Ayer, 12 de junio de 2026, el Gobierno publicó en el Boletín Oficial de las Cortes Generales el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Un texto que desarrolla en España el Reglamento (UE) 2024/1689, ya en vigor, y que en materia laboral no deja margen a la duda: Todas las empresas que utilizan sistemas de IA en la gestión de sus plantillas son, desde ahora, responsables legales de sistemas de alto riesgo, con obligaciones concretas, una autoridad supervisora específica y sanciones que pueden alcanzar los 35 millones de euros.
No es una advertencia para el futuro, es la descripción del presente.
El error más común: creer que el riesgo es del proveedor.
La primera trampa en la que cae la mayoría de las empresas es pensar que, si la herramienta la ha desarrollado un tercero, la responsabilidad legal recae sobre él. No es así. O al menos, no es solo así.
La normativa distingue con precisión entre dos figuras:
El proveedor es quien crea el sistema de IA. Por ejemplo, OpenAI desarrolla ChatGPT, LinkedIn desarrolla sus herramientas de selección, o una empresa de software fabrica el sistema de control de jornada que tu empresa ha contratado.
El responsable del despliegue es quien utiliza ese sistema para sus propios fines. Es decir, tu empresa. La que ha contratado esa herramienta y la usa para gestionar personas: para filtrar candidatos, evaluar el rendimiento de su equipo o controlar los fichajes.
Y sobre el responsable del despliegue -sobre tu empresa- recaen obligaciones propias, distintas e independientes de las que tiene el proveedor.
Dicho de forma clara: el hecho de que ChatGPT sea de OpenAI, o de que el software de RRHH lo haya fabricado otra compañía, no te exime de responsabilidad. Contratar la herramienta a un tercero no es una solución legal, es el punto de partida de tus obligaciones.
Si tu IA gestiona personas, es de alto riesgo. Sin excepciones.
El Reglamento europeo clasifica los sistemas de IA según el riesgo que generan. Los de alto riesgo están listados uno a uno en el Anexo III. Y el apartado 4 de ese Anexo no deja lugar a interpretación: son de alto riesgo todos los sistemas utilizados en el ámbito del empleo y la gestión de personas trabajadoras.
¿Qué entra en esa categoría? El software que filtra currículos, la herramienta que evalúa el rendimiento de los trabajadores, el sistema que asigna turnos o tareas, el algoritmo que analiza el comportamiento laboral, cualquier sistema que participe en decisiones que afecten a las condiciones de trabajo.
Si tu empresa usa alguna de estas herramientas, opera un sistema de alto riesgo. Y eso tiene consecuencias legales que no dependen de que el Proyecto de Ley español complete su tramitación en el Congreso, porque el Reglamento europeo, que está por encima de la ley española y es directamente aplicable, ya está en vigor.
Lo que la empresa debe hacer ahora
Para la empresa que utiliza estos sistemas, la normativa impone obligaciones que no se pueden ignorar ni dejar para más adelante.
1/ Control humano real: La ley exige que la supervisión del sistema quede en manos de personas con la formación, la capacidad y la autoridad necesarias para entender qué hace la IA y para intervenir cuando algo no funciona bien.
Esto no se cumple poniendo una firma al final del proceso. Si el responsable de RRHH aprueba la recomendación que le da el algoritmo sin entender cómo ha llegado a esa conclusión, sin poder cuestionarla, sin tener los conocimientos para detectar si algo falla, no hay supervisión humana real y esto, puede tener consecuencias muy caras.
2/ Revisar los datos que alimentan el sistema: La ley obliga a que los datos que utiliza el sistema sean adecuados y representativos para el fin que persigue. En la práctica, esto significa hacerse una pregunta incómoda: ¿Qué aprende este sistema de los datos históricos de mi empresa?
Por ejemplo, si durante años tu empresa contrató mayoritariamente hombres para puestos de responsabilidad, el sistema habrá aprendido que ese es el perfil correcto, y lo reproducirá. Sin que nadie se lo haya pedido, sin que nadie lo haya advertido. Este es exactamente un tipo de sesgo que la normativa obliga a detectar y corregir para ejercer un buen uso de la IA.
3/ Informar a las personas trabajadoras y a sus representantes: Aquí se cruzan dos obligaciones distintas. En primer lugar, el Reglamento europeo obliga a informar a cada persona trabajadora de que un sistema de IA participa en decisiones que le afectan: una evaluación de rendimiento, una asignación de turno, o un proceso disciplinario, por ejemplo. Y, en segundo lugar, la Ley 12/2021 modificó el Estatuto de los Trabajadores para reconocer el derecho del comité de empresa y, por extensión, de los delegados de personal, a ser informados por la empresa de los parámetros, reglas e instrucciones en los que se basan los algoritmos que inciden en las condiciones de trabajo
Por lo tanto, el Proyecto de Ley ni crea, ni elimina ese derecho. Lo refuerza y le añade consecuencias sancionadoras directas relativas al uso de la IA.
4/ Evaluar el impacto sobre derechos fundamentales antes de usar el sistema: La normativa exige un análisis previo cuando el uso de la IA puede afectar a derechos fundamentales de las personas trabajadoras. En el ámbito laboral, esa evaluación es la herramienta que permite responder a una pregunta esencial antes de que el daño se produzca: ¿Puede este sistema vulnerar el derecho a la igualdad de trato, a la intimidad o a la dignidad en el trabajo?
No debería ser un trámite burocrático, sino que las Empresas deberían integrar este hábito, siendo el mecanismo que distingue a las empresas que han pensado en lo que hacen de las que simplemente han comprado un software.
5/ Conservar los registros de lo que el sistema decide: Los sistemas de IA generan automáticamente registros de sus decisiones o recomendaciones (lo que en términos técnicos se llaman logs). La normativa obliga a conservarlos cuando la empresa los controla.
El motivo es simple: Si una persona trabajadora impugna su despido argumentando que la decisión la tomó un algoritmo sin supervisión humana real, esos registros son la prueba que el juzgado o la Inspección de Trabajo pedirá. Si no existen, o no están disponibles, la empresa no puede reconstruir qué pasó ni demostrar que actuó correctamente y, por lo tanto, presentarse a juicio con una defensa carente de prueba.
La Inspección de Trabajo ya puede pedirte explicaciones sobre tu IA
El Proyecto de Ley deja claro el papel de la Inspección de Trabajo y Seguridad Social: sus fjunciones (vigilar las condiciones de trabajo, la prevención de riesgos laborales…) se mantienen intactas y se extienden también al uso de sistemas de IA en el ámbito laboral.
Lo que esto significa en la práctica es que un inspector de trabajo puede presentarse en tu empresa y pedirte que expliques qué sistemas de IA utilizas para gestionar a tu plantilla, cómo supervisas sus decisiones y si estás cumpliendo con las obligaciones de información hacia tus trabajadores. Si detecta señales de incumplimiento, puede trasladar el asunto a la AESIA -la Agencia Española de Supervisión de Inteligencia Artificial- para que abra un expediente sancionador.
La AESIA es la autoridad designada para vigilar específicamente los sistemas de IA en el ámbito del empleo. Está operativa desde 2023 y el Proyecto de Ley le otorga capacidad plena para inspeccionar y sancionar.
Las cifras del incumplimiento
El Proyecto de Ley establece un régimen sancionador en cuatro niveles:
No tener supervisión humana efectiva, no informar a los trabajadores o no haber hecho la evaluación de impacto son infracciones graves. Resistirse a la inspección o no corregir lo que la autoridad ha ordenado también. Y cuando el sistema causa un daño real a una persona trabajadora como consecuencia directa de una decisión automatizada, la infracción puede llegar al tramo más alto.
Además, si el incumplimiento continúa después de la sanción, la autoridad puede imponer multas adicionales de hasta el 10 % de la sanción principal por cada período que pase sin corregir la situación, y ordenar la retirada o el apagado del sistema para evitar que siga causando daño.
Lo importante: El Reglamento europeo ya obliga a las empresas, la ley española solo añade el aparato sancionador.
El Proyecto de Ley está en tramitación i las enmiendas están abiertas hasta el 30 de junio de 2026, pero la mayor parte de las obligaciones que hemos descrito aquí no vienen de la futura ley española, vienen del Reglamento europeo, ya en vigor.
Lo que hace la ley española es organizar quién supervisa qué, designar las autoridades competentes, establecer el procedimiento sancionador y fijar qué conductas son leves, graves o muy graves. Pero lo que se exige a las empresas ya existe desde antes de que este texto llegara al Congreso.
Llegados a este punto, y sabiendo que la realidad va unos pasos más avanzada que la normativa, la pregunta relevante no es si la norma entrará en vigor, es si tu empresa tiene hoy respuesta para cada una de las obligaciones que este artículo describe. Y si esa pregunta no tiene una respuesta clara e inmediata, ya hay trabajo por hacer.
Mercè Ruibiralta.
Founder
© E Legal Boutique — Todos los derechos reservados. Este artículo tiene carácter meramente informativo y no constituye asesoramiento jurídico individualizado.
“Si buscas resultados diferentes, no hagas siempre lo mismo”
Albert Einstein
Made by Vowel Agency
ElegalBoutique 2026 © Copyright