AI ActRGPDAEPDcumplimientoreclutamientoIA10 min

Reglamento de IA (AI Act) y reclutamiento: lo que cambia realmente en 2026 (guía completa)

Christophe HébertChristophe Hébert·May 15, 2026

Un reclutador se dispone hoy a usar IA para automatizar el scoring de CV, el matching semántico o la búsqueda de candidatos. Buena noticia: para el derecho europeo, sigue siendo posible — bajo varias condiciones. El reclutamiento entra de lleno en la categoría de "alto riesgo". Y el calendario acaba de cambiar. Esto es lo que de verdad hay que saber, sin jerga.

Lo esencial en 30 segundos

  • El Reglamento (UE) 2024/1689 — el AI Act — clasifica los sistemas de IA usados para el reclutamiento y la selección de personas como alto riesgo (Anexo III, punto 4).
  • Las obligaciones de "alto riesgo" debían aplicarse desde el 2 de agosto de 2026, pero el acuerdo político sobre el Digital Omnibus (Consejo + Parlamento, 7 de mayo de 2026) aplaza la aplicación al 2 de diciembre de 2027.
  • Aplazado no es derogado — y el acuerdo aún no se ha publicado en el DOUE. Hasta que lo haga, la fecha original del 2 de agosto de 2026 sigue siendo jurídicamente vinculante.
  • El editor del software es normalmente el proveedor; la consultora o el departamento de RR.HH. que lo usa es el responsable del despliegue ("deployer"). Ambos tienen obligaciones distintas.

1. Qué es el AI Act y a quién afecta en reclutamiento

El AI Act es el primer marco horizontal europeo sobre IA. Sigue una lógica de riesgo: prácticas prohibidas, sistemas de alto riesgo con obligaciones estrictas, obligaciones de transparencia para otros sistemas.

Se aplica a los proveedores que ponen sistemas de IA en el mercado de la UE y a los deployers establecidos en la UE que los usan (art. 2). En una cadena de reclutamiento asistido por IA, afecta tanto al editor del software como al despacho o servicio de RR.HH. que lo utiliza. El RGPD y la LOPDGDD siguen aplicándose en paralelo siempre que haya tratamiento de datos personales (≈ siempre, en reclutamiento).

2. Por qué el reclutamiento se clasifica como "alto riesgo"

El Anexo III, punto 4 cubre expresamente los sistemas de IA destinados:

  • al reclutamiento o selección de personas — en particular para publicar ofertas dirigidas, analizar y filtrar candidaturas y evaluar candidatos;
  • a tomar decisiones sobre condiciones de trabajo, promoción o despido, y a supervisar/evaluar el rendimiento.

La razón: estos sistemas tienen un impacto significativo en las perspectivas de carrera y los derechos de las personas, y pueden reproducir sesgos históricos (género, edad, origen, discapacidad…).

3. El verdadero calendario tras el Digital Omnibus (mayo de 2026)

| Disposición | Aplicación | | ------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------- | | Prácticas prohibidas (art. 5) + alfabetización en IA (art. 4) | Ya aplicable desde el 2 de febrero de 2025 | | Modelos de IA de uso general (art. 51 y siguientes) | Desde el 2 de agosto de 2025 | | Sistemas de alto riesgo del Anexo III (incluido reclutamiento) | 2 de agosto de 2026 → aplazado al 2 de diciembre de 2027 (acuerdo político Digital Omnibus, 7 de mayo de 2026; adopción formal pendiente) | | Alto riesgo vinculado a productos regulados (Anexo I) | 2 de agosto de 2028 |

En resumen: las obligaciones "producto" aplicables a los software de reclutamiento de alto riesgo se retrasan unos 16 meses, si la fecha de diciembre de 2027 se confirma por adopción formal.

Lo que NO se aplaza

La prohibición de ciertas prácticas y la obligación de alfabetización en IA (art. 4 y 5 — formación/sensibilización de los equipos) siguen en vigor desde hoy. El aplazamiento no es una retirada ni un retroceso.

