Requisitos del RIA para las empresas que crean o venden software de selección de personal
Requisitos del RIA para el software de selección de personal: por qué el anexo III, punto 4 lo hace de alto riesgo, conformidad y marcado CE.
Desarrollas una herramienta que ordena currículos. La vendes a empleadores con tu propia marca. Bajo el Reglamento de IA, esa herramienta es de alto riesgo, y debes cumplir toda la pila de obligaciones del proveedor antes de poder introducirla legalmente en el mercado de la UE: no después de la primera venta, ni cuando un cliente lo pida. Clasificación, una pila de desarrollo según los artículos 9 a 15, documentación técnica, evaluación de la conformidad, marcado CE y registro son una puerta de salida al mercado.
Esta página es el manual de lanzamiento de producto para el proveedor de software de selección: qué tienes que incorporar, y en qué orden, para comercializar legalmente una herramienta de contratación en la UE.
Por qué esta guía es para el proveedor, no para el empleador
El Reglamento de IA asigna las obligaciones por rol. Un proveedor según el artículo 3(3) es la entidad que desarrolla un sistema de IA —o hace que se desarrolle— y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. Un responsable del despliegue según el artículo 26 es la entidad que usa el sistema. Si tu empresa escribe, empaqueta y vende software de selección, de cribado de currículos o de ordenación de candidatos, eres el proveedor, y el artículo 16 define tu pila. El empleador que compra tu herramienta para contratar es el responsable del despliegue, con un conjunto de deberes propio y más reducido.
La tesis de esta página es contundente: como el anexo III, punto 4(a) incluye la IA de contratación y selección como de alto riesgo, crear o vender una herramienta así activa toda la pila de obligaciones del proveedor antes de que el producto pueda comercializarse legalmente. Es una puerta de lanzamiento, no una tarea de cumplimiento posterior a la venta.
Proveedor o responsable del despliegue: ¿cuál eres tú?
Si controlas la finalidad prevista del sistema y le pones tu marca, eres el proveedor. La distinción importa porque los dos roles apenas comparten trabajo: los proveedores incorporan la conformidad al producto, los responsables del despliegue operan dentro de las instrucciones del proveedor. El resto de esta página da por hecho que eres el proveedor.
Qué significa "introducir en el mercado" para una herramienta de selección SaaS
En el SaaS, "introducir en el mercado" —o "poner en servicio"— ocurre cuando pones por primera vez el sistema a disposición de un responsable del despliegue en la UE, ya sea por suscripción, licencia o acceso alojado. No hay caja que se envíe. Las obligaciones se activan con la primera puesta a disposición, así que el trabajo de conformidad tiene que estar terminado antes de que tu primer cliente de la UE pueda iniciar sesión.
En qué se diferencia esta página de nuestras otras guías de selección
Cubrimos este sector desde varios ángulos. La página de clasificación de la IA de cribado de selección explica cómo una herramienta queda clasificada de alto riesgo. El mapa de casos de uso de RR. HH. y selección recorre el sector entero a través de las zonas prohibida, de alto riesgo y de riesgo mínimo. La página de IA de decisiones durante la relación laboral cubre las herramientas de ascenso, despido y supervisión del punto 4(b). La guía de proveedor frente a responsable del despliegue explica los roles de forma genérica. Esta página es el manual de lanzamiento de producto del proveedor de selección: la secuencia de desarrollo y comercialización que ninguna de las otras recorre de principio a fin.
Una nota sobre el plazo, por adelantado: planifica contra el 2 de agosto de 2026 para los sistemas autónomos de alto riesgo del anexo III. Se ha acordado un aplazamiento al 2 de diciembre de 2027, pero aún no es ley a fecha de junio de 2026. La sección sobre el plazo, más abajo, explica exactamente por qué.
Qué hace que el software de selección sea de alto riesgo según el anexo III, punto 4
Anexo III, punto 4(a): la redacción exacta
El anexo III, punto 4(a) del Reglamento (UE) 2024/1689 incluye los sistemas de IA destinados a usarse para la contratación o selección de personas físicas —en particular, para publicar anuncios de empleo dirigidos, analizar y filtrar candidaturas y evaluar a los candidatos—. Si tu herramienta hace cualquiera de esas cosas, está nombrada en la lista de alto riesgo.
