Skip to content
Confir.
Prueba gratuita
Blog

IA para la supervisión de empleados: reglas de alto riesgo y el límite de lo prohibido

High-Risk Use Case8 May 2026· 16 min de lectura

El punto 4, letra b), del Anexo III convierte en de alto riesgo la IA de supervisión de la productividad. Pero el reconocimiento de emociones en el lugar de trabajo está prohibido (Art. 5, apdo. 1, letra f)) desde febrero de 2025.

No toda la IA en el lugar de trabajo se sitúa en la misma categoría jurídica. La Ley de IA de la UE traza una línea nítida a través de la supervisión de empleados: de un lado, la IA de puntuación de la productividad y el comportamiento que informa las decisiones laborales — de alto riesgo con arreglo al punto 4, letra b), del Anexo III; del otro lado, cualquier cosa que lea las emociones de los trabajadores — prohibida de plano con arreglo al Artículo 5, apartado 1, letra f). Confundir ambas es uno de los errores de cumplimiento más caros que puede cometer un empleador. El techo sancionador por una infracción de prácticas prohibidas es de 35 millones de euros o el 7 % del volumen de negocios mundial (Artículo 99, apartado 3). Por una infracción de alto riesgo es de 15 millones de euros o el 3 % (Artículo 99, apartado 4).

Este artículo explica dónde se sitúa el límite, qué exige la vía de alto riesgo y qué deben hacer los empleadores — en concreto — antes de desplegar cualquiera de los dos tipos de sistema.

Lo que el punto 4, letra b), del Anexo III comprende realmente

El Anexo III, punto 4, abarca los sistemas de IA en el ámbito del empleo y la gestión de los trabajadores. El punto 4, letra b), alcanza específicamente la IA destinada a ser utilizada para supervisar y evaluar el rendimiento y el comportamiento de los trabajadores, y la IA utilizada para la asignación de tareas en función del comportamiento individual o de rasgos de la personalidad.

Ese alcance es deliberadamente amplio. Un sistema no tiene que tomar una decisión final de contratación o despido para entrar en él. Si la IA genera un resultado — una puntuación, una clasificación, una alerta, una asignación — que alimenta la evaluación del desempeño, el procedimiento disciplinario, la asignación de tareas o las decisiones de promoción, se sitúa en el punto 4, letra b). El criterio operativo es si el sistema supervisa o evalúa a los trabajadores de formas que se conectan con las decisiones laborales. Una herramienta que rastrea las pulsaciones de teclas y produce una «calificación de productividad» semanal que se pasa a los mandos intermedios entra en el ámbito. Un panel general de análisis de la plantilla que agrega datos de personal sin elaborar perfiles individuales, no.

Una regla que se aplica en todas las categorías del Anexo III: cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo. La exención del Artículo 6, apartado 3 — que permite a un proveedor autoevaluar que un sistema de un ámbito del Anexo III no plantea un riesgo significativo — no se aplica si el sistema elabora perfiles de personas. Una herramienta de puntuación de la productividad que genera perfiles individuales de los trabajadores y los alimenta a los responsables de la toma de decisiones no puede utilizar la salida del Artículo 6, apartado 3.

El límite de lo prohibido: el reconocimiento de emociones en el lugar de trabajo

El Artículo 5, apartado 1, letra f), prohíbe los sistemas de IA que utilizan el reconocimiento de emociones en el lugar de trabajo, salvo por razones de seguridad o médicas. Esta prohibición está en vigor desde el 2 de febrero de 2025. No requiere una evaluación de daños, un umbral ni una clasificación por nivel de riesgo. Es una prohibición.

La expresión «reconocimiento de emociones» abarca cualquier sistema que infiera, clasifique o asigne estados emocionales o afectivos a personas a partir de sus señales fisiológicas, expresiones faciales, voz o indicios conductuales. El análisis de sentimiento aplicado al personal, la puntuación afectiva de los empleados durante las videollamadas, los sistemas que señalan la «desafección» a partir de datos faciales, la supervisión del estado de ánimo integrada en herramientas de productividad — todos ellos cruzan al ámbito de la prohibición.

Las únicas excepciones son los sistemas utilizados con fines de seguridad (p. ej., detectar la fatiga del conductor) o fines médicos (supervisión clínica). El encuadre de salud ocupacional no crea una exclusión general para las aplicaciones de bienestar. Una aplicación de bienestar que asigna estados emocionales a los trabajadores y comparte esos estados con RR. HH. no es un producto sanitario; es un sistema prohibido.

