Qué exige el AI Act cuando una empresa usa IA en procesos de selección

El Anexo III del Reglamento (UE) 2024/1689 enumera los ámbitos donde un sistema de IA se considera de alto riesgo. El punto 4 cubre expresamente el empleo, la gestión de trabajadores y el acceso al autoempleo. Dentro de ese punto se incluyen sistemas que se utilizan para reclutar o seleccionar personas físicas — en particular para anunciar puestos, analizar y filtrar solicitudes y evaluar a candidatos —, así como sistemas que toman decisiones que afectan a las condiciones de las relaciones laborales o a la promoción, el cese o el reparto de tareas en función del comportamiento o de rasgos personales.

El razonamiento del legislador es claro: las decisiones de contratación, promoción y despido afectan al medio de vida de las personas y pueden tener efectos discriminatorios si la IA está mal calibrada o entrenada con datos sesgados. Por eso no se prohíbe el uso, se exige rigor: transparencia, supervisión humana significativa, documentación y trazabilidad. La empresa que no quiere ese rigor probablemente no debería automatizar decisiones de personas con IA.

Aquí aparece la confusión más frecuente. No todo uso de IA por parte del equipo de RRHH convierte a la empresa en operador de un sistema de alto riesgo. La distinción funcional es esta: cuando la IA toma o automatiza una decisión sobre una persona, cuando le asigna una puntuación que después se usa, o cuando filtra candidatos antes de que un humano los vea, sí entra en el régimen reforzado. Cuando un reclutador usa un asistente generativo para redactar una oferta o resumir una nota, no.

• Sistemas que aplican alto riesgo: ATS con cribado automático por puntuación, scoring de adecuación al puesto, análisis de vídeo o voz en entrevistas, evaluación automatizada de pruebas técnicas con consecuencias en la decisión, recomendadores de promoción interna basados en histórico de rendimiento.
• Usos que normalmente no convierten a la empresa en operador de alto riesgo: redactar la oferta de empleo con un asistente generativo, resumir una nota de la entrevista, traducir comunicaciones a un candidato, generar preguntas de entrevista en abstracto que luego revisa el reclutador.
• Casos grises que conviene documentar: copilotos integrados en el ATS que sugieren al reclutador (la decisión la mantiene el humano pero la influencia es directa), búsqueda de candidatos en LinkedIn asistida por IA con ranking, screening previo con IA antes de presentar al hiring manager.

El AI Act distingue dos figuras: el proveedor (quien construye el sistema y lo pone en el mercado) y el implementador (quien lo usa profesionalmente). Tu empresa será casi siempre implementador si compra un ATS con IA, y proveedor solo si desarrolla sus propios sistemas. Las obligaciones cambian según el papel, pero el implementador no queda libre — tiene responsabilidades propias que muchas empresas todavía no han mapeado.

• Sistema de gestión de riesgos documentado: análisis de impacto, evaluación de sesgos, plan de mitigación.
• Gobernanza de los datos de entrenamiento y de uso: representatividad, exactitud, ausencia de errores conocidos.
• Documentación técnica disponible para autoridades, idealmente proporcionada por el proveedor.
• Registros automáticos (logs) de las decisiones del sistema, conservados durante el tiempo que exige el Reglamento.
• Transparencia con los candidatos: información clara de que hay un sistema de IA participando, qué función tiene y cómo objetar.
• Supervisión humana significativa: no formal, no nominal. Quien decide debe poder revertir, comprender y desviarse de la recomendación.
• Registro del sistema en la base de datos pública de la UE para sistemas de alto riesgo (responsabilidad mayoritariamente del proveedor, pero el implementador debe verificarlo).
• Formación del personal afectado en alfabetización en IA (artículo 4): ya en vigor desde el 2 de febrero de 2025.

El AI Act tiene un calendario escalonado. Las fechas que afectan a RRHH son tres, y conviene saber cuál de ellas ya está vencida.

1. 2 de febrero de 2025 — En vigor. Alfabetización en IA del personal afectado (artículo 4) y prohibición de sistemas de IA inaceptables (puntuación social, manipulación, etc.). Si tu equipo opera un ATS con IA, esa formación debería estar ya documentada con certificados.

2. 2 de agosto de 2026 — Obligaciones generales del Reglamento, código de conducta para modelos de propósito general (GPAI), regulación de proveedores de modelos base. Afecta sobre todo a proveedores de IA, pero los implementadores ya pueden ser inspeccionados sobre el cumplimiento del artículo 4.

