Skip to content
Confir.
Prueba gratuita
Blog

IA de contratación y cribado de currículos con arreglo a la Ley de IA de la UE: clasificación de alto riesgo y qué significa para usted

High-Risk Use Case9 January 2026· 19 min de lectura

El cribado de contratación mediante IA es de alto riesgo del Anexo III con arreglo a la Ley de IA de la UE. Obligaciones del proveedor y del responsable del despliegue, filtro del Art. 6, apdo. 3, y el plazo del 2 de diciembre de 2027.

Los sistemas de IA que criban a los candidatos a un empleo, clasifican currículos o filtran candidatos se sitúan de lleno en el Anexo III, punto 4, letra a), del Reglamento (UE) 2024/1689 —la Ley de IA de la UE—. Esa clasificación no es discrecional. Conlleva la pila completa de obligaciones de alto riesgo, y el plazo de cumplimiento es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.

Este artículo explica por qué la IA de contratación es de alto riesgo, cómo funciona en la práctica el reparto entre proveedor y responsable del despliegue, qué obligaciones se asocian a cada papel y dónde están los casos límite.

Por qué la IA de contratación es de alto riesgo con arreglo al Anexo III

El Anexo III agrupa los sistemas de IA de alto riesgo en ocho epígrafes. El punto 4 cubre el empleo, la gestión de los trabajadores y el acceso al autoempleo. El subpunto a) es explícito: los sistemas de IA destinados a utilizarse para la contratación o la selección de personas físicas, en particular para colocar anuncios de empleo dirigidos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos.

La razón legislativa no es difícil de seguir. Un modelo de cribado de currículos que filtra al 80 % de los candidatos antes de que ningún humano los vea determina quién es tenido en cuenta para un puesto. Los errores o los sesgos incorporados se acumulan a escala —un único modelo desplegado en cientos de decisiones de contratación puede perjudicar sistemáticamente a los candidatos por motivos de sexo, edad u origen nacional sin que ningún seleccionador individual tome una decisión discriminatoria—. Esa combinación de escala, opacidad e impacto directo en el acceso al empleo es precisamente lo que el tramo de alto riesgo está diseñado para abordar.

Qué cubre (y qué no cubre) el filtro del Artículo 6, apartado 3

El Artículo 6, apartado 3, ofrece una válvula de escape estrecha. Un sistema enumerado en el Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales —por ejemplo, porque desempeña únicamente una tarea procedimental limitada, o porque se limita a mejorar el resultado de una actividad humana previamente realizada sin influir en las evaluaciones.

Aplicado a la contratación: una herramienta que reformatea los currículos a una maquetación normalizada, elimina entradas duplicadas o comprueba que los campos obligatorios de la solicitud están completos puede quedar fuera del tramo de alto riesgo si no desempeña ningún papel en la clasificación o la elaboración de perfiles de los candidatos. En el momento en que un sistema puntúa, clasifica o filtra a los candidatos —aunque sea como una preselección de primera pasada—, la exención del Artículo 6, apartado 3, deja de sostenerse. Cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, punto final. Los proveedores que reclamen la exención deben documentar la evaluación y registrar igualmente el sistema con arreglo al Artículo 49.

En la práctica, la mayoría de las herramientas comerciales de tecnología de RR. HH. que se comercializan como cribado asistido por IA sí elaboran perfiles y clasifican. La exención es realmente estrecha.

Proveedor frente a responsable del despliegue: quién es quién en la IA de contratación

La Ley distingue de forma nítida entre la parte que construye e introduce un sistema de IA en el mercado y la parte que lo utiliza.

El proveedor (Artículo 16) es el proveedor de tecnología de RR. HH.: la empresa que desarrolló el modelo de cribado de currículos, lo entrena con datos y lo suministra a los empleadores bajo su propio nombre o marca. Los proveedores soportan las obligaciones más pesadas y son responsables de la evaluación de la conformidad antes de que el sistema salga al mercado.

El responsable del despliegue (Artículo 26) es el empleador que contrata. Un equipo interno de una empresa de logística de 200 personas que se ha suscrito a un sistema de seguimiento de candidatos de un tercero con clasificación por IA es el responsable del despliegue. También lo es una agencia de selección que utiliza la herramienta de emparejamiento de un proveedor para preseleccionar candidatos para sus clientes.

