← Volver al blog

AI Act y Recursos Humanos: filtrar CVs con IA sin acabar en multa

Si usas IA para seleccionar personal, evaluar candidatos o supervisar empleados, estás en alto riesgo según el AI Act. Guía práctica de obligaciones, herramientas afectadas y errores típicos en PYMEs.

AI Act y Recursos Humanos: filtrar CVs con IA sin acabar en multa

Si tu empresa usa cualquier herramienta con IA para seleccionar personal, filtrar currículums, puntuar candidatos o evaluar el rendimiento de empleados, tengo una mala noticia y una buena.

La mala: Recursos Humanos es el área donde más PYMEs españolas están cayendo, sin saberlo, en alto riesgo según el AI Act. Y las obligaciones que vienen con esa categoría son las más estrictas del reglamento.

La buena: cumplir es viable, no tienes que renunciar a tus herramientas actuales, y todavía estás a tiempo antes del 2 de agosto de 2026.

Vamos por partes.

Por qué RRHH es alto riesgo "por defecto"

El Anexo III del AI Act enumera los ámbitos donde un sistema de IA se considera de alto riesgo. El punto 4 es explícito:

"Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia."

Dentro de este punto, el reglamento incluye dos supuestos concretos:

  1. Sistemas de IA destinados a utilizarse para la contratación o selección de personas físicas, en particular para publicar anuncios de empleo específicos, filtrar o analizar solicitudes, y evaluar a los candidatos.
  2. Sistemas de IA destinados a adoptar decisiones que afecten a las relaciones laborales, a la promoción, a la terminación de contratos, a la asignación de tareas a partir del comportamiento individual o rasgos personales, o a supervisar y evaluar el rendimiento.

Traducido: si usas IA en cualquier punto del ciclo de vida del empleado — desde que publicas una oferta hasta que decides un ascenso, un despido o una evaluación — estás usando un sistema de alto riesgo.

No importa que sea una gran herramienta especializada o un ChatGPT básico. Lo que cuenta es la finalidad, no la marca.

Los usos típicos que caen en alto riesgo

Estos son los casos más frecuentes que vemos en PYMEs españolas:

Filtrado automático de CVs. Subes 300 currículums a una herramienta y te devuelve los 20 "mejores". Alto riesgo.

Scoring de candidatos. El software te da una puntuación del 1 al 100 por candidato según ajuste con la oferta. Alto riesgo.

Entrevistas con IA. Plataformas que analizan tono de voz, expresiones faciales o respuestas para evaluar al candidato. Alto riesgo — y además con fuertes riesgos de sesgo.

Redacción de ofertas de empleo con IA. Si usas IA para generar descripciones de puestos que luego se publican y se utilizan para filtrar, puede entrar en alto riesgo en función del uso final.

Evaluación de desempeño automatizada. Herramientas que puntúan el rendimiento de empleados a partir de métricas, KPIs o comportamiento digital. Alto riesgo.

Asignación automática de turnos o tareas basándose en perfiles de comportamiento. Alto riesgo.

Decisiones sobre promociones, bonus o despidos apoyadas en recomendaciones algorítmicas. Alto riesgo.

Si tu empresa hace cualquiera de estas cosas — aunque sea "solo para una primera criba" o "solo como ayuda, la decisión final la toma una persona" — el reglamento te aplica. La supervisión humana no elimina la clasificación de alto riesgo; es una obligación adicional, no una excepción.

Las herramientas que probablemente ya estás usando

Muchas PYMEs españolas asumen que solo las grandes multinacionales tienen sistemas de IA en RRHH. Falso. Las plataformas habituales en el mercado español ya integran funciones de IA, y varias entran directamente en alto riesgo según cómo se usen:

  • Factorial, Bizneo HR, Personio: ATS y software de RRHH con funciones de filtrado inteligente de candidatos, matching automático o sugerencias de promoción.
  • LinkedIn Recruiter: el "best match" y el scoring de candidatos son IA en el sentido del reglamento.
  • Workday, SAP SuccessFactors, Oracle HCM: módulos de talent acquisition y performance management con IA embebida.
  • HireVue, Pymetrics y plataformas de entrevistas por vídeo con análisis automatizado.
  • ChatGPT, Claude, Copilot usados por el equipo de RRHH para resumir CVs, redactar feedback o comparar candidatos.

Este último punto es el gran ángulo ciego. Un reclutador que pega 50 CVs en ChatGPT y pide "dame los 10 mejores" está haciendo selección de personal asistida por IA. Eso es alto riesgo, y además añade un problema de RGPD (datos personales de candidatos enviados a un proveedor fuera de tu control).

Tus obligaciones como desplegador (Artículo 26)

Si eres un empleador que usa sistemas de IA de alto riesgo en RRHH, el AI Act te considera un "responsable del despliegue" (deployer) y el Artículo 26 te impone estas obligaciones:

1. Uso conforme a las instrucciones del proveedor. Debes usar el sistema como el fabricante indica. Si la herramienta dice "no usar para decisiones automatizadas sin revisión humana", tienes que respetarlo.

2. Supervisión humana competente. La persona que supervise el sistema debe tener formación, autoridad y recursos suficientes para hacerlo. No vale poner a un becario a "revisar" los rankings que escupe el algoritmo.

3. Asegurar calidad de los datos de entrada. Los datos que alimentan al sistema deben ser pertinentes y suficientemente representativos para el uso previsto.

4. Monitorizar el funcionamiento. Debes vigilar que el sistema funciona como se espera y reportar incidentes graves al proveedor y a la autoridad competente.

