IA Local en RRHH: RGPD Art. 22 y Cribado de Candidatos

IA en Selección de Personal: un equilibrio jurídico delicado

Los Recursos Humanos son uno de los ámbitos más sensibles para el despliegue de IA. Los currículos y cartas de presentación contienen una capa densa de datos personales y, con frecuencia, también datos de categoría especial según el Art. 9 RGPD: indicios de estado de salud, origen étnico, afiliación religiosa u opiniones políticas inferidas de cargos o asociaciones pasadas.

Los LLM locales ofrecen una vía pragmática: apoyo basado en IA para el cribado de candidatos, sin que los datos personales abandonen la infraestructura propia. Pero el paso requiere algo más que instalar Ollama: exige entender qué permite realmente el RGPD.

Esta guía resume, según nuestra interpretación del texto reglamentario, qué está permitido, qué es arriesgado y qué está prohibido.

Art. 22 RGPD: qué dice realmente

El Art. 22 RGPD prohíbe las decisiones basadas exclusivamente en el tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente a la persona — salvo que sea aplicable una de las excepciones del apartado 2.

En el contexto de selección de personal, esto significa: si un algoritmo descarta definitivamente una candidatura sin que ningún ser humano haya revisado la decisión, es probable que se incurra en una infracción — a menos que:

• la decisión sea necesaria para la celebración de un contrato y se hayan adoptado garantías adecuadas,
• una norma nacional la autorice expresamente, o
• el interesado haya prestado su consentimiento explícito.

Incluso cuando sea aplicable una excepción, la organización debe garantizar al interesado el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión (Art. 22.3 RGPD).

La conclusión práctica: IA como herramienta de apoyo en el primer cribado — sí. IA como único decisor sobre quién avanza — no.

Cabe también seguir de cerca el Reglamento de IA de la UE: los sistemas de IA para la selección automatizada de candidatos caen, según nuestra interpretación, en la categoría de alto riesgo (Anexo III, n.º 4). Las obligaciones de operador correspondientes fueron aplazadas por el Omnibus Digital de mayo de 2026 hasta 2027–2028, pero deben incorporarse al diseño del sistema desde el principio.

Datos de categoría especial: Art. 9 RGPD

Si un LLM local evalúa un currículo y extrae conclusiones — explícitas o implícitas — a partir de la nacionalidad, nombres de origen identificable, enfermedades mencionadas o membresías religiosas, entra en juego el Art. 9 RGPD. El tratamiento de datos de categoría especial exige en la mayoría de los casos consentimiento explícito u otra base jurídica restrictiva.

La solución más segura: preprocesamiento estructural antes de la entrada al LLM. Fotos, fechas de nacimiento y cualquier campo sensible según el Art. 9 se eliminan mediante una pipeline de parsing antes de que el modelo vea el texto.

Por qué los LLM locales son la opción conforme con el RGPD

Enviar currículos a una API en la nube — sea de OpenAI, Anthropic u otro proveedor — implica transmitir datos personales a un tercero. Eso genera obligaciones inmediatas:

1. Contrato de encargo de tratamiento conforme al Art. 28 RGPD con el proveedor
2. Escrutinio de la transferencia internacional (Capítulo V RGPD) — especialmente si los servidores están fuera del EEE
3. Riesgo de que los datos se usen para entrenar modelos, salvo prohibición contractual expresa

Con un LLM local en servidor propio o Mac Studio M3 Ultra, todo esto desaparece. Los datos no salen de la red corporativa. No hay transferencia internacional ni contrato de encargo de tratamiento con el proveedor del modelo necesario. La responsabilidad bajo el RGPD recae íntegramente en la empresa — estructuralmente más sencillo y jurídicamente más sólido.

Especialistas en X señalan que los costes de cumplimiento del RGPD y la Ley de IA son un «coste fijo que solo los grandes pueden asumir sin problemas». Los stacks de IA local pueden invertir esa dinámica para las pymes: la misma funcionalidad con mucho menos carga regulatoria.