La frontera puede desplazarse. Con arreglo al Artículo 25, un responsable del despliegue se convierte en proveedor si pone su propio nombre en un sistema de un tercero, lo modifica sustancialmente (el Artículo 3, apartado 23, define la modificación sustancial) o cambia su finalidad prevista de un modo que lo sitúe bajo una categoría distinta del Anexo III. Un equipo de RR. HH. que ajusta (fine-tuning) el modelo base de un proveedor con sus propios datos y después utiliza el sistema resultante para contratar debería recabar asesoramiento jurídico sobre si eso constituye una modificación sustancial —si lo hace, el responsable del despliegue hereda las obligaciones plenas del proveedor.

Obligaciones de los proveedores de IA de contratación

Los proveedores deben completar lo siguiente antes de introducir un sistema de IA de contratación de alto riesgo en el mercado de la UE o de ponerlo en servicio.

Sistema de gestión de riesgos — Artículo 9

El Artículo 9 exige un proceso de gestión de riesgos continuo a lo largo de todo el ciclo de vida del sistema. Para una IA de contratación, eso significa identificar los riesgos previsibles de resultados discriminatorios (tasas de rechazo dispares por sexo, edad u origen nacional), diseñar medidas técnicas y organizativas para abordarlos, estimar los riesgos residuales y mantener actualizado el registro de gestión de riesgos a medida que el sistema cambia o que se acumulan datos poscomercialización.

La gestión de riesgos del Artículo 9 no es una auditoría única. Es una obligación continua que va desde el desarrollo hasta la retirada del servicio.

Datos y gobernanza de datos — Artículo 10

El Artículo 10 rige los conjuntos de datos de entrenamiento, validación y prueba utilizados para desarrollar el sistema. Para la IA de contratación, aquí es donde se origina el riesgo de sesgo. Si los registros históricos de contratación reflejan una plantilla en la que los puestos directivos los ocupaban abrumadoramente hombres de una determinada franja de edad, un modelo entrenado con esos datos codificará esos patrones como señales de éxito.

El Artículo 10 exige que los conjuntos de datos sean pertinentes, suficientemente representativos y —en la medida de lo posible— exentos de errores y completos. También exige a los proveedores abordar las lagunas de datos y adoptar medidas para detectar, prevenir y mitigar los posibles sesgos, en particular los que pueden afectar a los derechos fundamentales. Las pruebas demográficas en las distintas características protegidas forman parte de esta obligación, no son una buena práctica voluntaria.

Documentación técnica — Artículo 11 y Anexo IV

El Artículo 11 exige a los proveedores elaborar la documentación técnica antes de introducir un sistema de alto riesgo en el mercado y mantenerla actualizada a lo largo de todo el ciclo de vida del sistema. El contenido se especifica en el Anexo IV: una descripción general del sistema y de su finalidad prevista, las especificaciones de diseño, las metodologías de entrenamiento, las métricas de rendimiento en los grupos demográficos pertinentes, las limitaciones conocidas y las medidas de mitigación de riesgos.

Este documento constituye la columna vertebral probatoria del cumplimiento. Las autoridades competentes pueden solicitarlo; los organismos notificados lo inspeccionarán.

Información de transparencia para los responsables del despliegue — Artículo 13

El Artículo 13 exige a los proveedores facilitar a los responsables del despliegue información clara e inequívoca. Para una herramienta de contratación, las instrucciones de uso deben especificar la finalidad prevista del sistema y las categorías de candidatos que está diseñado para evaluar; los datos que trata; la lógica utilizada para generar clasificaciones o recomendaciones; las métricas de rendimiento, las limitaciones conocidas y los escenarios de uso indebido previsibles; y las medidas necesarias para garantizar una supervisión humana significativa.

Un responsable del despliegue no puede operar lícitamente un sistema de contratación de alto riesgo si el proveedor no ha facilitado esta información. Los proveedores no pueden cumplir el Artículo 13 remitiendo a un folleto comercial.

Supervisión humana desde el diseño — Artículo 14

El Artículo 14 exige que los sistemas de alto riesgo se diseñen y construyan —no simplemente se utilicen— de maneras que permitan una supervisión humana eficaz. El proveedor debe incorporar interfaces que permitan a la persona física que supervisa el sistema comprender sus capacidades y limitaciones, vigilar su funcionamiento y decidir no utilizar su salida o anularla.

