos de codecisión sobre la tecnología en el lugar de trabajo que se aplican a los sistemas de IA con independencia del Reglamento de IA:
- Alemania — Betriebsverfassungsgesetz §87(1) n.º 6: el comité de empresa tiene un derecho vinculante de codecisión sobre la introducción de dispositivos técnicos diseñados para supervisar el comportamiento o el rendimiento de los empleados. El despliegue de herramientas de IA de supervisión o evaluación sin el acuerdo previo del comité de empresa puede impugnarse ante el tribunal laboral (Arbeitsgericht) y ser suspendido cautelarmente.
- Países Bajos — Wet op de ondernemingsraden (WOR) Art. 27: el ondernemingsraad tiene derechos de consentimiento sobre los sistemas de personal y los mecanismos de supervisión.
- Austria — Arbeitsverfassungsgesetz §96: codecisión vinculante sobre las medidas de supervisión que afecten a la dignidad personal.
- Francia — Code du Travail L. 2312-38: el Comité Social et Économique debe ser informado y consultado antes del despliegue de herramientas automatizadas que afecten a las condiciones de trabajo.
Los derechos de los comités de empresa suelen requerir notificación previa, documentación sobre el funcionamiento del sistema y, en muchos casos, un acuerdo formal o un convenio de empresa (Betriebsvereinbarung) antes del despliegue. Estas obligaciones se activan antes del calendario de cumplimiento del Reglamento de IA y no pueden aplazarse.
La Directiva 2002/14/CE sobre información y consulta de los trabajadores proporciona asimismo un marco para los comités de empresa europeos de grupos multinacionales que despliegan herramientas de IA en varios Estados miembros.
Aplicación — Autoridades de Protección de Datos, Organismos de Igualdad e Inspecciones de Trabajo
La aplicación de las obligaciones del Reglamento de IA en el sector de RRHH implicará a varias autoridades competentes:
- Autoridades de Protección de Datos (APD): en muchos Estados miembros, la designación como principal autoridad de vigilancia del mercado recaerá en la APD o estará vinculada a ella. Las APD tienen competencia concurrente en virtud del Art. 22 del GDPR para las infracciones relativas a la toma de decisiones automatizada. Las directrices del Comité Europeo de Protección de Datos (EDPB) sobre IA y empleo constituyen la interpretación autorizada a nivel de la UE.
- Organismos nacionales de igualdad: cuando los sistemas de IA produzcan resultados discriminatorios en la selección o la promoción — por ejemplo, impacto desproporcionado sobre mujeres, minorías étnicas o trabajadores de mayor edad — los organismos de igualdad (p. ej., ECRI, el Défenseur des droits, los miembros de Equinet) tienen poderes de investigación y de aplicación en virtud de las Directivas de Igualdad de Trato (2000/43/CE, 2000/78/CE, 2006/54/CE).
- Inspecciones de trabajo: en los Estados miembros con regímenes sólidos de inspección laboral, los inspectores pueden investigar las infracciones relacionadas con la IA en materia de condiciones de trabajo, limitaciones a la supervisión y derechos de los comités de empresa. Francia (DREETS), Alemania (Gewerbeaufsicht) y España (Inspección de Trabajo) son ejemplos de organismos de aplicación activos.
Las sanciones previstas en el Reglamento de IA alcanzan 30 millones de euros o el 6 % del volumen de negocio anual mundial para las prácticas prohibidas, y 15 millones de euros o el 3 % del volumen de negocio para otras infracciones de alto riesgo. Las multas del GDPR conforme al Art. 83 se aplican de forma acumulativa. El riesgo reputacional y el litigio por parte de los empleados en virtud del Derecho laboral nacional representan una exposición adicional.
Hoja de Ruta de Cumplimiento para Profesionales de RRHH
Un programa de cumplimiento estructurado para los empleadores que despliegan IA en RRHH debe abordar los siguientes aspectos de forma secuencial:
1. Inventario de sistemas de IA: catalogar todas las herramientas de IA utilizadas a lo largo del ciclo de vida laboral — selección, incorporación, gestión del rendimiento, planificación de la plantilla y salida. Para cada herramienta, identificar la categoría del Anexo III y confirmar la clasificación de alto riesgo.
2. Diligencia debida con los proveedores: antes del 2 de agosto de 2026 (o en la siguiente renovación del contrato), exigir a cada proveedor: marcado CE, declaración UE de conformidad, resumen de la documentación técnica e instrucciones de uso. Los proveedores que no puedan facilitarlos deben ser tratados como no conformes.
3. Consulta al comité de empresa: iniciar los procedimientos de codecisión o consulta en virtud del Derecho nacional aplicable para todos los sistemas de IA que aún no estén sujetos a un acuerdo formal. Documentar los resultados en un convenio de empresa o instrumento equivalente.
4. Auditoría del Art. 22 del GDPR: identificar todas las decisiones de RRHH con efectos jurídicos o significativos y verificar que ninguna decisión descanse únicamente en resultados automatizados. Implantar protocolos de supervisión humana con documentación acreditativa de la competencia del revisor y de los registros de intervención.
5. Evaluación de impacto sobre los derechos fundamentales: realizar la FRIA conforme al Art. 27 para todos los despliegues de la cat. 4 del Anexo III. Para los empleadores del sector público, esta evaluación es obligatoria; para los del sector privado, constituye el estándar esperado de diligencia debida y una defensa frente a acciones de aplicación.
