Skip to content
Confir.
Prueba gratuita
Blog

IA para decisiones laborales al amparo de la Ley de IA de la UE: clasificación de alto riesgo y qué significa para los empleadores

High-Risk Use Case16 April 2026· 19 min de lectura

La IA de supervisión del rendimiento, asignación de tareas y despido es de alto riesgo con arreglo al Anexo III, punto 4, letra b). Aviso a los trabajadores del Art. 26, plazo dic 2027.

Si su organización utiliza IA para promover a empleados, asignar turnos, supervisar el rendimiento o recomendar despidos, ese sistema es casi con seguridad de alto riesgo con arreglo al Anexo III de la Ley de IA de la UE (Reglamento (UE) 2024/1689). La clasificación es obligatoria. El plazo de cumplimiento, aplazado en virtud del Ómnibus Digital acordado en mayo de 2026, es el 2 de diciembre de 2027 para los sistemas autónomos. El incumplimiento acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial — la cifra que sea mayor.

Esta guía explica la base de clasificación, quién debe hacer qué, la prohibición crucial del reconocimiento de emociones en el trabajo y qué deben saber los responsables del despliegue (empleadores) sobre el deber de notificación a los trabajadores del Artículo 26.

¿Qué sistemas de IA laboral son de alto riesgo?

El Anexo III, punto 4, letra b), cubre los sistemas de IA destinados a utilizarse para tomar decisiones que afectan a las condiciones de las relaciones laborales, para promover o rescindir contratos, para asignar tareas en función del comportamiento individual o de los rasgos personales, o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el trabajo.

Ese alcance es deliberadamente amplio. Capta:

  • Herramientas de supervisión del rendimiento que puntúan la producción, marcan a los trabajadores de bajo rendimiento o alimentan las puntuaciones de evaluación.
  • Motores de asignación de tareas que asignan el trabajo en función de datos de comportamiento o de características personales.
  • Sistemas que recomiendan candidatos a la promoción o apoyan la selección de despidos.
  • Herramientas de gestión de contratos que activan o puntúan recomendaciones de despido.

El desencadenante es la finalidad prevista, no el uso real. Si el sistema está diseñado para hacer cualquiera de lo anterior, es de alto riesgo aunque un humano tome la decisión final. El «apoyo a la decisión» no es una exención de clasificación.

Observe que el punto 4, letra a), cubre la IA de contratación y selección (cribado de currículos, preselección de candidatos). Este artículo se centra en los usos durante la relación laboral enumerados en el punto 4, letra b), aunque muchas de las obligaciones de cumplimiento son idénticas.

El filtro del Artículo 6, apartado 3

El Artículo 6, apartado 3, crea una salida estrecha: un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin influir en la evaluación humana o realiza un trabajo preparatorio. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de lo estrecho que sea el alcance reclamado.

En el ámbito laboral, el filtro rara vez le salva. La supervisión del rendimiento que alimenta decisiones de evaluación o de despido elabora perfiles de personas. La asignación de tareas basada en rasgos de comportamiento elabora perfiles de personas. Los proveedores que reclamen la exención del Artículo 6, apartado 3, deben documentar la evaluación y registrar la conclusión.

Una línea infranqueable: el reconocimiento de emociones en el lugar de trabajo está prohibido

Antes de llegar a las obligaciones de cumplimiento, una distinción importa enormemente.

El Artículo 5, apartado 1, letra f), prohíbe introducir en el mercado o poner en servicio sistemas de IA que utilicen el reconocimiento de emociones en tiempo real o a posteriori en el lugar de trabajo o en los centros educativos — con excepciones muy limitadas establecidas en ese artículo. Esta prohibición está en vigor desde el 2 de febrero de 2025.

Un sistema que infiere el estado emocional de un trabajador (estrés, implicación, frustración, engaño) y utiliza esa inferencia en la puntuación del rendimiento, la asignación de tareas o las recomendaciones de despido no es un sistema de alto riesgo que necesita pasos de cumplimiento — es un sistema de riesgo inaceptable que está simplemente prohibido. Desplegar uno ahora expone a su organización a multas de hasta 35 millones de euros o el 7 % del volumen de negocios mundial con arreglo al Artículo 99, apartado 3.