El artículo 6(2) y el criterio de la finalidad prevista
El artículo 6(2) es el disparador operativo: un sistema mencionado en el anexo III es de alto riesgo. La clasificación sigue la finalidad prevista del sistema tal y como tú, el proveedor, la defines, no según el uso que cualquier cliente concreto le dé. No puedes esquivar la clasificación apuntando a un cliente prudente; lo que rige es la finalidad para la que comercializas y diseñas.
Cuándo se aplica realmente a un proveedor la exención del artículo 6(3)
El artículo 6(3) ofrece una exención estrecha: un sistema del anexo III no es de alto riesgo si no plantea un riesgo significativo de daño para la salud, la seguridad o los derechos fundamentales. Una herramienta que solo reformatea currículos o comprueba que los campos obligatorios estén rellenos puede cumplirla. Pero en cuanto un sistema puntúa, ordena, perfila o preselecciona candidatos, la exención decae, y el artículo 6(3) afirma con claridad que un sistema que realiza la elaboración de perfiles de personas físicas es siempre de alto riesgo. Un proveedor que invoque la exención debe documentar la evaluación y, aun así, registrar el sistema según el artículo 49.
La mayoría de la tecnología comercial de RR. HH. comercializada como "cribado asistido por IA" perfila y ordena por diseño. La exención rara vez aplica. Lo que decide la clasificación son las decisiones de diseño, no las etiquetas de marketing.
La pila de obligaciones del proveedor: qué tienes que incorporar (artículos 9 a 15)
Este es el trabajo de ingeniería que tiene que existir dentro del producto y en su rastro documental antes del lanzamiento.
Gestión de riesgos y sesgos: artículos 9 y 10
El artículo 9 exige un sistema de gestión de riesgos documentado e iterativo que funcione a lo largo de todo el ciclo de vida del sistema. Para un modelo de selección, el tema dominante es la salida discriminatoria: tasas de rechazo dispares por sexo, edad u origen nacional. Ese riesgo hay que identificarlo, estimarlo y mitigarlo, y luego volver a comprobarlo a medida que el modelo cambia.
El artículo 10 rige los datos: los conjuntos de entrenamiento, validación y prueba deben ser pertinentes, representativos y estar sujetos a mitigación de errores y a una detección activa de sesgos. El artículo 10(5) permite tratar datos personales de categorías especiales estrictamente cuando sea necesario para detectar y corregir sesgos, con salvaguardias: una licencia estrecha y explícita en la que conviene apoyarse de forma deliberada en lugar de tropezar con ella.
Documentación, transparencia, supervisión: artículos 11/anexo IV, 13, 14
El artículo 11, junto con el anexo IV, exige una documentación técnica elaborada antes de la introducción en el mercado y mantenida al día; según el artículo 18 se conserva durante diez años.
El artículo 13 exige instrucciones de uso que indiquen al empleador-responsable del despliegue la finalidad prevista, las categorías de candidatos evaluadas, la lógica de ordenación, las métricas de rendimiento, las limitaciones y la supervisión humana requerida. Es un artefacto de cumplimiento, no un folleto comercial.
El artículo 14 exige supervisión humana por diseño. El producto debe exponer la justificación de su puntuación y permitir que el reclutador anule o ignore la salida. Un producto de caja negra que puntúa y ordena sin posibilidad de anulación incumple el artículo 14. Punto.
Precisión entre subgrupos, SGC y registros: artículos 15, 17, 19
El artículo 15 exige una precisión, robustez y ciberseguridad adecuadas, incluido un rendimiento coherente entre subgrupos demográficos. Un modelo que tiene un 90 % de precisión global pero un 70 % con mujeres en puestos técnicos tiene un problema del artículo 15, no solo del artículo 10.
El artículo 17 exige un sistema de gestión de la calidad. El artículo 19 exige conservar los registros generados automáticamente durante al menos seis meses cuando estén bajo tu control. Ambos alimentan la vigilancia poscomercialización.