4. Proveedor o "deployer": ¿quién asume qué obligaciones?

El AI Act distingue dos roles (art. 3):

  • Proveedor — la entidad que desarrolla el sistema de IA y lo coloca en el mercado bajo su nombre. Normalmente el editor del software. Asume las obligaciones "producto" (ver sección 5).
  • Deployer — la entidad que usa el sistema bajo su propia autoridad. Normalmente la consultora o el servicio de RR.HH.. Asume obligaciones de uso: supervisión humana efectiva, transparencia, información a los trabajadores y sus representantes antes del despliegue, información a los candidatos afectados, uso conforme.

Cuando un editor integra un modelo de IA de terceros (modelo generalista), actúa además como proveedor downstream y debe a su vez apoyarse en la documentación transmitida por el modelo base.

5. Las 7 obligaciones clave para una herramienta de IA de reclutamiento

Para un sistema clasificado de alto riesgo, el Capítulo III impone al proveedor, en la fecha aplicable:

  1. Sistema de gestión de riesgos continuo, documentado, sobre todo el ciclo de vida (art. 9).
  2. Gobernanza de datos y lucha contra los sesgos — datos relevantes, representativos, examen y atenuación de sesgos discriminatorios (art. 10).
  3. Documentación técnica elaborada antes de la puesta en el mercado y mantenida (art. 11, Anexo IV).
  4. Registro automático de los eventos durante la vida del sistema (art. 12).
  5. Transparencia e instrucciones de uso claras para el cliente: capacidades, límites, exactitud, medidas de supervisión humana (art. 13).
  6. Supervisión humana efectiva — la IA ayuda en la decisión, no la sustituye; el humano puede ignorar o anular la salida (art. 14).
  7. Exactitud, robustez y ciberseguridad apropiadas, incluso frente al envenenamiento de datos y a los ataques adversarios (art. 15).

Adicionalmente, del lado proveedor: sistema de gestión de calidad (art. 17), declaración UE de conformidad y marcado CE (art. 47-48), inscripción en la base de datos de la UE (art. 49), vigilancia post-comercialización (art. 72) y notificación de incidentes graves (art. 73). Buena noticia: para el reclutamiento, la evaluación de conformidad se hace por control interno (Anexo VI) — no se requiere organismo notificado.

6. Prácticas de IA prohibidas — ya en vigor

Al margen del calendario de alto riesgo, el artículo 5 prohíbe ya (desde febrero de 2025), y es muy concreto en reclutamiento:

  • la inferencia de emociones de una persona en el lugar de trabajo o en una entrevista (salvo razón médica/de seguridad) — esto excluye el análisis emocional de entrevistas en vídeo o de voz;
  • la categorización biométrica para deducir el origen, opiniones políticas, afiliación sindical, convicciones, vida sexual u orientación sexual;
  • la puntuación social y técnicas manipuladoras.

Una herramienta de reclutamiento seria debe poder afirmar que no usa ninguna de estas prácticas. Es la primera pregunta que hacer a un editor.

7. ¿Qué debe hacer una consultora o un servicio de RR.HH. en España?

Una lista accionable, desde hoy:

  • Mapear las funcionalidades de IA usadas (filtrado, scoring, matching, generación de mensajes).
  • Exigir al editor: confirmación de que no usa prácticas prohibidas; instrucciones de uso; hoja de ruta de cumplimiento.
  • Garantizar supervisión humana real: la decisión final sigue siendo del reclutador, trazable.
  • Informar a equipos, representantes de los trabajadores y candidatos afectados.
  • Coordinar con el RGPD y la LOPDGDD: evaluación de impacto (EIPD) para los tratamientos con elaboración de perfiles, información conforme a los artículos 13 y 14 del RGPD, plazos de conservación, ejercicio de derechos.
  • Formar a los usuarios: la alfabetización en IA ya es obligatoria.

Flexibilización pymes (< 750 empleados): el Digital Omnibus extiende las facilidades previstas para pymes a las organizaciones de menos de 750 empleados — documentación simplificada, sanciones moduladas. Casi todas las consultoras y empresas de selección en España están incluidas.