Esta distinción importa en la práctica. Muchas herramientas de «supervisión de la implicación» o de «inteligencia de la productividad» en el mercado pretenden evaluar el estado de ánimo o el estado emocional de los trabajadores a partir de imágenes de cámara web, patrones de pulsaciones de teclas o análisis de voz. Si está evaluando tales herramientas, verifique — en la documentación del producto y contractualmente — que no se está produciendo ninguna inferencia de emociones.

La supervisión del rendimiento permitida (seguimiento de métricas de producción, tasas de finalización de proyectos, puntuaciones de calidad) es una categoría aparte y sigue estando sujeta a los requisitos de alto riesgo que se exponen a continuación, no a la prohibición.

Proveedor frente a responsable del despliegue: quién hace qué

La mayoría de los empleadores son responsables del despliegue, no proveedores. Un responsable del despliegue es cualquier persona u organización que utiliza un sistema de IA bajo su autoridad en un contexto profesional (Artículo 3). Un empleador que compra y opera una herramienta de gestión del rendimiento de un tercero es un responsable del despliegue. El proveedor que construyó y vende esa herramienta es el proveedor.

La distinción importa porque las obligaciones son diferentes — aunque ambas son reales.

Los proveedores deben, antes de introducir el sistema en el mercado o desplegarlo:

  • Establecer un sistema de gestión de riesgos (Artículo 9).
  • Gobernar los datos de entrenamiento y de validación (Artículo 10).
  • Elaborar la documentación técnica conforme al Anexo IV (Artículo 11).
  • Mantener registros (Artículo 12).
  • Garantizar que el sistema permite la transparencia hacia los responsables del despliegue (Artículo 13) y la supervisión humana (Artículo 14).
  • Cumplir los requisitos de exactitud, robustez y ciberseguridad (Artículo 15).
  • Completar una evaluación de la conformidad con arreglo al Artículo 43 — bien el procedimiento de control interno del Anexo VI o, en casos específicos, una evaluación por organismo notificado con arreglo al Anexo VII.
  • Emitir una declaración UE de conformidad (Artículo 47) y registrarse en la base de datos de la UE (Artículo 49).
  • Establecer la vigilancia poscomercialización (Artículo 72) y notificar los incidentes graves (Artículo 73).

Los responsables del despliegue deben, con arreglo al Artículo 26:

  • Utilizar el sistema de acuerdo con las instrucciones de uso.
  • Asignar la supervisión humana a personal competente (Artículo 26).
  • Vigilar el funcionamiento y notificar los incidentes graves o fallos de funcionamiento al proveedor y, cuando proceda, a la autoridad de vigilancia del mercado (Artículo 26).
  • Realizar una Evaluación de Impacto sobre los Derechos Fundamentales (EIDF) con arreglo al Artículo 27 antes del despliegue — esto es obligatorio para los responsables del despliegue en el ámbito laboral que sean organismos de Derecho público, o para los responsables del despliegue privados que utilicen el sistema para elaborar perfiles de personas o para evaluar la solvencia/el riesgo de los seguros; los empleadores que realicen una supervisión del rendimiento a gran escala deben evaluar si esta obligación se aplica.
  • Informar a los trabajadores y a sus representantes antes de desplegar sistemas de IA de alto riesgo que les afecten — este es el Artículo 26, y se aplica específicamente a la IA en el lugar de trabajo. Antes de que un sistema de supervisión del rendimiento o de asignación de tareas entre en funcionamiento, debe notificarse a los empleados afectados y a los representantes de los trabajadores aplicables. Esta es una obligación jurídica independiente, no solo una recomendación de transparencia.

El Artículo 25 rige los cambios de papel: un responsable del despliegue que pone su propio nombre en un sistema de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista pasa al papel de proveedor y hereda todas las obligaciones del proveedor.

El conjunto de obligaciones para los proveedores

Sistema de gestión de riesgos — Artículo 9

El Artículo 9 exige un proceso documentado e iterativo que se ejecute a lo largo del ciclo de vida del sistema. Para la IA laboral, el panorama de riesgos tiene dos temas dominantes.

Primero, los resultados discriminatorios. Los datos de entrenamiento extraídos de los registros laborales históricos codifican los patrones de decisión pasados. Si su conjunto de entrenamiento refleja años de decisiones que favorecieron a determinados grupos demográficos, el sistema aprenderá esos patrones. El Artículo 9 le exige identificar este riesgo explícitamente, estimar su gravedad y probabilidad, probar el sistema en busca de impacto dispar entre las características protegidas antes del despliegue y adoptar medidas para reducir el riesgo residual.

