La nueva normativa europea en materia de Inteligencia Artificial ha llegado para quedarse. El Reglamento Europeo de IA (RIA) entró en vigor el pasado 1 de agosto, lo que ha impulsado a empresas y organizaciones a iniciar el nuevo curso con la mirada puesta en su correcta implementación. Uno de los departamentos que más debe prestar atención a esta normativa es el de Recursos Humanos, ya que la IA está transformando de manera significativa la gestión del talento y los procesos de selección. ¿Cómo afecta el RIA a la toma de decisiones y el uso de IA dentro de los departamentos de Recursos Humanos?
Jaime Pavía, Asociado Sénior en Cuatrecasas y Experto en Derecho Laboral y de la Seguridad Social, explicaba en una sesión online organizada por Lucca, cómo la inteligencia artificial tiene un papel cada vez más relevante en la gestión de RR. HH. “Tiene un impacto significativo en todas las fases, en la contratación, gestión, toma de decisiones a partir de los datos obtenidos con IA…”, explica el experto. Esta es una realidad muy cambiante para la que los profesionales de este departamento deben estar preparados e informados.
“El RIA es nuestro escudo para poder hacer un uso de la IA que vele por nuestros derechos”, sostiene Pavía. Y es que esta normativa advierte sobre cómo el uso de la IA en RR. HH. puede perpetuar patrones históricos de discriminación hacia las mujeres, personas con discapacidad, determinados grupos de edad u orígenes sociales y étnicos concretos… Por ello, el Reglamento es explícito al afirmar que “deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en los ámbitos del empleo, la gestión de los trabajadores y el acceso al autoempleo”.
¿Qué procesos de RR. HH. son de alto riesgo y cuáles están prohibidos?
Aunque el RIA no tiene vocación de regular únicamente la IA en el ámbito laboral, lo contempla, y lo hace con el objetivo de proteger a las personas trabajadoras y de establecer límites.
Por ello, establece como práctica de alto riesgo la contratación y la selección de personal en lo que atañe a los anuncios de empleo y en análisis, filtrado y evaluación de los candidatos, así como a la toma de decisiones de incorporación. Además, el RIA también incluye la toma de decisiones que afecten a las condiciones de las relaciones de índole laboral, es decir: relacionadas con condiciones de trabajo, promoción y desarrollo profesional, asignación de tareas basadas en el comportamiento o las características de la persona; supervisión o evaluación de las personas en el marco de las relaciones contractuales de índole laboral. Por último, menciona el fin de la relación laboral, asegurando que es de alto riesgo el uso de IA en la rescisión de relaciones contractuales. En definitiva, todo aquello que condicione la toma de decisiones, ya sea previa al empleo, durante o al llegar a su fin, va a ser calificado como de alto riesgo.
La normativa europea no solo clasifica en distintos niveles de riesgo, sino que también prohíbe rotundamente algunas prácticas. El RIA impide el uso de sistemas de inteligencia artificial que se usen para el reconocimiento de emociones en el lugar de trabajo, así como la categorización biométrica para clasificar a las personas y obtener datos personales o sensibles.
El experto Jaime Pavía resalta que el propósito de este reglamento es proteger los derechos de los trabajadores, “por lo que todo elemento de IA que explote la vulnerabilidad de personas por razón de edad, situación socioeconómica, discapacidad, identidad sexual… con el fin de alterar su comportamiento o que de alguna manera les perjudique, también entra dentro de las prácticas prohibidas”.
¿Quién califica un sistema de IA como de alto riesgo?
Según el Reglamento Europeo de IA, la responsabilidad de calificar un sistema como de alto riesgo recae principalmente en el proveedor. El proveedor es la entidad que desarrolla el sistema o aquella entidad que encarga su desarrollo a un tercero pero lo introduce en el mercado bajo su propio nombre. Este proceso incluye la obligación de realizar una evaluación exhaustiva del riesgo antes de su implementación o comercialización, así como registrar el sistema en la base de datos de IA correspondiente para asegurar su cumplimiento normativo.
El RIA distingue entre el proveedor y otras figuras, como distribuidores o importadores, quienes despliegan el uso de la IA pero no son responsables de su desarrollo. Sin embargo, el reglamento cubre toda la cadena, desde quienes crean la tecnología hasta quienes la utilizan. En áreas como Recursos Humanos, donde los sistemas de IA se emplean para la selección de personal o la evaluación del desempeño, es clave garantizar que estos sistemas se utilicen bajo normativas estrictas para evitar sesgos o riesgos indebidos.
Existen casos en los que, aunque no sean los desarrolladores originales, las personas u organizaciones que utilicen un sistema de IA pueden asumir el rol de proveedor y sus responsabilidades según el RIA. Esto sucede si:
- Ponen su nombre en un sistema desarrollado por otra entidad.
- Modifican sustancialmente un sistema clasificado como de alto riesgo.
- Alteran la finalidad de un sistema que no fue inicialmente clasificado como de alto riesgo, pero cuyas modificaciones lo convierten en tal.
