Workday AI en la Ley de IA de la UE: funciones de RR. HH. de alto riesgo y qué deben hacer los responsables del despliegue
La IA de contratación y de rendimiento de Workday es de alto riesgo con arreglo al Anexo III, punto 4. Se exigen registros del art. 26, apdo. 6, y aviso a los trabajadores del art. 26, apdo. 7. Plazo: 2 de diciembre de 2027.
Workday es uno de los sistemas de RR. HH. más implantados en la UE. La mayoría de sus funciones de IA están también entre las más significativas jurídicamente con arreglo al Reglamento (UE) 2024/1689, no por su sofisticación, sino por aquello que tocan. El cribado de candidatos, las calificaciones de rendimiento, las recomendaciones de promoción y el modelado de escenarios de despido se sitúan directamente dentro del Anexo III, punto 4, de la Ley de IA de la UE. Eso los convierte en de alto riesgo por defecto.
Este artículo le indica qué funciones de IA de Workday activan esa clasificación, cuáles son sus obligaciones como empleador que las despliega y dónde se sitúan las líneas jurídicas firmes, incluida una prohibición que ya está en vigor.
¿Qué funciones de IA de Workday son de alto riesgo?
El Anexo III, punto 4, enumera cuatro subcategorías de IA de empleo que conllevan la condición de alto riesgo:
- 4, letra a) — Contratación y selección: IA utilizada para anunciar vacantes, cribar o filtrar candidaturas, o evaluar a candidatos durante los procedimientos de contratación o promoción.
- 4, letra b) — Decisiones en el empleo: IA que influye en las decisiones sobre promoción, despido, asignación de tareas, o supervisión y evaluación del rendimiento.
La clasificación no exige que el sistema tome la decisión de forma autónoma. Si el resultado de la IA —una preselección ordenada, una puntuación de rendimiento, un marcado— influye sustancialmente en lo que después decide un responsable de RR. HH., el sistema es de alto riesgo. El considerando 37 lo hace explícito.
Así es como se corresponden los principales módulos de IA de Workday:
| Función de Workday | Punto del Anexo III | ¿Alto riesgo? |
|---|---|---|
| Recruiting — clasificación de candidatos por IA / cribado de currículos | 4, letra a) | Sí |
| Recruiting — generación de preguntas de entrevista (solo sugerencias generadas por IA) | — | No (apoyo procedimental, sin influencia en la selección) |
| Performance — sugerencias algorítmicas de calificación del rendimiento | 4, letra b) | Sí |
| Succession Planning — listas de candidatos a promoción por IA | 4, letra a) | Sí |
| Skills Cloud — inferencia de aptitudes generada por IA y cartografía de carencias (utilizada para la asignación de tareas) | 4, letra b) | Sí |
| Workforce Planning — modelado de escenarios de reducción de plantilla (identificando a personas concretas) | 4, letra b) | Sí, cuando se utiliza para identificar a empleados nominalmente |
| Compensation — análisis comparativo de salarios (descriptivo) | — | No (informativo, sin decisión automatizada) |
| People Analytics — paneles de tendencias de plantilla (agregados) | — | Probablemente no (sin elaboración de perfiles de personas) |
La exención del artículo 6, apartado 3, puede sacar a un sistema de la condición de alto riesgo si desempeña únicamente una tarea procedimental estrecha, mejora el resultado de una actividad humana previamente realizada, o detecta patrones sin influir en la evaluación humana. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sin excepción. La mayoría de las funciones de Workday enumeradas anteriormente elaboran perfiles de personas —producen puntuaciones, clasificaciones o recomendaciones sobre individuos concretos—, por lo que la salida del artículo 6, apartado 3, rara vez se aplica aquí.
Una prohibición ya en vigor
Antes de llegar a las obligaciones de alto riesgo, compruebe esto: el artículo 5, apartado 1, letra f), prohíbe los sistemas de IA que infieren emociones en el lugar de trabajo. Esta prohibición está en vigor desde el 2 de febrero de 2025. No es de alto riesgo: está rotundamente prohibida.