Documentación técnica del anexo IV para una herramienta de selección, sección por sección
El anexo IV es abstracto. Esto es lo que significa cada área de contenido para una herramienta de contratación en concreto.
| Área de contenido del anexo IV | Qué debe escribir un proveedor de software de selección |
|---|---|
| §1 Descripción general y finalidad prevista | Las poblaciones de candidatos y los puestos que el sistema evalúa; los mercados e idiomas para los que está validado |
| §2 Decisiones de desarrollo y diseño | La arquitectura del modelo, la lógica de ordenación/puntuación y las decisiones de diseño tomadas para reducir la salida discriminatoria |
| §2–3 Datos y gobernanza de datos | Composición de los conjuntos de entrenamiento/validación/prueba, procedencia de los datos históricos de contratación y las medidas de detección y mitigación de sesgos (enlaza con el artículo 10) |
| Métricas de rendimiento | Precisión desagregada por subgrupo demográfico —no solo la precisión global—, la expectativa probatoria específica de la selección |
| Supervisión humana | Las interfaces de supervisión creadas para los responsables del despliegue según el artículo 14, incluido cómo un reclutador ve y anula una puntuación |
| Vigilancia poscomercialización | El plan de seguimiento según el artículo 72 que cubre toda la vida útil del sistema desplegado |
Cómo asignar el anexo IV a un producto de cribado de currículos
Recorre la tabla de arriba abajo. La sección de finalidad prevista fija a quién evalúa la herramienta; la sección de datos documenta de dónde vinieron tus datos de entrenamiento y cómo los probaste para detectar sesgos; la sección de supervisión describe la interfaz de anulación. Cada sección debe leerse como evidencia, no como aspiración.
Métricas de rendimiento por subgrupo: la evidencia específica de la selección
La expectativa más distintiva para la IA de contratación es el rendimiento desagregado por subgrupo. Una autoridad de vigilancia del mercado que evalúe un modelo de selección mirará más allá de la cifra global de precisión para ver cómo se comporta el sistema entre sexos, franjas de edad y otras características protegidas. Integra esa medición en las pruebas desde el principio; añadirla a posteriori sale caro.
Por qué el expediente técnico es la columna vertebral de todo lo demás
El expediente del anexo IV es el documento que una autoridad solicita y la base de tu declaración de conformidad del artículo 47. Mantenlo bajo control de versiones. Cada paso posterior —la declaración, el marcado CE, la entrada de registro— remite a él.
Evaluación de la conformidad, declaración, marcado CE y registro antes de comercializar
La vía interna del anexo VI (sin organismo notificado)
La IA de selección se sitúa en el anexo III, punto 4, así que según el artículo 43 sigue la vía de evaluación de la conformidad de control interno del anexo VI. No se requiere organismo notificado. Esto se diferencia de ciertos sistemas biométricos del anexo III, punto 1, que pueden requerir la vía con organismo notificado del anexo VII. El procedimiento del anexo VI: verificar que el sistema cumple los artículos 9 a 15, examinar la documentación técnica y mantenerla disponible durante diez años.
Declaración de conformidad, marcado CE, registro en la base de datos de la UE
Según el artículo 47, elaboras la declaración UE de conformidad con el contenido establecido en el anexo V, en la lengua o lenguas oficiales de cada Estado miembro donde se introduzca el sistema.
Según el artículo 48, colocas el marcado CE, pero solo después de completar la evaluación del artículo 43. El artículo 48(4) prohíbe colocarlo antes.
Según el artículo 49 y el anexo VIII, registras el sistema en la base de datos de la UE antes de introducirlo en el mercado. El registro es secuencial e independiente de la evaluación de la conformidad. Un proveedor que invoque la exención del artículo 6(3) también debe registrar esa conclusión.
Vigilancia poscomercialización y notificación de incidentes: artículos 72 y 73
El artículo 72 exige un sistema de vigilancia poscomercialización durante toda la vida útil del sistema. El artículo 73 exige notificar los incidentes graves a la autoridad de vigilancia del mercado dentro de plazos fijos: 15 días con carácter general, 2 días para daños generalizados o a infraestructuras críticas, y 10 días cuando una persona haya fallecido.