8. El enfoque de Marvin Recruiter

En Marvin tratamos la IA de reclutamiento como una ayuda a la decisión, nunca como un sustituto del juicio humano. El motor de matching, el scoring de candidatos y la automatización de comunicaciones están diseñados como asistentes para el reclutador — la decisión final corresponde al reclutador. No empleamos reconocimiento de emociones ni categorización biométrica sobre las candidaturas. Hemos cartografiado nuestras obligaciones bajo el AI Act y llevamos un programa interno de cumplimiento — basado en diseño transparente, documentación que se puede compartir con tus equipos legales y de TI, y un producto pensado para la supervisión humana.

No pretendemos "cumplimiento al 100 %" — esa etiqueta no existe; el AI Act no tiene una marca formal de producto. Lo que importa es la transparencia, documentación entregable a tu DPO/legal/TI, y un producto diseñado en torno a la supervisión humana.

De dónde sale este artículo

Marvin Recruiter es un ATS que integra de forma nativa IA y análisis de datos en el flujo de reclutamiento. Construir este producto seriamente nos ha obligado a entender en profundidad el AI Act y el RGPD — porque estamos sujetos a ellos, y porque queremos que nuestros clientes (consultoras, ETT, equipos internos de RR.HH.) puedan automatizar sin cruzar la línea. Este artículo sintetiza ese trabajo: fuentes oficiales, lectura del reglamento, seguimiento de los actos delegados y del Digital Omnibus.

Informativo, no asesoramiento jurídico. Aún no ha sido revisado por un abogado especializado. Si vas a basar una decisión de cumplimiento en un punto concreto, valídalo con tu DPO o un despacho especializado en derecho digital. Si detectas una imprecisión, escríbenos — mantenemos el artículo actualizado.

FAQ

¿El reclutamiento es realmente un uso "de alto riesgo" de la IA?

Sí. El Anexo III, punto 4 cubre expresamente los sistemas destinados al reclutamiento, la selección, el filtrado de candidaturas y la evaluación de candidatos.

¿No se ha aplazado el plazo? ¿Hay que ocuparse igualmente?

El Digital Omnibus del 7 de mayo de 2026 aplaza las obligaciones de alto riesgo al 2 de diciembre de 2027. Pero las prácticas prohibidas y la alfabetización en IA están en vigor desde febrero de 2025. El tema está vivo desde hoy.

¿Quién es responsable: nuestra consultora o el editor del software?

Ambos. El editor es proveedor (obligaciones producto: documentación, gestión de riesgos, supervisión by design). La consultora es deployer (obligaciones de uso: supervisión efectiva, información a candidatos y trabajadores, cumplimiento RGPD).

¿Hace falta una auditoría o un organismo notificado?

No. Para el reclutamiento (Anexo III, punto 4), la evaluación de conformidad se hace por control interno del proveedor — sin organismo notificado.

¿Sanciones por incumplimiento?

Hasta 35 M€ o 7 % del volumen de negocio mundial por una práctica prohibida; hasta 15 M€ o 3 % por incumplimiento de obligaciones de proveedor/deployer o de transparencia.

¿El AI Act sustituye al RGPD?

No. Lo complementa. El profiling de candidatos también activa el RGPD: base jurídica, información, EIPD, derechos. Consulta nuestra guía RGPD y reclutamiento.

Artículo actualizado al 15 de mayo de 2026. Fuentes: Reglamento (UE) 2024/1689; acuerdo político sobre el Digital Omnibus, 7 de mayo de 2026 (Consejo de la UE, Parlamento Europeo, Comisión Europea); orientaciones de la AEPD en materia de reclutamiento. Contenido informativo, no constituye asesoramiento jurídico.

Enlaces internos sugeridos: Digital Omnibus y reclutamiento (A3) · Conservación de CV y RGPD (R2) · Búsqueda en LinkedIn y RGPD artículo 14 (R3) · Solicitar una demo.

Christophe Hébert

Christophe Hébert

CEO y fundador

CEO y fundador de Marvin. Antiguo reclutador convertido en emprendedor tech, construye el sistema operativo del reclutamiento moderno.