¿Puede cambiar la calificación de un sistema de IA?
Sí. Los sistemas de IA que involucren la elaboración o procesamiento de datos de personas físicas deben cumplir con estrictas obligaciones. Sin embargo, el reglamento prevé un mecanismo específico para que un sistema clasificado inicialmente como de alto riesgo pueda ser reevaluado. Esta revisión debe ser realizada por los organismos reguladores de IA, permitiendo que la calificación otorgada al principio sea modificada si se considera adecuado.
¿Quién es responsable del correcto uso de la IA?
El responsable del despliegue de un sistema de IA es la entidad que lo utiliza, normalmente el empleador. Cuando un sistema de IA es utilizado por los trabajadores bajo la autoridad de un empleador, este último asume la responsabilidad total sobre el funcionamiento y cumplimiento normativo del sistema.
Según exponía Jaime Pavía en su masterclass para ORH, del RIA se extraen algunas recomendaciones y obligaciones que deben seguir tanto los proveedores del sistema de IA como los responsables de su uso (las empresas que lo despliegan), entre las que se encuentran:
- Cumplimiento normativo: Asegurarse de que el sistema cumple con todas las disposiciones del RIA, desde su desarrollo hasta su uso operativo.
- Documentación técnica completa y actualizada: Mantener una documentación exhaustiva y actualizada sobre el funcionamiento, las características técnicas y los cambios realizados en el sistema de IA, garantizando así la transparencia y el cumplimiento de las normativas.
- Sistema de vigilancia posterior: Establecer un mecanismo de monitoreo continuo una vez que el sistema de IA esté en funcionamiento, para recolectar datos sobre cómo evoluciona y se comporta en la práctica. Esto es especialmente relevante porque los sistemas de IA, al ser dinámicos, pueden tener un rendimiento diferente una vez desplegados, afectando decisiones clave, como en los departamentos de Recursos Humanos, donde el sistema puede influir en contrataciones, promociones o evaluaciones de desempeño.
- Supervisión humana: Asegurar que el sistema de IA esté sujeto a una supervisión de personas competentes y con la autoridad necesaria para intervenir cuando sea necesario.
- Pertinencia de los datos: Asegurar que los datos utilizados por el sistema de IA sean pertinentes y estén alineados con la finalidad para la que el sistema fue diseñado. Es esencial que haya coherencia entre los datos introducidos y los objetivos del sistema.
- Registro y control: Mantener un archivo de registro del uso del sistema durante el tiempo necesario, permitiendo un control y seguimiento adecuado del mismo.
- Transparencia en decisiones: Informar a los trabajadores cuando estén expuestos a decisiones tomadas por un sistema de alto riesgo, para garantizar que son conscientes de los procesos involucrados.
- Valoración del impacto: En ciertos casos, realizar una valoración del impacto del sistema de IA sobre los derechos fundamentales de las personas y notificar los resultados a las autoridades competentes.
¿Qué derechos tienen los trabajadores en este ámbito?
Los trabajadores tienen una serie de derechos fundamentales en relación con el uso de sistemas de IA en el entorno laboral, diseñados para proteger su bienestar y garantizar un uso transparente y responsable de estas tecnologías.
- Alfabetización y formación: Las empresas deben proporcionar a los trabajadores una formación adecuada sobre el uso de los sistemas de IA. Esta formación debe estar alineada con la experiencia previa y la competencia técnica de los empleados, asegurando que comprendan cómo funciona la IA y cómo interactuar con ella de manera responsable y segura. Esto es clave para evitar malentendidos o mal uso de los sistemas en el lugar de trabajo.
- Derecho a ser informados: Antes de la implementación de cualquier sistema de IA, los trabajadores y sus representantes tienen derecho a ser informados sobre su uso. Este proceso de comunicación es esencial para garantizar la transparencia, permitiendo que los empleados conozcan cómo se utilizará la IA, qué decisiones tomará y bajo qué criterios funcionará, asegurando así que el sistema se emplee de acuerdo con las instrucciones establecidas y respetando los derechos laborales.
El Reglamento Europeo de IA establece un régimen sancionador específico y severo para garantizar el cumplimiento de sus obligaciones. Las sanciones por incumplimiento son significativas y se aplican de manera rigurosa.
- Prácticas prohibidas: Las infracciones relacionadas con prácticas prohibidas pueden llevar a multas de hasta 35 millones de euros o al 7% de la facturación anual global, aplicando la cantidad que sea mayor.
- Incumplimiento de requisitos y obligaciones: Para otras infracciones que no involucren prácticas prohibidas pero sí el incumplimiento de requisitos o obligaciones establecidas por el RIA, las multas pueden alcanzar hasta 15 millones de euros o el 3% de la facturación anual global, optando por la cantidad mayor. Información errónea o engañosa: Si se proporciona información errónea, incompleta o engañosa a las autoridades nacionales o a los organismos competentes tras una solicitud de información, las sanciones pueden ser de hasta 7,5 millones de euros o el 1% de la facturación anual global, aplicando la cantidad superior.