← Volver a todos los artículos
Retos

(2/3) La factura del AI Act recae en la empresa, no en el proveedor

Por Marc Molas·29 de mayo de 2026·10 min de lectura

La mayoría de las empresas ha interiorizado un supuesto muy cómodo sobre el EU AI Act: esto es un problema de quienes construyen la IA. Los proveedores entrenaron los modelos, los proveedores harán las evaluaciones de conformidad, los proveedores cargarán con el peso del cumplimiento. Nosotros solo compramos una licencia.

Para la IA de alto riesgo usada en contratación y RRHH, ese supuesto es falso, y lo es de una forma que genera exposición real. El reglamento reparte la responsabilidad entre dos roles: el proveedor, que desarrolla el sistema y lo introduce en el mercado, y el responsable del despliegue, que lo utiliza bajo su propia autoridad. Sí, a los proveedores les toca la parte más pesada en la fase de diseño. Pero el reglamento impone deliberadamente al responsable del despliegue un conjunto propio e indelegable de obligaciones. Y si tu empresa pasa a sus candidatos por una herramienta de filtrado con IA, el responsable del despliegue eres tú. El cumplimiento del proveedor no absorbe el tuyo.

Esta es la parte 2 de una serie de tres. La parte 1 explicaba por qué casi toda la IA de RRHH se clasifica como alto riesgo y qué está directamente prohibido. Aquí recorro lo que el reglamento exige de verdad a la empresa que despliega estos sistemas —y por qué la mayor parte no se puede externalizar con una cláusula en el contrato de compra—.

Las obligaciones del responsable del despliegue, en términos llanos

Los deberes centrales viven en el Artículo 26 ("Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo"). Despojados de la jerga legal, se reducen a un puñado de compromisos operativos, no teóricos:

  • Usar el sistema según lo previsto (Art. 26(1)). Debes operarlo conforme a las instrucciones del proveedor. Si reutilizas una herramienta de filtrado de candidatos para algo para lo que no fue diseñada ni documentada, puedes haber pasado de responsable del despliegue a proveedor —y heredado por el camino el conjunto completo de obligaciones de este—.
  • Asignar una supervisión humana real (Art. 26(2)). La supervisión debe encomendarse a personas físicas que tengan la competencia, formación y autoridad para ejercerla. No un nombre en un organigrama: una persona que entienda el sistema y pueda actuar de verdad sobre lo que ve.
  • Conservar los registros (Art. 26(6)). Los responsables del despliegue deben conservar los registros generados automáticamente por el sistema durante un periodo apropiado —al menos seis meses salvo que otra norma diga lo contrario—. Si no puedes reconstruir qué hizo el sistema y por qué, no puedes demostrar cumplimiento.
  • Informar a las personas sujetas a él (Art. 26(11)). Los individuos que estén sujetos a decisiones tomadas o asistidas por un sistema de alto riesgo deben ser informados.
  • Informar primero a la plantilla (Art. 26(7)). Esta merece sección aparte.

La obligación con la que las empresas tropezarán: informar a los trabajadores

El Artículo 26(7) es corto y fácil de pasar por alto, y es donde preveo que van a tropezar más empresas. Antes de poner en uso un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores deben informar a los representantes de los trabajadores y a los trabajadores afectados de que estarán sujetos a él.

Esto no es una cortesía. Es una condición previa para que el despliegue sea lícito, y entronca directamente con el tejido ya existente del derecho laboral europeo —que reconoce desde hace tiempo sólidos derechos de información y consulta a los comités de empresa y a los representantes de los trabajadores—. En varios Estados miembros, desplegar un sistema que monitoriza o evalúa al personal sin pasar por esa consulta no es solo una cuestión del AI Act; es una cuestión de derecho laboral colectivo.

Bélgica es el ejemplo más limpio del solapamiento. Mucho antes de que existiera el AI Act, el Convenio Colectivo n.º 39 (1983) ya obligaba a los empleadores a informar y consultar al introducir nueva tecnología que afecte significativamente al empleo o a las condiciones de trabajo. El AI Act no lo sustituye: se le superpone. Así que una empresa que despliega una herramienta de IA de RRHH en Bélgica responde ahora ante dos regímenes a la vez, y existen solapamientos nacionales parecidos por todo el bloque.

La conclusión estratégica: no puedes poner en marcha un sistema de evaluación por IA sin decírselo a nadie. La transparencia hacia la plantilla forma parte del despliegue, y "se lo diremos si preguntan" no es lo que dice la ley.

Una supervisión humana que de verdad cuente

"Humano en el bucle" se ha convertido en una de las frases más manoseadas de la IA. El reglamento intenta darle mordiente, con dos artículos que trabajan en tándem.

El Artículo 14 obliga a los proveedores a diseñar los sistemas de alto riesgo de modo que puedan ser supervisados eficazmente por un humano —con las interfaces, la información y los controles de parada que hacen posible la supervisión—. El Artículo 26(2) obliga después al responsable del despliegue a poner de verdad al frente de esa supervisión a alguien competente y con autoridad.

El listón que pone el reglamento es una supervisión significativa: la persona debe poder entender la salida del sistema, interpretarla correctamente, decidir no usarla, y anularla o revertirla. Un humano que estampa el visto bueno a una lista ordenada de candidatos porque la herramienta la produjo no es supervisión —eso es automatización con un testigo—. Supervisión significa que el juicio del humano puede cambiar, y a veces cambia, el resultado.

Este es el punto exacto donde la ley y la buena ingeniería convergen. La supervisión que puedes demostrar es la que diseñaste a propósito: un punto de decisión donde un humano revisa, un registro de lo que decidió y una vía real para discrepar de la máquina.

Dos evaluaciones de impacto, un único ejercicio coordinado

Los sistemas de RRHH de alto riesgo traen consigo dos obligaciones de evaluación distintas, y se confunden una y otra vez.

  • La Evaluación de Impacto sobre los Derechos Fundamentales (Art. 27). Ciertos responsables del despliegue de sistemas de alto riesgo deben evaluar el impacto sobre los derechos fundamentales antes del despliegue —quién se ve afectado, qué podría salir mal, qué mitigaciones y medidas de supervisión humana hay implantadas—. Para sistemas que deciden quién es contratado o promocionado, este no es un ejercicio hipotético.
  • La Evaluación de Impacto relativa a la Protección de Datos (GDPR Art. 35). La IA de contratación procesa datos personales —a menudo muchos, a veces sensibles—. El Artículo 26(9) del AI Act dice explícitamente a los responsables del despliegue que usen la información que el proveedor facilita conforme al Artículo 13 para llevar a cabo su DPIA del GDPR. Los dos regímenes están diseñados para engranar.

Si eso suena a dos documentos que se solapan, en parte lo son —y lo inteligente es abordarlos como una sola evaluación coordinada en lugar de dos ejercicios de papeleo desconectados—.

La capa del GDPR que ya te obligaba

El AI Act no aterrizó en el vacío. El GDPR gobierna el tratamiento automatizado de datos personales desde 2018, y una de sus disposiciones siempre ha apuntado directamente a la IA de contratación: el Artículo 22, el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado cuando produce efectos jurídicos o afecta de modo igualmente significativo.

Una decisión de rechazo totalmente automatizada —sin ningún humano implicado— es el caso de manual para el que se escribió el Artículo 22. Los candidatos tienen derecho a la información, a la intervención humana y a impugnar la decisión. Los requisitos de supervisión humana del AI Act y el Artículo 22 del GDPR son ahora dos razones que se refuerzan mutuamente para mantener a un humano competente dentro de la decisión y no alrededor de ella.

El Digital Omnibus propuesto que mencioné en la parte 1 es en parte un intento de aclarar cómo se articulan estos dos regímenes. Hasta que eso se asiente, asume la lectura más estricta: del resultado responde una persona, no solo un pipeline.

En qué se traduce todo esto

Si pones las obligaciones una detrás de otra, el dibujo que emerge es claro. Para desplegar IA en contratación de forma lícita en la UE, una empresa tiene que:

  1. Confirmar la herramienta y el caso de uso, y operarla tal como está documentada.
  2. Poner al frente de la supervisión a un humano competente y con autoridad —y hacer que esa supervisión sea real—.
  3. Informar a los trabajadores y a sus representantes antes del despliegue.
  4. Ejecutar una evaluación de derechos fundamentales y una DPIA coordinada.
  5. Conservar los registros y poder explicar cualquier decisión que el sistema haya tocado.
  6. Respetar los derechos que el GDPR reconoce a los candidatos: información, intervención humana e impugnación.

Ninguna de estas obligaciones se satisface con el sello de cumplimiento de un proveedor. Cada una de ellas es algo que la empresa que despliega tiene que asumir, dotar de personas y documentar.

Es una carga —pero también es un plano de obra—. Las empresas que tratan esta lista como una especificación de diseño, y no como una molestia legal, acaban con procesos de contratación que no solo son conformes, sino genuinamente mejores: más transparentes para los candidatos, con más rendición de cuentas de puertas adentro y más defendibles cuando un candidato rechazado pregunta por qué.

En la parte 3 bajo al detalle de cómo se traduce eso en la práctica —con el único proceso que conozco íntimamente: cómo construimos la preselección remota de candidatos de Conectia para que la IA haga lo que se le da bien, los humanos sigan respondiendo de la decisión, y el conjunto entero ya tuviera la forma de la ley antes de que la ley lo exigiera—.

¿Listo para construir tu equipo de ingeniería?

Habla con un partner técnico y despliega ingenieros validados por CTOs en 72 horas.