Cualquier función de Workday (o integración de terceros con Workday) que intente inferir estados emocionales o psicológicos a partir de vídeo, audio, expresiones faciales o señales biométricas durante las entrevistas, las evaluaciones de rendimiento o las horas de trabajo está prohibida. El techo sancionador por infringir el Artículo 5 es de 35 millones de euros o el 7 % del volumen de negocios anual mundial con arreglo al artículo 99, apartado 3, si esta última cifra es mayor. Sin evaluación de la conformidad, sin período transitorio, sin cláusula de gracia. Si una función de este tipo está activa, debe desactivarse ahora.
Su papel: responsable del despliegue, no proveedor
Workday es el proveedor con arreglo al Artículo 16. Introduce el sistema en el mercado bajo su propio nombre y asume las obligaciones que conlleva: documentación técnica con arreglo al Artículo 11 y al Anexo IV, una evaluación de la conformidad con arreglo al Artículo 43 antes de la introducción en el mercado, registro en la base de datos de la UE con arreglo al Artículo 49 y un sistema de gestión de la calidad con arreglo al Artículo 17. Estas son responsabilidades de Workday, no suyas.
Su organización, como empleador que activa y utiliza estas funciones, es un responsable del despliegue con arreglo al Artículo 26. Ese es un conjunto de obligaciones sensiblemente más ligero, pero no trivial.
Se aplica una excepción: si su equipo de TI modifica sustancialmente el modelo de IA de Workday o lo reorienta a un uso ajeno a su finalidad prevista original, el Artículo 25 le convierte en proveedor. En ese momento, usted hereda toda la pila de obligaciones del Artículo 16. Esta situación es poco común con los despliegues estándar de Workday, pero puede surgir si ajusta los modelos de Workday con sus propios datos de contratación de maneras que cambien materialmente el modo en que opera el sistema.
Obligaciones del responsable del despliegue del Artículo 26
Como responsable del despliegue de un sistema de RR. HH. de Workday de alto riesgo, sus obligaciones con arreglo al Artículo 26 son:
Seguir las instrucciones de Workday. El Artículo 26 le exige utilizar el sistema conforme a las instrucciones de uso que facilita Workday. No reconfigure el sistema de maneras que eludan las salvaguardias documentadas.
Garantizar la supervisión humana. El Artículo 26 le exige implementar las medidas de supervisión humana especificadas en la documentación del sistema. Esta es la parte operativamente más exigente.
Vigilar los riesgos. El Artículo 26 le exige vigilar el sistema en busca de riesgos a lo largo de todo su ciclo de vida e informar a Workday (y, cuando proceda, a la autoridad de vigilancia del mercado correspondiente) de cualquier incidente grave o avería.
Conservar los registros durante al menos seis meses. El Artículo 26 exige a los responsables del despliegue conservar los registros generados automáticamente del funcionamiento del sistema durante al menos seis meses, salvo que el Derecho de la UE o nacional exija una conservación más larga. Estos registros son lo que una autoridad solicitará en una investigación de ejecución.
Informar a los representantes de los trabajadores y a los empleados afectados antes del despliegue. El Artículo 26 es la obligación del responsable del despliegue que más se pasa por alto. Antes de desplegar un sistema de IA de alto riesgo en el lugar de trabajo, debe informar a los representantes de los trabajadores y a los empleados afectados. No es una recomendación blanda de consulta: es un requisito legal. Se aplica a todas las funciones de IA de empleo cubiertas: contratación, rendimiento, sucesión, asignación de aptitudes. Fallar aquí expone directamente al responsable del despliegue.
Asignar un revisor humano con autoridad para anular. El Artículo 14 exige que una persona física con la competencia y la autoridad adecuadas pueda comprender y anular los resultados del sistema. Para la IA de RR. HH. de Workday, esto significa que los responsables de RR. HH. deben recibir la explicación de la IA, deben revisarla genuinamente y deben poder seleccionar un candidato, una calificación o una recomendación distintos sin obstrucción del sistema. Registre las anulaciones: demuestran que la supervisión es real, no teatral.
Qué debe facilitar Workday (y qué debe verificar usted)
Dado que Workday asume las obligaciones de evaluación de la conformidad y documentación, su tarea de diligencia debida es verificar que Workday ha hecho su parte:
- Evaluación de la conformidad con arreglo al Artículo 43. Para la IA de empleo del Anexo III, la vía aplicable suele ser el procedimiento de control interno (Anexo VI), realizado por el proveedor. Pida a Workday confirmación de que se ha completado la evaluación de la conformidad de estos módulos concretos.
- Declaración UE de conformidad con arreglo al Artículo 47 y, una vez que el registro esté operativo, registro con arreglo al Artículo 49.
- Documentación técnica del Artículo 11 / Anexo IV. Workday debe poder facilitar documentación que cubra el diseño del sistema, las fuentes de datos, las métricas de rendimiento (incluidas las pruebas por subgrupos demográficos), los riesgos conocidos y el uso previsto. Necesitará elementos de esto para reunir su propio expediente de cumplimiento interno.
- Instrucciones de uso del Artículo 13. Workday está obligado a facilitar a los responsables del despliegue información suficiente para cumplir sus obligaciones del Artículo 26. Si esas instrucciones son escuetas, poco claras o inexistentes, es una señal de alarma, y una laguna que debe cerrar antes del despliegue.
El plazo de cumplimiento de estas obligaciones de sistemas de alto riesgo es el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026 (que aplazó la fecha original del 2 de agosto de 2026). El plazo para la IA integrada en productos del Anexo I es el 2 de agosto de 2028. Diciembre de 2027 es la fecha que importa para la IA de RR. HH. de Workday.
Eso suena a margen. No lo es. La notificación a los trabajadores del Artículo 26, la conservación de registros del Artículo 26 y la prohibición del reconocimiento de emociones del artículo 5, apartado 1, letra f), están todas en vigor ahora o desde el 2 de febrero de 2025. Documentar su expediente de cumplimiento —evaluación de riesgos interna, procedimientos de supervisión humana, configuración de la conservación de registros— lleva meses.
Gestión de riesgos y supervisión humana en la práctica
No puede externalizar enteramente a Workday el cumplimiento del Artículo 26. Hay un expediente de cumplimiento interno que su organización debe construir y mantener:
Evaluación de riesgos interna. Documente qué módulos de IA de Workday ha activado, en qué decisiones de empleo influyen y qué riesgos residuales conllevan en su contexto concreto (composición de la plantilla, despliegue geográfico, distribución de características protegidas en sus poblaciones de candidatos y empleados). Esto no tiene por qué ser un documento elaborado, pero debe existir.
Controles de sesgo y discriminación. Los sistemas de IA de Workday entrenados con datos históricos de contratación y rendimiento pueden codificar discriminaciones del pasado. Antes de la puesta en marcha, revise los resultados de las pruebas por subgrupos demográficos de Workday. Si Workday no puede facilitar datos de exactitud desglosados (rendimiento por sexo, edad y características protegidas), es una laguna en la información del Artículo 13 y debe tratar la función como no verificada. Internamente, supervise trimestralmente los resultados de contratación y promoción.
Supervisión humana que sea genuina, no procedimental. El artículo 14, apartado 4, exige que las personas responsables de la supervisión comprendan lo que el sistema puede y no puede hacer. La formación anual sobre las limitaciones de la IA y los riesgos de sesgo es el mínimo. Incorpórelo a su incorporación de RR. HH. para cualquier directivo que utilice las herramientas de IA de Workday.
Configuración de los registros. Compruebe si los ajustes de registro por defecto de Workday cumplen el mínimo de seis meses del Artículo 26. Si el sistema no registra automáticamente los eventos de recomendación de la IA, configúrelo para que lo haga o implemente un control compensatorio (registros estructurados de revisión humana).
El artículo 22 del RGPD y la superposición
El artículo 22 del RGPD restringe las decisiones basadas únicamente en el tratamiento automatizado que producen efectos jurídicos o significativos similares. Un rechazo de contratación basado puramente en una clasificación por IA —sin una revisión humana genuina— podría entrar en el ámbito del artículo 22 y exigir bien un consentimiento explícito, bien una base contractual, bien la posibilidad de que el interesado solicite una revisión humana.
En la práctica, el requisito de supervisión humana del Artículo 14 de la Ley de IA de la UE y la restricción del artículo 22 del RGPD apuntan en la misma dirección: una revisión humana significativa, no una mera ratificación formal. Construya un único proceso de revisión que satisfaga ambos. Su delegado de protección de datos debe dar el visto bueno a cómo se coordinan las dos obligaciones, y es aconsejable una evaluación de impacto relativa a la protección de datos (EIPD) con arreglo al artículo 35 del RGPD para el tratamiento automatizado de gran impacto.
La evaluación de impacto relativa a los derechos fundamentales (EIDF) con arreglo al Artículo 27 de la Ley de IA de la UE es un instrumento independiente. Se aplica a los responsables del despliegue que sean organismos públicos y —para casos de uso concretos— a los responsables del despliegue de IA de solvencia y de seguros de vida o de salud (Anexo III, puntos 5, letra b), y 5, letra c)). Los empleadores privados que despliegan IA de empleo no están obligados automáticamente a realizar una EIDF del Artículo 27. No la confunda con la EIPD del RGPD, ni dé por supuesto que debe una.
Sanciones
El incumplimiento de las obligaciones del responsable del despliegue del Artículo 26 —incluido no conservar los registros, no notificar a los trabajadores antes del despliegue o no implementar una supervisión humana genuina— entra en el artículo 99, apartado 4: multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.
La infracción de la prohibición del reconocimiento de emociones del artículo 5, apartado 1, letra f), es el nivel superior: 35 millones de euros o el 7 % con arreglo al artículo 99, apartado 3.
Para las empresas con 500 millones de euros de volumen de negocios mundial, la cifra del 3 % (15 millones de euros) y la del 7 % (35 millones de euros) son el techo determinante. Para las empresas más pequeñas, la suma fija suele ser el techo, y el límite para las pymes del artículo 99, apartado 6, significa que se aplica el menor de los dos. Esa disposición de proporcionalidad es real, pero no reduce la obligación; limita la multa si se le declara incumplidor.
Cómo ayuda Confir
El primer paso para cualquier responsable del despliegue de Workday es la clasificación: confirmar qué funciones son de alto riesgo con arreglo al Artículo 6 y al Anexo III, y cuáles quedan fuera de ese ámbito. El motor de clasificación basado en reglas de Confir recorre la lógica del Anexo III mediante preguntas en lenguaje sencillo y deriva un nivel de riesgo definitivo y una determinación del papel —proveedor, responsable del despliegue o una combinación— sin ambigüedad.
Para sus funciones de alto riesgo, Confir ejecuta después la evaluación estructurada: deberes del responsable del despliegue del Artículo 26 (conservación de registros del art. 26, apdo. 6; estado de la notificación a los trabajadores del art. 26, apdo. 7), adecuación de la supervisión humana del Artículo 14 y —cuando las instrucciones del Artículo 13 de Workday estén incompletas— las lagunas que necesita cerrar. La evaluación completa suele finalizar en menos de dos horas. El resultado es un expediente de cumplimiento y un registro listo para auditoría que puede presentar a una autoridad, a un comité de empresa o a su propio consejo de administración.
Preguntas frecuentes
¿Es de alto riesgo toda función de IA de Workday con arreglo a la Ley de IA de la UE?
No. La clasificación de alto riesgo con arreglo al Artículo 6 y al Anexo III, punto 4, se aplica a las funciones que influyen en las decisiones de contratación, selección, promoción, despido, evaluación del rendimiento o asignación de tareas relativas a personas concretas. Los análisis genéricos, los paneles agregados de tendencias de plantilla y las herramientas que apoyan la revisión humana sin producir puntuaciones o clasificaciones individuales quedan por lo general fuera de la categoría de alto riesgo. Clasifique cada función por separado antes de decidir qué infraestructura de cumplimiento requiere.
Workday ejecuta el modelo de IA: ¿por qué tiene mi organización obligación alguna?
Workday, como proveedor con arreglo al Artículo 16, asume los deberes de evaluación de la conformidad, documentación técnica y registro. Pero el Artículo 26 asigna un conjunto distinto e indelegable de obligaciones al responsable del despliegue: la organización que activa el sistema y lo utiliza en sus operaciones. Esas obligaciones incluyen la conservación de registros durante seis meses (art. 26, apdo. 6), la notificación previa al despliegue a los representantes de los trabajadores y a los empleados afectados (art. 26, apdo. 7), y garantizar una supervisión humana genuina con arreglo al Artículo 14. No puede externalizarlas a Workday.
Estamos legalmente obligados a informar a nuestros empleados antes de desplegar la IA de Workday para decisiones de RR. HH.: ¿es correcto?
Sí. El Artículo 26 exige a los responsables del despliegue de sistemas de IA de alto riesgo en entornos laborales informar a los representantes de los trabajadores y a los trabajadores afectados antes del despliegue. Es una obligación legal que se aplica con independencia de lo que ya exijan el Derecho laboral nacional o los acuerdos de comité de empresa (aunque estos puedan imponer deberes de consulta adicionales por encima). Incorpore esta notificación a su proceso de gestión del cambio, no como una ocurrencia tardía.
¿Necesita nuestra empresa realizar una evaluación de impacto relativa a los derechos fundamentales para la IA de RR. HH. de Workday?
Por lo general, no, si es usted un empleador privado. Las EIDF del Artículo 27 son obligatorias para los responsables del despliegue que sean organismos públicos y, para casos de uso concretos, para los responsables del despliegue de IA de solvencia y de seguros de vida o de salud (Anexo III, 5, letra b), y 5, letra c)). Los empleadores privados que despliegan IA de empleo con arreglo al Anexo III, punto 4, no están obligados automáticamente a realizar una EIDF. No obstante, sí debe una EIPD del RGPD (artículo 35 del RGPD) si es probable que el tratamiento entrañe un alto riesgo para las personas, que es lo que ocurre con la mayoría del tratamiento automatizado de RR. HH.
¿Está prohibido el reconocimiento de emociones en las entrevistas o las evaluaciones de rendimiento de Workday?
Sí. El artículo 5, apartado 1, letra f), prohíbe los sistemas de IA que infieren o reconocen emociones en entornos laborales y educativos. Esta prohibición está en vigor desde el 2 de febrero de 2025. Se aplica a cualquier función de Workday —o módulo de tercero integrado con Workday— que analice expresiones faciales, tono de voz, señales fisiológicas o entradas similares para clasificar estados emocionales o psicológicos. El incumplimiento conlleva multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial con arreglo al artículo 99, apartado 3. Si una función de este tipo está actualmente activa, debe desactivarse de inmediato.
¿Cuál es el plazo de cumplimiento para las funciones de IA de RR. HH. de alto riesgo de Workday?
En virtud del acuerdo del Ómnibus Digital alcanzado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos del Anexo III —que incluye todas las funciones de IA de empleo enumeradas en el punto 4— es el 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se ha aplazado. No obstante, la notificación a los trabajadores del Artículo 26 y la conservación de registros del Artículo 26 se aplican desde la fecha de despliegue, y la prohibición del reconocimiento de emociones del artículo 5, apartado 1, letra f), está en vigor desde el 2 de febrero de 2025. Diciembre de 2027 no es una fecha de inicio del cumplimiento: es el plazo para completarlo.
¿Cómo confirmamos que Workday ha completado sus obligaciones de evaluación de la conformidad?
Pida a Workday directamente la declaración de conformidad del Artículo 47 para cada módulo de IA que vaya a activar, y las instrucciones de uso del Artículo 13 que confirmen la finalidad prevista y las limitaciones conocidas. Cuando la base de datos de la UE del Artículo 49 esté operativa, compruebe allí la entrada de registro de Workday. Si Workday no puede facilitar estos documentos para una función que esté considerando desplegar, retrase la activación hasta que pueda: desplegar un sistema cuyo proveedor no ha completado la evaluación de la conformidad aumenta su propia exposición con arreglo al Artículo 26.
Guías relacionadas
- herramienta de clasificación de riesgo del Artículo 6
- implementación de la gestión de riesgos del Artículo 9
- marco de clasificación de IA de alto riesgo
- software de gestión de políticas de IA
- hoja de ruta de implementación 2026
- lista de comprobación de cumplimiento de los Artículos 6 a 29
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →