← Volver a todos los artículos
Retos

(1/3) Bruselas acaba de reclasificar tu stack de contratación como alto riesgo

Por Marc Molas·29 de mayo de 2026·9 min de lectura

Durante la mayor parte de los últimos tres años, la conversación sobre la IA en el reclutamiento ha girado en torno a la productividad. Cuántos CV puedes filtrar por hora. Cuánto más rápido puedes captar candidatos. Cuántas notas de entrevista puedes resumir automáticamente. La Unión Europea ha forzado un replanteamiento completo de esa conversación, y el nuevo marco es el riesgo para los derechos fundamentales.

El Reglamento (UE) 2024/1689 —el EU AI Act— entró en vigor el 1 de agosto de 2024, pero la plena aplicabilidad del reglamento, incluida la mayoría de las obligaciones para la IA de alto riesgo, está prevista para el 2 de agosto de 2026. Sin embargo, acuerdos provisionales recientes (el "Digital Omnibus") han pospuesto plazos clave de alto riesgo al 2 de diciembre de 2027 para sistemas independientes y al 2 de agosto de 2028 para la IA integrada en productos regulados.

Es la primera ley horizontal e integral del mundo que regula la inteligencia artificial, y hace algo que la mayoría de la cobertura mediática pasó por alto: señala el entorno laboral como uno de los ámbitos más fuertemente regulados para la IA en todo el texto. Si tu empresa usa software para filtrar candidaturas, ordenar candidatos, puntuar entrevistas o evaluar el rendimiento de empleados —y en 2026, casi todas lo hacen—, ya estás operando dentro de ese régimen.

Este es el primer post de una serie de tres. Intentaré trazar el mapa: qué dice realmente el reglamento sobre la IA en RRHH, por qué casi todo cae en el cubo de "alto riesgo" y qué está directamente prohibido. La parte 2 cubre las obligaciones concretas que recaen sobre las empresas. La parte 3 trata de cómo construimos la preselección de candidatos de Conectia para vivir dentro de estas normas en lugar de pelearse con ellas.

La pirámide de riesgo, y por qué RRHH se sitúa cerca de la cima

El reglamento no regula la "IA" como un monolito. Clasifica los sistemas en cuatro niveles según el riesgo que plantean, y las obligaciones escalan con el nivel:

  • Riesgo inaceptable — prohibido por completo (Artículo 5).
  • Alto riesgo — permitido, pero sujeto al régimen de cumplimiento más exigente de la ley (Artículos 8-27, Anexo III).
  • Riesgo limitado — permitido, con deberes de transparencia (Artículo 50). Piensa en chatbots que deben revelar que no son humanos.
  • Riesgo mínimo — esencialmente sin regular. Filtros de spam, motores de recomendación, la mayor parte de lo que hay en un producto normal.

La lógica política de la pirámide es simple: cuanto más puede un sistema de IA afectar a la vida, el sustento o los derechos de una persona, más le importa a la ley. Y hay pocas decisiones que un software pueda tomar que afecten al sustento de una persona de forma más directa que si consigue o no el trabajo.

Por eso la UE situó el empleo en el Anexo III —la lista de casos de uso de alto riesgo— como una categoría propia. El punto 4 de ese anexo cubre los sistemas de IA usados en empleo, gestión de trabajadores y acceso al autoempleo. En términos llanos, captura dos fases de la relación laboral:

  1. Reclutamiento y selección — colocar o segmentar anuncios de empleo, filtrar candidaturas y evaluar candidatos.
  2. Decisiones que afectan a la relación — promoción y despido, asignación de tareas en función del comportamiento o de rasgos, y monitorización o evaluación del rendimiento.

Lee esa lista frente a tu stack de contratación real. Un ATS que ordena candidatos por encaje. Una herramienta de sourcing que decide quién ve tu anuncio de empleo. Una plataforma de videoentrevistas que puntúa candidatos. Un motor de evaluación de competencias que produce un apto/no apto. Un sistema de rendimiento que señala quién rinde por debajo. Bajo el reglamento, estas no son herramientas de productividad. Son sistemas de IA de alto riesgo, y esa clasificación conlleva un conjunto específico y exigente de deberes que detallaré en la parte 2.

La línea que no se puede cruzar: el reconocimiento de emociones en el trabajo

Antes de las obligaciones de alto riesgo, hay una línea más dura. El Artículo 5 enumera las prácticas que el reglamento considera inaceptables —prohibidas desde el 2 de febrero de 2025, sin vía de cumplimiento—. No puedes hacerlas con papeleo; simplemente no puedes.

Dos de estas prohibiciones aterrizan de lleno en RRHH:

  • Reconocimiento de emociones en el lugar de trabajo. Cualquier sistema de IA que infiera el estado emocional de una persona a partir de su rostro, su voz o su comportamiento está prohibido en el trabajo y en la educación, salvo estrechas excepciones médicas o de seguridad. La oleada de herramientas de entrevista que prometían leer el "entusiasmo", la "confianza" o el "encaje cultural" de un candidato a partir de microexpresiones faciales es, en la UE, ahora ilegal.
  • Puntuación social y explotación de la vulnerabilidad. Los sistemas que puntúan a las personas por comportamientos no relacionados, o que explotan a un grupo vulnerable, quedan fuera.

Esto importa estratégicamente porque una parte del mercado de HR-tech se construyó sobre exactamente la capacidad que el reglamento prohíbe. Si el diferenciador de tu proveedor era el análisis de sentimiento sobre videoentrevistas, ese diferenciador es ahora un pasivo en tu mayor mercado potencial. La primera pregunta que un comprador europeo debería hacer a un proveedor de IA para contratación en 2026 no es "qué precisión tiene" —es "¿alguna parte de esto infiere emociones?".

El calendario que nadie interiorizó

El reglamento no se enciende todo de golpe. Se aplica por fases, y el escalonamiento es la parte que la mayoría de las empresas ha calculado mal —normalmente asumiendo que tienen más tiempo del que tienen—.

  • 2 de febrero de 2025 — Las prohibiciones del Artículo 5 entraron en vigor. El reconocimiento de emociones en el trabajo lleva ya más de un año siendo ilegal. También lo está la obligación de alfabetización en IA del Artículo 4: cualquiera que despliegue IA debe asegurarse de que su personal tenga una comprensión suficiente de ella. Esta es discreta, pero está viva ahora, y se aplica a las personas que manejan tus herramientas de contratación.
  • 2 de agosto de 2025 — Entraron en vigor las reglas para los modelos de IA de propósito general y las estructuras de gobernanza de la UE.
  • 2 de agosto de 2026 — El régimen completo de alto riesgo —el que gobierna tu IA de contratación y RRHH— se vuelve aplicable. Esta es la fecha que más importa a las empresas.
  • 2 de agosto de 2027 — Se aplican las reglas restantes de clasificación de alto riesgo (para la IA integrada en productos regulados).

Así que las prohibiciones ya son exigibles, y las obligaciones de alto riesgo para RRHH están a una cuestión de meses, no de años.

El bamboleo: el Digital Omnibus

Aquí está la complicación, y la oirás de todo proveedor que espere ir despacio con el cumplimiento. A finales de 2025 la Comisión Europea propuso un paquete Digital Omnibus que, entre otras cosas, condicionaría algunas obligaciones de alto riesgo a la disponibilidad de estándares técnicos armonizados y herramientas de apoyo —potencialmente empujando partes del plazo de alto riesgo más allá de agosto de 2026, con fechas que se han barajado tan lejanas como diciembre de 2027 o agosto de 2028—.

Trátalo exactamente como lo que es: una propuesta, no la ley. Puede cambiar en la negociación, puede acotarse, e incluso si sale adelante, no toca las prohibiciones del Artículo 5 que ya están en vigor. Construir tu estrategia de contratación sobre el supuesto de que Bruselas va a parpadear es una apuesta contra toda la dirección de los últimos cinco años de política digital de la UE. La posición defendible es planificar para agosto de 2026 y tratar cualquier deslizamiento como una ventaja, no como una base.

Por qué esto es una historia estratégica, no una nota legal a pie de página

Sería fácil archivar esto bajo "cumplimiento" y entregárselo a legal. Eso sería un error, y es el error que quiero que esta serie evite.

El AI Act está haciendo a la IA de contratación lo que el GDPR hizo a los datos: está convirtiendo una funcionalidad en una propiedad estructural del mercado. Igual que "gestionamos datos de usuarios de la UE" dejó de ser una casilla para convertirse en un compromiso arquitectónico, "usamos IA para evaluar a personas en Europa" se está convirtiendo en un compromiso con la supervisión humana, la documentación y la rendición de cuentas que hay que diseñar desde dentro, no atornillar por encima.

Para las empresas que contratan en Europa —y para todos los que construyen las herramientas con las que contratan—, esto reconfigura tres cosas a la vez:

  • Construir o comprar. Que seas el proveedor de una herramienta de IA para contratación o simplemente su responsable del despliegue cambia qué obligaciones recaen sobre ti. La mayoría de las empresas son responsables del despliegue y no se dan cuenta de que la ley sigue haciéndolas directamente responsables. (Parte 2.)
  • Selección de proveedores. Las capacidades que vendían HR-tech en 2023 —lectura de emociones, puntuación opaca, automatización total— son ahora las capacidades que generan exposición.
  • Diseño de procesos. Una pipeline de contratación que mantenga a un humano competente genuinamente al mando de las decisiones ya no es solo una buena práctica. Es la diferencia entre un proceso conforme y uno ilegal.

Ese último punto es donde se nota mi propio sesgo, y lo asumo de entrada: he dedicado todo este blog a argumentar que la IA aumenta el juicio humano, no lo reemplaza. Es discretamente satisfactorio ver al mayor bloque regulatorio del planeta escribir esa tesis en ley vinculante para el único dominio donde lo que está en juego es más personal: quién es contratado, y quién no.

En la parte 2 nos ponemos concretos: las obligaciones específicas que el reglamento impone a las empresas que despliegan estos sistemas, por qué la mayoría recaen sobre ti y no sobre tu proveedor, y qué tiene que ser realmente una "supervisión humana significativa" para contar.

Artículos Relacionados

(2/3) La factura del AI Act recae en la empresa, no en el proveedorRetos

(2/3) La factura del AI Act recae en la empresa, no en el proveedor

La mayoría de las empresas asume que la carga del AI Act recae en el proveedor de IA. Para las herramientas de contratación, en gran medida no es así: recae sobre ti, el responsable del despliegue. Parte 2 de la serie: supervisión humana, transparencia con los trabajadores, evaluaciones de impacto y el solapamiento con el GDPR.

29 de mayo de 2026·10 min de lectura
(3/3) Construimos nuestra preselección para la ley antes de que la ley existieraRetos

(3/3) Construimos nuestra preselección para la ley antes de que la ley existiera

El EU AI Act exige una supervisión humana significativa en la contratación. En Conectia, eso ya era el diseño: la IA asiste, un ingeniero senior decide. Parte 3 de la serie —cómo funciona realmente una preselección de candidatos conforme en una pipeline de contratación remota—.

29 de mayo de 2026·9 min de lectura
(3/3) Más allá del escalado: los nuevos espacios de optimización para el progreso de la IARetos

(3/3) Más allá del escalado: los nuevos espacios de optimización para el progreso de la IA

Parte 3 de la serie Hooker. Si escalar ya no es la respuesta, ¿qué lo es? El ensayo apunta a tres nuevos espacios de optimización —cómputo en inferencia sin gradiente, datos sintéticos maleables y diseño/interfaz— además de una aclaración tajante sobre lo que esto significa (y lo que no) para la huella ambiental de la IA.

26 de mayo de 2026·9 min de lectura

¿Listo para construir tu equipo de ingeniería?

Habla con un partner técnico y despliega ingenieros validados por CTOs en 72 horas.

Empezar →