El uso de inteligencia artificial en el entorno laboral: cómo el Reglamento de Inteligencia Artificial impacta las relaciones laborales

El Reglamento (UE) 2024/1689 de Inteligencia Artificial (en adelante, "RIA") establece un marco para el desarrollo, la puesta en el mercado y el uso de sistemas de inteligencia artificial (en adelante, “IA”) en la UE, con aplicación escalonada. Entró en vigor el 1 de agosto de 2024; las prohibiciones de prácticas de riesgo inaceptable ya son aplicables, mientras que la mayor parte de las obligaciones para sistemas de alto riesgo comenzarán a desplegar efectos el 2 de agosto de 2026 y se completarán el 2 de agosto de 2027. En el ámbito laboral, esto afecta a la selección, gestión y supervisión del personal. Además, el Reglamento Ómnibus de IA, impulsado por la Comisión, busca simplificar la implantación del RIA, lo que puede incidir en el modo de cumplimiento.

El RIA no opera aisladamente: se entrelaza con el Reglamento General de Protección de Datos (en adelante, “RGPD”) y con la normativa laboral. El objetivo de este artículo es exponer esa intersección en el uso de IA en el empleo.

El Anexo III, punto 4, del RIA incluye expresamente entre los sistemas de IA de alto riesgo los utilizados para el empleo, la gestión de los trabajadores y el acceso al autoempleo, incluyendo:

a)  Los sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos.

b) Los sistemas de IA destinados a ser utilizados para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral o a la promoción o rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el marco de dichas relaciones.

En la práctica, esto significa que los dos grandes espacios en los que los departamentos de Recursos Humanos despliegan herramientas de IA —la fase de selección (análisis de CVs y filtrado de candidatos) y la fase de gestión de plantillas (promoción, retribución, desempeño o despido, entre otros)— quedan sujetos al régimen más exigente del Reglamento.

La calificación como sistema de alto riesgo desencadena obligaciones que incluyen la implantación de un sistema de gestión de riesgos, la elaboración de documentación técnica, prácticas adecuadas de gobernanza de datos, niveles suficientes de transparencia, registro automático de eventos, supervisión humana efectiva y estándares de precisión, solidez y ciberseguridad. 

Junto al régimen de alto riesgo, el RIA establece prohibiciones absolutas que impactan directamente en el entorno laboral. En concreto, se prohíben:

• Los sistemas dirigidos a inferir las emociones de una persona física en los lugares de trabajo, salvo que su uso esté justificado por razones médicas o de seguridad (artículo 5.1.f del RIA). Ahora bien, cabe tener en cuenta que no se veta cualquier tecnología de reconocimiento facial en el entorno laboral, sino específicamente aquella orientada a la inferencia emocional o a la predicción de información sensible.
• Los sistemas de categorización biométrica que clasifiquen individualmente a las personas sobre la base de sus datos biométricos para deducir, entre otras cuestiones, su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual (artículo 5.1.g del RIA).

Ello recuerda a las previsiones del RGPD, concretamente a las categorías especiales de datos del artículo 9 del RGPD, cuyo tratamiento ya estaba sometido a restricciones severas. El RIA eleva la protección un peldaño más, vetando directamente la inferencia de estas categorías a partir de datos biométricos.

Uno de los aspectos más relevantes del RIA para las relaciones laborales, es el régimen de información a los trabajadores y a sus representantes.

El artículo 26.7 del RIA establece que, antes de poner en servicio un sistema de IA de alto riesgo en el lugar de trabajo, los empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que estarán expuestos a su utilización; en ausencia de representación legal, la información se facilitará directamente a los trabajadores. Por su parte, el artículo 26.11 añade que, cuando estos sistemas sirvan para tomar o ayudar a tomar decisiones sobre personas físicas, el responsable del despliegue deberá informar a los afectados, lo que en el ámbito laboral incluye, por ejemplo, a los candidatos en un proceso de selección en el que se utilice IA.

Junto a lo anterior, el artículo 86.1 del RIA dispone el derecho de explicación de decisiones tomadas individualmente, por el cual toda persona que se vea afectada por una decisión adoptada con base en los resultados de un sistema de IA de alto riesgo del Anexo III, y que produzca efectos jurídicos o le afecte considerablemente, tiene derecho a obtener explicaciones claras y significativas acerca del papel que el sistema ha tenido en el proceso de toma de decisiones y los principales elementos de la decisión adoptada. 

El uso de sistemas de IA en el entorno laboral no solo activa las obligaciones del RIA, sino que, en la mayoría de los casos, implica también el tratamiento de datos personales y, frecuentemente, decisiones automatizadas en el sentido del artículo 22 del RGPD.

El RGPD establece, como regla general, el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o afecte significativamente al interesado. Las excepciones (consentimiento explícito, necesidad contractual o habilitación legal) están sujetas a garantías adicionales, como la intervención humana, el derecho a expresar el punto de vista propio y la posibilidad de impugnar la decisión.

En el ámbito laboral, esta norma tiene implicaciones directas. Cuando una empresa utiliza un sistema de IA para filtrar candidaturas, evaluar el rendimiento, decidir ascensos o incluso fundamentar un despido, es muy probable que estemos ante una decisión automatizada con efectos significativos para el trabajador. Y esto genera una doble obligación de transparencia: la derivada del RIA (artículos 26.7 y 86) y la derivada del RGPD (artículos 13.2.f, 14.2.g y 22).

Asimismo, el artículo 64.4.d) del Estatuto de los Trabajadores reconoce el derecho del comité de empresa a ser informado sobre los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles.

Confluyen así las tres capas normativas del RGPD, el RIA y el Estatuto de los Trabajadores, que obligan a las empresas a mantener un nivel de transparencia algorítmica reforzado cuando despliegan sistemas de IA en el entorno laboral. 

Un elemento transversal al RIA y al RGPD es la exigencia de supervisión humana. El artículo 14 del RIA establece que los sistemas de IA de alto riesgo se diseñarán de forma que puedan ser vigilados de manera efectiva por personas físicas, con el fin de prevenir o reducir riesgos para la salud, la seguridad o los derechos fundamentales.

En el RGPD, el artículo 22 prevé el derecho a la intervención humana en decisiones automatizadas. El RIA va más allá al exigir que los supervisores tengan la competencia, formación y autoridad suficientes para comprender las capacidades y limitaciones del sistema, detectar sesgos de automatización, interpretar correctamente los resultados e intervenir en el funcionamiento del sistema.

Tanto el RIA como el RGPD prevén la obligación de realizar evaluaciones de impacto. El despliegue de un sistema de IA de alto riesgo en el entorno laboral exigirá la realización de la evaluación de impacto relativa a derechos fundamentales prevista en el artículo 27 del RIA y la evaluación de impacto relativa a la protección de datos del artículo 35 del RGPD. El artículo 27.4 del propio RIA reconoce expresamente esta conexión al prever que, cuando ya se haya realizado una evaluación de impacto de protección de datos conforme al RGPD, la evaluación de impacto del RIA será complementaria a aquella.

El RIA atraviesa las relaciones laborales en un entorno de elevada digitalización. La prioridad práctica pasa por inventariar los sistemas de IA a lo largo del ciclo de empleo, alinear, en un único ejercicio, la evaluación de impacto de protección de datos con la evaluación de derechos fundamentales del RIA, y documentar la supervisión humana y la información a la plantilla y a la representación legal de las personas trabajadoras.

En paralelo, la implantación seguirá evolucionando a medida que la Comisión y las autoridades nacionales publiquen guías aclarativas y se desarrollen normas armonizadas. Conviene anticiparse desplegando un modelo de gobernanza de la IA, revisando contratos con proveedores y preparando mecanismos de trazabilidad y registro.

Artículo redactado por Sandra López Fernandez, directora de Regulación Digital (NewLaw), y María Ferrer de Xammar, associate de Regulación Digital (NewLaw)