Cómo informar a tus empleados de que usas IA

Si tu empresa usa cualquier herramienta de IA para tomar — o ayudar a tomar — decisiones que afectan a la plantilla, tienes obligación legal de informar. Y no basta con la cláusula genérica del RGPD que ya tienes en algún PDF firmado en el onboarding.

En España se cruzan tres normas en este punto, y las tres te aplican a la vez. Ignorar cualquiera de ellas es una infracción independiente, con su propia sanción.

Esta guía explica qué dice cada una, qué tienes que comunicar exactamente, a quién, cuándo y cómo, e incluye un modelo de comunicación que puedes adaptar.

Las tres normas que se cruzan

1. AI Act, Artículo 26.7 — Obligación específica para el empleador que despliega un sistema de IA de alto riesgo.

2. Estatuto de los Trabajadores, Artículo 64.4.d — Derecho de información de los representantes de los trabajadores sobre algoritmos y sistemas de IA. Introducido por el Real Decreto-ley 9/2021 (la "ley rider") y aplicable a cualquier empresa con representación legal, no solo a plataformas digitales.

3. RGPD, Artículos 13, 14 y 22 — Información al interesado sobre decisiones automatizadas que producen efectos jurídicos o le afecten significativamente.

Cada norma tiene su propio destinatario, su propio contenido mínimo y su propio régimen sancionador. Cumplir una no exime de las otras dos.

Qué dice exactamente cada norma

AI Act — Artículo 26.7

"Los responsables del despliegue de sistemas de IA de alto riesgo que sean empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que se utilizará con ellos el sistema de IA de alto riesgo, antes de poner en servicio o utilizar dicho sistema en el lugar de trabajo."

Tres ideas clave: aplica solo a sistemas de alto riesgo (Anexo III, especialmente el punto 4 sobre empleo), hay que informar antes del despliegue, y los destinatarios son dos: los representantes y los trabajadores.

Estatuto de los Trabajadores — Artículo 64.4.d

"El comité de empresa […] tendrá derecho a ser informado por la empresa de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles."

Esta letra d) la añadió el RD-L 9/2021 pensando en los riders, pero la redacción es general y aplica a cualquier empresa con comité de empresa o delegados de personal. El alcance es además más amplio que el del AI Act: aquí no se limita a sistemas de "alto riesgo", basta con que el algoritmo afecte a condiciones laborales, acceso o mantenimiento del empleo.

RGPD — Artículos 13.2.f, 14.2.g y 22

Si el sistema de IA trata datos personales (en RRHH siempre), debes informar al interesado de:

• La existencia de decisiones automatizadas, incluida la elaboración de perfiles.
• Información significativa sobre la lógica aplicada y la importancia y consecuencias previstas para el interesado.

Y el Art. 22 reconoce el derecho a no ser objeto de una decisión basada únicamente en tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente, salvo excepciones tasadas.

A quién hay que informar, exactamente

Representantes legales de los trabajadores. Comité de empresa o delegados de personal, según el tamaño. Si no hay representación legal — porque la empresa es pequeña o porque no se han celebrado elecciones — la obligación del Art. 64.4.d ET no aplica formalmente, pero la del AI Act Art. 26.7 sigue aplicando: hay que informar directamente a los trabajadores.

Los trabajadores afectados. Todos los empleados sobre los que el sistema de IA pueda tomar o influir en una decisión: filtrado, evaluación, asignación de tareas, monitorización, promoción, despido, etc.

Los candidatos en procesos de selección. Si la herramienta interviene en la criba o evaluación de candidatos, debes informarles antes de procesar su candidatura. Esto es Art. 26.7 AI Act + Arts. 13/14 RGPD combinados.

Los interesados según el RGPD. Cualquier persona cuyos datos personales se traten por el sistema, no solo empleados o candidatos (por ejemplo, clientes evaluados con IA).

Cuándo hay que informar

Antes de la puesta en servicio. El AI Act lo dice expresamente: antes de poner en servicio o utilizar. El Estatuto exige información "con la periodicidad que proceda", interpretado por la doctrina como previa a la implantación y actualizada cuando el sistema cambie sustancialmente.

Si tu empresa ya tiene sistemas de IA en producción y nunca ha informado, estás en infracción continuada. La forma de salir es informar ya, dejar acta y revisar la política interna.

Qué información hay que entregar — los seis elementos mínimos

Combinando lo que exige cada norma, una comunicación completa debe contener:

1. Identificación del sistema y proveedor. Nombre comercial, fabricante, finalidad para la que se usa.
2. Tipo de decisiones que toma o asiste. Filtrado de candidatos, scoring de desempeño, asignación de turnos, etc. Concretas, no genéricas.
3. Lógica del algoritmo: parámetros, reglas e instrucciones. Es el punto explícito del Art. 64.4.d ET. No hay que entregar el código fuente, pero sí los criterios principales que pondera el sistema (experiencia, formación, palabras clave, métricas de rendimiento, etc.) y cómo los pondera.
4. Datos personales tratados. Categorías de datos, fuentes, plazos de conservación.
5. Consecuencias previstas. Qué pasa con el resultado del sistema: ¿se usa como filtro automático, como recomendación, como input para una persona?
6. Supervisión humana e impugnación. Quién supervisa, con qué autoridad para vetar, y cómo puede el trabajador o candidato impugnar una decisión.

Cómo hacerlo en la práctica

Para los representantes legales

Convoca al comité (o a los delegados) de forma específica para este punto, no lo metas en cualquier reunión ordinaria. Entrega un documento escrito con los seis elementos, deja acta firmada de la entrega y guarda evidencia. La empresa tiene la carga de la prueba si más adelante hay inspección.