Los empleadores deberían auditar su pila de proveedores específicamente en busca de esto. Los proveedores de software de colaboración, productividad o análisis de personas integran a veces funciones de sentimiento o afecto como capacidades secundarias. Un equipo de adquisiciones que no revisó específicamente esas funciones puede estar desplegando, sin saberlo, un sistema prohibido. El tramo sancionador pertinente es el Artículo 99, apartado 3: 35 millones de euros o el 7 % del volumen de negocios mundial.

La prueba práctica: ¿dónde se sitúa su sistema?

La distinción importa. Trácela de forma concreta.

UsoCategoríaSe aplica desde
Puntuación de la productividad que alimenta la evaluación del desempeñoAlto riesgo (Anexo III 4, letra b))2 de diciembre de 2027
Asignación de tareas basada en perfiles de comportamiento individualAlto riesgo (Anexo III 4, letra b))2 de diciembre de 2027
Inferencia de sentimiento / emoción a partir de datos de los trabajadoresProhibido (Art. 5, apdo. 1, letra f))Ya — 2 feb 2025
Análisis de personal sin elaboración de perfiles individualesRiesgo mínimoSin obligaciones obligatorias

El plazo para los sistemas de alto riesgo del Anexo III es el 2 de diciembre de 2027 para los sistemas autónomos, tras el Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original de agosto de 2026. Esto no es razón para retrasar el trabajo de documentación — la evaluación de la conformidad, el expediente técnico y el sistema de gestión de riesgos tardan meses en ensamblarse, y la obligación de notificación a los trabajadores del Artículo 26 se aplica tan pronto como se despliega.

Obligaciones del responsable del despliegue con arreglo al Artículo 26

La mayoría de los empleadores ocupan el rol de responsable del despliegue — utilizan una herramienta de terceros, no una que construyeron e introdujeron en el mercado con su propio nombre. Las obligaciones del responsable del despliegue para los sistemas de alto riesgo del punto 4, letra b), del Anexo III se establecen en el Artículo 26.

El Artículo 26 incluye una obligación específica que muchos empleadores pasan por alto: antes de desplegar un sistema de IA de alto riesgo que supervise o evalúe a los trabajadores, debe informar a los representantes de los trabajadores y a los trabajadores afectados. Esto no es opcional y no se limita a un aviso de privacidad general. La notificación debe ser significativa — los trabajadores necesitan comprender que se está utilizando un sistema de IA, qué evalúa y cómo se utilizan sus resultados en las decisiones laborales.

Otros deberes del Artículo 26 para los responsables del despliegue:

  • Seguir las instrucciones de uso del proveedor y no desplegar el sistema fuera de su finalidad prevista.
  • Garantizar que exista una supervisión humana efectiva (el Artículo 14 exige que los responsables humanos de la toma de decisiones tengan la competencia y la autoridad para comprender y anular los resultados del sistema — no un mero derecho teórico a intervenir, sino uno operativo respaldado por formación y procesos).
  • Conservar los registros del funcionamiento del sistema durante al menos seis meses. La numeración exacta del apartado del Artículo 26 sobre este punto se discute en las fuentes secundarias; cite el artículo, no un subapartado.
  • Supervisar el rendimiento del sistema en el contexto desplegado y señalar riesgos o incidentes graves al proveedor.

El empleador, como responsable del despliegue, no ejecuta la evaluación de la conformidad del Artículo 43 — esa es una obligación del proveedor. Pero el responsable del despliegue no puede ampararse en la documentación del proveedor. Si un empleador modifica sustancialmente el sistema, lo reutiliza más allá de su alcance previsto o pone en él su propio nombre, el Artículo 25 convierte al empleador en proveedor, con toda la pila del proveedor (Artículos 9 a 15, 16 a 17, 43, 47, 49, 72 a 73) en consecuencia.

La vía de evaluación de la conformidad

Para los sistemas del punto 4, letra b), del Anexo III, la vía de evaluación de la conformidad es el Anexo VI: autoevaluación interna por el proveedor, sin un organismo notificado. Esto contrasta con los sistemas de identificación biométrica (punto 1 del Anexo III), que generalmente requieren la vía de organismo notificado del Anexo VII. Un sistema de supervisión de la productividad o de puntuación del comportamiento no necesita un organismo notificado — pero sí necesita un expediente técnico completo con arreglo al Artículo 11 y el Anexo IV, un sistema de gestión de riesgos con arreglo al Artículo 9 y una declaración UE de conformidad con arreglo al Artículo 47, antes de salir al mercado o ponerse en servicio.