Guía práctica: análisis de candidaturas con LLM local conforme al RGPD

Paso 1: Garantizar la decisión final humana

Toda salida del modelo es un apoyo a la decisión, no la decisión en sí. El flujo de trabajo debe documentar que una persona ha revisado la recomendación del modelo y ha emitido un juicio independiente. Sin este registro, el Art. 22.1 RGPD resulta de aplicación.

Paso 2: Minimización de datos antes del LLM

Construya una pipeline de preprocesamiento que:

• Extraiga y descarte fotos
• Filtre fechas de nacimiento, nacionalidad, afiliación religiosa
• Opcionalmente seudonimice nombres (para cribado ciego)

Paso 3: Elección del modelo para tareas de RRHH

Para el análisis de currículos en hardware local, los siguientes modelos han mostrado buen rendimiento según mediciones reportadas por la comunidad:

• Qwen2.5 7B vía Ollama: salida JSON estructurado fiable, 20–40 tok/s reportados en Apple Silicon
• Llama 3.2 3B: muy rápido para clasificaciones simples, funciona en Mac Mini con 8 GB de RAM
• Phi-4 Mini (3,8B): buena calidad de razonamiento para formatos de solicitud normalizados y salida estructurada

Paso 4: Diseño del prompt sin sesgos

El prompt de sistema debe prohibir explícitamente que el modelo extraiga conclusiones sobre características protegidas:

Evalúa únicamente las cualificaciones profesionales, la experiencia laboral 
y las habilidades descritas. No extraigas conclusiones sobre edad, género, 
origen étnico, religión ni ninguna otra característica protegida.

Paso 5: Comité de empresa (ET Arts. 64 y ss.)

Las organizaciones con comité de empresa están obligadas, conforme al Estatuto de los Trabajadores (Arts. 64 y ss.), a informar y consultar al comité sobre la implantación de nuevas tecnologías que afecten a las condiciones de trabajo. Según nuestra interpretación, un sistema de IA para el cribado de candidatos entra en este ámbito. Recomendación: consultar al comité antes de la puesta en producción.

Paso 6: Evaluación de Impacto en la Protección de Datos (EIPD, Art. 35 RGPD)

El cribado automatizado de candidatos con función de puntuación probablemente exija una EIPD según nuestra interpretación del Art. 35 RGPD. La Agencia Española de Protección de Datos (AEPD) ha publicado una lista de tratamientos que requieren EIPD; las decisiones automatizadas en el ámbito laboral y de empleo figuran en ella de forma explícita.

Qué está permitido y qué no

Kit Digital: financiar la IA local en RRHH

La implantación de soluciones de IA local conformes con el RGPD puede financiarse mediante el Kit Digital, la ayuda de hasta 29.000 € del Gobierno de España para la digitalización de pymes y autónomos. La categoría «Inteligencia Artificial y Analítica» — disponible para empresas de 3 a 50 empleados — es compatible con soluciones de IA local que procesan datos internos sin depender de servicios en la nube.

La IA local encaja especialmente bien con esta categoría porque elimina los riesgos de transferencia de datos internacionales que plantean las APIs de terceros, lo que facilita la justificación de la inversión frente al organismo gestor.

Más información en nuestra página de Kit Digital, en nuestra visión general de IA local, en soberanía de datos y en el toolkit kAIra.

Próximos pasos

La IA en RRHH es jurídicamente viable — con un diseño de proceso claro, minimización de datos y responsabilidad humana final. Los LLM locales eliminan los riesgos de privacidad más agudos: los datos personales nunca salen de la red corporativa. La dependencia de la nube desaparece por completo.

Si desea explorar cómo podría ser un sistema de IA para RRHH conforme al RGPD para su organización, póngase en contacto con nosotros — acompañamos el proceso completo desde la EIPD hasta la infraestructura y la puesta en marcha.