Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE para equipos de RR. HH.: reglas de alto riesgo, herramientas prohibidas y deberes del responsable del despliegue

Industry Guide10 March 2026· 14 min de lectura

La Ley de IA de la UE para equipos de RR. HH.: herramientas de alto riesgo en virtud del Anexo III, punto 4, la prohibición del reconocimiento de emociones (Art. 5), los deberes del responsable del despliegue y el plazo del 2 de diciembre de 2027.

RR. HH. es una de las funciones más expuestas de cualquier organización en virtud de la Ley de IA de la UE. El Anexo III enumera explícitamente la IA de empleo y de gestión de los trabajadores como de alto riesgo — y una categoría de herramienta de RR. HH. no solo es de alto riesgo, sino que está directamente prohibida. Si su empresa despliega herramientas algorítmicas de contratación, software de supervisión del rendimiento o cualquier IA que afecte a la vida diaria de los trabajadores, ya es una parte regulada en virtud del Reglamento (UE) 2024/1689.

Las obligaciones que se le aplican como empleador dependen de si usted desarrolla la herramienta (proveedor, Artículo 16) o la compra y la despliega (responsable del despliegue, Artículo 26). La mayoría de las empresas son responsables del despliegue. Las obligaciones del responsable del despliegue son más ligeras que la pila del proveedor, pero no son ligeras — y dos de ellas son específicas del lugar de trabajo y se pasan por alto con frecuencia.

¿Qué sistemas de IA de RR. HH. son de alto riesgo?

El Artículo 6 establece las reglas de clasificación. Un sistema de IA es de alto riesgo si entra dentro de uno de los ocho ámbitos enumerados en el Anexo III. Para RR. HH., ese es el Anexo III, punto 4: empleo, gestión de los trabajadores y acceso al autoempleo.

El punto 4 tiene dos subcategorías:

Punto 4, letra a) — Contratación y selección. Sistemas utilizados para insertar anuncios de empleo dirigidos, filtrar o clasificar solicitudes, o evaluar a candidatos durante el proceso de contratación. Una herramienta de análisis de currículos que clasifica a los solicitantes antes de que ningún humano los vea es un sistema 4, letra a), de manual. También lo es una herramienta que predice la «idoneidad del candidato» a partir de entrevistas en vídeo.

Punto 4, letra b) — Decisiones en el empleo. Sistemas utilizados para tomar o sustentar decisiones sobre promoción, despido y asignación de tareas cuando la asignación se basa en la supervisión del comportamiento o de los rasgos personales. Los sistemas utilizados para supervisar el rendimiento y el comportamiento de los trabajadores también encajan aquí.

El filtro del Artículo 6, apartado 3, sí permite a un proveedor documentar que un sistema concreto del Anexo III no plantea un riesgo significativo de perjuicio y que, por tanto, no debe tratarse como de alto riesgo. En la práctica, esta exención es una válvula de escape estrecha — todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de ese filtro. La mayoría de las herramientas de RR. HH. que clasifican, puntúan o ordenan a personas elaboran perfiles por definición.

Una línea infranqueable: el reconocimiento de emociones en el lugar de trabajo está prohibido

El Artículo 5, apartado 1, letra f), prohíbe los sistemas de IA que infieren las emociones de personas físicas en el lugar de trabajo y en los centros educativos — con excepciones limitadas para fines médicos y de seguridad. No se trata de una clasificación de alto riesgo con papeleo adicional. Es una prohibición, en vigor desde el 2 de febrero de 2025.

Cualquier herramienta que lea expresiones faciales, analice patrones de voz o afirme detectar niveles de estrés o de compromiso durante la jornada laboral — incluidas algunas herramientas de supervisión de la productividad y de analítica de videorreuniones — entra directamente en el Artículo 5, apartado 1, letra f). Desplegar tal sistema, o seguir operando uno ya en funcionamiento, expone a su organización a multas de hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3).

Si actualmente utiliza alguna herramienta comercializada como detectora del «sentir de los empleados», de «señales de compromiso» o del «estado emocional» a partir de audio o vídeo, revísela de inmediato frente a esta prohibición.