Para la IA de contratación, esto significa que el sistema debe hacer inspeccionable para el seleccionador su lógica de puntuación, no limitarse a entregar una lista clasificada. Construir un producto de «puntuar y clasificar como caja negra» y dejar la supervisión a los procedimientos operativos del empleador no satisface la obligación del Artículo 14 del proveedor.

Exactitud, robustez y ciberseguridad — Artículo 15

El Artículo 15 exige que los sistemas de alto riesgo alcancen niveles adecuados de exactitud para su finalidad prevista y sean resistentes a los intentos de terceros de alterar las salidas. Para un sistema de cribado de currículos, la exactitud significa no solo la precisión global, sino la coherencia del rendimiento entre los grupos demográficos. Un sistema que alcanza una exactitud del 90 % en conjunto, pero del 70 % en las candidatas a puestos técnicos, tiene un problema de Artículo 15, no solo de Artículo 10.

Evaluación de la conformidad — Artículo 43

El Artículo 43 es la evaluación de la conformidad —el término de la UE para verificar formalmente, antes de la introducción en el mercado, que un sistema cumple los requisitos de la Ley—. Para la IA de contratación, se trata de una evaluación de la conformidad interna (procedimiento del Anexo VI), no de una que requiera un organismo notificado, salvo que el proveedor opte por utilizar uno. El proveedor elabora la declaración UE de conformidad con arreglo al Artículo 47, coloca el marcado CE con arreglo al Artículo 48 y registra el sistema en la base de datos de la UE con arreglo al Artículo 49.

La evaluación de la conformidad debe completarse antes de que el sistema se introduzca en el mercado o se ponga en servicio. No hay período de gracia para una evaluación de la conformidad retroactiva sobre sistemas en funcionamiento después del 2 de diciembre de 2027.

Registro — Artículo 49

Antes de la introducción en el mercado o en el momento de esta, los proveedores deben registrar los sistemas de IA de contratación de alto riesgo en la base de datos pública de la UE. El registro cubre los datos del proveedor, la finalidad prevista del sistema, la base de la clasificación de riesgo y un resumen del resultado de la evaluación de la conformidad.

Los proveedores que reclamen la exención del Artículo 6, apartado 3 (véase más arriba), también deben registrar esa evaluación en la base de datos, aunque sostengan que el sistema no es de alto riesgo.

Obligaciones de los responsables del despliegue de IA de contratación

Los responsables del despliegue —los empleadores que contratan— soportan un conjunto de obligaciones distinto pero sustancial con arreglo al Artículo 26.

Seguir las instrucciones del proveedor. Un responsable del despliegue que utiliza un sistema de clasificación de currículos para filtrar puestos que el sistema no fue diseñado para evaluar (desplegar un cribador de puestos técnicos para puestos de trabajo manual, por ejemplo) crea una laguna de cumplimiento que es responsabilidad del responsable del despliegue, no del proveedor.

Asignar la supervisión humana. El Artículo 26 exige a los responsables del despliegue asignar la supervisión a personas físicas que tengan la competencia, la autoridad y los recursos necesarios para ejercer una supervisión genuina —y ejercerla de verdad—. La supervisión debe ser más que formal.

Informar a los trabajadores y a los candidatos. Cuando la IA de contratación se utilice en el contexto del empleo o de las relaciones laborales, el Artículo 26 exige al responsable del despliegue informar a los representantes de los trabajadores y a los trabajadores afectados (o candidatos) de que se está utilizando el sistema. Hay que informar a los candidatos antes de la solicitud o en el momento de esta, no después de que se haya tomado una decisión de rechazo.

Vigilar el sistema en uso. Los responsables del despliegue deben vigilar las situaciones en las que el uso del sistema se desvíe de la finalidad prevista o produzca salidas que planteen un riesgo grave (Artículo 26). Si un responsable del despliegue detecta tal riesgo, debe notificarlo al proveedor y, cuando proceda, a las autoridades de vigilancia del mercado.

Conservar los registros. Los sistemas de alto riesgo generan registros con arreglo al Artículo 12. Los responsables del despliegue deben conservar esos registros durante al menos seis meses (Artículo 26), en la medida en que los registros estén bajo su control.

Evaluación de impacto relativa a los derechos fundamentales — Artículo 27

El Artículo 27 exige a determinados responsables del despliegue realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de desplegar un sistema de IA de alto riesgo. La obligación de la EIDF se aplica específicamente a los responsables del despliegue que sean organismos públicos, a los responsables del despliegue que presten servicios públicos como la sanidad o la asistencia social, y a los responsables del despliegue privados que operen en los sectores del crédito o de los seguros.

