Checklist de cumplimiento de la Ley de IA de la UE para reclutadores (plantilla gratuita)
La Ley de IA de la UE ya no es una preocupación futura: es ley vigente. Para el 2 de agosto de 2026, toda organización que utilice IA en procesos de contratación dentro de la Unión Europea debe cumplir con requisitos estrictos para sistemas de IA de alto riesgo. Las sanciones por incumplimiento son severas: multas de hasta 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor.
Si utilizas herramientas con IA para el cribado de CVs, clasificación de candidatos, análisis de entrevistas o cualquier otra función de reclutamiento, tus sistemas están clasificados como alto riesgo según el Anexo III, punto 4 de la Ley de IA de la UE. Esto significa que necesitas procesos documentados, salvaguardas técnicas y controles operativos antes de la fecha límite.
Este checklist de la Ley de IA de la UE te ofrece una plantilla práctica paso a paso para cumplir con la normativa. Lo hemos dividido en cuatro fases (evaluación previa, cumplimiento técnico, documentación y operaciones) con 20 acciones concretas y un cronograma mes a mes de febrero a agosto de 2026. Para una visión general más completa de la regulación, consulta nuestra guía de cumplimiento de la Ley de IA de la UE para reclutamiento.
Por qué necesitas este checklist de cumplimiento para IA en contratación
La Ley de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024. Sus disposiciones se están implementando progresivamente durante tres años, y las obligaciones de IA de alto riesgo que afectan al reclutamiento entran en pleno efecto el 2 de agosto de 2026.
Esto es lo que está en juego:
- Multas de hasta 35 millones de euros o el 7% de la facturación global por prácticas de IA prohibidas
- Multas de hasta 15 millones de euros o el 3% de la facturación global por incumplir requisitos de IA de alto riesgo
- Daño reputacional por acciones de cumplimiento publicitadas
- Demandas de candidatos bajo las disposiciones de derechos individuales de la Ley
- Restricciones de acceso al mercado: los sistemas de IA no conformes no pueden desplegarse en la UE
Según las últimas estadísticas de reclutamiento con IA, más del 78% de los grandes empleadores europeos ya utilizan alguna forma de IA en su pipeline de contratación. Sin embargo, menos del 30% han iniciado programas formales de cumplimiento. La brecha entre adopción y preparación es una responsabilidad latente.
Este checklist cierra esa brecha. Imprímelo, compártelo con tus equipos legal y de RRHH, y empieza a trabajar en cada punto hoy mismo.
Fase 1: Evaluación previa (semanas 1-3)
Antes de cumplir, necesitas entender con qué estás trabajando. Esta fase mapea tu panorama actual de IA e identifica tus obligaciones.
☐ 1. Inventaría todas las herramientas de IA utilizadas en tu proceso de contratación. Crea un registro completo de cada sistema con IA que toque tu flujo de reclutamiento. Incluye las funciones de cribado de tu ATS, herramientas de sourcing, chatbots, analizadores de videoentrevistas, plataformas de evaluación y cualquier modelo interno. Para cada herramienta, registra el nombre del proveedor, versión, propósito y la fase de contratación en la que interviene. Si necesitas ayuda con la terminología, consulta nuestro glosario de reclutamiento con IA.
☐ 2. Clasifica el nivel de riesgo de cada sistema de IA. Según la Ley de IA de la UE, la IA utilizada para "reclutamiento o selección de personas físicas, para tomar decisiones que afecten a los términos de la relación laboral" está explícitamente clasificada como alto riesgo (Anexo III, Sección 4). Confirma cuáles de tus herramientas entran en esta categoría. Ten en cuenta que algunas herramientas pueden tener funciones de IA que desconoces: verifica con cada proveedor. Cualquier IA que analice emociones o datos biométricos durante entrevistas puede estar prohibida directamente según el Artículo 5.
☐ 3. Documenta los flujos de datos de cada sistema de IA. Mapea exactamente qué datos entran en cada herramienta de IA, de dónde proceden (portales de empleo, tu web de empleo, LinkedIn, base de datos interna), cómo se procesan, adónde van los resultados y dónde se almacenan los datos. Incluye las transferencias transfronterizas. Esto se solapa con tus obligaciones del RGPD, pero la Ley de IA requiere especificidad adicional sobre cómo la IA utiliza estos datos para la toma de decisiones. Consulta nuestra lista de herramientas de reclutamiento con IA conformes con el RGPD para plataformas que ya gestionan correctamente los flujos de datos.
☐ 4. Identifica tu rol bajo la Ley de IA (proveedor vs. responsable del despliegue). Si construiste o modificaste sustancialmente el sistema de IA, eres un "proveedor" con las obligaciones más pesadas. Si utilizas una herramienta de terceros tal cual, eres un "responsable del despliegue" según el Artículo 26. La mayoría de los reclutadores son responsables del despliegue, pero si has ajustado modelos o construido algoritmos de puntuación personalizados sobre APIs de proveedores, podrías tener obligaciones de proveedor. Documenta tu clasificación para cada sistema.
☐ 5. Realiza un análisis de brechas contra los requisitos de la Ley de IA. Para cada sistema de IA de alto riesgo, compara tus controles actuales con los requisitos de los Artículos 9-15 (gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividades, transparencia, supervisión humana, precisión/robustez). Crea una hoja de cálculo con cada requisito, tu estado actual, la brecha y la acción de remediación necesaria. Esto se convierte en tu plan de proyecto de cumplimiento.
Fase 2: Cumplimiento técnico (semanas 4-10)
Con tu inventario y análisis de brechas en mano, esta fase aborda las salvaguardas técnicas que la Ley de IA de la UE exige para sistemas de alto riesgo.
☐ 6. Implementa pruebas de sesgo y auditorías de equidad. El Artículo 10 exige que los conjuntos de datos de entrenamiento, validación y prueba sean "pertinentes, suficientemente representativos y, en la medida de lo posible, libres de errores y completos". Para la IA de reclutamiento, esto supone testar el sesgo en características protegidas: género, edad, etnia, discapacidad y nacionalidad como mínimo. Establece una cadencia de pruebas regular (trimestral como mínimo) utilizando métricas de equidad estadística (paridad demográfica, igualdad de oportunidades, paridad predictiva). Documenta cada prueba, su metodología, resultados y acciones correctivas tomadas.
☐ 7. Establece mecanismos de supervisión humana. El Artículo 14 obliga a que los sistemas de IA de alto riesgo estén "diseñados y desarrollados de manera que puedan ser supervisados eficazmente por personas físicas". En la práctica, esto significa: ningún rechazo completamente automatizado de candidatos sin revisión humana; un reclutador cualificado debe poder anular cualquier recomendación de la IA; el revisor humano debe comprender el resultado de la IA lo suficiente para cuestionarlo; y debe existir un "botón de parada" claro, la capacidad de desactivar inmediatamente el sistema de IA. Define quiénes son tus supervisores humanos, qué formación reciben y cómo ejercen la supervisión.
☐ 8. Crea avisos de transparencia para los candidatos. El Artículo 13 exige que los sistemas de IA de alto riesgo operen con "suficiente transparencia para permitir a los responsables del despliegue interpretar el resultado del sistema y utilizarlo adecuadamente". El Artículo 26(7) requiere específicamente que los responsables del despliegue informen a los candidatos de que están sujetos a decisiones asistidas por IA. Redacta avisos claros y en lenguaje sencillo que indiquen a los candidatos: qué herramientas de IA se utilizan, qué datos se procesan, cómo las decisiones se ven influidas por la IA, su derecho a revisión humana y cómo impugnar decisiones basadas en IA. Coloca estos avisos en tu proceso de solicitud antes de que comience cualquier procesamiento con IA.
☐ 9. Verifica la calidad de datos y los controles de gobernanza. El Artículo 10 establece requisitos estrictos de gobernanza de datos. Para cada sistema de IA, verifica: que los datos de entrenamiento son relevantes y representativos de tu población real de candidatos; que los datos se comprueban para detectar errores, lagunas y sesgos antes de su uso; que existen procesos adecuados de preparación y limpieza de datos; que el tratamiento de datos personales cumple simultáneamente con el RGPD y la Ley de IA; y que los datos utilizados para las pruebas son distintos de los de entrenamiento. Si dependes del modelo de un proveedor, solicita su documentación de gobernanza de datos y verifica que cumple estos estándares.
☐ 10. Habilita el registro automático y las pistas de auditoría. El Artículo 12 exige que los sistemas de IA de alto riesgo soporten el registro automático de eventos "en la medida en que dicho registro sea técnicamente posible". Para la IA de reclutamiento, esto implica registrar: cada interacción de candidatos con el sistema de IA, todas las entradas y salidas (consultas, clasificaciones, puntuaciones, recomendaciones), decisiones de supervisión humana (aprobaciones, anulaciones, rechazos), métricas de rendimiento del sistema y cualquier incidente o mal funcionamiento. Los registros deben conservarse durante un periodo "adecuado a la luz de la finalidad prevista del sistema de IA de alto riesgo"; recomendamos al menos 24 meses para decisiones de reclutamiento. Asegúrate de que los registros son a prueba de manipulación y accesibles para auditorías regulatorias.
Fase 3: Documentación (semanas 8-14)
La Ley de IA de la UE depende en gran medida de la documentación. Esta fase crea el rastro documental que demuestra el cumplimiento.
☐ 11. Compila la documentación técnica de cada sistema de IA. El Artículo 11 y el Anexo IV especifican requisitos detallados de documentación técnica. Para cada sistema de IA de alto riesgo, compila: una descripción general del sistema y su finalidad prevista; información detallada sobre el diseño y desarrollo del sistema; requisitos de datos y medidas de gobernanza de datos; métricas de rendimiento y puntos de referencia de precisión; una descripción de la arquitectura del sistema; e información sobre requisitos de hardware y software. Como responsable del despliegue, puedes basarte en la documentación de tu proveedor, pero debes verificar que existe y es completa. Solicítala formalmente y almacénala de forma segura.
☐ 12. Completa una evaluación de gestión de riesgos. El Artículo 9 exige un sistema de gestión de riesgos continuo e iterativo. Documenta: riesgos identificados para la salud, la seguridad y los derechos fundamentales de los candidatos; la probabilidad y gravedad de cada riesgo; las medidas de mitigación que has implementado; los riesgos residuales y por qué son aceptables; y cómo se supervisan los riesgos a lo largo del tiempo. Para el reclutamiento, céntrate en riesgos de resultados discriminatorios, violaciones de privacidad, falta de transparencia y rechazo indebido de candidatos. Revisa y actualiza esta evaluación al menos anualmente.
☐ 13. Realiza una Evaluación de Impacto en Derechos Fundamentales (EIDF). El Artículo 27 exige a los responsables del despliegue de sistemas de IA de alto riesgo realizar una evaluación de impacto en derechos fundamentales antes de poner el sistema en uso. Debe incluir: una descripción de tus procesos donde se utiliza la IA; el periodo y frecuencia de uso del sistema de IA; categorías de candidatos afectados; riesgos específicos de daño a los derechos fundamentales; medidas de supervisión humana; pasos a seguir si los riesgos se materializan; y mecanismos de gobernanza y reclamación. Presenta los resultados a la autoridad de supervisión nacional correspondiente si así lo requiere tu Estado miembro.
☐ 14. Actualiza los registros de tratamiento de datos y las EIPD. Tus registros existentes de actividades de tratamiento del RGPD (Artículo 30 RGPD) y las Evaluaciones de Impacto en Protección de Datos (Artículo 35 RGPD) deben abordar ahora explícitamente los riesgos específicos de la IA. Actualízalos para incluir: cómo la IA procesa datos personales de forma diferente a los procesos manuales; la lógica de la toma de decisiones automatizada (alineación con el Artículo 22 RGPD); la retención de datos específica para los requisitos de registro de la Ley de IA; y referencias cruzadas a tu documentación técnica de la Ley de IA. No es un ejercicio nuevo: extiende tu documentación RGPD existente con una capa específica para IA.
☐ 15. Revisa y actualiza los contratos con proveedores. Si utilizas herramientas de IA de terceros (como la mayoría de los reclutadores), tus contratos deben abordar las obligaciones de la Ley de IA. Asegúrate de que cada contrato con proveedores incluya: confirmación de que el sistema de IA tiene marcado CE y está registrado en la base de datos de la UE; el compromiso del proveedor de proporcionar documentación técnica; asignación clara de responsabilidades entre proveedor y responsable del despliegue; obligaciones de notificación de incidentes y plazos; requisitos de cooperación para auditorías regulatorias; compromisos de gobernanza de datos y pruebas de sesgo; y SLAs para actualizaciones, parches y correcciones de cumplimiento. Cualquier proveedor que no pueda o no quiera ofrecer estas garantías contractuales es un riesgo de cumplimiento que deberías reemplazar antes de agosto.
Fase 4: Cumplimiento operativo (semanas 12-20)
La documentación por sí sola no basta. Esta fase pone tu programa de cumplimiento en la práctica diaria.
☐ 16. Despliega los procesos de notificación a candidatos. Integra la transparencia sobre IA en la experiencia del candidato. Como mínimo: añade una declaración de uso de IA en tu página de empleo; incluye información sobre el tratamiento con IA en el email de confirmación de la candidatura; presenta un aviso claro sobre IA antes de cualquier paso de cribado asistido por IA; y ofrece un mecanismo sencillo de exclusión o solicitud de revisión exclusivamente humana. Pruébalo pasando por tu propio proceso de solicitud como candidato. Si el uso de IA no resulta evidente y claramente explicado en cada paso relevante, corrígelo.
☐ 17. Operativiza los flujos de revisión humana. Define e implementa el proceso exacto por el cual las personas supervisan las decisiones de la IA. Documenta: en qué fases un reclutador revisa los resultados de la IA; el número máximo de candidatos procesados por IA que un revisor gestiona al día (para evitar aprobaciones automáticas); qué formación reciben los revisores sobre las limitaciones del sistema de IA; cómo se registran y escalan las anulaciones; y qué sucede cuando un revisor discrepa con la recomendación de la IA. Realiza ejercicios de simulación para asegurar que el flujo es práctico, no solo teórico.
☐ 18. Establece un proceso de gestión de reclamaciones de candidatos. Los candidatos tienen derecho a impugnar decisiones asistidas por IA. Crea un proceso claro: publica un canal específico para reclamaciones relacionadas con IA (email, formulario o portal); establece SLAs de tiempo de respuesta (recomendamos 15 días hábiles como máximo); define quién investiga las reclamaciones y qué autoridad tiene; documenta cómo se resuelven las reclamaciones y cómo alimentan las pruebas de sesgo; y mantén un registro de reclamaciones para informes regulatorios. Forma a tu equipo de reclutamiento para reconocer y canalizar correctamente las reclamaciones relacionadas con IA.
☐ 19. Configura la monitorización continua y la notificación de incidentes. El Artículo 26(5) exige a los responsables del despliegue monitorizar el funcionamiento del sistema de IA y reportar incidentes graves. Implementa: cuadros de mando en tiempo real para el rendimiento del sistema de IA; alertas automatizadas para resultados anómalos (por ejemplo, sesgo demográfico repentino en las preselecciones); un plan de respuesta a incidentes específico para fallos de IA; un canal de notificación a tu proveedor y a la autoridad de supervisión correspondiente; y revisiones periódicas de los resultados de la IA contra líneas base esperadas. Cualquier incidente que suponga un riesgo para los derechos fundamentales debe notificarse de inmediato.
☐ 20. Programa auditorías anuales de cumplimiento. El cumplimiento no es un proyecto puntual. Programa: auditorías internas anuales de los 19 puntos anteriores; una actualización anual de tu inventario de sistemas de IA (se añaden herramientas nuevas constantemente); revisiones anuales de las pruebas de sesgo con datos demográficos actualizados; sesiones de formación anuales de actualización para los supervisores humanos; y un ciclo de tres años para auditorías externas independientes. Ponlo en el calendario ahora. La degradación del cumplimiento es el mayor riesgo después de la implementación inicial.
Plan de acción mes a mes: febrero a agosto de 2026
Utiliza este cronograma para marcar el ritmo de tu programa de cumplimiento. Ajústalo según el tamaño de tu inventario de IA y los recursos internos disponibles.
| Mes | Foco | Entregables clave |
|---|---|---|
| Febrero 2026 | Evaluación previa | Inventario de herramientas de IA completo; clasificaciones de riesgo asignadas; flujos de datos mapeados |
| Marzo 2026 | Análisis de brechas y planificación | Hoja de cálculo de análisis de brechas finalizada; plan de proyecto aprobado; contacto con proveedores iniciado |
| Abril 2026 | Cumplimiento técnico | Framework de pruebas de sesgo implementado; roles de supervisión humana definidos; registro habilitado |
| Mayo 2026 | Cumplimiento técnico y documentación | Avisos de transparencia redactados; auditorías de calidad de datos completadas; documentación técnica compilada |
| Junio 2026 | Documentación | Evaluación de riesgos completa; EIDF presentada; contratos con proveedores actualizados; EIPD actualizadas |
| Julio 2026 | Despliegue operativo | Avisos a candidatos activos; flujos de revisión humana probados; proceso de reclamaciones lanzado; monitorización activa |
| Agosto 2026 | Revisión final y puesta en marcha | Auditoría de cumplimiento de extremo a extremo; remediación de brechas; calendario de auditorías anuales fijado |
Cómo Taleva ayuda con el cumplimiento de la Ley de IA de la UE
Taleva está construida para el mercado de reclutamiento europeo, lo que significa que el cumplimiento de la Ley de IA de la UE forma parte de la arquitectura, no es un parche añadido después.
- Transparencia por diseño: Cada clasificación de candidatos generada por IA en la plataforma de búsqueda de Taleva incluye una capa de explicabilidad. Los reclutadores pueden ver por qué un candidato fue clasificado y anular fácilmente la decisión de la IA.
- Supervisión humana integrada: Ningún candidato es rechazado automáticamente. Cada recomendación de la IA requiere confirmación humana antes de avanzar o descartar.
- Registro de auditoría automático: Todas las interacciones con la IA, entradas, salidas y decisiones de anulación humana se registran y pueden exportarse para auditorías regulatorias.
- Monitorización de sesgos: Taleva ejecuta comprobaciones continuas de equidad en dimensiones de género, edad y nacionalidad, con alertas para anomalías estadísticas.
- Documentación RGPD + Ley de IA: Taleva proporciona documentación técnica lista para el responsable del despliegue, registros de tratamiento de datos y atestaciones de cumplimiento que puedes incorporar directamente a tus expedientes de la Ley de IA.
- Residencia de datos en la UE: Todos los datos de candidatos se procesan y almacenan dentro de la UE, eliminando complicaciones de transferencias transfronterizas.
Si estás evaluando tus herramientas de reclutamiento con IA contra este checklist y encontrando brechas, prueba Taleva gratis y comprueba cómo funciona en la práctica el sourcing con IA preparado para el cumplimiento.
Preguntas frecuentes
¿Se aplica la Ley de IA de la UE a empresas con sede fuera de la UE?
Sí. La Ley de IA de la UE tiene alcance extraterritorial. Si el resultado de tu sistema de IA "se utiliza en la Unión", es decir, si usas IA para evaluar candidatos ubicados en la UE, independientemente de dónde tenga su sede tu empresa, debes cumplir. Esto es similar al alcance extraterritorial del RGPD. Las empresas de EE. UU., Reino Unido y otros países fuera de la UE que contraten en la UE están plenamente dentro del ámbito de aplicación.
¿Cuál es la diferencia entre proveedor y responsable del despliegue?
Un proveedor es la entidad que desarrolla el sistema de IA o lo pone en el mercado. Un responsable del despliegue es la entidad que utiliza el sistema de IA bajo su autoridad. La mayoría de los reclutadores son responsables del despliegue: utilizan la herramienta de IA de un proveedor dentro de su proceso de contratación. Los proveedores tienen obligaciones más pesadas (evaluación de conformidad, marcado CE, registro en la base de datos de la UE), pero los responsables del despliegue también deben garantizar la supervisión humana, la transparencia, la calidad de datos, las evaluaciones de riesgos, el registro y la notificación de incidentes. Si modificas sustancialmente el sistema de IA de un proveedor, podrías ser reclasificado como proveedor.
¿Qué pasa si nuestro proveedor de IA dice que ellos se encargan de todo el cumplimiento?
No pueden, y afirmar lo contrario es una señal de alarma. La Ley de IA de la UE coloca obligaciones explícitamente tanto sobre proveedores como sobre responsables del despliegue. Aunque tu proveedor se encargue de la documentación técnica, la evaluación de conformidad y los requisitos a nivel de sistema, tú como responsable del despliegue sigues siendo responsable de: realizar una Evaluación de Impacto en Derechos Fundamentales, garantizar la supervisión humana en la práctica, informar a los candidatos sobre el uso de IA, monitorizar el sistema durante su operación y reportar incidentes graves. El cumplimiento es una responsabilidad compartida. Usa este checklist para verificar qué obligaciones cubre genuinamente tu proveedor y cuáles siguen siendo tuyas.