← Volver a todos los artículos
Retos

(2/3) La factura del AI Act recae en la empresa, no en el proveedor

Por Marc Molas·29 de mayo de 2026·10 min de lectura

Hay un supuesto cómodo incrustado en cómo la mayoría de las empresas piensa sobre el EU AI Act: es un problema de quienes construyen la IA. Los proveedores entrenaron los modelos, los proveedores harán las evaluaciones de conformidad, los proveedores cargarán con el peso del cumplimiento. Nosotros solo compramos una licencia.

Para la IA de alto riesgo usada en contratación y RRHH, ese supuesto es erróneo de una manera que genera exposición real. El reglamento reparte la responsabilidad entre dos roles: el proveedor que desarrolla y pone el sistema en el mercado, y el responsable del despliegue que lo utiliza bajo su propia autoridad. Sí, los proveedores cargan con la mayor parte de la carga en el momento del diseño. Pero el reglamento pone deliberadamente un conjunto distinto e indelegable de obligaciones sobre el responsable del despliegue. Y si eres una empresa que pasa una herramienta de filtrado por IA sobre tus candidatos, tú eres el responsable del despliegue. El cumplimiento del proveedor no absorbe el tuyo.

Esta es la parte 2 de una serie de tres. La parte 1 trazó por qué casi toda la IA de RRHH se clasifica como alto riesgo y qué está directamente prohibido. Aquí recorro lo que el reglamento exige realmente a la empresa que despliega estos sistemas —y por qué la mayoría no se puede externalizar con una cláusula de contrato—.

Las obligaciones del responsable del despliegue, en términos llanos

Los deberes centrales viven en el Artículo 26 ("Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo"). Quita la jerga legal y se reducen a un puñado de compromisos que son operativos, no teóricos:

  • Usar el sistema según lo previsto (Art. 26(1)). Debes operarlo conforme a las instrucciones del proveedor. Reutiliza una herramienta de filtrado de candidatos para algo para lo que no fue diseñada ni documentada, y potencialmente habrás pasado de responsable del despliegue a proveedor —heredando en el proceso el conjunto completo de obligaciones del proveedor—.
  • Asignar una supervisión humana real (Art. 26(2)). La supervisión debe encomendarse a personas físicas que tengan la competencia, formación y autoridad para ejercerla. No un nombre en un organigrama. Una persona que entiende el sistema y puede actuar de verdad sobre lo que ve.
  • Conservar los registros (Art. 26(6)). Los responsables del despliegue deben conservar los registros generados automáticamente por el sistema durante un periodo apropiado —al menos seis meses salvo que otra norma diga lo contrario—. Si no puedes reconstruir qué hizo el sistema y por qué, no puedes demostrar cumplimiento.
  • Informar a las personas sujetas a él (Art. 26(11)). Los individuos que estén sujetos a decisiones tomadas o asistidas por un sistema de alto riesgo deben ser informados.
  • Informar primero a la plantilla (Art. 26(7)). Esta merece su propia sección.

La obligación con la que las empresas tropezarán: informar a los trabajadores

El Artículo 26(7) es corto y fácil de pasar por alto, y es donde espero que más empresas queden atrapadas. Antes de poner en uso un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores deben informar a los representantes de los trabajadores y a los trabajadores afectados de que estarán sujetos a él.

Esto no es una cortesía. Es una condición previa para un despliegue lícito, y se enchufa directamente en el tejido existente del derecho laboral europeo —que ya tiene fuertes derechos de información y consulta para los comités de empresa y los representantes de los trabajadores—. En varios Estados miembros, desplegar un sistema que monitoriza o evalúa al personal sin pasar por esa consulta no es solo una cuestión del AI Act; es una cuestión de derecho laboral colectivo.

Bélgica es el ejemplo más limpio del solapamiento. Mucho antes de que existiera el AI Act, el Convenio Colectivo n.º 39 (1983) ya obligaba a los empleadores a informar y consultar al introducir nueva tecnología que afecte significativamente al empleo o a las condiciones de trabajo. El AI Act no lo reemplaza —se apila encima—. Así que una empresa que despliega una herramienta de IA de RRHH en Bélgica responde ahora ante dos regímenes a la vez, y existen solapamientos nacionales similares por todo el bloque.

La conclusión estratégica: no puedes encender en silencio un sistema de evaluación por IA. La transparencia hacia la plantilla forma parte del despliegue, y "se lo diremos si preguntan" no es lo que dice la ley.

Una supervisión humana que de verdad cuente

"Humano en el bucle" se ha convertido en una de las frases más manoseadas de la IA. El reglamento intenta ponerle dientes, a través de dos artículos que trabajan juntos.

El Artículo 14 obliga a los proveedores a diseñar los sistemas de alto riesgo de modo que puedan ser supervisados eficazmente por un humano —con las interfaces, la información y los controles de parada que hacen posible la supervisión—. El Artículo 26(2) obliga después al responsable del despliegue a dotar realmente esa supervisión con alguien competente y con poder.

El listón que pone el reglamento es una supervisión significativa: la persona debe poder entender la salida del sistema, interpretarla correctamente, decidir no usarla, y anularla o revertirla. Un humano que estampa el visto bueno a una lista ordenada de candidatos porque la herramienta la produjo no es supervisión —eso es automatización con un testigo—. Supervisión significa que el juicio del humano puede cambiar, y a veces cambia, el resultado.

Este es el punto exacto donde la ley y la buena ingeniería convergen. La supervisión que puedes demostrar es la supervisión para la que diseñaste: un punto de decisión donde un humano revisa, un registro de lo que decidió, y una vía real para discrepar de la máquina.

