En Recursos Humanos, la protección de datos no es “un papel más”: es lo que separa una gestión moderna (y segura) de un susto en forma de reclamación, inspección o conflicto laboral. Y en 2026 el reto es doble, porque RR. HH. ya no solo maneja currículums y nóminas: también usa herramientas de IA, instala (o hereda) videovigilancia y mide el rendimiento con sistemas cada vez más finos.
En COEM Abogados lo vemos a diario: empresas que quieren hacer las cosas bien, pero se encuentran con dudas prácticas. ¿Podemos usar IA para filtrar candidaturas? ¿Dónde está el límite de las cámaras? ¿Qué se puede medir en una evaluación del desempeño sin pasarse? Vamos al grano.
Marco legal clave en 2026 para RR. HH
Para que un tratamiento de datos en RR. HH. sea sólido, necesitamos que encaje en tres ideas muy simples:
- Base jurídica clara: normalmente será la ejecución del contrato, una obligación legal o el interés legítimo (bien justificado). El consentimiento, en el entorno laboral, suele ser “delicado” porque no siempre es libre de verdad.
- Transparencia: la plantilla y las candidaturas deben saber qué datos tratamos, para qué, durante cuánto tiempo, con quién los compartimos y cómo pueden ejercer derechos. Sin esa información, todo se tambalea.
- Proporcionalidad: no vale “porque podemos”. Vale “porque lo necesitamos” y con el mínimo impacto posible.
Y, ojo, si hablamos de IA en empleo, hay un extra importante: el Reglamento Europeo de IA (AI Act) ya está publicado y marca obligaciones relevantes, especialmente en usos laborales (clasificados como áreas sensibles). La Comisión Europea indicó que la mayoría de sus normas empezarán a aplicarse el 2 de agosto de 2026.
IA en RR. HH.: selección, cribado y decisiones automatizadas sin meterse en líos
La IA en RR. HH. suele entrar por tres puertas:
- Cribado de CVs y ranking de candidatos
- Chatbots o entrevistas automatizadas
- Modelos de predicción (rotación, desempeño, “encaje cultural”, etc.)
Aquí la pregunta no es si se puede usar IA, sino cómo usarla con garantías.
1) No todo vale: cuidado con el “perfilado” y las decisiones automáticas
Si el sistema puntúa, clasifica o perfila a una persona (candidata o empleada) y eso influye de forma relevante en una decisión, hay que tratarlo con especial mimo. En la práctica, recomendamos:
- Mantener intervención humana real en decisiones sensibles (contratación, despido, sanciones, promociones).
- Poder explicar criterios: no hace falta “revelar el secreto industrial”, pero sí justificar con lógica y coherencia qué se está evaluando y por qué.
2) Minimización y sesgos: lo que no necesitas, no lo pidas
La IA “traga” datos. RR. HH. no debería. Cuantos más datos metemos (y más personales), más riesgo. Además, los sesgos existen: por género, edad, origen, discapacidad… Por eso, a nivel de cumplimiento, conviene documentar:
- Qué variables se usan y cuáles se excluyen.
- Cómo se revisa el impacto discriminatorio.
- Qué controles existen para evitar resultados injustos.
La AEPD tiene documentación específica para adecuar tratamientos con componentes de IA al RGPD y habla de gestión del riesgo y enfoque de cumplimiento real.
3) Proveedores de IA: contrato, instrucciones y seguridad
Si usas una herramienta externa (ATS con IA, plataforma de evaluación, etc.), no basta con “aceptar términos”. En RR. HH. esto suele exigir:
- Contrato de encargo del tratamiento (y subencargados claros).
- Medidas de seguridad, ubicación de datos, y reglas de conservación.
- Política interna de uso (especialmente si hay IA generativa en procesos). La propia AEPD ha publicado documentos sobre uso responsable de IA generativa en entornos organizativos.
Videovigilancia laboral: cómo hacerlo bien (y dónde suele fallar)
La videovigilancia en el trabajo es uno de los temas con más fricción: seguridad vs. intimidad. Y aquí hay reglas muy concretas.
1) Finalidad y proporcionalidad: “cámaras sí”, pero con límites
Instalar cámaras puede ser legítimo por motivos de seguridad o control, pero siempre con enfoque proporcional. La LOPDGDD regula expresamente el derecho a la intimidad frente a videovigilancia en el lugar de trabajo (art. 89).