Segundo, el poder asimétrico. La supervisión del rendimiento crea una asimetría de información entre el empleador y el trabajador. El análisis del Artículo 9 debe abordar si el sistema puede utilizarse de una manera no prevista — por ejemplo, para justificar decisiones de despido predeterminadas — y qué controles lo impiden.

Las pruebas con arreglo al Artículo 9, apartado 5, deben realizarse antes de la introducción en el mercado y deben identificar las medidas más adecuadas. Para la IA laboral, esto significa auditorías de sesgo por sexo, edad, etnia y situación de discapacidad como mínimo.

Documentación técnica — Artículo 11 y Anexo IV

Los proveedores deben elaborar y mantener documentación técnica antes de introducir el sistema en el mercado. El Anexo IV especifica el contenido exigido: descripción general del sistema y finalidad prevista; arquitectura y lógica del sistema; datos de entrenamiento, validación y prueba; mecanismos de vigilancia y control; métricas de rendimiento; riesgos conocidos y medidas de mitigación; y procedimientos de vigilancia poscomercialización. Esta documentación debe conservarse durante diez años desde que el sistema se introduce en el mercado.

Transparencia hacia los responsables del despliegue — Artículo 13

Las instrucciones de uso facilitadas a los responsables del despliegue deben incluir: las capacidades y limitaciones del sistema; las métricas de rendimiento y los modos de fallo conocidos; las especificaciones de los datos de entrada; las medidas de supervisión humana y las interfaces técnicas; y las circunstancias en las que el sistema puede no rendir como se pretende. Un empleador que despliega un motor de asignación de tareas tiene derecho a saber, en términos concretos, qué no puede hacer el sistema de forma fiable.

Supervisión humana — Artículo 14

El sistema debe diseñarse de modo que una persona física designada pueda comprender sus resultados, intervenir o anularlos cuando sea necesario, y no haya caído en el sesgo de automatización. Este es un requisito de diseño que recae en el proveedor — el sistema debe facilitar una supervisión genuina, no solo permitirla en teoría.

Evaluación de la conformidad — Artículo 43

Antes de la introducción en el mercado, los proveedores deben realizar una evaluación de la conformidad. Para la mayoría de los sistemas de IA laboral del Anexo III, este es el procedimiento de control interno del Anexo VI: el proveedor documenta el cumplimiento de los Artículos 9 a 15 y emite una declaración de conformidad. Los sistemas que utilizan la categorización biométrica o el reconocimiento de emociones que no hayan quedado ya alcanzados por la prohibición del Artículo 5, apartado 1, letra f), pueden requerir una evaluación por organismo notificado.

Registro — Artículo 49

Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE antes del despliegue. Los proveedores presentan el registro; los responsables del despliegue son responsables de garantizar que el sistema esté registrado antes de utilizarlo.

El conjunto de obligaciones para los responsables del despliegue

La mayoría de las obligaciones enumeradas anteriormente recaen sobre los proveedores. Pero el Artículo 26 es sustantivo, y dos partes de él merecen una atención particular para los empleadores.

Artículo 26 — informar a los trabajadores antes del despliegue. Este es un deber específico y afirmativo. Antes de que se utilice un sistema de IA de alto riesgo para supervisar, evaluar o tomar decisiones sobre los trabajadores, el empleador debe informar a los trabajadores afectados y, cuando proceda, a sus representantes. El requisito de cronología es previo al despliegue, no simultáneo. Esto interactúa con los derechos de consulta del comité de empresa con arreglo al Derecho laboral nacional en Alemania, Francia y otras jurisdicciones de la UE — en muchos casos, esos derechos impondrán obligaciones más estrictas que el Artículo 26 por sí solo.

Artículo 27 — Evaluación de Impacto sobre los Derechos Fundamentales. Para los responsables del despliegue que sean organismos públicos, o que utilicen IA de alto riesgo para tomar decisiones que afecten a un gran número de personas, el Artículo 27 exige una evaluación estructurada que cubra: la finalidad y el contexto de despliegue; las categorías de personas físicas afectadas; cualquier impacto previsible sobre los derechos fundamentales; y las medidas adoptadas para mitigar esos impactos. La EIDF debe presentarse a la autoridad de vigilancia del mercado cuando lo solicite. El flujo de trabajo de EIDF de Confir ejecuta la evaluación de siete secciones y genera un resultado listo para auditoría.