Las dos evaluaciones de impacto

Los sistemas de RRHH de alto riesgo arrastran dos obligaciones de evaluación distintas, y la gente las confunde habitualmente.

  • La Evaluación de Impacto sobre los Derechos Fundamentales (Art. 27). Ciertos responsables del despliegue de sistemas de alto riesgo deben evaluar el impacto sobre los derechos fundamentales antes del despliegue —quién se ve afectado, qué podría salir mal, qué mitigaciones y medidas de supervisión humana hay implantadas—. Para sistemas que deciden quién es contratado o promocionado, este no es un ejercicio hipotético.
  • La Evaluación de Impacto relativa a la Protección de Datos (GDPR Art. 35). La IA de contratación procesa datos personales —a menudo muchos, a veces sensibles—. El Artículo 26(9) del AI Act dice explícitamente a los responsables del despliegue que usen la información que el proveedor facilita conforme al Artículo 13 para llevar a cabo su DPIA del GDPR. Los dos regímenes están diseñados para engranar.

Si eso suena a dos documentos solapados, en parte lo es —y la jugada inteligente es ejecutarlos como una sola evaluación coordinada en lugar de dos ejercicios de papeleo desconectados—.

La capa de GDPR que ya debías

El AI Act no llegó a un vacío. El GDPR gobierna el tratamiento automatizado de datos personales desde 2018, y una de sus disposiciones siempre ha apuntado directamente a la IA de contratación: el Artículo 22, el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado cuando produce efectos jurídicos o significativos de modo similar.

Una decisión de rechazo totalmente automatizada —sin humano implicado— es el caso de manual que el Artículo 22 fue escrito para limitar. Los candidatos tienen derecho a la información, a la intervención humana y a impugnar la decisión. Los requisitos de supervisión humana del AI Act y el Artículo 22 del GDPR son ahora dos razones que se refuerzan mutuamente para mantener a un humano competente dentro de la decisión y no alrededor de ella.

El Digital Omnibus propuesto que mencioné en la parte 1 es en parte un intento de aclarar cómo se articulan estos dos regímenes. Hasta que eso se asiente, asume la lectura más estricta: una persona, no solo una pipeline, es dueña del resultado.

A qué suma todo esto

Pon las obligaciones de punta a punta y emerge una forma clara. Para desplegar IA en contratación de forma lícita en la UE, una empresa tiene que:

  1. Confirmar la herramienta y el caso de uso, y operarla tal como está documentada.
  2. Poner a un humano competente y con poder al mando de la supervisión —y hacer que esa supervisión sea real—.
  3. Informar a los trabajadores y a sus representantes antes del despliegue.
  4. Ejecutar una evaluación de derechos fundamentales y una DPIA coordinada.
  5. Conservar los registros y poder explicar cualquier decisión que el sistema haya tocado.
  6. Honrar los derechos GDPR de los candidatos a la información, la intervención humana y la impugnación.

Ninguna de estas se satisface con la insignia de cumplimiento de un proveedor. Cada una de ellas es algo que la empresa que despliega tiene que asumir, dotar y documentar.

Es una carga —pero también es un plano. Las empresas que tratan esta lista como una especificación de diseño en lugar de una molestia legal acaban con procesos de contratación que no solo son conformes, sino genuinamente mejores: más transparentes para los candidatos, más responsables internamente y más defendibles cuando un candidato rechazado pregunta por qué.

En la parte 3 me pongo concreto sobre cómo se ve eso en la práctica —usando el único proceso que conozco íntimamente: cómo construimos la preselección de candidatos remotos de Conectia para que la IA haga lo que se le da bien, los humanos sigan siendo responsables de la decisión, y todo el conjunto ya estuviera moldeado como la ley antes de que la ley lo exigiera—.

Artículos Relacionados

(1/3) Bruselas acaba de reclasificar tu stack de contratación como alto riesgoRetos

(1/3) Bruselas acaba de reclasificar tu stack de contratación como alto riesgo

El EU AI Act trata casi cualquier herramienta de IA usada para reclutar, filtrar y gestionar personas como 'alto riesgo' —y prohíbe algunas directamente. Parte 1 de una serie de tres sobre lo que el Reglamento 2024/1689 significa para cómo contratan las empresas en Europa.

29 de mayo de 2026·9 min de lectura
(3/3) Construimos nuestra preselección para la ley antes de que la ley existieraRetos

(3/3) Construimos nuestra preselección para la ley antes de que la ley existiera

El EU AI Act exige una supervisión humana significativa en la contratación. En Conectia, eso ya era el diseño: la IA asiste, un ingeniero senior decide. Parte 3 de la serie —cómo funciona realmente una preselección de candidatos conforme en una pipeline de contratación remota—.

29 de mayo de 2026·9 min de lectura
Construir un Motor de IA Legal con Cumplimiento Normativo: Enrutamiento Multi-Modelo, RAG Legal y el Reglamento Europeo de IA en la PracticaRetos

Construir un Motor de IA Legal con Cumplimiento Normativo: Enrutamiento Multi-Modelo, RAG Legal y el Reglamento Europeo de IA en la Practica

Como abordamos la arquitectura de una plataforma de analisis de contratos con IA: recuperacion basada en legislacion, enrutamiento inteligente de modelos y cumplimiento normativo como restriccion de diseno, no como ocurrencia tardia.

15 de enero de 2026·10 min de lectura

¿Listo para construir tu equipo de ingeniería?

Habla con un partner técnico y despliega ingenieros validados por CTOs en 72 horas.

Empezar →