Sí: la IA que criba, ordena o evalúa candidatos a un puesto es de "alto riesgo" según el Reglamento de IA de la UE. El Anexo III, punto 4(a), menciona expresamente los sistemas de reclutamiento y selección, lo que activa toda una pila de obligaciones legales: supervisión humana, datos comprobados frente a sesgos, transparencia hacia los candidatos, registro automático de eventos y una conservación mínima de los registros de seis meses. Alto riesgo no significa prohibido. Significa permitido, pero fuertemente regulado, y si contratas a candidatos de la UE, eres en gran medida la parte que responde. Los incumplimientos pueden costar hasta 15 millones de euros o el 3 % de la facturación mundial, lo que sea mayor.

Esta guía despeja el ruido en torno a fechas y multas, dos cosas que se cuentan mal por todas partes. Explica lo que la norma exige de verdad, quién carga con la responsabilidad, cuál es el plazo real después de que la UE lo moviera y qué aspecto tiene una infraestructura de contratación defendible en la práctica.

> Este artículo es información general, no asesoramiento jurídico. Habla con tu asesoría laboral y con tu delegado de protección de datos sobre tu situación concreta.

## Tu IA de contratación ahora es de "alto riesgo". Qué significa eso en realidad

Según el Reglamento de IA de la UE, un sistema de IA usado "para el reclutamiento o la selección de personas físicas" se clasifica como de alto riesgo. Eso incluye herramientas que publican anuncios de empleo segmentados, analizan y filtran candidaturas y evalúan u ordenan a los candidatos. La misma categoría del Anexo III (punto 4(b)) cubre la IA usada para promociones, despidos, asignación de tareas y monitorización del desempeño una vez contratada la persona.

El malentendido más grande es creer que alto riesgo significa prohibido. No es así. El Reglamento tiene tres niveles: un pequeño grupo de prácticas **prohibidas**, una franja más amplia de sistemas de **alto riesgo** y todo lo demás. La IA de reclutamiento se sitúa en la franja de alto riesgo, lo que significa que es legal usarla, pero solo si cumple una pila de requisitos y tú, el empleador, asumes las obligaciones del lado del uso.

Solo un conjunto reducido de prácticas relacionadas con la contratación están directamente prohibidas, y lo están desde el 2 de febrero de 2025. La más relevante para RR. HH. es el **reconocimiento de emociones en el lugar de trabajo**, que el Reglamento prohíbe salvo por motivos médicos o de seguridad muy concretos. Si un proveedor te vende una herramienta de entrevistas que deduce el estado emocional de un candidato a partir de su rostro o su voz, eso no es un sistema de alto riesgo que puedas gestionar con controles. Es una práctica prohibida, sin más.

Así que la pregunta práctica no es "¿puedo usar IA en la contratación?". Es "¿puedo demostrar que mi uso de la IA cumple los requisitos de alto riesgo?".

## ¿Cuándo se aplica? El plazo de agosto de 2026 que se movió

El plazo original para las obligaciones de alto riesgo de los sistemas autónomos del Anexo III, incluido el reclutamiento, era el **2 de agosto de 2026**. Esa fecha ya no es correcta, y la mayoría de los artículos que la citan no se han enterado.

El 19 de noviembre de 2025, la Comisión Europea publicó el **"Ómnibus Digital sobre IA"**, que proponía aplazar el plazo de cumplimiento de alto riesgo para los sistemas del Anexo III del 2 de agosto de 2026 al **2 de diciembre de 2027**. Las comisiones IMCO y LIBE del Parlamento Europeo respaldaron el aplazamiento en marzo de 2026, y el Parlamento y el Consejo alcanzaron un acuerdo político provisional sobre el paquete en mayo de 2026.