Si el sistema cambia (nuevo proveedor, nueva versión con cambios sustanciales, nuevo uso), repite la información.

Para los trabajadores

Comunicación por escrito a toda la plantilla afectada: email corporativo, publicación en intranet o ambos. Incorpora la información a la política interna de uso de IA y enlázala desde el manual del empleado. La formación en alfabetización de IA del Artículo 4 del AI Act es además un canal natural para reforzarlo.

Para los candidatos

Tres puntos de información:

• En la oferta de empleo: una línea clara ("En este proceso usaremos la herramienta X para apoyar la selección").
• En el formulario de candidatura: aviso visible antes del envío.
• En la política de privacidad del sitio de carrera: detalle completo según los Arts. 13/14 del RGPD.

Modelo mínimo de comunicación

Esto es un esqueleto. Cada empresa debe adaptarlo a su sistema concreto.

Comunicación a la plantilla — Uso de sistemas de inteligencia artificial

En cumplimiento del Artículo 26.7 del Reglamento (UE) 2024/1689 (AI Act), del Artículo 64.4.d del Estatuto de los Trabajadores y de los Artículos 13 y 22 del RGPD, [Empresa] informa de lo siguiente:

1. Sistema utilizado: [Nombre comercial] de [Proveedor], con la finalidad de [filtrar candidaturas / evaluar desempeño / asignar turnos / etc.].

2. Decisiones afectadas: El sistema [toma / asiste a la toma de] decisiones sobre [contratación / promoción / asignación de tareas / evaluación / etc.].

3. Lógica del algoritmo: El sistema pondera, principalmente, los siguientes parámetros: [enumerar criterios principales y, cuando sea posible, su peso relativo].

4. Datos personales tratados: [Categorías concretas: CV, formación, métricas de actividad, etc.]. Fuentes: [el propio empleado, fuentes públicas, etc.]. Plazo de conservación: [meses/años].

5. Consecuencias previstas: El resultado del sistema [filtra automáticamente / se utiliza como recomendación supervisada por una persona / etc.].

6. Supervisión humana e impugnación: La supervisión recae en [cargo o área]. Cualquier trabajador o candidato puede solicitar revisión humana de una decisión escribiendo a [canal], con respuesta en un plazo máximo de [X] días.

En [ciudad], a [fecha].

Los errores más comunes

Error 1: "Como hay supervisión humana, no hace falta informar." Falso. El deber de información es independiente del nivel de automatización. La supervisión humana es otra obligación, no una excepción a esta.

Error 2: "Ya lo cubre la cláusula del RGPD del contrato." Insuficiente. La cláusula genérica de "tratamiento de datos para gestión de personal" no informa de la lógica del algoritmo, ni cumple el Art. 64.4.d ET, ni el Art. 26.7 AI Act.

Error 3: "Lo informaremos cuando arranque el proyecto." Tarde. La información tiene que ser previa a la puesta en servicio. Si ya está en producción, hay que regularizar inmediatamente.

Error 4: "Solo se lo decimos al comité de empresa." Insuficiente. El AI Act exige informar a representantes y trabajadores afectados. Son dos canales independientes.

Error 5: "Como no es alto riesgo, no informamos." Cuidado. El AI Act Art. 26.7 limita la obligación a sistemas de alto riesgo, pero el Art. 64.4.d ET no distingue por nivel de riesgo: cualquier algoritmo que afecte a condiciones de trabajo, acceso o mantenimiento del empleo activa la obligación de informar al comité.

Régimen sancionador acumulado

Las sanciones se suman porque las infracciones son independientes:

• AI Act (Art. 99): hasta 15 millones de euros o el 3% de la facturación global anual, lo que sea mayor, por incumplir obligaciones del responsable del despliegue.
• Estatuto de los Trabajadores + LISOS (Art. 7.7): la transgresión de los derechos de información, audiencia y consulta de los representantes es infracción grave, sancionable de 751 a 7.500 euros.
• RGPD (Art. 83.5): hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor, por incumplir los deberes de información.

A esto se añade el riesgo procesal: una decisión adoptada por un sistema de IA sobre el que no se informó puede ser anulada por el juzgado de lo social, con readmisión, indemnización y costas.

Qué hacer esta semana

1. Inventario. Lista los sistemas de IA que afectan a alguna decisión sobre empleados o candidatos.
2. Mapeo legal. Para cada sistema, marca cuáles de las tres normas le aplican (alto riesgo AI Act, Art. 64.4.d ET, RGPD Art. 22).
3. Identifica al destinatario. ¿Hay comité de empresa? ¿Delegados? ¿Solo trabajadores?
4. Redacta la comunicación. Usa el modelo de arriba como punto de partida. Documenta los seis elementos.
5. Convoca y entrega. Reunión específica con los representantes, comunicación escrita a la plantilla, incorporación a la política interna y a los materiales de selección.
6. Guarda evidencia. Acta firmada, registro de envío del email, captura de la intranet, fecha de actualización de la política.
7. Programa la revisión. Revisa la información cada vez que cambie el sistema y, como mínimo, una vez al año.

Comprueba tu exposición en 2 minutos

Si no tienes claro cuáles de los sistemas que usa tu empresa activan estas obligaciones, el test gratuito de CumpleConIA identifica las herramientas de IA en uso, las clasifica según el AI Act y te dice exactamente qué obligaciones de información te aplican según tu sector.

→ Comprobar si mi empresa cumple

---

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.