La trampa del artículo 25: construir IA de selección sobre la API de un modelo fundacional
Por qué la conformidad GPAI no se transmite
Aquí está la trampa. El artículo 25 establece que una empresa que integra un modelo de IA de uso general en una función de selección y la comercializa con su propio nombre se convierte en el proveedor del sistema de alto riesgo resultante, y hereda toda la pila del artículo 16. No hay transmisión de la conformidad. Que un modelo GPAI sea conforme en la capa del modelo no hace conforme tu aplicación de selección. La capa de aplicación necesita sus propios artículos 9 a 15, 43, 47, 48, 49, 72 y 73.
El anexo XII como insumo de tu expediente técnico
El proveedor del modelo debe a quienes construyen aguas abajo la información técnica del artículo 53 (el contenido establecido en el anexo XII) sobre las capacidades, limitaciones y riesgos conocidos del modelo. Eso es un insumo de tu expediente del anexo IV, no un sustituto. Sigues siendo tú quien redacta la documentación específica de selección, las métricas por subgrupo y el diseño de la supervisión.
Modificación sustancial y el reinicio de roles: artículo 3(23), artículo 25
El artículo 3(23) define la modificación sustancial. Si cambias materialmente el perfil de riesgo o la finalidad prevista de un sistema de terceros, el sistema modificado se trata como un sistema nuevo introducido en el mercado por ti, reiniciando las obligaciones del proveedor sobre tu empresa. La conclusión es una educación neutral en marcas sobre los conceptos del Reglamento de IA: los modelos fundacionales y la GPAI son términos regulatorios aquí, y usar uno en tu desarrollo no traslada tus obligaciones al proveedor del modelo.
Ejemplo práctico: la ruta al mercado de un proveedor de software de selección
Toma TalentSift GmbH, un proveedor de tecnología de RR. HH. de Berlín, con 45 empleados, que vende un SaaS de ordenación y preselección de currículos a empleadores de la región DACH. Esta es la ruta completa del proveedor, en concreto.
Paso 1: clasificar y confirmar el rol de proveedor
El producto de TalentSift analiza, filtra y ordena candidatos. Eso es de lleno el anexo III, punto 4(a), así que es de alto riesgo según el artículo 6(2). El artículo 6(3) no lo rescata, porque el sistema perfila y ordena. TalentSift pone su propio nombre en la herramienta, así que es el proveedor según el artículo 3(3), con la pila del artículo 16.
Paso 2: construir la pila de los artículos 9 a 15 y el expediente del anexo IV
TalentSift levanta un expediente de riesgos del artículo 9 centrado en las tasas de rechazo dispares; audita según el artículo 10 los datos históricos de contratación de clientes con los que entrenó; redacta un expediente del anexo IV con rendimiento desagregado por subgrupo; y construye una interfaz de supervisión del artículo 14 que expone la justificación de la puntuación por candidato y permite que un reclutador la anule.
Paso 3: evaluar, declarar, marcar CE, registrar... y entonces vender
TalentSift ejecuta la evaluación de la conformidad interna del anexo VI, firma la declaración de conformidad del artículo 47, coloca el marcado CE según el artículo 48 y registra el sistema según el artículo 49, todo ello antes de su primera venta.
Qué significa en euros el tope de sanción para pymes
Incumplir las obligaciones de alto riesgo cae bajo el artículo 99(4): hasta 15 M€ o el 3 % del volumen de negocios anual total a escala mundial, la cifra que sea mayor. Pero el artículo 99(6) limita a las pymes y empresas emergentes al menor de los dos. Con un volumen de negocios en torno a 3 M€, la exposición de TalentSift bajo el techo del 3 % ronda los 90 000 €, no 15 M€. El tope es una protección de proporcionalidad real, pero las obligaciones siguen aplicándose en su totalidad. TalentSift planifica contra el 2 de agosto de 2026, tratando el aplazamiento acordado pero aún no ley como una contingencia y no como una garantía.
