El AI Act ya aplica a tu empresa: ¿tienes un protocolo Human-in-the-Loop documentado?

Por David Hurtado
Chief Possibility Officer (CPO) Fundador — Integrity-Led Futures | Integridad Artificial
Maestrando en Diseño de Futuros | Especialista en IA, Ciencia de Datos y Arquitecto de Soluciones

El 2 de agosto de 2024, el Reglamento de Inteligencia Artificial de la Unión Europea — el AI Act, Reglamento (UE) 2024/1689 — entró en vigor. Es el marco regulatorio de inteligencia artificial más comprehensivo del mundo, y su alcance extraterritorial significa que afecta a organizaciones que operan fuera de Europa cuando sus sistemas de IA impactan a personas en territorio europeo, cuando sus productos o servicios llegan a mercados europeos o cuando forman parte de cadenas de suministro que incluyen organizaciones europeas.

En América Latina, la percepción generalizada entre directivos es que el AI Act es un asunto europeo que no los afecta. Esa percepción es incorrecta. Y el costo de mantenerla puede ser significativo.

Qué dice exactamente el AI Act sobre la gestión laboral

El AI Act establece cuatro categorías de riesgo para los sistemas de IA: riesgo inaceptable (prohibidos), alto riesgo (regulados con obligaciones específicas), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin regulación específica).

Los sistemas de IA de "alto riesgo" en el contexto laboral incluyen, explícitamente:

  • Sistemas usados para el reclutamiento y selección de personal, incluyendo el análisis de candidatos y la toma de decisiones de contratación.
  • Sistemas usados para evaluación del desempeño de empleados, incluyendo sistemas de monitoreo y puntuación.
  • Sistemas usados para promociones, terminaciones y asignación de tareas en entornos laborales.
  • Sistemas usados para monitoreo y vigilancia del comportamiento de trabajadores en entornos de trabajo.

La clasificación como "alto riesgo" conlleva obligaciones específicas que las organizaciones que usan estos sistemas deben cumplir, independientemente de si son el desarrollador del sistema o el "usuario" (implementador) del mismo.

Las obligaciones concretas para los "usuarios" de IA de alto riesgo

El AI Act distingue entre "proveedores" (quienes desarrollan y comercializan sistemas de IA) y "usuarios" (quienes los implementan en sus operaciones). Las organizaciones que compran e implementan sistemas de gestión algorítmica de RRHH son "usuarios" en el sentido del Reglamento, y como tales tienen obligaciones específicas:

Obligación 1 — Supervisión humana (Artículo 14): los usuarios de sistemas de IA de alto riesgo deben garantizar la "supervisión humana adecuada durante el período de uso". Específicamente, deben garantizar que:

  • Las personas asignadas a supervisar el sistema han recibido formación adecuada sobre su funcionamiento y sus limitaciones.
  • El sistema puede ser pausado, interrumpido o revertido por un ser humano cuando sea necesario.
  • Existe un mecanismo efectivo de intervención humana que no depende del consentimiento del proveedor.

Esta es la base regulatoria del Human-in-the-Loop en el AI Act. No es una aspiración. Es una obligación.

Obligación 2 — Monitoreo del sistema (Artículo 26): los usuarios deben monitorear el funcionamiento del sistema de IA de alto riesgo durante su operación y reportar al proveedor cualquier "incidente serio" o funcionamiento no conforme con las instrucciones de uso.

Obligación 3 — Gestión de datos (Artículo 10 aplicado a usuarios): los usuarios que tienen influencia sobre los datos de entrada del sistema — lo que es el caso en cualquier organización que aporta datos históricos de empleados al sistema de evaluación — tienen responsabilidades sobre la calidad y representatividad de esos datos.

Obligación 4 — Registro de actividad: los sistemas de IA de alto riesgo deben mantener registros automáticos de sus operaciones. Los usuarios deben conservar esos registros durante el período legalmente establecido (no menor a un año) y ponerlos a disposición de las autoridades cuando sean requeridos.

Obligación 5 — Información a los trabajadores afectados: cuando un sistema de IA toma o influye en decisiones que afectan significativamente a trabajadores, estos deben ser informados de ello de manera comprensible.

