AI Act en recursos humanos: selección y riesgo

·

Los sistemas de IA utilizados para selección, filtrado de candidaturas, evaluación, promoción, asignación de tareas, monitorización o terminación pueden estar clasificados como alto riesgo por el AI Act. La empresa que los utiliza no debe limitarse a aceptar la documentación del proveedor: tiene que definir finalidad, supervisión, datos de entrada, monitorización, derechos y criterios para suspender el sistema.

Qué usos pueden ser de alto riesgo

El anexo III incluye sistemas destinados a:

La clasificación debe analizar el uso concreto y las excepciones del artículo 6. No debe asumirse que toda herramienta de RR. HH. es alto riesgo, ni que un «copiloto» queda fuera solo por su nombre.

Roles

El fabricante suele ser el proveedor y la empresa usuaria, la responsable del despliegue. La empresa puede convertirse en proveedor si cambia la finalidad, comercializa el sistema bajo su nombre o realiza una modificación sustancial en los supuestos previstos por el Reglamento.

El contrato no sustituye el análisis real de control.

AI Act y RGPD

El AI Act no sustituye al RGPD ni al derecho laboral. La empresa necesita:

La clasificación de «alto riesgo» del AI Act y el alto riesgo del artículo 35 RGPD son conceptos distintos, aunque frecuentemente coinciden.

Decisiones automatizadas

El artículo 22 RGPD protege frente a determinadas decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos o similares. Una revisión humana solo es real si la persona tiene competencia, información, tiempo y autoridad para modificarla.

No es revisión efectiva aceptar recomendaciones por defecto ni revisar cientos de candidaturas en segundos.

Inventario del sistema

El inventario debe recoger:

También deben inventariarse las funciones de IA embebidas que se activan mediante una actualización.

Datos de candidatos y plantilla

Se revisan:

Variables aparentemente neutras pueden actuar como proxies. La necesidad se justifica por variable, no por disponibilidad.

Evaluación del proveedor

Solicite:

Una afirmación de «sin sesgo» no es evidencia.

Sesgo y calidad

No basta comparar la precisión global. Deben analizarse las tasas por grupos relevantes y por etapa:

MétricaPregunta
Selección¿Quién queda fuera?
Falso negativo¿A quién se rechaza incorrectamente?
Falso positivo¿A quién se favorece sin base?
Calibración¿La puntuación significa lo mismo?
Cobertura¿Qué candidaturas no procesa?
Anulación¿Cuándo corrige la persona?

Los grupos y métodos se determinan con base legal y ética, evitando crear nuevos riesgos.

Supervisión humana

La persona supervisora debe ver:

Se prohíbe usar la salida como única razón si el diseño requiere juicio. Las anulaciones se monitorizan para detectar dependencia o fallos.

Transparencia

Candidaturas y plantilla necesitan información clara sobre:

No debe ocultarse en una política extensa. Las explicaciones deben permitir actuar.

Obligaciones del responsable del despliegue

Para sistemas de alto riesgo, el artículo 26 exige un uso conforme a las instrucciones, supervisión competente, control de los datos de entrada bajo su control, monitorización y actuación ante riesgos o incidentes.

La empresa conserva los logs durante el periodo aplicable cuando estén bajo su control, y cumple las obligaciones de información laboral específicas cuando procedan.

Evaluaciones coordinadas

Puede necesitar:

Se usa un inventario común, pero cada instrumento mantiene sus propios requisitos.

Participación y gobierno

Involucre a RR. HH., legal, DPO, seguridad, igualdad, representación laboral y dirección. El propietario del negocio no aprueba en solitario.

La política define usos permitidos, prohibidos y de escalado. Ejemplo: la IA puede ordenar candidaturas para revisión, pero no descartarlas automáticamente sin condiciones aprobadas.

Plan de 60 días

Días 1 a 15

Inventario, clasificación y pausa de los usos sin propietario.

Días 16 a 30

Proveedor, RGPD, EIPD y evaluación de sesgo.

Días 31 a 45

Supervisión, transparencia, logs y formación.

Días 46 a 60

Piloto, pruebas, consulta y decisión.

Errores frecuentes

  1. Confiar en la etiqueta del proveedor.
  2. Usar datos públicos sin base jurídica.
  3. Inferir emociones o personalidad sin necesidad.
  4. Medir solo la precisión global.
  5. Llamar «humana» a una ratificación automática.
  6. No informar.
  7. Ignorar los cambios de versión.
  8. Guardar CV y puntuaciones indefinidamente.
  9. No permitir la impugnación.
  10. Desplegar sin representación interna.

Checklist

Preguntas frecuentes

¿Toda IA de RR. HH. es alto riesgo?

No. Depende del uso y de la clasificación. La selección y las decisiones laborales incluidas en el anexo III suelen requerir un análisis reforzado.

¿Puede la IA rechazar automáticamente?

Debe analizarse el AI Act, el artículo 22 RGPD y el derecho laboral. En muchos escenarios se requiere intervención humana real y garantías.

¿Un CV público puede usarse libremente?

No. La accesibilidad pública no elimina la necesidad de finalidad, base jurídica, información y derechos.

¿Quién responde, el proveedor o la empresa?

Ambos tienen obligaciones según su rol. La empresa que despliega el sistema mantiene responsabilidades propias.

Fuentes oficiales consultadas

Summum Consultoría puede coordinar la clasificación, la EIPD, la evaluación del proveedor y los controles laborales.