Un límite especialmente claro: no se pueden colocar cámaras en zonas de descanso (vestuarios, aseos, comedores y similares).
2) Información: el cartel no es un adorno
En videovigilancia, la información debe ser evidente: señalización, identidad del responsable y referencia a derechos. La AEPD lo recoge en su guía de videovigilancia (actualizada en 2025).
3) Conservación: el “para siempre” no existe
Regla práctica muy habitual: máximo 30 días, salvo que haya un hecho concreto que justifique conservar más tiempo (por ejemplo, un incidente que deba investigarse).
4) Audio y usos “creativos”: terreno pantanoso
Grabar sonido en el entorno laboral es mucho más intrusivo. Si alguien te propone “poner audio por si acaso”, nuestra recomendación suele ser frenar y replantear: el riesgo es alto y la justificación debe ser muy sólida.
Evaluación de desempeño y analítica de personas: medir bien sin invadir
La evaluación del desempeño es necesaria: objetivos, calidad, productividad, feedback… El problema aparece cuando se cruza una línea: convertir la evaluación en vigilancia permanente o en perfiles que nadie entiende.
1) Qué datos son razonables (y cuáles son una mala idea)
Normalmente es defendible tratar datos vinculados a:
- Cumplimiento de objetivos y resultados
- Calidad del trabajo, plazos, incidencias
- Formación, competencias, evaluaciones 360º (bien diseñadas)
Lo que suele ser mala idea (o exige una justificación muy fuerte):
- Métricas hipergranulares de actividad (cada clic, cada pausa, cada minuto)
- Inferencias sobre estado emocional, “actitud” o rasgos sensibles sin base clara
- Rankings opacos que afectan a salario o continuidad sin explicación
2) Transparencia interna: que la plantilla sepa a qué juega
La evaluación debe ser comprensible: qué se mide, cómo se mide, quién lo ve, cuánto tiempo se guarda y cómo se puede discutir un resultado. Esto reduce conflictos y refuerza el cumplimiento.
3) Si hay algoritmos, hay deber de información (también colectivamente)
En España existe un deber de información a la representación legal de las personas trabajadoras sobre los parámetros, reglas e instrucciones de algoritmos o sistemas de IA que influyan en decisiones que afecten condiciones de trabajo, acceso o mantenimiento del empleo, incluida la elaboración de perfiles (art. 64.4.d ET).
Checklist práctico: lo que nosotros revisaríamos antes de activar IA, cámaras o evaluaciones
Si quieres una hoja de ruta clara, aquí va un checklist que usamos mucho:
- Inventario de tratamientos: qué herramientas usas y qué datos tocan.
- Cláusulas informativas actualizadas para candidaturas y plantilla.
- Base jurídica bien aterrizada (y test de interés legítimo si aplica).
- Plazos de conservación definidos (y cumplidos de verdad).
- Accesos limitados: RR. HH. no es “barra libre”.
- Encargos a proveedores y evaluación de subencargados.
- Evaluación de impacto (EIPD/DPIA) cuando el riesgo lo aconseje (IA, vigilancia intensiva, perfilados relevantes).
- Canal de ejercicio de derechos ágil (acceso, oposición, supresión, etc.).
- Política interna: uso de IA, uso de dispositivos, videovigilancia y criterios de evaluación.
Errores típicos que vemos en empresas (y que se pagan caros)
- Instalar cámaras sin información correcta o con finalidades difusas (“por si acaso”).
- Usar IA para filtrar candidatos sin poder explicar criterios o sin supervisión humana real.
- Medir desempeño con herramientas “black box” que generan desconfianza y conflicto.
- Conservar datos más de lo necesario “porque ocupa poco”.
- No alinear RR. HH. + IT + Compliance: cuando cada uno va por su lado, siempre hay grietas.
RR. HH. puede ser digital, pero con garantías
La clave en 2026 no es renunciar a la IA, ni quitar la videovigilancia, ni dejar de hacer evaluación de desempeño. La clave es hacerlo con una lógica impecable: finalidad clara, transparencia real y medidas proporcionales. Cuando eso está bien armado, RR. HH. gana en eficiencia y la empresa reduce riesgos, conflictos y sorpresas.