6. Obligaciones de transparencia: implantar la notificación a los empleados prevista en el Art. 50(2) para cualquier sistema de reconocimiento de emociones. Garantizar que los candidatos sean informados del cribado asistido por IA conforme a los requisitos de transparencia del GDPR (Arts. 13–14).
7. Capacidad de supervisión humana: verificar que el personal designado para revisar los resultados de la IA en RRHH disponga de autoridad genuina para anular las recomendaciones, tiempo suficiente para llevar a cabo una revisión efectiva y formación documentada adecuada a la complejidad del sistema.
8. Procedimientos de respuesta ante incidentes: establecer procedimientos para el registro, la investigación y la notificación de incidentes graves relacionados con sistemas de IA en RRHH, en consonancia con las obligaciones del proveedor previstas en el Art. 73, trasladadas a los usuarios responsables del despliegue mediante disposiciones contractuales.
El cumplimiento en este sector no es un proyecto de duración limitada. La combinación de las obligaciones del Reglamento de IA, la evolución de las directrices de las APD sobre el Art. 22 del GDPR y la participación activa de los comités de empresa exige una estructura de gobernanza continua con responsabilidad claramente asignada dentro de las funciones de RRHH, jurídica y de protección de datos.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sí. El **Anexo III, categoría 4(a)** enumera explícitamente la IA utilizada para la contratación y selección — incluido el cribado de currículos, la clasificación de candidaturas y la publicidad laboral dirigida — como de alto riesgo. No existe umbral de minimis alguno. Cualquier herramienta de cribado integrada en un ATS y desplegada en la UE está sujeta al conjunto completo de obligaciones de alto riesgo previstas en los **Art. 9–15** y **Art. 25–27**, con independencia del tamaño del proveedor o de la sofisticación del modelo.
En Alemania, el **Betriebsverfassungsgesetz §87(1) n.º 6** otorga a los comités de empresa derechos vinculantes de codecisión sobre los dispositivos técnicos de vigilancia, lo que incluye los sistemas de IA que supervisan el comportamiento o el rendimiento de los empleados. Derechos de consulta equivalentes se aplican en los Países Bajos (OR), Austria (Betriebsrat) y Francia (Comité Social et Économique). El incumplimiento de la exigencia de acuerdo previo puede hacer que el despliegue sea ilícito conforme al Derecho laboral nacional, con independencia del cumplimiento del Reglamento de IA.
El **Art. 22 del GDPR** prohíbe las decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o igualmente significativos sobre las personas. En el ámbito de RRHH, las decisiones de contratación, despido y promoción se encuentran claramente dentro de su ámbito de aplicación. El Reglamento de IA no sustituye al Art. 22 — añade obligaciones que se superponen a él. Los empleadores deben garantizar una **revisión humana efectiva** antes de cualquier decisión de consecuencias relevantes, mantener documentación de dicha revisión y asegurarse de que el revisor humano disponga de la competencia y la autoridad necesarias para anular el resultado de la IA.
La IA de reconocimiento de emociones no está prohibida en contextos de selección, pero el **Art. 50(2)** del Reglamento de IA impone una obligación de transparencia de carácter obligatorio: los usuarios responsables del despliegue deben informar a las personas cuando estén sujetas a un sistema de reconocimiento de emociones. Además, dado que tales sistemas constituyen IA de alto riesgo conforme a la categoría 4(a) del Anexo III, se aplican todos los requisitos de alto riesgo — evaluación de conformidad, documentación técnica, supervisión humana y evaluación de impacto sobre los derechos fundamentales. La validez científica del reconocimiento de emociones en la selección de personal es ampliamente cuestionada, lo que genera preocupaciones adicionales de proporcionalidad bajo el GDPR.
Los empleadores son **usuarios responsables del despliegue** en virtud del Reglamento de IA (**Art. 3(4)**) y tienen obligaciones específicas conforme a los **Art. 25–27**. Deben: verificar que el proveedor ha facilitado una declaración de conformidad, documentación técnica conforme a la normativa de la UE e instrucciones de uso; implantar el sistema de acuerdo con dichas instrucciones; garantizar que el personal designado para la supervisión humana tenga la autoridad, la competencia y el tiempo necesarios para intervenir; llevar a cabo una **evaluación de impacto sobre los derechos fundamentales** (obligatoria para los usuarios del sector público; recomendada para el sector privado); y suspender el uso si surgen riesgos. Los usuarios responsables del despliegue no pueden eludir las restricciones del proveedor ni utilizar el sistema para fines que excedan su uso previsto.
Sí. El **Anexo III, categoría 4(b)** cubre la IA utilizada para la asignación de tareas y la supervisión de las obligaciones contractuales de los trabajadores, lo que abarca directamente los sistemas de gestión algorítmica empleados por plataformas de la economía de plataformas como las de reparto, transporte de pasajeros y servicios bajo demanda. Estos sistemas son de alto riesgo. Los trabajadores de estas plataformas tienen derecho a una supervisión humana efectiva de las decisiones que afecten a su acceso al trabajo, a las tarifas aplicadas y a la desactivación de su cuenta.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.