IA RRHH selección personal España legal

IA en RRHH y vigilancia digital de empleados: lo que tu empresa está haciendo mal (y cómo lo detecta la AEPD) | SCANDO UP Madrid
Audita el uso de IA en tu empresa · Evaluación gratuita 30 min
IA en RRHH · Vigilancia digital · Derechos empleados · España 2026

IA en RRHH y vigilancia digital
de empleados:
lo que tu empresa hace mal
y cómo lo detecta la AEPD

La AEPD tiene 31 expedientes abiertos en RRHH y selección de personal en 2026. La multa media es de 320.000 euros. El 68% de las empresas que usan IA en procesos de selección no tienen Evaluación de Impacto. Y el AI Act clasifica los sistemas de IA en RRHH como alto riesgo desde agosto de 2026. Esta guía explica exactamente dónde están los límites legales y dónde los está cruzando tu empresa.

Álvaro Ruipérez Candón · SCANDO UP Global Legal Mayo 2026 · 10 min
📍 Santa Engracia, 17 · Madrid 28010 · Atención en toda España
31 expedientes AEPD abiertos en RRHH y selección en 2026, multa media de 320.000€
68% de empresas que usan IA en selección no tienen EIPD, obligatoria por el art. 35 RGPD
Art. 64 bis ET obliga a informar a la representación de empleados sobre algoritmos que les afectan

El problema que nadie en tu equipo de RRHH ha leído todavía

En 2026, la gestión de personas en una empresa tecnológica implica inevitablemente el uso de inteligencia artificial. Un ATS que filtra CVs automáticamente. Una plataforma que mide el rendimiento y genera alertas sobre productividad. Una herramienta que monitoriza el tiempo activo en el ordenador. Un sistema que analiza los correos corporativos para detectar fugas de información. Un software de videoconferencia que registra asistencia y participación.

Ninguna de esas herramientas es ilegal por definición. Pero todas generan obligaciones legales que la mayoría de empresas tech no están cumpliendo. Y la AEPD, en 2026, está mirando exactamente ahí.

Equipo de RRHH usando herramientas digitales e IA en selección de personal

Los 31 expedientes abiertos en RRHH y selección de personal en 2025-2026 no son contra grandes corporaciones. Son contra empresas de todos los tamaños que implementaron herramientas de IA en sus procesos de personas sin resolver la capa legal primero. El patrón se repite: la empresa compra una licencia de software de RRHH con IA, la pone en marcha, y asume que el cumplimiento legal es responsabilidad del proveedor. No lo es.

Lo que la AEPD detecta en los expedientes de RRHH

Los tres incumplimientos más frecuentes en los expedientes de RRHH en 2025-2026: ausencia de EIPD para sistemas de IA que toman o informan decisiones sobre empleados o candidatos; falta de información a los candidatos y empleados sobre el uso de IA en los procesos que les afectan; y ausencia de mecanismos reales de revisión humana antes de que el output del sistema genere efectos sobre las personas. El cuarto, específico de empresas tech con equipos en remoto: monitorización desproporcionada del teletrabajo sin base legal documentada.

El marco legal: cuatro normas que se aplican a la vez

El uso de IA y la vigilancia digital de empleados en España está regulado por cuatro marcos normativos que se aplican simultáneamente y se refuerzan mutuamente. No basta con conocer uno; hay que gestionarlos todos.

Norma Qué regula en el ámbito laboral Sanción máxima
RGPD y LOPDGDD Tratamiento de datos personales de empleados y candidatos. EIPD para sistemas de alto riesgo. Derechos de acceso, rectificación, supresión y oposición 20M€ o 4% facturación global
AI Act Sistemas de IA en selección, evaluación del rendimiento, gestión de turnos y despidos: clasificados como alto riesgo desde agosto 2026. Transparencia, supervisión humana y EIPD específica 15M€ o 3% facturación global
Estatuto de los Trabajadores (art. 64 bis) Obligación de informar a la representación de los trabajadores sobre los algoritmos que afectan a sus condiciones de trabajo Infracción grave LISOS: 751–7.500€ por infracción
LOPDGDD (art. 87-91) Derechos digitales de los trabajadores: intimidad en el uso de dispositivos, videovigilancia, geolocalización, desconexión digital y control del teletrabajo Hasta 300.000€ bajo LOPDGDD; daños morales en jurisdicción social

← Desliza para ver la tabla completa

IA en selección de personal: lo que el AI Act clasifica como alto riesgo

El AI Act es explícito en su Anexo III: los sistemas de IA utilizados en el empleo, la gestión de los trabajadores y el acceso al trabajo por cuenta propia son sistemas de alto riesgo. Esto incluye todos los sistemas usados para contratar o seleccionar personas, tomar decisiones sobre ascensos o terminación de relaciones laborales, asignar tareas y monitorizar y evaluar el rendimiento de las personas.

La clasificación como alto riesgo implica que, desde el 2 de agosto de 2026, cualquier empresa que use este tipo de sistemas tiene obligaciones adicionales concretas más allá del RGPD. Y no solo el proveedor del software; también la empresa que lo usa como operador o deployer.

Prohibido por el AI Act

Reconocimiento facial y análisis emocional en entrevistas de selección. Sistemas de scoring social de candidatos o empleados. Análisis biométrico masivo en espacios de trabajo.

Alto riesgo: obligaciones estrictas

ATS con filtrado automático de CVs. Sistemas de evaluación del rendimiento. Plataformas de gestión de turnos algorítmica. Herramientas de monitorización de productividad con efectos laborales.

Permitido con cumplimiento básico

Asistentes de redacción de ofertas de empleo. Herramientas de scheduling sin efectos sobre condiciones laborales. Formación y e-learning adaptativo sin evaluación vinculante.

¿Sabes qué sistemas de IA usa tu empresa en RRHH y cuál es su clasificación bajo el AI Act? En SCANDO UP hacemos el inventario y la clasificación en 48 horas. Despacho en Madrid, Santa Engracia 17.
Reservar evaluación gratuita

Los derechos digitales de tus empleados que probablemente estás vulnerando

Los artículos 87 a 91 de la LOPDGDD establecen un catálogo de derechos digitales de los trabajadores que muchas empresas tech desconocen o aplican de forma incorrecta. Son derechos exigibles hoy, no en el futuro.

Intimidad en dispositivos digitales

Los empleados tienen derecho a la intimidad frente al uso de dispositivos digitales puestos a su disposición por el empleador. El acceso al contenido de los dispositivos requiere política de uso previa, informada y proporcionada. Sin esa política, el acceso al correo o a los archivos puede ser nulo como prueba y constitutivo de infracción.

Videovigilancia y grabación de sonido

Solo puede instalarse videovigilancia en el trabajo con finalidad legítima (seguridad o control laboral justificado), informando previamente a los empleados con el distintivo AEPD visible. La grabación de audio requiere justificación reforzada adicional. Zonas de descanso, vestuarios y baños: absolutamente prohibido.

Geolocalización

Los sistemas de geolocalización de vehículos o dispositivos de empresa en el contexto laboral requieren información previa específica a los empleados. La geolocalización fuera del horario de trabajo o sin finalidad laboral justificada es ilegal. El seguimiento continuo de ubicación sin proporcionalidad es infracción grave.

Desconexión digital

El trabajador tiene derecho a no atender comunicaciones profesionales fuera de su jornada laboral. La empresa está obligada a elaborar una política interna de desconexión digital, negociarla con la representación de los trabajadores y no enviar comunicaciones de forma sistemática fuera del horario. El envío reiterado puede ser infracción grave bajo la LISOS.

Derecho a la información algorítmica

El artículo 64 bis del Estatuto de los Trabajadores obliga a informar a la representación de los trabajadores sobre los parámetros, reglas e instrucciones de los algoritmos que afecten a las condiciones de trabajo, incluyendo sistemas de selección, evaluación del rendimiento o asignación de tareas.