El RGPD y el Derecho de los comités de empresa

Las obligaciones de la Ley de IA de la UE para los sistemas de supervisión en el lugar de trabajo se acumulan sobre — no sustituyen a — la legislación vigente de protección de datos y laboral. El Artículo 88 del RGPD otorga a los Estados miembros margen para adoptar normas más específicas sobre el tratamiento de datos personales en el contexto laboral. Varios Estados miembros (Alemania, con la Betriebsverfassungsgesetz; Francia; los Países Bajos) tienen derechos de los comités de empresa que otorgan a los órganos de representación de los trabajadores derechos de cogestión o consulta sobre las herramientas de supervisión, con independencia de la obligación de notificación de la Ley de IA.

Los empleadores con plantillas multijurisdiccionales en la UE no pueden tratar la obligación de notificación a los trabajadores del Artículo 26 como un paso de cumplimiento completo a efectos de Derecho laboral. La consulta al comité de empresa en Alemania puede requerir una intervención separada, con un calendario y un alcance distintos. Estas obligaciones discurren en paralelo; satisfaga ambas.

El Artículo 88 del RGPD también significa que la legislación nacional de protección de datos puede imponer límites más estrictos a las categorías de datos que un sistema de supervisión puede tratar, con independencia de lo que exija el marco de documentación técnica de la Ley de IA. Un sistema de supervisión que cumple las normas de documentación del Artículo 11 pero que trata categorías de datos que la legislación laboral de un Estado miembro restringe sigue siendo no conforme.

EIDF: cuándo se aplica y cuándo no

El Artículo 27 exige una Evaluación de Impacto relativa a los Derechos Fundamentales para determinados responsables del despliegue de IA de alto riesgo. Los empleadores privados no entran automáticamente en el ámbito. El Artículo 27 se aplica a los responsables del despliegue que son organismos públicos y, para los responsables del despliegue privados, cuando el sistema entra en el punto 5, letra b), del Anexo III (solvencia) o el punto 5, letra c) (seguros de vida y de salud) — no en el punto 4, letra b) (empleo).

Esto significa que un empleador privado que despliega una herramienta de supervisión del desempeño no debe automáticamente una EIDF con arreglo al Artículo 27. La EIDF no es obligatoria para la mayoría de los despliegues de supervisión laboral por parte de empresas privadas. No confunda esto con la obligación de notificación del Artículo 26, que sí se aplica. Y no confunda una EIDF con una EIPD: la evaluación de impacto relativa a la protección de datos del Artículo 35 del RGPD es una obligación separada, desencadenada por un tratamiento de datos de alto riesgo con arreglo al RGPD, y bien puede ser obligatoria para la supervisión de empleados con independencia de si lo es una EIDF.

Qué deben entregar los proveedores de estos sistemas

Si usted es el proveedor que construye y vende una IA de supervisión de empleados o de puntuación de la productividad con su propio nombre, usted es el proveedor. Sus obligaciones antes de que el sistema llegue a cualquier empleador de la UE:

Sistema de gestión de riesgos (Artículo 9). Un proceso continuo — no una auditoría puntual — que identifique los riesgos previsibles a lo largo de todo el ciclo de vida del sistema. Para la IA de supervisión, debe abordar los riesgos de discriminación (¿puntúa el sistema de forma distinta según el sexo, la edad, la condición de discapacidad?), los riesgos de exactitud (¿qué ocurre cuando las puntuaciones son erróneas?) y el riesgo de uso indebido por parte de los responsables del despliegue.

Documentación técnica (Artículo 11 / Anexo IV). Un expediente técnico completo que abarque la finalidad prevista, las especificaciones de los datos, la arquitectura del modelo y la metodología de entrenamiento, las métricas de rendimiento por subgrupo demográfico, el diseño de la supervisión humana y la documentación de gestión de riesgos. El Anexo IV fija el contenido obligatorio.

Supervisión humana desde el diseño (Artículo 14). El sistema debe diseñarse de modo que los responsables del despliegue puedan ejercer realmente la supervisión — funciones de explicabilidad que muestren qué datos de entrada impulsaron una puntuación, mecanismos de anulación que los mandos puedan utilizar, registros de auditoría de los eventos de anulación.

Transparencia hacia los responsables del despliegue (Artículo 13). Instrucciones claras para los responsables del despliegue que cubran el uso adecuado, las limitaciones conocidas, las medidas de supervisión exigidas y las obligaciones de notificación a los trabajadores.

Declaración UE de conformidad (Artículo 47). Firmada antes de que el sistema se introduzca en el mercado. Confirma que el sistema ha superado la autoevaluación del Artículo 43 / Anexo VI y cumple los requisitos.

Registro en la base de datos de la UE (Artículo 49). Los sistemas de IA de alto riesgo deben registrarse antes de su introducción en el mercado. La base de datos se establece con arreglo al Artículo 71.