3. 2 de agosto de 2027 — Obligaciones completas para sistemas de alto riesgo del Anexo III, incluyendo selección y evaluación de personal. A partir de aquí, tu empresa puede ser auditada sobre gestión de riesgos, supervisión humana, transparencia y trazabilidad del ATS con IA.

4. Sanciones

   hasta el 7% de la facturación global anual o 35 millones de euros (la mayor de las dos) para infracciones de las prohibiciones; hasta el 3% o 15 millones para incumplimientos del régimen de alto riesgo; hasta el 1% o 7,5 millones por información incorrecta a autoridades.

Si tu empresa ya está usando IA en algún punto del proceso de selección — sea un ATS con scoring, un copiloto de reclutamiento o una herramienta de entrevistas asistidas —, este es el orden razonable de actuación. No hace falta tener todo a la vez; sí hace falta empezar por lo que ya está vencido.

• Inventariar los sistemas: qué herramientas tiene RRHH, cuáles tienen IA, qué hacen exactamente, qué decisiones automatizan y cuáles solo sugieren.
• Clasificar el riesgo: confirmar si entra en Anexo III (cribado, evaluación, decisiones laborales) o no. Documentar la decisión.
• Cubrir el artículo 4: formación en alfabetización en IA al personal de RRHH que opera el sistema, con certificado por participante y registro interno.
• Pedir documentación al proveedor: documentación técnica, evaluación de conformidad, declaración UE de conformidad, registro en la base de datos UE.
• Diseñar la transparencia hacia candidatos: aviso claro en el momento de la candidatura, política de uso de IA accesible, vía para contactar o solicitar revisión humana.
• Definir supervisión humana significativa: quién revisa qué, en qué momentos, con qué criterio de desvío frente a la recomendación.
• Conservar logs: trazabilidad de qué decisiones se tomaron sobre qué candidatos, por cuánto tiempo y bajo qué permisos.
• Revisar contratos con proveedor ATS: cláusulas de cumplimiento AI Act, responsabilidades, soporte en caso de inspección.

El patrón común detrás de estos errores es asumir que si la herramienta es de un proveedor reconocido, la responsabilidad regulatoria queda cubierta. No es así: el implementador tiene obligaciones propias y la inspección puede preguntar tanto al proveedor como a la empresa que lo usa.

• Suponer que el ATS comercial ya está conforme y no pedir documentación.
• Confundir alfabetización en IA con un correo informativo enviado al equipo: el artículo 4 exige formación real, no comunicación interna.
• Tratar la supervisión humana como un trámite ("siempre revisa un reclutador") sin documentar qué revisa exactamente, con qué criterio y cuándo se desvía.
• No informar a los candidatos del uso de IA en su proceso, asumiendo que la política general de privacidad ya lo cubre.
• Mezclar usos de IA generativa (asistentes) con sistemas de cribado automatizado en la misma respuesta a inspección, sin distinguir claramente cuál hace qué.
• Postergar todo a 2027 sin haber cubierto la formación obligatoria de 2025, que ya está vigente y es lo primero que se va a auditar.

La pregunta de quién lleva esto internamente no tiene respuesta única. Empresas medianas y grandes suelen apoyarse en el DPO existente para la parte de privacidad y trazabilidad, en el equipo legal o cumplimiento para contratos y régimen sancionador, y en una asesoría externa con perfil técnico para la clasificación del sistema y la documentación técnica. En empresas más pequeñas, una asesoría externa puede asumir el mapa completo durante la transición.

La señal de alarma es la inversa: si nadie en la empresa puede responder hoy a la pregunta "¿qué sistemas de IA usamos en RRHH, qué riesgo tienen y qué documentación los respalda?", el trabajo es urgente.

En DatIACode combinamos consultoría de cumplimiento y formación técnica en el mismo equipo. Es un encaje útil para RRHH porque las dos áreas se tocan: el AI Act exige formación obligatoria del personal y, a la vez, documentación técnica del sistema. Separar ambos trabajos en proveedores distintos suele generar lagunas.

Trabajamos esta transición con el servicio dedicado de cumplimiento del AI Act:

• Auditoría inicial de los sistemas de IA en uso en RRHH y clasificación de su nivel de riesgo.
• Plan de cumplimiento priorizado por fechas (artículo 4 vencido, alto riesgo 2027), responsables y entregables.
• Formación obligatoria del artículo 4 al personal afectado, con certificados por participante.
• Diseño de la transparencia hacia candidatos y de la supervisión humana significativa.
• Apoyo en la revisión de contratos con proveedores ATS y en la documentación técnica.
• Soporte de continuidad para nuevos sistemas que se incorporen al stack de RRHH.