El alcance extraterritorial que las empresas latinoamericanas subestiman

El AI Act aplica extraterritorialmente en tres escenarios que son más comunes de lo que parece:

Escenario A — Empresas que exportan a Europa: si una empresa colombiana, mexicana o argentina exporta servicios de BPO, tecnología, manufactura o consultoría a clientes europeos, y los trabajadores que producen esos servicios están bajo gestión algorítmica, el AI Act puede aplicar a esos sistemas si los clientes europeos son considerados co-responsables de las condiciones de trabajo de la cadena de suministro.

Escenario B — Subsidiarias de empresas europeas: las filiales latinoamericanas de empresas con sede en Europa están sujetas a las políticas globales de su casa matriz, que cada vez más incluyen cumplimiento del AI Act como estándar mínimo global, independientemente de la jurisdicción de la filial.

Escenario C — Proveedores de sistemas europeos: si la organización latinoamericana usa software de gestión de RRHH desarrollado por una empresa europea (SAP, Workday, Oracle HCM entre otros), el proveedor tiene obligaciones bajo el AI Act que incluyen proporcionar documentación técnica, cláusulas de explicabilidad y mecanismos de supervisión humana. Las organizaciones que usan esos sistemas se benefician (y están vinculadas) a esas obligaciones.

Qué debería estar en un protocolo HITL documentado

Un protocolo de Human-in-the-Loop que cumpla con el estándar del AI Act — y que pase una auditoría de Integridad Artificial — tiene siete elementos mínimos:

1. Definición de decisiones críticas: una lista explícita de las categorías de decisiones del sistema que requieren supervisión humana obligatoria antes de ejecutarse (evaluaciones que activan consecuencias disciplinarias, recomendaciones de desvinculación, alertas de bajo rendimiento que afectan bonos o asignaciones).

2. Identificación de supervisores responsables: nombre del cargo (no necesariamente la persona, para no invalidar el protocolo con cada cambio de personal) con responsabilidad de supervisión para cada categoría de decisión.

3. Requisitos de formación: descripción del proceso de formación que el supervisor debe completar para poder ejercer la función de supervisión con comprensión real del sistema.

4. Tiempo máximo de revisión: el plazo máximo dentro del cual el supervisor debe revisar y validar (o revertir) una decisión crítica antes de que esta sea ejecutada.

5. Procedimiento de reversión: descripción paso a paso de cómo un supervisor ejerce efectivamente su derecho a revertir una decisión del sistema, incluyendo qué formularios o registros debe generar.

6. Registro de supervisión: el sistema de registro de todas las supervisiones realizadas, con indicación de si la decisión fue validada o revertida y los fundamentos de la revisión.

7. Procedimiento de escalamiento: qué ocurre cuando el supervisor no tiene certeza sobre la corrección de la decisión del sistema; a quién puede escalar y en qué plazo.

El cronograma de cumplimiento

El AI Act tiene un calendario de implementación por fases. Las obligaciones para sistemas de IA de alto riesgo en entornos laborales están en plena aplicación desde agosto de 2026 para los proveedores, con extensiones para usuarios que van siendo absorbidas en los contratos y condiciones de uso de los sistemas.

Para las organizaciones en América Latina que no están todavía dentro del alcance directo del Reglamento, el horizonte regulatorio local se está moviendo en la misma dirección. Colombia, México, Brasil y Chile tienen proyectos de regulación de IA en distintos estadios de avance que en todos los casos se inspiran significativamente en el modelo europeo.

La pregunta no es si vendrá la regulación. La pregunta es si la organización estará preparada cuando llegue. Y prepararse ahora, en un entorno todavía pre-regulatorio, tiene el doble beneficio de reducir el riesgo y de posicionarse como empresa líder en integridad algorítmica antes de que el mercado lo exija.

Referencias

European Parliament. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L 1689.

Future of Life Institute. (2024). A summary of the EU AI Act. https://futureoflife.org/ai-policy/eu-ai-act/

KPMG. (2024). EU AI Act: Implications for employers and HR systems. KPMG International.

Mildebrath, H., & Schou-Zibell, L. (2024). The EU AI Act and its global implications. European Parliamentary Research Service.

OECD. (2023). OECD framework for the classification of AI systems. OECD Publishing.

Vleugels, W., De Witte, H., & Forrier, A. (2025). Algorithmic management and psychological distress at work. International Archives of Occupational and Environmental Health, 98(2), 145–162. https://doi.org/10.1007/s00420-025-02180-5

World Economic Forum. (2024). Navigating the AI Act: A guide for business leaders. WEF.