5. Conservar los registros automáticos (logs) que genera el sistema durante al menos seis meses.

6. Informar a los trabajadores. Antes de poner en marcha un sistema de alto riesgo en el puesto de trabajo, tienes que informar a los representantes de los trabajadores y a los trabajadores afectados. Esto conecta con el Estatuto de los Trabajadores y con el Real Decreto-ley 9/2021 sobre transparencia algorítmica en plataformas.

7. Evaluación de impacto en derechos fundamentales (FRIA). En determinados casos — sobre todo cuando eres un organismo público o prestas servicios públicos — debes hacer una evaluación previa del impacto del sistema sobre derechos fundamentales.

8. Cumplir con el RGPD en paralelo. El AI Act no sustituye al RGPD. Si procesas datos personales (y en RRHH siempre lo haces), necesitas también base legal, información a los interesados, y cuando aplique, evaluación de impacto en protección de datos (DPIA).

El caso Amazon: por qué esto importa de verdad

En 2018 se hizo público que Amazon había desarrollado internamente un sistema de IA para filtrar CVs que penalizaba sistemáticamente a mujeres. ¿La razón? El modelo se había entrenado con currículums recibidos en la última década, mayoritariamente de hombres. El algoritmo aprendió que "ser hombre" correlacionaba con "candidato adecuado" y empezó a penalizar palabras como "capitana del equipo de ajedrez femenino".

Amazon descartó el sistema. Pero el episodio se ha convertido en el ejemplo de libro de por qué la IA en RRHH es alto riesgo: los sesgos de los datos se convierten en discriminación sistemática a escala industrial.

El AI Act existe precisamente para evitar que casos como el de Amazon se normalicen. Y las autoridades españolas van a estar especialmente atentas al sector, porque la discriminación en el acceso al empleo está ya protegida por la Constitución, el Estatuto de los Trabajadores y la Ley 15/2022 de igualdad de trato.

Los tres errores más típicos en PYMEs

Error 1: "Usamos la herramienta X pero la decisión final siempre la toma una persona, así que no nos aplica."

Falso. La clasificación de alto riesgo se aplica al sistema por su finalidad, no por el nivel de automatización. Si la IA influye en la decisión — aunque sea filtrando, ordenando o sugiriendo — el sistema es de alto riesgo y tienes obligaciones.

Error 2: "Es el proveedor el que tiene que cumplir, no nosotros."

Falso. El AI Act distingue entre proveedor (quien desarrolla el sistema) y desplegador (quien lo usa). Ambos tienen obligaciones, y las del desplegador son responsabilidad tuya, no del proveedor. Lo que sí debes hacer es pedir al proveedor la documentación técnica del Anexo IV, el manual de uso y evidencia de la evaluación de conformidad. Si no te la dan, cambia de proveedor.

Error 3: "No hemos formado al equipo porque no desarrollamos IA, solo la usamos."

Falso. El Artículo 4 sobre alfabetización en IA está en vigor desde febrero de 2025 y aplica a todas las empresas que usen sistemas de IA, no solo a las que los desarrollen. Si el departamento de RRHH usa IA y no ha recibido formación, tu empresa ya incumple.

El régimen sancionador aplicado a RRHH

Incumplir las obligaciones del Artículo 26 como desplegador puede costar hasta 15 millones de euros o el 3% de la facturación global anual, lo que sea mayor (Artículo 99).

En una PYME que facture 5 millones de euros al año, ese 3% son 150.000 euros. Y hablamos del AI Act; en paralelo, una discriminación algorítmica detectada en un proceso de selección puede activar sanciones de la AEPD por infracción del RGPD y demandas por discriminación laboral.

El coste de cumplir es mucho menor que el coste de una inspección con hallazgos.

Qué hacer esta semana (checklist práctica)

  1. Inventario. Lista todas las herramientas con IA que se tocan en RRHH: ATS, LinkedIn, software de performance, plataformas de entrevistas, uso de ChatGPT/Claude por parte del equipo. Incluye herramientas no oficiales.

  2. Clasificación. Marca cuáles caen en el punto 4 del Anexo III. Si hay duda, asume alto riesgo hasta que puedas verificar lo contrario.

  3. Documentación del proveedor. Para cada sistema de alto riesgo, pide al proveedor: documentación técnica (Anexo IV), manual de uso, evidencia de evaluación de conformidad y marcado CE, e instrucciones sobre supervisión humana.

  4. Política interna de IA en RRHH. Un documento breve (2-4 páginas) que defina qué herramientas están aprobadas, qué datos se pueden introducir, quién supervisa, cómo se informa a los candidatos y empleados, y cuál es el protocolo si el sistema da un resultado sesgado o cuestionable.

  5. Formación al equipo de RRHH. Específica para IA en selección y gestión de personas: cómo funciona la IA que usáis, qué limitaciones tiene, qué es un sesgo algorítmico, cuándo escalar una decisión.

  6. Comunicación a trabajadores y candidatos. Informa de que se usa IA en los procesos de selección y/o evaluación. Incluye información clara en las ofertas de empleo y en la política de protección de datos de tu web.

  7. Supervisión humana real. Documenta quién revisa qué, con qué criterios y cuándo puede vetar la recomendación del sistema.

Comprueba tu exposición en 2 minutos

Si después de leer esto no tienes claro en qué nivel de riesgo cae tu empresa, el test gratuito de CumpleConIA analiza las herramientas de IA que usas, las clasifica según los criterios del AI Act, e identifica específicamente qué sistemas del Anexo III te afectan. Tarda menos de dos minutos y no requiere registro.

→ Comprobar si mi empresa cumple

RRHH es el área donde más hallazgos encontramos. Si usas alguna de las herramientas mencionadas arriba, probablemente tienes al menos un sistema de alto riesgo sin identificar.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.

¿Tu empresa cumple con la Ley de IA?

Compruébalo gratis en 2 minutos con nuestro checker.

Comprobar cumplimiento →