La mayoría de los empleadores privados no desencadenan la obligación de la EIDF del Artículo 27. Una empresa de logística, un minorista o una empresa tecnológica que utiliza un ATS de un tercero con clasificación por IA es un responsable del despliegue privado fuera del ámbito del Artículo 27. La empresa debe realizar la diligencia debida sobre la evaluación de la conformidad del proveedor e implementar sus obligaciones de vigilancia y supervisión del Artículo 26 —pero no se exige una EIDF formal.

Cuando la EIDF sí se aplica (un organismo del sector público que contrata mediante cribado por IA, o una compañía de seguros que utiliza IA para preseleccionar candidatos a puestos de suscriptor), la evaluación debe notificarse a las autoridades de vigilancia del mercado y debe abordar las categorías de personas y grupos que probablemente se vean afectados, los riesgos para los derechos fundamentales y las medidas adoptadas para abordarlos.

El solapamiento con el Artículo 22 del RGPD

El Artículo 22 del Reglamento General de Protección de Datos prohíbe las decisiones automatizadas que produzcan efectos jurídicos sobre las personas o las afecten significativamente de modo similar, salvo que la persona haya dado su consentimiento, la decisión sea necesaria para un contrato o esté autorizada por el Derecho de la Unión o del Estado miembro.

Las decisiones de contratación se sitúan de lleno en el ámbito del Artículo 22: quedar excluido de un proceso de solicitud de empleo es una decisión que afecta significativamente a la persona. Un empleador que se apoya por completo en la recomendación de rechazo de una IA sin una revisión humana significativa probablemente infringe el Artículo 22 del RGPD con independencia de cualquier cosa de la Ley de IA de la UE.

Los dos marcos se complementan. La obligación de supervisión humana del Artículo 14 de la Ley de IA de la UE y las obligaciones del responsable del despliegue del Artículo 26 se alinean con el requisito de revisión humana del Artículo 22 del RGPD, pero son requisitos jurídicos separados. El cumplimiento de la Ley de IA no sustituye al cumplimiento del RGPD, ni viceversa.

Los candidatos también tienen derecho, con arreglo al RGPD, a solicitar información sobre la lógica aplicada en el tratamiento automatizado, a oponerse a las decisiones basadas únicamente en el tratamiento automatizado y a que la decisión sea revisada por un humano.

Qué aspecto tiene un flujo de trabajo de IA de contratación conforme

Una empresa de tecnología de RR. HH. de tamaño medio —pongamos, 60 empleados— construye una herramienta de cribado de currículos para el mercado DACH. Entrena el modelo con datos históricos de solicitudes anonimizados de cinco grandes clientes, clasifica a los candidatos por una puntuación de coincidencia y vende el acceso a clientes empleadores mediante una suscripción de SaaS.

La empresa es el proveedor. Antes de salir al mercado, debe:

  1. Construir y documentar un sistema de gestión de riesgos con arreglo al Artículo 9, que cubra el riesgo de resultados discriminatorios por sexo, edad y origen nacional.
  2. Auditar sus datos de entrenamiento con arreglo al Artículo 10 en cuanto a representatividad y sesgo; documentar la composición del conjunto de datos, las métricas de rendimiento por grupo demográfico y las medidas adoptadas para abordar las lagunas.
  3. Elaborar la documentación técnica del Anexo IV con arreglo al Artículo 11: descripción del sistema, arquitectura del modelo, metodología de entrenamiento, valores de referencia de rendimiento desglosados por grupo demográfico, limitaciones conocidas.
  4. Diseñar interfaces de supervisión conformes con el Artículo 14 de modo que los clientes empleadores puedan inspeccionar la justificación de la puntuación de candidatos individuales y anular las clasificaciones.
  5. Preparar las instrucciones del Artículo 13 para los responsables del despliegue, que cubran el uso previsto, los datos tratados, las medidas de supervisión exigidas y las plantillas de divulgación a los candidatos.
  6. Completar la evaluación de la conformidad interna del Artículo 43, elaborar la declaración de conformidad del Artículo 47 y registrar el sistema con arreglo al Artículo 49.

El responsable del despliegue —cada cliente empleador— debe:

  1. Utilizar el sistema únicamente para su finalidad prevista declarada y dentro de los contextos demográficos que el proveedor ha probado.
  2. Implementar los procedimientos de supervisión que el proveedor especifique; formar a los seleccionadores para que lean la lógica de puntuación del sistema en lugar de tratar las clasificaciones como decisiones definitivas.
  3. Notificar a los candidatos, antes de la solicitud o en el momento de esta, que se utiliza IA en el cribado y explicar la finalidad y el proceso de recurso.
  4. Conservar los registros del Artículo 12 que genera el sistema durante al menos seis meses.
  5. Vigilar las anomalías en las tasas de rechazo y comunicar las preocupaciones al proveedor con arreglo al Artículo 26.

Ninguna de las partes necesita un organismo notificado para la evaluación de la conformidad. Ambas partes deben estar preparadas para esto antes del 2 de diciembre de 2027.

Sanciones con arreglo al Artículo 99

El incumplimiento de las obligaciones de alto riesgo —Artículos 9, 10, 11, 13, 14, 15, 43, 49 para los proveedores; Artículo 26 para los responsables del despliegue— acarrea multas con arreglo al Artículo 99, apartado 4: hasta 15 000 000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, prevé un tope: la multa es la menor de la cantidad fija o el porcentaje. Una empresa de tecnología de RR. HH. de 60 personas con un volumen de negocios anual de 4 millones de euros afronta una multa máxima de 120 000 € con arreglo al techo porcentual, no de 15 millones de euros —se aplica el tope—. La protección es real, pero no elimina la obligación.

Quienes suministren información incorrecta o incompleta a los organismos notificados o a las autoridades afrontan un tramo independiente e inferior: 7 500 000 € o el 1 % con arreglo al Artículo 99, apartado 5.

El plazo para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III, incluida la IA de contratación) es el 2 de diciembre de 2027. En virtud del Ómnibus Digital acordado en mayo de 2026, esta fecha se aplazó respecto de la original del 2 de agosto de 2026. El año y medio adicional es tiempo para la documentación, las pruebas y la evaluación de la conformidad —no tiempo para aplazar el inicio.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir guía a los proveedores y a los responsables del despliegue a través de los criterios del Anexo III, punto 4, letra a), en lenguaje sencillo, deriva el tramo de riesgo y el papel correctos y, a continuación, ejecuta la evaluación de cumplimiento estructurada en las cuatro áreas: clasificación de riesgos (Artículos 5, 6, 43), datos y robustez técnica (Artículos 10, 11, 15), transparencia y supervisión humana (Artículos 13, 14, 27) y gobernanza (Artículos 9, 72, 73).

Para un proveedor de IA de contratación, el resultado es un paquete de documentación técnica del Artículo 11 / Anexo IV listo para imprimir y una declaración de conformidad del Artículo 47 —ambos generados a partir de la admisión de la evaluación, sin consultores y sin una implementación de seis meses—. Para un responsable del despliegue, Confir hace aflorar las obligaciones del Artículo 26, señala si la EIDF del Artículo 27 se aplica a su contexto concreto y mantiene el registro de auditoría.

La lógica de clasificación es determinista. La misma admisión, la misma conclusión. La misma regla se activa siempre —lo que importa cuando necesita mostrar a un auditor exactamente por qué un sistema se clasificó como de alto riesgo y qué obligaciones se desencadenaron.

Qué vigilar

El acuerdo político del Ómnibus Digital de mayo de 2026 cubre el plazo de alto riesgo. Pero la Ley ya se está aplicando en parte: la prohibición de determinadas prácticas de IA (Artículo 5) está en vigor desde el 2 de febrero de 2025, y las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025. No hay una moratoria de la ejecución sobre el tramo de alto riesgo a la espera del plazo de diciembre de 2027 —la evaluación de la conformidad debe estar completa para esa fecha, lo que significa que el trabajo subyacente de documentación y pruebas debe comenzar con bastante antelación.

Para los proveedores de tecnología de RR. HH. activos en la UE, el horizonte de planificación práctico es ahora. El trabajo de gobernanza de datos del Artículo 10 y el marco de gestión de riesgos del Artículo 9 requieren ambos acceso a los datos de entrenamiento y al historial de despliegue que se vuelve más difícil de reconstruir a posteriori. El momento de empezar a construir la documentación del Anexo IV es antes de que los datos y las personas que construyeron el modelo se hayan ido.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.