Decisiones exclusivamente automatizadas

El artículo 22 del RGPD prohíbe que las personas sean objeto de decisiones basadas exclusivamente en el tratamiento automatizado cuando esas decisiones tengan efectos jurídicos o les afecten significativamente. Un despido, un ascenso o una evaluación de rendimiento no pueden basarse solo en el output de un sistema de IA sin revisión humana real.

Casos reales: lo que la AEPD está sancionando en 2025 y 2026

Los expedientes de RRHH y vigilancia digital en 2025-2026 siguen patrones muy concretos. Estos son los más relevantes por su aplicabilidad a empresas tech.

Software de monitorización de teletrabajo sin base legal ni información

280.000 €

Una empresa tech implantó una herramienta de monitorización que registraba capturas de pantalla cada 10 minutos, el tiempo activo en cada aplicación y el número de pulsaciones de teclado. Los empleados no fueron informados de forma específica antes de la implantación; la mención estaba en el contrato genérico como referencia a "control de la actividad laboral". La AEPD consideró que la monitorización era desproporcionada, que la información previa era insuficiente y que no existía EIPD previa al tratamiento. Multa de 280.000 euros y obligación de adaptar el sistema en 30 días.

ATS con filtrado de CVs sin información a candidatos ni EIPD

195.000 €

Una empresa de servicios digitales usaba un sistema ATS que rechazaba automáticamente candidaturas basándose en parámetros de IA (palabras clave, historial de empleo, formación) sin comunicar a los candidatos que existía un sistema automatizado de selección previa ni que tenían derecho a revisión humana. La ausencia de EIPD previa y la falta de información en el proceso de selección derivaron en expediente sancionador. Multa de 195.000 euros.

Videovigilancia usada para despido disciplinario sin cumplimiento formal

60.000 €

Una empresa utilizó grabaciones de su sistema de videovigilancia como prueba en un despido disciplinario sin haber informado correctamente al empleado de la existencia del sistema mediante el distintivo visible exigido por la AEPD y sin haber actualizado la información en la política de privacidad de empleados. El Tribunal Social declaró el despido improcedente por prueba obtenida ilícitamente. La AEPD añadió una multa de 60.000 euros por vulneración del artículo 89 de la LOPDGDD.

La responsabilidad sobre el uso de IA en RRHH no se subcontrata al proveedor del software. Si tu empresa decide usar un ATS, una plataforma de monitorización o un sistema de evaluación del rendimiento, tu empresa es responsable del tratamiento de datos y de las obligaciones que ese tratamiento genera.

¿Tu empresa usa herramientas de monitorización o IA en RRHH sin haber resuelto la capa legal? El AIM Integrity Check de SCANDO UP detecta todos los incumplimientos y te dice qué corregir primero.
Solicitar diagnóstico

El checklist que toda empresa tech debe completar antes de agosto de 2026

Si tu empresa usa IA en algún proceso de RRHH o tiene herramientas digitales de control o monitorización de empleados, estas son las obligaciones que tienes que tener documentadas e implementadas antes del 2 de agosto de 2026, cuando el AI Act entra en plena aplicación para sistemas de alto riesgo.