Qué significa ser responsable del despliegue: Artículo 26

Cuando un empleador compra y utiliza una herramienta de IA de RR. HH. de un tercero, el Reglamento trata a ese empleador como responsable del despliegue en virtud del Artículo 26. Los proveedores cargan con las obligaciones técnicas más pesadas — sistema de gestión de riesgos (Artículo 9), documentación técnica (Artículo 11), evaluación de la conformidad (Artículo 43). Los responsables del despliegue no pueden externalizar la responsabilidad por completo, pero sus obligaciones son más operativas.

Las dos obligaciones que los equipos de RR. HH. pasan por alto con mayor frecuencia:

Registros — Artículo 26. Cuando esté dentro del control del responsable del despliegue, debe conservar los registros del funcionamiento del sistema durante al menos seis meses. Para una herramienta de contratación, esto significa conservar un registro de qué solicitantes fueron filtrados, puntuados y con qué resultado — no solo las decisiones finales. Esto es prueba de auditoría, no algo opcional.

Notificación a los trabajadores — Artículo 26. Antes de desplegar un sistema de IA de alto riesgo en el lugar de trabajo, debe informar a los representantes de los trabajadores. Si su jurisdicción cuenta con un comité de empresa o un órgano de cogestión, ese órgano debe ser informado antes de que el sistema entre en funcionamiento. Es una condición previa legal, no una tarea de comunicación.

Más allá de esas dos, el Artículo 26 también exige que los responsables del despliegue: sigan las instrucciones de uso del proveedor; garanticen que la supervisión humana esté realmente implantada (Artículo 14); supervisen los problemas en el funcionamiento; y comuniquen los incidentes graves o las anomalías de funcionamiento al proveedor.

Supervisión humana en virtud del Artículo 14

El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen y utilicen de modo que los humanos puedan supervisarlos eficazmente, comprender sus resultados e intervenir o anularlos cuando sea necesario. Como responsable del despliegue, no puede limitarse a activar una herramienta de contratación y aceptar sus clasificaciones. Alguien con la autoridad y la competencia adecuadas debe revisar los resultados, poder cuestionarlos y tomar la decisión final.

En la práctica, esto significa que su proceso de RR. HH. necesita un paso documentado en el que un humano revise los resultados algorítmicos antes de que se rechace a un candidato o se sancione a un trabajador. Una revisión de mero trámite no satisface el Artículo 14. La supervisión debe ser sustantiva.

¿Necesita su organización una EIDF?

El Artículo 27 exige que determinados responsables del despliegue completen una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de desplegar un sistema de IA de alto riesgo. La obligación de la EIDF se aplica a:

  • Organismos públicos
  • Empresas privadas que desplieguen sistemas de evaluación de la solvencia (Anexo III, punto 5, letra b))
  • Empresas privadas que desplieguen sistemas de evaluación de riesgos de seguros de salud o de vida (Anexo III, punto 5, letra c))

La mayoría de los empleadores privados que despliegan herramientas de RR. HH. no deben automáticamente una EIDF en virtud del Artículo 27. La obligación no se aplica al Anexo III, punto 4 (IA de empleo) para los responsables del despliegue del sector privado. Esta es una afirmación errónea frecuente — el Artículo 27 es preciso sobre a quién abarca, y los empleadores privados no están dentro del ámbito de aplicación simplemente por utilizar herramientas de contratación o de supervisión del rendimiento.

Dicho esto, el artículo 22 del RGPD (que se aplica desde 2018) otorga a las personas el derecho a no ser objeto de decisiones puramente automatizadas con efectos significativos. Si su sistema de RR. HH. toma decisiones sin una revisión humana significativa, el artículo 22 del RGPD puede exigirle ya que actúe. Estos dos marcos coexisten; ninguno desplaza al otro.