Vigilancia poscomercialización (Artículo 72). Los proveedores deben supervisar el rendimiento del sistema en los contextos desplegados y, para los incidentes graves, seguir los plazos de notificación del Artículo 73: 15 días desde que se tiene conocimiento en el caso estándar, 10 días cuando una persona ha fallecido, 2 días para incidentes generalizados o que perturben infraestructuras críticas.

Cómo ayuda Confir

El motor de clasificación de Confir pregunta si un sistema entra en el punto 4, letra b), del Anexo III y señala el límite prohibido del Artículo 5, apartado 1, letra f) — la distinción entre la supervisión del rendimiento (alto riesgo) y el reconocimiento de emociones (prohibido) aparece explícitamente en el resultado de la clasificación, con el tramo sancionador aplicable.

Para los responsables del despliegue, Confir genera un registro de notificación a los trabajadores: un documento estructurado y fechado que deja constancia de que se informó a los trabajadores y a sus representantes antes del despliegue, lo que satisface la obligación del Artículo 26 y proporciona un rastro de pruebas listo para auditoría. El resultado de la clasificación y el registro de notificación cubren conjuntamente los dos pasos de cumplimiento que la mayoría de los empleadores pasa por alto primero.

Preguntas frecuentes

¿La IA de puntuación de la productividad es siempre de alto riesgo con arreglo a la Ley de IA de la UE?

Si el sistema supervisa a trabajadores individuales y su resultado alimenta la evaluación del desempeño, la asignación de tareas o las decisiones disciplinarias, entra en el punto 4, letra b), del Anexo III y es de alto riesgo con arreglo al Artículo 6. La exención del Artículo 6, apartado 3, no se aplica cuando el sistema elabora perfiles de personas físicas. El plazo de la obligación para los sistemas de alto riesgo autónomos es el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026.

¿Está prohibido el análisis de sentimiento de los empleados?

Sí, si lee estados emocionales o afectivos a partir de datos de los trabajadores. El Artículo 5, apartado 1, letra f), prohíbe la IA de reconocimiento de emociones en el lugar de trabajo salvo que la finalidad sea de seguridad o médica. Esta prohibición se aplica desde el 2 de febrero de 2025. El techo sancionador es de 35 millones de euros o el 7 % del volumen de negocios mundial (Artículo 99, apartado 3) — el tramo más alto de la Ley.

¿Necesita un empleador privado realizar una Evaluación de Impacto relativa a los Derechos Fundamentales antes de desplegar IA de supervisión?

No. El Artículo 27 exige una EIDF a los responsables del despliegue que son organismos públicos y a los responsables del despliegue privados de sistemas de solvencia (Anexo III 5, letra b)) y de seguros de vida o de salud (Anexo III 5, letra c)) — no de supervisión del empleo (punto 4, letra b)). No obstante, el empleador puede deber una evaluación de impacto relativa a la protección de datos del RGPD con arreglo al Artículo 35 del RGPD, que es una obligación separada con un alcance distinto.

¿Qué debe comunicar un empleador a los trabajadores antes de desplegar un sistema de supervisión?

El Artículo 26 exige al empleador que informe a los representantes de los trabajadores y a los trabajadores afectados antes de desplegar un sistema de IA de alto riesgo en el lugar de trabajo. Los trabajadores necesitan saber que se está utilizando un sistema de IA, qué evalúa y cómo se utilizan sus resultados en las decisiones laborales. Esta obligación se aplica con independencia del plazo de diciembre de 2027 para el cumplimiento pleno del proveedor — los responsables del despliegue deben satisfacerla antes de cada despliegue en el lugar de trabajo.

¿Quién ejecuta la evaluación de la conformidad de un sistema de supervisión de empleados?

El proveedor — el proveedor que construyó e introdujo el sistema en el mercado. Para los sistemas del punto 4, letra b), del Anexo III, la vía es la autoevaluación interna del Anexo VI, no un organismo notificado. El empleador, como responsable del despliegue, no ejecuta la evaluación de la conformidad, pero debe verificar que el proveedor la ha completado y conservar la documentación del proveedor para la inspección regulatoria.

¿Cuáles son las sanciones por incumplimiento?

Por infracciones de las obligaciones de alto riesgo (deberes del proveedor o del responsable del despliegue): hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4). Por desplegar un sistema prohibido — incluido el reconocimiento de emociones en el lugar de trabajo — el techo se eleva a 35 millones de euros o el 7 % (Artículo 99, apartado 3). Para las empresas que reúnen los requisitos de pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.