  • 1
    Inventario de sistemas de IA en RRHH. Lista completa de todas las herramientas digitales que participan en selección, evaluación, asignación de tareas o control de rendimiento, con identificación del proveedor, el tipo de datos que tratan y la clasificación según el AI Act.
  • 2
    EIPD para cada sistema de alto riesgo. Evaluación de Impacto en Protección de Datos específica, realizada antes de que el sistema esté en producción, con análisis del riesgo para los empleados o candidatos afectados y medidas de mitigación documentadas.
  • 3
    DPA firmado con cada proveedor de software. Contrato de encargo del tratamiento con el proveedor de cada herramienta de RRHH que procese datos personales de empleados o candidatos, con las cláusulas mínimas del artículo 28 del RGPD.
  • 4
    Información específica a empleados y candidatos. Aviso explícito sobre el uso de IA en los procesos que les afectan, con descripción de la lógica empleada, los efectos del sistema y el derecho a solicitar revisión humana. No basta con una mención genérica en el contrato o en la política de privacidad.
  • 5
    Mecanismo real de supervisión humana. Para cada sistema de alto riesgo, un procedimiento documentado que garantice que ninguna decisión con efectos jurídicos o significativos sobre una persona se toma de forma exclusivamente automatizada. La supervisión humana tiene que ser real y verificable, no meramente formal.
  • 6
    Política de uso de dispositivos y comunicaciones corporativas. Documento específico que regule qué puede y no puede monitorizar la empresa, en qué condiciones y para qué finalidades, informado antes de la implantación de cualquier sistema de control.
  • 7
    Política de desconexión digital negociada. Documento formal negociado con la representación de los trabajadores que establezca las reglas de comunicación fuera del horario laboral y los mecanismos de garantía del derecho a la desconexión.
  • 8
    Información al comité de empresa sobre algoritmos. Cumplimiento del artículo 64 bis del Estatuto de los Trabajadores mediante comunicación formal a la representación de los trabajadores sobre los parámetros de los sistemas algorítmicos que afectan a las condiciones de trabajo.

Lo que cambia en tu empresa cuando tienes esto en orden

Una empresa tech que tiene los sistemas de IA en RRHH correctamente documentados no solo evita sanciones. Tiene tres ventajas competitivas concretas que muchos founders no han calculado.

La primera es la due diligence de inversores. Los fondos de venture capital revisan de forma creciente el cumplimiento laboral digital de las startups en las que invierten. Un expediente de la AEPD relacionado con la monitorización de empleados o con el uso no transparente de IA en RRHH es un red flag en cualquier data room.

La segunda es la atracción de talento. Las personas más cualificadas del mercado tech son también las más informadas sobre sus derechos digitales. Una empresa que puede acreditar que su uso de IA en RRHH es transparente, proporcional y respetuoso con los derechos de las personas tiene una ventaja real en la competencia por el talento.

La tercera es la resiliencia frente a conflictos laborales. Muchos despidos basados en datos de monitorización digital o en outputs de sistemas de evaluación de rendimiento acaban anulados por prueba obtenida de forma ilícita. Tener el cumplimiento legal en orden convierte los datos digitales en prueba válida en lugar de en prueba nula.

📍

SCANDO UP Global Legal · Madrid

Despacho boutique especialista en IA, RGPD, AI Act y derechos digitales de empleados para empresas tech, SaaS y startups. Santa Engracia, 17, Madrid (28010). Auditoría de cumplimiento de IA en RRHH y vigilancia digital. Atención presencial y remota en toda España.

Lo que cambia cuando tienes el cumplimiento de IA en RRHH en orden

Puedes usar las herramientas de IA más potentes del mercado para gestionar personas sin exposición regulatoria. Puedes responder en horas a un requerimiento de la AEPD o a una denuncia de un empleado porque tienes la documentación preparada. Puedes presentar tu data room a un inversor sin que la capa de RRHH digital sea un problema. Y puedes defender la validez de los datos de rendimiento en un conflicto laboral porque han sido obtenidos de forma legal.

¿Tu empresa usa IA en RRHH o monitoriza empleados sin haber resuelto la capa legal?

Evaluación gratuita de 30 minutos. Auditamos tu situación y te decimos qué herramientas están en riesgo y qué tienes que documentar antes de agosto. Despacho en Madrid, Santa Engracia 17.