A mediados de 2026, el aplazamiento es provisional. Está acordado en principio, pero aún no se ha adoptado formalmente ni publicado en el Diario Oficial, y se espera su adopción antes de la fecha original de agosto de 2026. Así que la respuesta honesta a "¿cuándo se aplica?" tiene tres partes:

- **2 de febrero de 2025:** las prácticas prohibidas (incluido el reconocimiento de emociones en el trabajo) ya están en vigor. Esto no es el futuro. Es el pasado.
- **En gran medida según el calendario original:** la obligación de alfabetización en IA (artículo 4) y ciertos deberes de transparencia (artículo 50) no forman parte del aplazamiento de alto riesgo.
- **2 de diciembre de 2027 (a la espera de la adopción final):** la pila completa de obligaciones de alto riesgo para los sistemas de reclutamiento, la parte que todo el mundo llama "el plazo".

Trata el tiempo extra como un regalo para hacerlo bien, no como una excusa para ignorarlo. La UE retrasó su propio plazo estrella en parte porque las normas técnicas no estaban listas, lo que te da una idea de cuánto hay por ordenar. Los equipos que esperen hasta finales de 2027 para empezar acabarán parcheando supervisión y registro sobre herramientas que nunca se diseñaron para ello.

## ¿Eres el proveedor o el responsable del despliegue?

El Reglamento de IA de la UE reparte la responsabilidad entre dos roles, y saber cuál eres es lo primero que hay que resolver. Si contratas, casi con seguridad eres el **responsable del despliegue** (deployer).

El **proveedor** es la entidad que desarrolla el sistema de IA o que encarga su desarrollo y lo introduce en el mercado con su propio nombre. En contratación, ese es tu proveedor de ATS o el fabricante de tu herramienta de cribado con IA. Los proveedores cargan con el grueso del cumplimiento: evaluación de la conformidad, marcado CE, documentación técnica y registro en la base de datos de la UE.

El **responsable del despliegue** es la entidad que usa el sistema bajo su propia autoridad, en el marco de su actividad profesional. Ese eres tú, el empleador. Tus obligaciones son distintas, pero muy reales, y viven en el artículo 26.

Hay una trampa que conviene nombrar. Un responsable del despliegue puede **convertirse en proveedor**, heredando toda la carga del proveedor, si modifica sustancialmente un sistema de alto riesgo o lo usa para un fin que el proveedor no previó. Ajusta (fine-tune) un modelo de cribado con tus propios datos, o conecta una IA de propósito general a un flujo de rechazo automático para el que nunca se vendió, y puede que te hayas ascendido tú solo al rol con las obligaciones más pesadas. Compra herramientas creadas para el trabajo en lugar de improvisar una.

## Las obligaciones que todo equipo de contratación con vínculo con la UE debe cumplir

El artículo 26 y los requisitos que lo rodean se traducen en una lista de comprobación concreta. Piénsalos como requisitos de producto que puedes exigirle a un proveedor, no como principios jurídicos abstractos.

### Supervisión humana: nada de rechazos totalmente automatizados

El artículo 14 exige que los sistemas de alto riesgo se diseñen de modo que las personas puedan supervisarlos de forma efectiva, y el artículo 26(2) exige a los responsables del despliegue encomendar la supervisión a personas físicas que sean **competentes, formadas y con capacidad real** para ejercerla. En términos de contratación: una persona debe poder entender el resultado de la IA, interpretarlo correctamente, decidir no usarlo y anularlo.

El patrón que esto ataca es la cadena de rechazo automático que descarta currículums antes de que ningún humano los mire. Si tu herramienta filtra candidatos y nadie con autoridad revisa o puede revertir esas decisiones, no tienes supervisión humana. Tienes una caja negra con un sello de goma.

### Pruebas de sesgo y gobernanza de datos

El artículo 10 exige que los datos de entrenamiento, validación y prueba sean pertinentes, representativos y examinados frente a sesgos. En reclutamiento, ahí está el corazón del riesgo de discriminación. Un modelo entrenado con una década de datos de contratación históricamente sesgados reproducirá ese sesgo a escala. Deberías poder preguntarle a un proveedor cómo probaron su sistema frente al impacto dispar y obtener una respuesta de verdad.

### Registro automático de eventos

El artículo 12 exige que los sistemas de alto riesgo **permitan técnicamente el registro automático de eventos (logs)** a lo largo de toda la vida del sistema, suficiente para identificar situaciones de riesgo y respaldar la vigilancia poscomercialización. Es un requisito de diseño sobre el propio sistema. Si una herramienta no puede producir un registro de lo que hizo y por qué, no puede cumplir el artículo 12.