Artículo 22 del RGPD. Al margen de la Ley de IA de la UE, los empleadores también deben abordar el Artículo 22 del RGPD, que restringe las decisiones basadas únicamente en el tratamiento automatizado que producen efectos jurídicos o significativos de modo similar. Para las decisiones laborales, los «efectos jurídicos» incluyen el despido y, podría argumentarse, la promoción. Cuando se aplica el Artículo 22, la persona afectada tiene derecho a no ser objeto de una decisión puramente automatizada, derecho a una revisión humana y derecho a una explicación. El requisito de supervisión humana del Artículo 14 de la Ley de IA de la UE y el Artículo 22 del RGPD apuntan en la misma dirección: necesita un responsable de decisión humano genuino, no un mero refrendo.

Ejemplo trabajado: IA de asignación de turnos en una empresa de logística

Una empresa de logística de 300 personas despliega un sistema de IA que asigna turnos y rutas de reparto en función de datos históricos de rendimiento, registros de puntualidad y valoraciones de los conductores. Los conductores con puntuaciones sistemáticamente más bajas reciben menos turnos deseables y, tras tres trimestres consecutivos por debajo de un umbral, son marcados para una conversación sobre el rendimiento.

Clasificación. El sistema asigna tareas en función del comportamiento individual y evalúa el rendimiento — ambas cosas claramente dentro del punto 4, letra b), del Anexo III. Elabora perfiles de personas físicas. La exención del Artículo 6, apartado 3, no se aplica. El sistema es de alto riesgo.

Papel. La empresa compró el sistema a un proveedor de software de gestión de flotas. La empresa es el responsable del despliegue; el proveedor es el proveedor.

Qué debe haber hecho el proveedor. Antes de vender el sistema, el proveedor necesitaba: un expediente de gestión de riesgos del Artículo 9 que cubra el riesgo de impacto dispar (p. ej., ¿el algoritmo de puntuación perjudica a los conductores que regresan de una baja por enfermedad o de un permiso parental?); documentación técnica del Anexo IV; una evaluación de la conformidad del Artículo 43; una declaración de conformidad del Artículo 47; y el registro en la base de datos de la UE con arreglo al Artículo 49.

Qué debe hacer la empresa. Antes de activar el sistema, debe informar a los conductores afectados y a cualquier órgano de representación de los trabajadores aplicable con arreglo al Artículo 26. Debe designar a un supervisor humano con la competencia y la autoridad para revisar los casos de conductores marcados antes de que se celebre cualquier conversación sobre el rendimiento. Debe vigilar el funcionamiento y notificar los fallos al proveedor. Debe evaluar si se requiere una EIDF del Artículo 27 dada la escala del despliegue y las consecuencias laborales de las puntuaciones bajas.

RGPD. Cada conductor cuyas puntuaciones alimenten un resultado de «marcado para revisión del rendimiento» tiene los derechos del Artículo 22 del RGPD. La empresa no puede basarse únicamente en el resultado de la IA; debe asegurarse de que un humano revise el caso marcado de forma significativa, teniendo en cuenta el contexto que el algoritmo puede no captar (enfermedad, fallos de los equipos, condiciones inusuales de la ruta).

Plazo. Las obligaciones se aplican desde el 2 de diciembre de 2027 para este sistema autónomo del Anexo III. La preparación — diligencia debida sobre el proveedor, notificación a los trabajadores, diseño del flujo de trabajo de supervisión — debe empezar con bastante antelación. Solo la documentación tarda meses en montarse correctamente.

Cómo ayuda Confir

Clasificación y delimitación del alcance. El motor de clasificación de Confir, basado en reglas y determinista, toma respuestas en lenguaje sencillo sobre la finalidad prevista de su sistema y deriva el nivel de riesgo y el papel — proveedor o responsable del despliegue — con arreglo a los Artículos 5 y 6. Las mismas entradas, el mismo resultado, cada vez. No hay paso de inferencia ni conjeturas.