Reservar evaluación gratuita 📞 +34 603 597 478

Álvaro Ruipérez Candón · Abogado especialista en IA, RGPD y Derecho Digital
SCANDO UP Global Legal · Santa Engracia, 17 · Madrid 28010

Preguntas frecuentes sobre IA en RRHH y vigilancia digital de empleados en España

Sí, pero con obligaciones estrictas. El AI Act clasifica los sistemas de IA en selección de personal como alto riesgo. Las obligaciones incluyen informar al candidato del uso de IA, realizar una EIPD previa, garantizar que el sistema no genera discriminación, ofrecer revisión humana de las decisiones y documentar todo el proceso. El análisis emocional y el reconocimiento facial en entrevistas están expresamente prohibidos por el AI Act.
El artículo 22 del RGPD reconoce el derecho a no ser objeto de decisiones basadas exclusivamente en tratamiento automatizado con efectos jurídicos. El artículo 64 bis del Estatuto de los Trabajadores obliga a informar a los representantes de los trabajadores sobre los algoritmos que afectan a las condiciones de trabajo. El artículo 89 de la LOPDGDD regula el derecho a la desconexión digital. El AI Act añade el derecho a ser informado cuando un sistema de IA de alto riesgo interviene en decisiones sobre el empleado, con derecho a revisión humana.
Depende de cómo se haga. Es legal si se respeta el principio de proporcionalidad, se informa previamente de forma explícita y detallada, existe base legal bajo el RGPD, no se toman decisiones exclusivamente automatizadas sobre el empleado, y se garantiza supervisión humana. Es ilegal si la monitorización es desproporcionada, continua sin justificación, o si los datos se usan para decisiones disciplinarias sin el procedimiento adecuado.
El derecho a la desconexión digital garantiza que el trabajador no está obligado a atender dispositivos, correos o sistemas de mensajería profesional fuera de su tiempo de trabajo. Las empresas están obligadas a elaborar una política interna de desconexión digital, negociarla con la representación de los trabajadores, y no enviar comunicaciones profesionales fuera del horario laboral de forma sistemática. La vulneración puede ser infracción grave bajo la LISOS, con sanción de entre 751 y 7.500 euros por infracción, más posibles reclamaciones por daños morales.
Con limitaciones. El Tribunal Supremo ha establecido que la empresa puede monitorizar los correos corporativos si ha informado previamente de forma explícita de esa posibilidad, si existe una política de uso aceptable del correo corporativo que excluya el uso personal, y si el acceso es proporcional y justificado. Si el empleado usa el correo corporativo para comunicaciones personales sin que se le haya informado de la prohibición, el acceso puede vulnerar el secreto de las comunicaciones.
Es legal con condiciones estrictas: debe existir base legal, los empleados deben ser informados mediante el distintivo visible exigido por la AEPD y mediante aviso explícito, las cámaras no pueden instalarse en zonas de descanso, vestuarios o baños, y el alcance debe ser proporcional a la finalidad. La grabación de audio requiere justificación reforzada adicional. El Tribunal Supremo ha anulado despidos basados en grabaciones obtenidas de forma ilegal o desproporcionada.
La AEPD tramita la denuncia, puede iniciar actuaciones de investigación y requerir documentación a la empresa. Si detecta indicios de infracción, abre procedimiento sancionador. Las sanciones pueden incluir apercibimiento si la infracción es leve y la empresa corrige; multa de hasta 300.000 euros si la infracción es grave bajo la LOPDGDD; hasta 20 millones de euros o el 4% de la facturación mundial si la infracción afecta a principios básicos del RGPD. Además, el empleado puede acudir a la jurisdicción social para reclamar daños morales.
Á
Álvaro Ruipérez Candón Abogado especialista en IA, RGPD y Derechos Digitales · Fundador de SCANDO UP Global Legal · Docente en ISDE Law & Business School · Madrid

Experto en Derecho Digital y negocios tecnológicos. Datos e IA. Abogado estratégico para empresas Tech, IA y SaaS que diseña la infraestructura legal que permite vender, desplegar IA y escalar sin fricción ni sanciones (AIM Integrity™).

APTIE Confilegal Europapress ISDE Law & Business School