### Conservación de registros durante seis meses

El artículo 26(6) pone el deber de conservación sobre ti: los responsables del despliegue deben **conservar los registros generados automáticamente durante al menos seis meses**, salvo que otra norma (como el RGPD) exija más. Seis meses es un suelo, no un techo. La prueba práctica es si, medio año después de una decisión de contratación, puedes sacar el registro de cómo se tomó.

### Transparencia hacia candidatos y trabajadores

Se aplican dos deberes. El artículo 26(7) exige a los empleadores **informar a los representantes de los trabajadores y a los trabajadores afectados antes del despliegue** de un sistema de alto riesgo en el lugar de trabajo. El artículo 26(11) exige informar a las personas sujetas a las decisiones del sistema. El artículo 50 añade deberes de transparencia sobre la interacción con la IA en términos más amplios. En resumen: candidatos y plantilla tienen derecho a saber que hay IA de por medio.

### Derecho a explicación para los candidatos rechazados

Este es el que sorprende a la gente. El artículo 86 otorga a cualquier persona afectada sujeta a una decisión tomada sobre la base del resultado de un sistema de alto riesgo, cuando produzca efectos jurídicos o de importancia similar, el derecho a **"explicaciones claras y significativas del papel del sistema de IA en el procedimiento de toma de decisiones y de los principales elementos de la decisión adoptada"**. Un candidato rechazado puede preguntar cómo influyó la IA en su rechazo, y tú tienes que poder responder. "El algoritmo dijo que no" no es una respuesta.

### La EIPD y el solapamiento con el RGPD

El Reglamento de IA no sustituye al RGPD. Se suma encima. Las decisiones automatizadas con efectos significativos ya activan el artículo 22 del RGPD, y el tratamiento de alto riesgo suele requerir una **Evaluación de Impacto relativa a la Protección de Datos (EIPD)**. Si ya haces EIPD para los datos de candidatos, amplíalas para cubrir el sistema de IA. Si no, esa laguna es anterior al Reglamento de IA y conviene cerrarla ya.

<div class="blog-inline-cta">
  <p><strong>¿Quieres un stack de contratación donde estos controles vengan activados por defecto?</strong> Kit registra una decisión atribuida y con marca de tiempo en cada avance y cada rechazo, conserva ese historial como datos duraderos y mantiene a una persona en el bucle en cada cambio de estado.</p>
  <p><a href="/users/sign_up">Empieza tu prueba gratuita</a></p>
</div>

## Cuáles son las multas de verdad y el mito de los 35 millones en contratación

El error más común en la cobertura del Reglamento de IA es la cifra de la multa. Verás "hasta 35 millones de euros o el 7 % de la facturación" asociado a la contratación. Para los incumplimientos ordinarios de reclutamiento de alto riesgo, eso es incorrecto.

El artículo 99 establece sanciones por niveles:

| Tipo de infracción | Multa máxima |
|---|---|
| Prácticas prohibidas (p. ej. reconocimiento de emociones en el trabajo) | 35 M EUR o el 7 % de la facturación mundial |
| **Incumplimiento de obligaciones de alto riesgo (el nivel de contratación)** | **15 M EUR o el 3 % de la facturación mundial** |
| Facilitar información incorrecta o engañosa | 7,5 M EUR o el 1 % de la facturación mundial |

En cada caso, el regulador toma el importe que sea **mayor**. El nivel de 35 M EUR / 7 % se reserva para las prácticas prohibidas, no para no conservar tus registros o saltarte un aviso al candidato. La exposición relevante para una contratación de alto riesgo no conforme es de **15 millones de euros o el 3 %**.

Hay alivio incorporado para las empresas más pequeñas. El artículo 99 limita a las pymes y a las startups al importe **menor** entre el porcentaje y la suma fija, en lugar del mayor. La exposición es real, pero escala con tu tamaño en vez de arrasar a una empresa en fase semilla por un desliz de papeleo.

## El problema del ATS heredado: cribadores automáticos que rechazan antes de que mire un humano

El escenario arquetípico de alto riesgo sin controles es el ATS heredado que autorrechaza por coincidencia de palabras clave o por preguntas eliminatorias antes de que un humano vea al candidato. Combina tres cosas que el Reglamento ataca a la vez: una decisión automatizada, ninguna supervisión humana y ninguna explicación.

Esto no es hipotético. El mismo patrón de diseño está en el centro de litigios en EE. UU. En *Mobley contra Workday*, un tribunal federal permitió que avanzaran demandas por discriminación contra un proveedor de IA de contratación como "agente" de los empleadores que lo usaban, precisamente por este tipo de cribado automático. El Reglamento de IA de la UE y los tribunales de EE. UU. están convergiendo hacia la misma conclusión desde direcciones distintas: el riesgo es el autorrechazo opaco y sin humanos, no la IA en la contratación como tal. (Cubrimos la parte estadounidense en [qué significa la demanda de IA de contratación a Workday para cualquier ATS](/blog/workday-ai-hiring-lawsuit-ats-liability).)

Si tu herramienta actual no puede decirte a qué candidatos autorrechazó, por qué y quién podría haberlo anulado, estás reproduciendo el supuesto de hecho que buscan tanto el regulador de la UE como los abogados de los demandantes en EE. UU.

## Reglamento de IA de la UE frente a la Local Law 144 de Nueva York

Los equipos de EE. UU. suelen preguntar cómo se compara esto con la norma que ya conocen. La **Local Law 144** de la ciudad de Nueva York exige, desde 2023, **auditorías de sesgo** independientes y anuales de las herramientas automatizadas de decisión de empleo, más un aviso al candidato. Es un punto de referencia útil, pero el régimen de la UE es mucho más amplio.

| Dimensión | Local Law 144 de NYC | Reglamento de IA de la UE |
|---|---|---|
| Deber principal | Auditoría de sesgo independiente anual + aviso al candidato | Ciclo de vida completo: supervisión, gobernanza de datos, registro, transparencia, explicación |
| Alcance | Herramientas automatizadas de decisión de empleo | Toda la IA de reclutamiento y selección de alto riesgo |
| Derecho a explicación | Aviso de que se usa una herramienta | Derecho a una explicación significativa de la decisión (art. 86) |
| Conservación | Resultados de la auditoría publicados | Registros conservados al menos seis meses (art. 26(6)) |
| Sanción máxima | Hasta 1500 USD por infracción | 15 M EUR o el 3 % de la facturación mundial |

La Local Law 144 es una ley de auditoría de sesgo. El Reglamento de IA de la UE es un régimen de gobernanza de todo el ciclo de vida con sanciones dos órdenes de magnitud mayores. Si construiste tu proceso en torno a la Local Law 144, trátalo como un punto de partida, no como una meta.

## Tu lista de comprobación de cumplimiento del Reglamento de IA de la UE en contratación

Esto es lo que un equipo de contratación con vínculo con la UE debería poder hacer y demostrar. Cópialo, pásaselo a tu proveedor y marca lo que tu stack actual ya cubre.

1. **Confirma tu rol.** Casi con seguridad eres el responsable del despliegue. No te conviertas en proveedor por accidente al modificar mucho una herramienta o usarla fuera de su finalidad prevista.
2. **Mapea tu IA.** Lista cada herramienta que criba, ordena, puntúa o evalúa candidatos. Cada una es, en principio, de alto riesgo.
3. **Elimina los rechazos totalmente automatizados.** Asegúrate de que un humano competente, formado y con capacidad real revisa y puede anular cada decisión de rechazar o avanzar (arts. 14, 26(2)).
4. **Verifica las pruebas de sesgo.** Pregunta a cada proveedor cómo probó su sistema frente al impacto dispar, y consíguelo por escrito (art. 10).
5. **Confirma el registro de eventos.** El sistema debe registrar automáticamente lo que hizo en cada decisión (art. 12).
6. **Conserva los registros al menos seis meses.** Más si el RGPD u otra norma lo exige (art. 26(6)).
7. **Avisa a trabajadores y candidatos.** Informa a los representantes de los trabajadores antes del despliegue y a las personas sujetas a decisiones (arts. 26(7), (11), art. 50).
8. **Prepárate para explicar.** Para cualquier candidato rechazado, debes poder producir un relato claro y significativo de cómo influyó la IA (art. 86).
9. **Haz una EIPD.** Cubre el sistema de IA en tu evaluación de impacto de protección de datos y en tu análisis del artículo 22 del RGPD.
10. **Apunta la fecha en el calendario.** Planifica que las obligaciones de alto riesgo entren en vigor el **2 de diciembre de 2027** (a la espera de la adopción final), con las prohibiciones de prácticas ya en vigor desde febrero de 2025.

## Qué aspecto tiene una infraestructura de contratación conforme, con Kit como ejemplo práctico

La forma más limpia de cumplir estas obligaciones es usar un sistema de contratación donde sean un subproducto del uso normal en lugar de funciones que añades a posteriori. La postura correcta es fácil de enunciar: la IA asiste, las personas deciden y el sistema lo registra. [Kit](/) está construido en torno a exactamente ese reparto de tareas.

**La supervisión humana es estructural, no opcional.** Cada acción que cambia el estado de una candidatura requiere un actor humano. Rechazar, avanzar, resolver una revisión y hacer una oferta se atribuyen a una persona. Ni siquiera las herramientas de IA de Kit pueden descartar a un candidato por su cuenta; el camino de rechazo por IA requiere un usuario con sesión iniciada, una comprobación de autorización y una confirmación explícita. No existe ninguna ruta de código donde la IA rechace a un candidato en silencio, que es la diferencia que buscan los artículos 14 y 26(2).

**El rastro de auditoría es automático.** Kit modela el pipeline como registros atribuidos de progreso por etapa, cada uno emparejado con una decisión que exige una justificación escrita y deja constancia de quién la tomó. La línea temporal del candidato muestra esto como un historial de eventos legible por humanos. Eso es el "registro automático de eventos a lo largo de la vida" del artículo 12, producido como efecto secundario de contratar y no como un proyecto de logging aparte.

**La conservación es lo predeterminado, no una tarea pesada.** Como las decisiones y el historial de etapas son registros de base de datos de primera clase y no logs efímeros que se descartan, persisten mucho más allá del suelo de seis meses del artículo 26(6). La carga deja de ser "cómo conservo los registros seis meses" y pasa a ser "ya tengo el historial completo y consultable".

**La procedencia y la explicación vienen incorporadas.** Kit etiqueta si una señal vino de la IA o de una persona, de modo que el sistema sabe y puede revelar qué entradas fueron generadas por IA, respaldando los deberes de transparencia de los artículos 26(11) y 50. Y como cada decisión lleva un actor atribuido más una justificación, y las revisiones llevan puntuaciones frente a criterios nombrados, Kit puede producir la "explicación clara y significativa" que el artículo 86 concede a los candidatos rechazados.

Para que quede claro el alcance: usar Kit no te hace automáticamente conforme. Sigues siendo dueño de tu EIPD, de tus avisos a los trabajadores y de la competencia de las personas que ejercen la supervisión. Lo que hace Kit es dejar activadas por defecto las partes difíciles y fáciles de saltarse, para que los registros y controles que el Reglamento de IA espera ya existan cuando un regulador, un candidato o tu consejo pregunten.

El Reglamento de IA de la UE no hizo ilegal la contratación con IA. Hizo de la contratación con IA indocumentada y sin humanos una responsabilidad. Los equipos que salen ganando no son los que arrancan la IA del reclutamiento. Son los que pueden mostrar su trabajo: quién decidió, sobre qué base, con qué registro. Constrúyelo ahora, mientras el plazo te da margen, en lugar de parchearlo a presión a finales de 2027.

¿Quieres ver qué aspecto tiene un pipeline de contratación defendible y con personas en el bucle? [Empieza una prueba gratuita](/users/sign_up) o lee [qué es realmente un ATS nativo de IA](/blog/pipelines-as-code-hiring).