Comité de empresa y Derecho de cogestión

Los derechos del comité de empresa en Alemania, Austria, los Países Bajos y otras jurisdicciones de cogestión a menudo otorgan a los representantes de los trabajadores el derecho a ser consultados — o incluso a vetar — las nuevas herramientas de supervisión o de selección. El deber de notificación del Artículo 26 de la Ley de IA de la UE refuerza esos derechos nacionales en lugar de sustituirlos. Una multinacional que despliegue una herramienta de contratación con IA en varios mercados de la UE puede enfrentarse a requisitos procedimentales distintos país por país, además del deber de base del Artículo 26.

Riesgo de discriminación y RGPD

Los sistemas de IA de RR. HH. presentan un riesgo de discriminación específico en el que los reguladores y los tribunales ya se habían centrado antes de que existiera la Ley de IA. Un algoritmo de clasificación de candidatos entrenado con datos históricos de contratación puede codificar sesgos históricos — contra las mujeres, los solicitantes de mayor edad o los grupos étnicos minoritarios — y reproducirlos a escala. Los requisitos de la Ley de IA de la UE en materia de gobernanza de datos (Artículo 10 a nivel del proveedor) y de supervisión humana (Artículo 14 a nivel del responsable del despliegue) están diseñados en parte para abordar esto.

Los derechos de decisión automatizada del artículo 22 del RGPD son una capa paralela. Cuando el sistema de IA de un empleador produce efectos significativos en las personas únicamente mediante el tratamiento automatizado, las personas afectadas tienen derecho a solicitar una revisión humana, a expresar su punto de vista y a impugnar el resultado. Su proceso de supervisión humana del Artículo 14 y sus salvaguardias del artículo 22 del RGPD deben diseñarse conjuntamente.

El plazo

Las obligaciones de IA de alto riesgo en virtud del Anexo III, punto 4, se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos. En virtud del Ómnibus Digital acordado entre el Parlamento y el Consejo en mayo de 2026, esta fecha sustituyó al plazo original del 2 de agosto de 2026. Los 16 meses adicionales son tiempo de preparación real, no un indulto: reunir seis meses de registros de auditoría, implantar procedimientos sustantivos de supervisión humana, notificar a los comités de empresa y revisar la documentación de conformidad de cada proveedor lleva tiempo.

La prohibición del reconocimiento de emociones (Artículo 5, apartado 1, letra f)) ya está en vigor. Se aplica desde el 2 de febrero de 2025. No hay periodo transitorio para esa obligación.

Cómo ayuda Confir

El motor de clasificación de Confir pasa cada herramienta de RR. HH. que registre por la lógica del Anexo III, punto 4 — respondiendo a preguntas en lenguaje sencillo sobre qué decisiones influye el sistema, si elabora perfiles de personas y si la exención del Artículo 6, apartado 3, podría aplicarse de forma creíble. El resultado es un nivel de riesgo determinado y un conjunto de obligaciones acotado.

Como responsable del despliegue, su alcance es de 2 a 3 controles: verificación de la supervisión humana (Artículo 14), configuración de la conservación de registros (Artículo 26) y — si es un organismo público o opera en el ámbito del crédito o los seguros — la EIDF del Artículo 27. Confir ejecuta esa evaluación en un único flujo de trabajo estructurado, genera la documentación y almacena la pista de auditoría.

Los proveedores que desarrollan herramientas de IA de RR. HH. ven la pila completa: gestión de riesgos (Artículo 9), documentación técnica (Artículo 11 / Anexo IV) y la vía de conformidad (Artículo 43). Ambos roles parten del mismo paso de clasificación.

Preguntas frecuentes

¿Qué herramientas concretas de RR. HH. se clasifican como de alto riesgo en virtud del Anexo III?

El Anexo III, punto 4, letra a), abarca los sistemas de IA utilizados para la contratación y la selección: la inserción de anuncios de empleo dirigidos basada en la elaboración de perfiles individuales, el filtrado de solicitudes, la clasificación de solicitantes y la evaluación de candidatos. El punto 4, letra b), abarca la IA en el empleo: las herramientas que sustentan decisiones de promoción o despido, los sistemas que asignan tareas mediante la supervisión del comportamiento o de los rasgos personales, y las herramientas que supervisan el rendimiento y la conducta. Si su sistema hace cualquiera de estas cosas, la presunción de partida es de alto riesgo. La exención del Art. 6, apdo. 3, puede rebatir esa presunción, pero solo mediante una evaluación documentada — y todo sistema que elabore perfiles de personas es siempre de alto riesgo.

¿Está prohibido el reconocimiento de emociones en el trabajo en virtud de la Ley de IA de la UE?

Sí. El Artículo 5, apartado 1, letra f), prohíbe los sistemas de IA que infieren los estados emocionales de los empleados durante el trabajo — a partir de expresiones faciales, tono de voz o señales similares — salvo que se utilicen estrictamente con fines médicos o de seguridad. Esta prohibición está en vigor desde el 2 de febrero de 2025 y conlleva el nivel sancionador más alto: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial (Artículo 99, apartado 3). Las herramientas comercializadas como medidoras del «compromiso de los empleados» o de su «sentir» mediante análisis de audio o vídeo entran directamente en esta prohibición.

Como empleador que despliega una herramienta de IA de RR. HH. de un tercero, ¿cuáles son mis obligaciones concretas?

Usted es responsable del despliegue en virtud del Artículo 26. Sus deberes esenciales: seguir las instrucciones del proveedor para el sistema; implantar una supervisión humana genuina de modo que el personal pueda comprender, cuestionar y anular los resultados (Artículo 14); conservar los registros operativos durante al menos seis meses cuando ello esté dentro de su control (Artículo 26); e informar a los representantes de los trabajadores antes de que el sistema entre en funcionamiento en el lugar de trabajo (Artículo 26). También debe supervisar el rendimiento y comunicar las anomalías de funcionamiento graves al proveedor.

¿Necesitan los empleadores privados llevar a cabo una evaluación de impacto relativa a los derechos fundamentales?

No automáticamente. El Artículo 27 exige una EIDF a los organismos públicos y a los responsables del despliegue privados de IA de evaluación de la solvencia o de seguros de vida o de salud (Anexo III, punto 5, letra b), y punto 5, letra c)). Un empleador privado que despliegue una herramienta de contratación o de supervisión del rendimiento no activa automáticamente el Artículo 27. Dicho esto, el artículo 22 del RGPD le exige ofrecer una revisión humana y la posibilidad de impugnar los resultados siempre que el tratamiento automatizado produzca efectos significativos en las personas — una obligación que se aplica ahora y con independencia de la Ley de IA.

¿Cuáles son las sanciones por incumplimiento?

El incumplimiento de las obligaciones de IA de alto riesgo — incluidos los deberes del responsable del despliegue del Artículo 26 — conlleva multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Desplegar un sistema prohibido de reconocimiento de emociones alcanza el nivel más alto: hasta 35 000 000 EUR o el 7 % (Artículo 99, apartado 3). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita las multas al menor de los dos importes, el porcentaje o la cantidad fija — una disposición de proporcionalidad significativa, pero no un puerto seguro.

¿Cuándo se aplican las obligaciones de IA de RR. HH. de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha de aplicación de los sistemas autónomos de alto riesgo del Anexo III se trasladó al 2 de diciembre de 2027 (desde el original 2 de agosto de 2026). La prohibición del reconocimiento de emociones en virtud del Artículo 5, apartado 1, letra f), ya se aplica — desde el 2 de febrero de 2025. Si su herramienta de IA de RR. HH. está integrada en un producto regulado del Anexo I, la fecha aplicable es el 2 de agosto de 2028.

¿Qué exige en la práctica el deber de notificación del Artículo 26?

Antes de desplegar cualquier sistema de IA de alto riesgo en el lugar de trabajo, debe informar a los representantes de los trabajadores — normalmente el comité de empresa, el comité de personal o el órgano de cogestión equivalente cuando exista. Es una condición previa para el despliegue, no una formalidad posterior al despliegue. En países con fuertes derechos de cogestión (Alemania, Austria, los Países Bajos), el Derecho nacional puede exigir adicionalmente derechos de consulta o el consentimiento más allá de la notificación del Artículo 26. Planifíquelo con antelación — los procesos de consulta del comité de empresa pueden llevar semanas.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.