En resumen: Usar IA en Recursos Humanos (selección, evaluación, promoción o decisiones laborales) puede entrar, según el caso, en la categoría de alto riesgo del Anexo III del AI Act. Cuando lo hace, suele implicar varias normas a la vez —el AI Act, el RGPD por los datos del trabajador y, a menudo, el artículo 64 del Estatuto de los Trabajadores—, pero el alcance depende siempre del uso concreto. Conviene analizar tu caso, valorar si es de alto riesgo, preparar la documentación y seguir una hoja de ruta acorde al calendario vigente y al aplazamiento previsto en el Ómnibus.
La IA ya interviene en selección, evaluación, promoción, asignación de tareas y monitorización laboral. Cuando el sistema se utiliza para alguno de los fines del Anexo III, sección 4, puede quedar clasificado como de alto riesgo y activar obligaciones específicas para proveedores y responsables del despliegue.
Hasta hace seis meses, esta era una conversación de futuro. Hoy es la primera pregunta que me hacen los CEOs de pyme cuando llamamos.
El calendario está en transición. El Reglamento vigente mantiene el 2 de agosto de 2026 para las reglas de alto riesgo del Anexo III, mientras que el acuerdo provisional del Ómnibus de IA propone trasladarlas al 2 de diciembre de 2027 para sistemas independientes. El acuerdo necesita adopción formal. Durante esta transición, proveedor y responsable del despliegue conservan obligaciones distintas: el proveedor responde del diseño y la conformidad; la empresa usuaria, del uso conforme a instrucciones, la supervisión, los registros y la información a la plantilla.
En este artículo explico las dos categorías legales del Anexo III, sección 4, sus cuatro usos prácticos más frecuentes, los documentos que conviene preparar y una hoja de ruta compatible con el calendario vigente y con el aplazamiento previsto en el Ómnibus.
Qué dice exactamente el Anexo III sección 4 del AI Act
El Reglamento (UE) 2024/1689 sitúa en su Anexo III, sección 4, los usos de IA en empleo, gestión de trabajadores y acceso al autoempleo que pueden ser de alto riesgo. La redacción literal contiene dos categorías: contratación y selección; y decisiones o seguimiento dentro de la relación laboral.
a) Sistemas de IA destinados a utilizarse para la contratación o selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar candidaturas y evaluar a los candidatos.
b) Sistemas destinados a utilizarse para tomar decisiones que afecten a las condiciones de las relaciones laborales, a la promoción o terminación de relaciones contractuales, para asignar tareas a partir de comportamientos individuales o rasgos personales, o para hacer un seguimiento y evaluar el rendimiento y el comportamiento de personas en el marco de dichas relaciones.
Estas dos categorías agrupan cuatro usos prácticos habituales: selección, decisiones sobre la relación laboral, asignación de tareas y seguimiento o evaluación. La clasificación depende de la finalidad prevista y del modo en que el sistema influye en la decisión; el uso de IA para elaborar perfiles de personas físicas mantiene la consideración de alto riesgo.
Hay una excepción importante, recogida en el artículo 6.3 del Reglamento, que conviene leer con atención: un sistema de los que figuran en el Anexo III no se considera de alto riesgo si solo realiza una tarea procedimental limitada, mejora el resultado de una actividad humana ya completada, detecta patrones de decisión sin sustituir la decisión humana o realiza una tarea preparatoria sin influir materialmente.
La excepción exige un análisis concreto y documentado. El proveedor que concluya que un sistema del Anexo III queda fuera de alto riesgo debe documentar la evaluación y registrarlo cuando corresponda. La empresa usuaria debe revisar que la finalidad real y la configuración desplegada coinciden con esa clasificación; si modifica sustancialmente el sistema o su finalidad, puede asumir obligaciones de proveedor.
Los cuatro casos que ya están pasando en pymes españolas
1. Reclutamiento y selección con scoring automático
Un ATS que se limita a almacenar candidaturas o aplicar reglas administrativas puede quedar fuera del régimen de alto riesgo. Si analiza, filtra, puntúa o evalúa candidaturas mediante IA, entra en la categoría de contratación y selección del Anexo III salvo que concurra y se documente una excepción válida.
Una plataforma que asigna una puntuación a cada candidato para decidir quién avanza puede ser de alto riesgo aunque una persona conserve la decisión final. La finalidad y la influencia real del sistema importan más que la marca del software o la existencia de una firma humana al final.
El riesgo aparece cuando un ATS puntúa, ordena o filtra candidaturas y esa salida condiciona materialmente quién avanza. Antes de activarlo, pide al proveedor la finalidad prevista, la clasificación del sistema, las instrucciones de uso y las medidas de supervisión. Comprueba además qué información debe recibir la persona candidata conforme al RGPD y, cuando corresponda, al AI Act.
2. Decisiones de promoción, despido o asignación de tareas
Los sistemas de IA destinados a apoyar decisiones sobre promoción, terminación de la relación laboral, asignación de tareas basada en rasgos o conducta, seguimiento o evaluación encajan en el Anexo III. Puede incluir un módulo de scoring o el uso deliberado de un asistente general para recomendar a quién promocionar.
Un caso frecuente aparece cuando un responsable pega perfiles en ChatGPT y pregunta quién encaja mejor para un puesto. La empresa puede quedar situada como responsable del despliegue —e incluso asumir obligaciones de proveedor si modifica la finalidad del sistema en los términos del Reglamento—, mientras que las responsabilidades internas dependerán de funciones, instrucciones y controles. La política, la información a las personas y la trazabilidad deben resolverse antes de utilizar esa salida.
3. Evaluación de rendimiento y conducta laboral
Sistemas que miden productividad, asistencia, errores, atención o conducta del trabajador. Aquí entran las plataformas de feedback continuo con IA, los OKR automatizados, las encuestas de clima con análisis de sentimiento individualizable y los softwares de productividad que generan alertas individuales.
La línea fina aquí es la agregación: una encuesta de clima cuyo resultado solo se ve a nivel de equipo o departamento no entra en alto riesgo. La misma encuesta cuyo resultado se vincula a la persona, sí entra.
4. Monitorización del trabajo
Software de tiempo en pantalla, control de actividad de teclado, sistemas de productividad con alertas individuales, cámaras inteligentes o control biométrico con IA pueden entrar en esta categoría y activar además restricciones del RGPD. La inferencia de emociones en el lugar de trabajo está prohibida por el artículo 5 del AI Act, salvo las excepciones médicas o de seguridad previstas.
Este supuesto es el más sensible. Cruza tres normas a la vez: el AI Act, el RGPD por el tratamiento de datos personales del trabajador y el Estatuto de los Trabajadores en su artículo 64, que obliga a informar a la representación legal de la plantilla antes de implantarlo.
Casos reales que ya han marcado jurisprudencia
El régimen sancionador del AI Act es reciente. Los precedentes de protección de datos y discriminación sirven para identificar riesgos, aunque cada autoridad deberá aplicar la base jurídica y el procedimiento correspondiente; su traslado al AI Act nunca es automático.
Amazon recruiting algorithm (2018). Reuters documentó que Amazon había desarrollado internamente una herramienta de selección entrenada con historiales de candidaturas que reproducían patrones de sesgo. Amazon actuaba en ese proyecto como desarrollador y usuario. La lección útil es que la gobernanza del sesgo puede implicar a varios operadores: el proveedor debe diseñar y evaluar el sistema conforme a sus obligaciones, y el responsable del despliegue debe usarlo, supervisarlo y monitorizarlo de forma adecuada.
Foodinho / Deliveroo Italia (2021). El Garante per la protezione dei dati personali italiano sancionó a Foodinho con 2,6 millones de euros por usar un algoritmo opaco para evaluar a los riders sin la información debida ni base jurídica adecuada. La resolución, recogida en el provvedimento n. 9675440, articula con claridad qué exige una autoridad europea cuando un algoritmo influye en la relación laboral: información clara al trabajador, base jurídica documentada, supervisión humana significativa y trazabilidad.
Estos casos ayudan a construir un expediente preventivo, pero el contenido exacto depende del rol de la empresa, de la clasificación del sistema y de las normas aplicables al tratamiento de datos y a la relación laboral.
Las cinco cosas que tu empresa debe documentar desde ahora
Llevamos meses dando este checklist a los CEOs y a los responsables de RRHH que vienen a Iacta Studio con la pregunta de por dónde empezar. Lo presento aquí en abierto, ordenado.
1. Inventario completo de sistemas de IA en uso en RRHH. Plataformas con módulo de IA, ChatGPT y Copilot usados por el equipo, sistemas de evaluación, monitorización, antiplagio, asistencia. Sin inventario no hay clasificación posible.
2. Clasificación de cada sistema según el Anexo III. Registra la finalidad prevista, la función real, la clasificación comunicada por el proveedor y el análisis del artículo 6.3 cuando exista una excepción. Una evaluación de impacto en derechos fundamentales del artículo 27 no es automática para toda pyme privada: se exige a los responsables del despliegue que sean organismos de Derecho público, entidades privadas que presten servicios públicos y determinados usos de crédito o seguros. La evaluación de impacto del RGPD puede ser obligatoria si el tratamiento entraña alto riesgo para las personas.