EIDF del Artículo 27. Para los responsables del despliegue de alto riesgo en el ámbito laboral, Confir activa automáticamente el flujo de trabajo de la Evaluación de Impacto sobre los Derechos Fundamentales del Artículo 27 — una evaluación estructurada de siete secciones que proyecta los riesgos específicos del ámbito laboral sobre los derechos fundamentales, documenta las medidas de mitigación y genera un resultado listo para auditoría.

Paquete de Conformidad. Para los proveedores, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración UE de conformidad del Artículo 47 en paneles estructurados, prerellenados a partir de su admisión. Cubre la gobernanza de los datos de entrenamiento, la documentación de las pruebas de sesgo, los procedimientos de supervisión humana y los planes de vigilancia poscomercialización — el conjunto completo de documentos que un auditor espera ver.

Preguntas frecuentes

¿Se aplica la clasificación de alto riesgo si los humanos toman la decisión final?

Sí. La clasificación sigue la finalidad prevista del sistema, no quién firma el resultado. Con arreglo al punto 4, letra b), del Anexo III, todo sistema destinado a asignar tareas en función del comportamiento individual, a supervisar y evaluar el rendimiento o a influir en las decisiones de promoción o despido es de alto riesgo. El «apoyo a la decisión» no reduce la clasificación. La revisión humana es una medida de control exigida por el Artículo 14 — no cambia lo que el sistema es.

¿Cuál es el plazo de cumplimiento para la IA laboral?

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones para los sistemas autónomos de alto riesgo del Anexo III se aplican desde el 2 de diciembre de 2027 — aplazadas respecto de la fecha original del 2 de agosto de 2026. La prohibición del reconocimiento de emociones en el lugar de trabajo con arreglo al Artículo 5, apartado 1, letra f), se aplica desde el 2 de febrero de 2025 y no se aplazó.

¿Qué deben hacer los empleadores antes de desplegar una herramienta de supervisión del rendimiento?

El Artículo 26 exige que los empleadores informen a los trabajadores afectados y a sus representantes antes del despliegue. Más allá de eso, los empleadores deben verificar que el proveedor posee una declaración de conformidad válida y está registrado en la base de datos de la UE; asignar la supervisión a una persona competente que pueda interpretar y anular los resultados del sistema; y evaluar si se requiere una EIDF del Artículo 27. Los derechos de consulta del comité de empresa con arreglo al Derecho laboral nacional pueden imponer requisitos adicionales en Alemania, Francia y otras jurisdicciones.

¿Es el reconocimiento de emociones en el lugar de trabajo una cuestión de cumplimiento o una prohibición?

Una prohibición. El Artículo 5, apartado 1, letra f), prohíbe introducir en el mercado o utilizar sistemas de IA para el reconocimiento de emociones en el lugar de trabajo, con excepciones estrechas. Esta prohibición se aplica desde el 2 de febrero de 2025. Un sistema que infiere estados emocionales a partir de datos faciales, de voz o de pulsaciones de teclas y utiliza esas inferencias en decisiones laborales no es un sistema de alto riesgo sujeto a las obligaciones de los Artículos 9 a 15 — es ilícito. Las multas alcanzan los 35 millones de euros o el 7 % del volumen de negocios mundial.

¿Cuáles son las multas por incumplimiento?

Incumplir las obligaciones de alto riesgo (Artículos 9 a 15, deberes del proveedor del Artículo 16, deberes del responsable del despliegue del Artículo 26) acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las empresas que se consideran pymes, el Artículo 99, apartado 6, limita la multa al menor del porcentaje o el importe fijo — una protección de proporcionalidad genuina. Incumplir la prohibición del reconocimiento de emociones del Artículo 5, apartado 1, letra f), acarrea multas de hasta 35 millones de euros o el 7 %.

¿Se aplica el Artículo 22 del RGPD junto con la Ley de IA de la UE?

Sí, y los dos regímenes se solapan. El Artículo 22 del RGPD restringe las decisiones totalmente automatizadas que producen efectos jurídicos o significativos de modo similar sobre las personas — lo que incluye el despido laboral y, en la mayoría de los casos, la promoción. Cuando se aplica el Artículo 22, el trabajador afectado tiene derecho a no ser objeto de una decisión puramente automatizada y derecho a la intervención humana. El requisito de supervisión humana del Artículo 14 de la Ley de IA de la UE apunta en la misma dirección, pero el derecho del RGPD es exigible de forma independiente y se aplica desde 2018. Deben abordarse ambos.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.