Plazos y sanciones para los proveedores de software de selección
La cuestión del 2 de agosto de 2026 frente al 2 de diciembre de 2027
El texto legal fija el 2 de agosto de 2026 para las obligaciones de alto riesgo autónomas del anexo III. El Digital Omnibus alcanzó un acuerdo político provisional el 6 y 7 de mayo de 2026 (el COREPER confirmó el texto en torno al 13 de mayo de 2026) para aplazarlo al 2 de diciembre de 2027, pero a fecha de junio de 2026 aún no es ley: todavía necesita una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta entonces, el texto vigente fija legalmente el 2 de agosto de 2026. Planifica contra el 2 de agosto de 2026 hasta que el aplazamiento se promulgue.
El aplazamiento son fechas de calendario fijas; la variante de "parar el reloj" supeditada a las normas técnicas se descartó. No todo se aplaza. El alto riesgo integrado en productos del anexo I (artículo 6(1)) tiene su propia fecha del 2 de agosto de 2027, acordada para aplazarse al 2 de agosto de 2028, también todavía no ley, y una categoría que no suele aplicarse al SaaS de selección autónomo.
Niveles de sanción según el artículo 99
El artículo 99(4) fija el nivel principal para los incumplimientos de obligaciones de alto riesgo: hasta 15 M€ o el 3 % del volumen de negocios anual total a escala mundial, la cifra que sea mayor. El artículo 99(5) fija un nivel inferior —7,5 M€ o el 1 %— por facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades. El artículo 99(6) limita a las pymes y empresas emergentes al menor de la suma fija o el porcentaje.
Qué ya se aplica con independencia del plazo de alto riesgo
El plazo de alto riesgo no aplaza todo. Las prohibiciones del artículo 5 y las obligaciones de alfabetización en IA del artículo 4 se aplican desde el 2 de febrero de 2025. Los proveedores de selección deberían confirmar que su producto no incluye ninguna función prohibida, en particular ningún reconocimiento de emociones en el lugar de trabajo, prohibido bajo el artículo 5(1)(f).
Cómo ayuda Confir a los proveedores de software de selección a llegar al mercado
El motor de clasificación de Confir guía al proveedor por los criterios del anexo III, punto 4(a) y del artículo 6(2)/6(3) en lenguaje claro y devuelve un nivel de riesgo y un rol determinados: proveedor o responsable del despliegue, alto riesgo o exento.
Para un proveedor, la salida es el paquete de conformidad: un paquete de documentación técnica del artículo 11 / anexo IV listo para imprimir y una declaración de conformidad del artículo 47 / anexo V, generados a partir de la admisión de la evaluación.
El motor es determinista y basado en reglas: sin inferencia de modelos, sin alucinaciones. La misma admisión da la misma conclusión, y cada regla que se activó es legible por una persona. Eso importa cuando una autoridad de vigilancia del mercado pregunta por qué un sistema se clasificó de alto riesgo y qué obligaciones se activaron. Confir no hace ninguna afirmación de IA sobre su propio motor y no comercializa como completa la conformidad como proveedor de GPAI.
Preguntas frecuentes
¿Nuestro software de selección cuenta como un sistema de IA de alto riesgo si una persona siempre toma la decisión final de contratación?
Sí. La clasificación según el anexo III, punto 4(a) sigue la finalidad prevista del sistema, no quién la aprueba. Una herramienta destinada a analizar, filtrar, ordenar o evaluar candidatos es de alto riesgo aunque un reclutador revise cada salida. El "apoyo a la decisión" no es una exención. La supervisión humana es un control requerido bajo el artículo 14: no cambia lo que el sistema es. Como empresa que desarrolla y vende la herramienta con tu propio nombre, sigues siendo el proveedor según el artículo 3(3), con toda la pila de obligaciones del artículo 16, por mucho que el cliente revise.
Desarrollamos un analizador de currículos que solo extrae y reformatea datos: ¿seguimos siendo de alto riesgo?
Posiblemente no, pero ve con cuidado. El artículo 6(3) puede excluir una herramienta que realiza una tarea procedimental estrecha —reformateo puro o comprobaciones de completitud— sin ningún papel en la puntuación o la ordenación. Pero en cuanto el sistema perfila, puntúa, ordena o preselecciona candidatos, la exención decae, y el artículo 6(3) confirma que cualquier sistema que perfila personas físicas es siempre de alto riesgo. La mayoría de los analizadores comerciales que alimentan una puntuación de coincidencia o una preselección sí perfilan. Si invocas la exención, debes documentar la evaluación y, aun así, registrar la conclusión según el artículo 49.
¿Necesitamos un organismo notificado que certifique nuestro software de selección antes de venderlo?
No. La IA de selección se sitúa en el anexo III, punto 4, así que la evaluación de la conformidad sigue la vía de control interno del anexo VI bajo el artículo 43: te autoevalúas frente a los artículos 9 a 15, examinas tu documentación técnica y la conservas durante diez años. Solo se requiere un organismo notificado en casos específicos, como ciertos sistemas biométricos del anexo III, punto 1, bajo el anexo VII. Tras la evaluación interna, elaboras la declaración de conformidad del artículo 47, colocas el marcado CE según el artículo 48 y registras el sistema según el artículo 49 antes de introducirlo en el mercado.
Usamos la API de un modelo fundacional de un tercero para emparejar candidatos: ¿eso hace responsable al proveedor del modelo?
No. Según el artículo 25, integrar un modelo de IA de uso general en una función de selección que comercializas con tu propio nombre te convierte en el proveedor del sistema de alto riesgo resultante, con toda la pila del artículo 16. El proveedor del modelo te debe información técnica sobre el modelo (anexo XII según el artículo 53), y eso alimenta tu expediente del anexo IV, pero no lo sustituye. La conformidad GPAI cubre solo la capa del modelo; tu aplicación de selección necesita sus propios artículos 9 a 15, 43, 47, 48, 49, 72 y 73.
¿Cuál es el plazo real para que el software de selección cumpla?
Planifica contra el 2 de agosto de 2026. El texto legal del Reglamento de IA fija el 2 de agosto de 2026 para los sistemas autónomos de alto riesgo del anexo III. El Digital Omnibus alcanzó un acuerdo político provisional el 6 y 7 de mayo de 2026 (el COREPER confirmó el texto en torno al 13 de mayo de 2026) para aplazarlo al 2 de diciembre de 2027, pero a fecha de junio de 2026 aún no es ley: todavía necesita una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. El aplazamiento son fechas de calendario fijas, no una pausa supeditada a normas técnicas. Construye para la fecha más temprana hasta que el aplazamiento se promulgue.
¿Qué documentación tenemos que producir antes de poder vender el producto?
Antes de introducir el sistema en el mercado de la UE necesitas un expediente de gestión de riesgos del artículo 9, los registros de gobernanza de datos del artículo 10, la documentación técnica del artículo 11 / anexo IV (conservada diez años según el artículo 18), las instrucciones de uso del artículo 13, evidencia del diseño de supervisión del artículo 14 y de las pruebas de precisión y robustez del artículo 15, un sistema de gestión de la calidad del artículo 17 y el registro de actividad del artículo 19. Después completas la evaluación de la conformidad del anexo VI, firmas la declaración de conformidad del artículo 47, colocas el marcado CE y registras según el artículo 49. El anexo IV es la columna vertebral que una autoridad solicitará.
¿A qué multas se enfrenta un proveedor de software de selección y hay alivio para las empresas más pequeñas?
Incumplir las obligaciones de alto riesgo cae bajo el artículo 99(4): hasta 15 M€ o el 3 % del volumen de negocios anual total a escala mundial, la cifra que sea mayor. Facilitar información incorrecta, incompleta o engañosa a las autoridades es un nivel inferior bajo el artículo 99(5): 7,5 M€ o el 1 %. Y, de forma crucial, el artículo 99(6) limita a las pymes y empresas emergentes al menor de la suma fija o el porcentaje, así que un proveedor con 3 M€ de volumen de negocios se enfrenta a unos 90 000 € bajo el techo del 3 %, no a 15 M€. El tope es una protección de proporcionalidad real, pero las obligaciones siguen aplicándose en su totalidad.
Guías relacionadas
- cómo se clasifica de alto riesgo la IA de cribado de selección
- los roles de proveedor y responsable del despliegue explicados
- las reglas de clasificación de alto riesgo del artículo 6
- el mapa completo de casos de uso de IA de RR. HH. y selección
- IA de decisiones durante la relación laboral según el anexo III, punto 4(b)
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →