Lo esencial
Articulo 22 RGPD
El scoring algoritmico entra en el ambito
La sentencia TJUE SCHUFA de 7 de diciembre de 2023 (C-634/21) incluye toda herramienta de scoring determinante para la seleccion de candidatos en el ambito del articulo 22, incluso con validacion humana posterior.
AI Act Alto Riesgo
Reclutamiento clasificado en el Anexo III
El reclutamiento esta clasificado como sistema de alto riesgo en el Anexo III punto 4 del Reglamento UE 2024/1689. Obligaciones del responsable del despliegue aplicables desde el 2 de agosto de 2026.
Exposicion Actual
El riesgo ya esta aqui
El RGPD se aplica plenamente hoy. Las decisiones Foundever (Audiencia Nacional, 4 de julio de 2025) y Robo-Firing (Tribunal de Apelacion de Amsterdam, 4 de abril de 2023) muestran que el litigio HR algoritmico ya esta activo en Europa.
Las herramientas de inteligencia artificial estan transformando el reclutamiento: cribado automatico de CV, analisis de videos de entrevista, scoring predictivo. Estas tecnologias seducen a los equipos de RR. HH., pero su despliegue expone a las organizaciones a riesgos juridicos frecuentemente subestimados. Este articulo cartografia las obligaciones aplicables en virtud del RGPD y del AI Act, y analiza tres decisiones recientes que redefinen las reglas del juego.
Lo que realmente esta desplegando
El articulo 22 RGPD prohibe las decisiones basadas exclusivamente en un tratamiento automatizado que produzcan efectos juridicos o afecten significativamente a una persona. El reclutamiento es uno de los casos de uso mas expuestos.
Una herramienta de cribado que filtra o clasifica candidatos antes de cualquier intervencion humana real constituye una decision automatizada en el sentido del RGPD. La validacion formal por parte del responsable de contratacion no es suficiente si este no dispone ni del tiempo ni de los elementos necesarios para ejercer un control efectivo.
Lo que muchos creen desplegar
Percepcion habitual
Lo que el derecho ve
Calificacion juridica
RGPD y AI Act: ya esta expuesto
Base legal
Dos marcos normativos se aplican simultaneamente. El RGPD es operativo hoy: rige todo tratamiento automatizado de datos personales de candidatos. El AI Act anade obligaciones especificas para los sistemas de alto riesgo. Ambos vinculan directamente al responsable del despliegue. Ninguno puede externalizarse al proveedor de la herramienta.
Articulo 22 RGPD
En virtud del articulo 22 RGPD, el responsable del despliegue debe:
- Informar al candidato del uso de la IA en el aviso de privacidad
- Permitir que el candidato solicite una intervencion humana y que impugne la decision
- Realizar una evaluacion de impacto relativa a la proteccion de datos (EIPD) para las herramientas que presenten riesgos elevados
- Documentar la base juridica del tratamiento automatizado
AI Act: reclutamiento clasificado como alto riesgo
El AI Act clasifica expresamente los sistemas de IA utilizados para el reclutamiento, la seleccion, la evaluacion y la rescision de contratos de trabajo como de alto riesgo (Anexo III, punto 4). Esta clasificacion afecta a las herramientas de cribado, scoring predictivo y analisis de comportamiento.
Las obligaciones del responsable del despliegue incluyen:
- Documentacion tecnica completa antes de cualquier despliegue
- Evaluacion de conformidad previa
- Registro en la base de datos de la UE
- Supervision humana efectiva sobre cada decision relevante
- Informacion transparente a los candidatos sobre el uso de la IA
El clic humano ya no protege.
Herramientas HR AI ya desplegadas? Auditoria de cumplimiento de 30 minutos, confidencial, sin compromiso.
Solicitar una primera llamadaLo que el derecho ya dice: tres decisiones clave
Ninguna de estas decisiones se apoya en el AI Act. Las tres conciernen a sistemas algoritmicos cuyos operadores podrian, en teoria, haber esperado la entrada en vigor de las obligaciones de alto riesgo. El marco juridico existente sigue produciendo decisiones concretas.
C-634/21
SCHUFA Holding
El Tribunal extiende el articulo 22 RGPD a los scores algoritmicos producidos por un tercero y utilizados de manera determinante para la decision. Lectura directa para todo responsable del despliegue HR que utilice una herramienta de scoring suministrada por un editor.
Robo-Firing
Robo-Firing
Validacion humana puramente simbolica sobre decisiones HR de Uber. Decision declarada ilegal en el sentido del articulo 22 RGPD. Sancion de 584.000 euros en octubre de 2023. El clic humano ya no protege. La supervision debe ser real, documentada y capaz de alterar el resultado.
SAN 2867/2025
CGT c. Foundever Espana
La empresa negaba utilizar algoritmos en la gestion HR. El Tribunal declara nula la practica, condena por vulneracion de la libertad sindical y ordena la comunicacion de los parametros a los representantes del personal. Primera decision espanola que consagra el derecho sindical a la informacion sobre algoritmos HR.
Negar la existencia de un algoritmo HR cuando existe es una falta autonoma.
La trampa del Digital Omnibus
El Reglamento (UE) 2025/1049 (Digital Omnibus) pospone las obligaciones de cumplimiento del AI Act para los proveedores y responsables del despliegue de sistemas de alto riesgo hasta diciembre de 2027. Esto se interpreta a veces como un margen de dos anos antes de que comience la aplicacion.
Las tres decisiones anteriores muestran por que esta lectura es erronea. El RGPD es plenamente aplicable hoy. El articulo 22 es aplicable hoy. La obligacion de explicar una decision HR automatizada a un candidato, a un trabajador despedido o a un representante sindical existe hoy.
Ninguna de las tres decisiones se basa en el AI Act. Las tres conciernen a sistemas cuyos operadores podrian haber argumentado que esperaban el plazo de alto riesgo. Los reguladores y los tribunales no esperaron. Los compradores de sectores regulados ya estan incorporando los requisitos RGPD y AI Act en sus RFP de 2026. La brecha de cumplimiento se detecta en la fase de due diligence.
Lo que debe verificar hoy
Tres ambitos requieren verificacion inmediata en su organizacion.
- Sus avisos de privacidad mencionan expresamente el uso de la IA en el proceso de reclutamiento?
- Sus contratos con los proveedores de herramientas HR incluyen las garantias RGPD exigidas: DPA, documentacion tecnica, derechos de los interesados?
- Sus equipos de RR. HH. estan formados sobre la obligacion de supervision humana efectiva, distinta de una simple validacion formal?
Como actuar
La conformidad operativa pasa por tres etapas concretas: auditoria de las herramientas existentes y sus condiciones de despliegue, documentacion RGPD y AI Act (EIPD, aviso de tratamiento, DPA con proveedores) y formacion de los equipos de RR. HH. con actualizacion de los procesos de seleccion. El asesoramiento juridico externo permite abordar estos tres niveles simultaneamente, sin necesidad de contratar a un jurista interno a tiempo completo.


