RGPD y Reclutamiento por IA: Obligaciones y Mejores Prácticas

La inteligencia artificial en el reclutamiento plantea preguntas legales y éticas legítimas. Los reclutadores y líderes de RRHH que adoptan herramientas de IA tienen obligaciones precisas en protección de datos personales — y riesgos reales en caso de incumplimiento. Esta guía cubre lo esencial.

Recordatorio: por qué el RGPD se aplica al reclutamiento por IA

El Reglamento General de Protección de Datos (RGPD, Regulación UE 2016/679) se aplica a cualquier tratamiento de datos personales de personas residentes en la Unión Europea. Los datos de candidatos — nombre, email, CV, resultados de entrevista, datos comportamentales — son datos personales bajo el RGPD.

La IA en reclutamiento crea un tratamiento particular: los datos de candidatos no solo se almacenan, se analizan algorítmicamente para producir puntuaciones, rankings, recomendaciones. Este tratamiento automatizado dispara obligaciones específicas.

Base legal: el interés legítimo no es universal

Todo tratamiento de datos personales debe descansar en una base legal según el Artículo 6 del RGPD. En contexto de reclutamiento, las dos bases más comúnmente invocadas son:

Ejecución de medidas precontractuales (Artículo 6.1.b): legal para tratar datos de un candidato que ha postulado para una posición específica. Esto cubre el procesamiento de su candidatura.

Interés legítimo (Artículo 6.1.f): a menudo usado para retener CV en una base de datos de CV después de que termina el reclutamiento. Pero esta base no es automática: requiere una prueba de equilibrio documentada (tus intereses vs. derechos de candidatos) y períodos de retención limitados.

Consentimiento (Artículo 6.1.a): técnicamente posible, pero difícil de mantener válidamente con el tiempo. ¿Es válido el consentimiento dado hace 3 años para almacenar un CV? En la mayoría de los casos, no.

Punto importante en bases de datos de CV: retener candidatos pasivos en tu base durante años sin base legal válida expone tu organización a sanciones. La práctica común — guardar todos los CV indefinidamente — generalmente incumple.

Derechos de los candidatos que debes respetar

Los candidatos cuyos datos tratas tienen derechos que pueden ejercer en cualquier momento:

Derecho de acceso (Artículo 15): cualquier candidato puede solicitar ver los datos que tienes sobre él, incluyendo puntuaciones algorítmicas y notas de reclutador.

Derecho de rectificación (Artículo 16): si los datos son inexactos, el candidato puede solicitar corrección.

Derecho al olvido (Artículo 17): el candidato puede solicitar la eliminación de sus datos. Existen excepciones (obligaciones legales, defensa de derechos legales), pero en la mayoría de los casos la solicitud debe honrarse.

Derecho de oposición (Artículo 21): si tu base legal es interés legítimo, el candidato puede oponerse al tratamiento. Debes entonces cesar el tratamiento excepto por razones legítimas imperativas.

Derecho a no ser sujeto de decisiones automatizadas (Artículo 22): crucial para IA de reclutamiento. Si una decisión significativa (rechazo de aplicación, invitación a entrevista) es tomada por un algoritmo sin intervención humana, el candidato puede cuestionarla y demandar revisión humana.

Decisiones automatizadas: una zona de riesgo mayor

El Artículo 22 del RGPD es la disposición más directamente relevante para IA de reclutamiento. Prohibe decisiones que produzcan efectos legales o afecten significativamente a una persona cuando estén basadas únicamente en tratamiento automatizado.

En práctica, esto significa:

• Un algoritmo puede ayudar a clasificar aplicaciones, sugerir perfiles, calcular puntuaciones de relevancia
• Pero una decisión final (rechazo definitivo, contratación) debe involucrar intervención humana real y documentada
• El reclutador debe poder explicar por qué retuvo o excluyó a un candidato, más allá de la puntuación algorítmica

Las herramientas de IA conformes — como RelaSync — proporcionan puntuaciones de relevancia como ayudas para la decisión, nunca como decisiones automáticas.

La cuestión de los sesgos algorítmicos

Más allá de la ley, la ética del reclutamiento por IA plantea la cuestión de los sesgos. Los modelos de IA se entrenan en datos históricos — que reflejan sesgos humanos pasados.

El ejemplo canónico es Amazon en 2018: su herramienta de reclutamiento IA, entrenada en 10 años de contrataciones (predominantemente masculina en tech), había aprendido a penalizar CV que mencionaban la palabra “mujeres”. La herramienta fue retirada.

Los riesgos de sesgo en herramientas de IA de RRHH se refieren especialmente a:

• Género: si tu contratación histórica es sesgada por género, el modelo puede reproducir este sesgo
• Origen: nombres y apellidos pueden ser proxies de origen étnico
• Edad: formulaciones sobre “energía” o “flexibilidad” pueden desfavorecer perfiles senior
• Educación: si la contratación pasada favoreció ciertas escuelas, la IA puede aprender este sesgo

Para mitigar estos riesgos: elige herramientas cuyos proveedores puedan documentar procedimientos de desesgamiento, audita regularmente outputs de IA para patrones sospechosos, y nunca permitas que la IA decida sola.

Obligaciones documentales

La conformidad RGPD no es solo comportamental — es documental.

Registro de actividades de tratamiento (Artículo 30): tu organización debe mantener un registro que incluya todos tus tratamientos de datos de RRHH, incluyendo reclutamiento por IA. Para cada tratamiento: propósito, base legal, período de retención, destinatarios, medidas de seguridad.

Evaluación de impacto (EIPD, Artículo 35): si usas IA de reclutamiento para decisiones que afecten significativamente a candidatos, probablemente se requiera una Evaluación de Impacto de Protección de Datos. Consulta tu DPO.

Contrato de procesador: si usas un proveedor externo para IA (como RelaSync), debe firmarse un DPA (Acuerdo de Procesamiento de Datos), describiendo las obligaciones del procesador.

Mejores prácticas para uso conforme

En resumen, aquí están las acciones concretas para usar IA de reclutamiento en conformidad:

1. Define y documenta tu base legal para cada fase del tratamiento (aplicación activa, base de datos de CV pasiva)
2. Limita períodos de retención: máximo 2 años para aplicaciones rechazadas es buena práctica
3. Informa a candidatos en tu política de privacidad que usas herramientas de IA para analizar aplicaciones
4. Asegura intervención humana real en todas las decisiones de contratación o rechazo
5. Capacita a tus reclutadores en derechos de candidatos y procedimientos si se ejercen derechos
6. Audita regularmente tus herramientas de IA para detectar sesgos emergentes

La conformidad RGPD en reclutamiento por IA no es un obstáculo — es un marco que, bien integrado, construye confianza con candidatos y protege tu organización de riesgos legales significativos.