3. Base jurídica RGPD por sistema. Determina y documenta la base del artículo 6, la aplicación del artículo 22 cuando haya decisiones exclusivamente automatizadas con efectos jurídicos o similares y, si aparecen categorías especiales, una excepción válida del artículo 9. La necesidad contractual, el interés legítimo o el consentimiento no se presumen por usar IA; deben analizarse caso por caso. En el ámbito laboral, el desequilibrio entre empresa y trabajador puede impedir que el consentimiento sea verdaderamente libre.
4. Mecanismo de supervisión humana efectiva. El proveedor debe diseñar el sistema para que pueda ser supervisado conforme al artículo 14. El responsable del despliegue, de acuerdo con el artículo 26, debe asignar esa supervisión a personas con competencia, formación, autoridad y apoyo suficientes. La persona supervisora debe comprender las limitaciones, detectar automatismos indebidos y poder ignorar, anular o detener el sistema cuando proceda. La formación específica en IA para la empresa y el registro de las intervenciones ayudan a demostrar que la supervisión es real.
5. Información a candidatos y trabajadores. El artículo 22.3 del RGPD reconoce el derecho a obtener intervención humana, expresar el punto de vista e impugnar la decisión. El artículo 26.7 del AI Act obliga a informar a las personas trabajadoras y a su representación antes del despliegue de un sistema de alto riesgo. El artículo 64 del Estatuto de los Trabajadores y el artículo 88 del RGPD lo refuerzan en el ámbito laboral español.
Cinco bloques documentales, una finalidad: prevenir decisiones indebidas y poder explicar ante la autoridad qué sistema se usa, para qué, con qué base, quién lo supervisa y qué formación ha recibido.
La intersección con el RGPD que casi nadie está viendo
El AI Act no anula el RGPD. Lo complementa. Y en el ámbito de RRHH la intersección es el punto más sensible.
El artículo 22 del RGPD prohíbe las decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos sobre la persona, salvo tres excepciones: necesidad contractual, autorización expresa por el Derecho de la Unión o de un Estado miembro y consentimiento explícito. La selección de personal y la evaluación de rendimiento no deberían apoyarse al 100 % en una IA sin intervención humana significativa. Eso no es opcional desde 2018.
El artículo 9 del RGPD prohíbe el tratamiento de categorías especiales salvo que concurra una de sus excepciones. El consentimiento explícito es una de ellas, pero en el ámbito laboral puede resultar inadecuado por falta de libertad real. Si el sistema procesa origen, religión, afiliación sindical, salud, vida sexual o biometría identificativa, documenta la excepción concreta y aplica garantías reforzadas antes de desplegarlo.
El artículo 26.7 del AI Act exige informar previamente a la representación de los trabajadores y a las personas afectadas antes de utilizar un sistema de alto riesgo en el lugar de trabajo. El artículo 64.4.d del Estatuto de los Trabajadores reconoce además derechos de información sobre los parámetros, reglas e instrucciones de los algoritmos que inciden en decisiones con efectos laborales. El RGPD añade sus propias obligaciones de transparencia.
Si tu pyme tiene comité de empresa o delegados de personal, integra esa comunicación en el proyecto desde el inicio y conserva evidencia del proceso.
Usos de IA en RRHH que pueden quedar fuera de alto riesgo
La excepción del artículo 6.3 del AI Act es importante. Documentada bien, evita aplicar el régimen pleno de alto riesgo a sistemas que en la práctica no influyen materialmente en la decisión.
Tres ejemplos concretos de uso de IA en RRHH que NO es alto riesgo, con la condición de que la excepción quede registrada:
- ChatGPT usado para preparar una lista de preguntas de entrevista a partir del perfil del puesto. Tarea preparatoria, no influye en la elección final del candidato.
- Una plantilla automática de respuesta a candidatos descartados, sin acceso a sus datos de evaluación. Tarea procedimental.
- Una encuesta de clima con análisis de sentimiento agregado a nivel de equipo, sin posibilidad de individualizar a la persona. Detecta patrones, no sustituye la decisión.
La frontera entre apoyo procedimental y una decisión que influye materialmente exige analizar la finalidad, la configuración y el uso real. Documenta la primera clasificación, solicita la evaluación del proveedor y revisa con asesoría especializada los casos dudosos antes de basar decisiones laborales en sus resultados.
Sanciones: cuánto puede costar no cumplir
El régimen sancionador del AI Act está en el artículo 99 del Reglamento. Tres horquillas, ordenadas de mayor a menor.
| Supuesto | Sanción máxima |
|---|---|
| Prácticas prohibidas (art. 5) | 35 M € o 7 % de la facturación mundial |
| Incumplimientos de operadores enumerados en el art. 99.4 | 15 M € o 3 % de la facturación |
| Información incorrecta, incompleta o engañosa a las autoridades | 7,5 M € o 1 % de la facturación |
La regla general para empresas utiliza la cifra más alta entre importe fijo y porcentaje. Para pymes, el artículo 99 limita cada multa a la cifra más baja aplicable. Esto no convierte el riesgo en teórico: la autoridad valora naturaleza, gravedad, duración, cooperación, tamaño y medidas adoptadas. Una infracción de alto riesgo puede seguir generando una sanción material y medidas correctoras.
En España, la AESIA participa en la supervisión del AI Act y la AEPD conserva sus competencias cuando hay tratamiento de datos personales. El proyecto de ley español publicado el 12 de junio de 2026 concreta autoridades e infracciones, pero sigue en tramitación. Un mismo caso puede activar controles y consecuencias bajo el AI Act, el RGPD y la normativa laboral, cada uno con su propia base jurídica.
Hoja de ruta 2026–2027 para la IA en Recursos Humanos
Desde ahora. Inventaría los sistemas y usos de IA en RRHH, identifica proveedor y responsable del despliegue, y aplica la obligación de alfabetización del artículo 4, vigente desde febrero de 2025. Revisa en paralelo las bases jurídicas, la transparencia, la seguridad y las evaluaciones de impacto exigibles por el RGPD.
Durante la transición legislativa. Clasifica cada caso conforme al Anexo III y al artículo 6.3, pide al proveedor instrucciones y documentación, y revisa contratos, registros y mecanismos de supervisión. El calendario vigente conserva el 2 de agosto de 2026 hasta que el Ómnibus sea adoptado y publicado.
Si se formaliza el acuerdo del Ómnibus. Los requisitos de alto riesgo para sistemas independientes del Anexo III —incluidos los usos de empleo— pasarán a aplicarse el 2 de diciembre de 2027. Utiliza ese margen para cerrar las obligaciones del artículo 26, formar a quienes supervisan el sistema y probar que la intervención humana funciona.
Antes de desplegar o ampliar un sistema. Informa a la representación y a las personas trabajadoras cuando corresponda, valida la clasificación y conserva evidencias. En Iacta Studio utilizamos esta secuencia para convertir el calendario regulatorio en un plan operativo sin esperar al último mes.
Preguntas frecuentes
¿Mi pyme realmente entra en alto riesgo si solo uso ChatGPT?
ChatGPT, como herramienta general, no convierte automáticamente todo uso de RRHH en alto riesgo. El uso puede entrar en el Anexo III si se configura o emplea para seleccionar, puntuar, promocionar, despedir, asignar tareas según rasgos personales o evaluar a una persona. Las tareas preparatorias que no influyen materialmente en la decisión pueden quedar fuera, siempre que la clasificación esté justificada y el sistema no realice perfiles de personas.
¿Qué pasa si pego un CV en ChatGPT para que me ayude a evaluarlo?
Estás tratando datos personales y necesitas una base jurídica, información adecuada, seguridad y un análisis de la finalidad. Si el resultado se utiliza para evaluar o seleccionar a la persona, el uso puede entrar en el Anexo III y exigir el régimen de alto riesgo. Es uno de los casos que deben abordarse en la formación del artículo 4 del AI Act.
¿Y si mi proveedor de software no me da la documentación técnica?
Pídela por escrito y vincula su entrega al contrato. El proveedor debe acompañar el sistema de alto riesgo con instrucciones de uso que permitan al responsable del despliegue cumplir sus obligaciones, conforme a los artículos 13 y 16. La ausencia de información sobre finalidad, limitaciones, supervisión, registros o cambios es una señal para pausar el despliegue, exigir garantías o reconsiderar la herramienta.
¿Es lo mismo el AI Act que el RGPD?
El AI Act regula sistemas y usos de IA según su riesgo; el RGPD regula el tratamiento de datos personales. En RRHH suelen aplicarse de forma simultánea, junto con la normativa laboral. Un expediente coordinado puede reutilizar inventario, análisis de riesgos, información y controles, aunque cada norma conserva requisitos propios.
¿Qué pasa si llego al 2 de agosto sin el dossier?
El calendario definitivo dependerá de la adopción formal del Ómnibus. Llegar a la fecha aplicable sin clasificación, instrucciones, supervisión, registros o información a la plantilla dificulta acreditar el cumplimiento y puede dar lugar a medidas correctoras y sanciones. El plazo para responder a una autoridad dependerá del procedimiento concreto; conviene que la documentación exista antes de recibir un requerimiento.
Como siguiente paso, revisa si tu responsable de RRHH puede responder cinco preguntas: qué sistemas de IA se usan, a qué decisiones afectan, qué datos personales tratan, quién supervisa cada salida y qué evidencia queda documentada.
Si prefieres una primera lectura sobre la situación concreta de tu empresa, ofrecemos un diagnóstico inicial sin coste de 30 minutos. Sin compromiso.
— Claudia Taracena Calonge
Compliance de IA · Iacta Studio
