Los sistemas de IA utilizados para selección, filtrado de candidaturas, evaluación, promoción, asignación de tareas, monitorización o terminación pueden estar clasificados como alto riesgo por el AI Act. La empresa que los utiliza no debe limitarse a aceptar la documentación del proveedor: tiene que definir finalidad, supervisión, datos de entrada, monitorización, derechos y criterios para suspender el sistema.
Qué usos pueden ser de alto riesgo
El anexo III incluye sistemas destinados a:
- Reclutamiento y selección.
- Anuncios de empleo dirigidos.
- Filtrado y evaluación de candidaturas.
- Decisiones sobre condiciones laborales.
- Promoción o terminación.
- Asignación de tareas basada en comportamiento o rasgos.
- Monitorización y evaluación del rendimiento.
La clasificación debe analizar el uso concreto y las excepciones del artículo 6. No debe asumirse que toda herramienta de RR. HH. es alto riesgo, ni que un «copiloto» queda fuera solo por su nombre.
Roles
El fabricante suele ser el proveedor y la empresa usuaria, la responsable del despliegue. La empresa puede convertirse en proveedor si cambia la finalidad, comercializa el sistema bajo su nombre o realiza una modificación sustancial en los supuestos previstos por el Reglamento.
El contrato no sustituye el análisis real de control.
AI Act y RGPD
El AI Act no sustituye al RGPD ni al derecho laboral. La empresa necesita:
- Finalidad determinada.
- Base jurídica.
- Información conforme a los artículos 13 y 14 RGPD.
- Minimización de datos.
- Conservación proporcionada.
- Seguridad.
- Evaluación de las decisiones automatizadas.
- EIPD cuando sea probable un alto riesgo.
- Participación laboral cuando proceda.
La clasificación de «alto riesgo» del AI Act y el alto riesgo del artículo 35 RGPD son conceptos distintos, aunque frecuentemente coinciden.
Decisiones automatizadas
El artículo 22 RGPD protege frente a determinadas decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos o similares. Una revisión humana solo es real si la persona tiene competencia, información, tiempo y autoridad para modificarla.
No es revisión efectiva aceptar recomendaciones por defecto ni revisar cientos de candidaturas en segundos.
Inventario del sistema
El inventario debe recoger:
- Nombre, versión y proveedor.
- Finalidad.
- Etapa del empleo.
- Población afectada.
- Datos y fuentes.
- Salidas y decisión posterior.
- Usuarios y supervisores.
- Integración con ATS/HRIS.
- Retención y logs.
- Métricas y límites.
- Incidentes y cambios.
También deben inventariarse las funciones de IA embebidas que se activan mediante una actualización.
Datos de candidatos y plantilla
Se revisan:
- CV y formularios.
- Pruebas.
- Vídeo o voz.
- Actividad y productividad.
- Comunicaciones.
- Ubicación.
- Salud o discapacidad.
- Inferencias de personalidad o emoción.
- Redes y fuentes externas.
Variables aparentemente neutras pueden actuar como proxies. La necesidad se justifica por variable, no por disponibilidad.
Evaluación del proveedor
Solicite:
- Finalidad prevista y usos prohibidos.
- Clasificación y su fundamento.
- Datos y población de validación.
- Métricas por grupos.
- Falsos positivos y falsos negativos.
- Instrucciones de supervisión.
- Logs.
- Cambios de versión.
- Seguridad.
- Incidentes.
- Subproveedores.
- Documentación para RGPD y AI Act.
Una afirmación de «sin sesgo» no es evidencia.
Sesgo y calidad
No basta comparar la precisión global. Deben analizarse las tasas por grupos relevantes y por etapa:
| Métrica | Pregunta |
|---|---|
| Selección | ¿Quién queda fuera? |
| Falso negativo | ¿A quién se rechaza incorrectamente? |
| Falso positivo | ¿A quién se favorece sin base? |
| Calibración | ¿La puntuación significa lo mismo? |
| Cobertura | ¿Qué candidaturas no procesa? |
| Anulación | ¿Cuándo corrige la persona? |
Los grupos y métodos se determinan con base legal y ética, evitando crear nuevos riesgos.
Supervisión humana
La persona supervisora debe ver:
- Datos relevantes.
- Fuente.
- Puntuación y límites.
- Incertidumbre.
- Factores principales.
- Alternativas.
- Historial de corrección.
Se prohíbe usar la salida como única razón si el diseño requiere juicio. Las anulaciones se monitorizan para detectar dependencia o fallos.
Transparencia
Candidaturas y plantilla necesitan información clara sobre:
- Uso de IA.
- Finalidad.
- Datos.
- Papel en la decisión.
- Consecuencias.
- Derechos.
- Contacto humano.
- Impugnación.
No debe ocultarse en una política extensa. Las explicaciones deben permitir actuar.
Obligaciones del responsable del despliegue
Para sistemas de alto riesgo, el artículo 26 exige un uso conforme a las instrucciones, supervisión competente, control de los datos de entrada bajo su control, monitorización y actuación ante riesgos o incidentes.
La empresa conserva los logs durante el periodo aplicable cuando estén bajo su control, y cumple las obligaciones de información laboral específicas cuando procedan.
Evaluaciones coordinadas
Puede necesitar:
- EIPD.
- Evaluación de derechos fundamentales en los supuestos del artículo 27.
- Evaluación de conformidad del proveedor.
- Análisis laboral y de igualdad.
- Seguridad.
Se usa un inventario común, pero cada instrumento mantiene sus propios requisitos.
Participación y gobierno
Involucre a RR. HH., legal, DPO, seguridad, igualdad, representación laboral y dirección. El propietario del negocio no aprueba en solitario.
La política define usos permitidos, prohibidos y de escalado. Ejemplo: la IA puede ordenar candidaturas para revisión, pero no descartarlas automáticamente sin condiciones aprobadas.
Plan de 60 días
Días 1 a 15
Inventario, clasificación y pausa de los usos sin propietario.
Días 16 a 30
Proveedor, RGPD, EIPD y evaluación de sesgo.
Días 31 a 45
Supervisión, transparencia, logs y formación.
Días 46 a 60
Piloto, pruebas, consulta y decisión.
Errores frecuentes
- Confiar en la etiqueta del proveedor.
- Usar datos públicos sin base jurídica.
- Inferir emociones o personalidad sin necesidad.
- Medir solo la precisión global.
- Llamar «humana» a una ratificación automática.
- No informar.
- Ignorar los cambios de versión.
- Guardar CV y puntuaciones indefinidamente.
- No permitir la impugnación.
- Desplegar sin representación interna.
Checklist
- Uso y clasificación.
- Roles contractuales y reales.
- Finalidad, base y minimización.
- Proveedor y métricas.
- Sesgo y calidad por grupos.
- Supervisión efectiva.
- Transparencia y derechos.
- EIPD/FRIA cuando proceda.
- Logs e incidentes.
- Formación y revisión.
Preguntas frecuentes
¿Toda IA de RR. HH. es alto riesgo?
No. Depende del uso y de la clasificación. La selección y las decisiones laborales incluidas en el anexo III suelen requerir un análisis reforzado.
¿Puede la IA rechazar automáticamente?
Debe analizarse el AI Act, el artículo 22 RGPD y el derecho laboral. En muchos escenarios se requiere intervención humana real y garantías.
¿Un CV público puede usarse libremente?
No. La accesibilidad pública no elimina la necesidad de finalidad, base jurídica, información y derechos.
¿Quién responde, el proveedor o la empresa?
Ambos tienen obligaciones según su rol. La empresa que despliega el sistema mantiene responsabilidades propias.
Fuentes oficiales consultadas
- Reglamento (UE) 2024/1689.
- AI Act Service Desk: artículo 26.
- AEPD: adecuación RGPD de tratamientos con IA.
- AEPD: intervención humana en decisiones automatizadas.
Summum Consultoría puede coordinar la clasificación, la EIPD, la evaluación del proveedor y los controles laborales.