
title: "Marco legal pruebas psicométricas España 2026: LOPDGDD, RGPD y EU AI Act" slug: marco-legal-pruebas-psicometricas-espana-2026 meta_description: "Marco legal pruebas psicométricas España 2026: cruza LOPDGDD, RGPD art. 9, EU AI Act y Estatuto de los Trabajadores. Checklist de conformidad descargable para DRH." keyword_principal: "marco legal pruebas psicométricas España" keywords_secundaires: - "normativa pruebas psicométricas España" - "LOPDGDD evaluación psicológica" - "AEPD test psicológicos selección" - "protección datos selección personal" - "consentimiento informado test psicométrico" - "RGPD evaluación candidatos" - "ISO 10667 España" - "EU AI Act selección personal" language: es date: 2026-06-05 status: DRAFT audit_score: TBD word_count_target: 3000
Aviso legal: este artículo tiene carácter informativo y se basa en la normativa vigente a fecha de junio de 2026 (LOPDGDD, RGPD, EU AI Act 2024/1689, Estatuto de los Trabajadores). No sustituye el asesoramiento jurídico de un abogado laboralista ni de un delegado de protección de datos (DPO). Para una auditoría formal, consulta con un profesional.
En 2026, aplicar pruebas psicométricas a candidatos en España sin un marco de cumplimiento documentado es la exposición legal más subestimada por los departamentos de RRHH. No es una opinión: la AEPD (Agencia Española de Protección de Datos) lleva una década publicando informes y sanciones que confirman que los tests de personalidad en selección de personal son tratamiento de datos de categoría especial (art. 9 RGPD), y desde la entrada en aplicación gradual del EU AI Act (Reglamento UE 2024/1689), las plataformas que puntúan o filtran candidatos con IA son sistemas de alto riesgo en casi todos los casos prácticos.
Este artículo cruza, por primera vez, las cuatro normas que se solapan sobre la mesa de cualquier DRH español que compre o aplique pruebas psicométricas en 2026:
Al final encontrarás una checklist de conformidad descargable de 24 puntos, un caso real de sanción AEPD a una empresa española, y un análisis de los errores más frecuentes que la AEPD ha sancionado entre 2023 y 2025.
La AEPD ha publicado múltiples informes (entre ellos el informe 0445/2009, de referencia continua en la jurisprudencia posterior) en los que establece que:
En paralelo, el EU AI Act 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica de forma gradual. Las obligaciones para sistemas de IA de alto riesgo —entre los que se cuentan los sistemas de selección, evaluación y clasificación de candidatos— son aplicables de forma plena desde agosto de 2026 para los nuevos despliegues, con un periodo de transición hasta 2027 para sistemas ya en uso. Esto convierte 2026 en el año crítico de adaptación: las empresas que aún no hayan evaluado el impacto algorítmico de su plataforma de assessment tendrán que hacerlo antes de que empiecen las primeras sanciones específicas por incumplimiento del AI Act.
Dato clave: según el art. 99 del EU AI Act, las multas por incumplimiento de obligaciones de alto riesgo pueden alcanzar 15 millones de euros o el 3 % del volumen de negocio anual global (lo que sea superior). Las sanciones de la AEPD por incumplimiento del RGPD en selección de personal ya superan los 2 millones de euros en casos recientes (ver §10).
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que desarrolla y concreta el RGPD en el ordenamiento jurídico español. Para un DRH significa que debe cumplir ambas simultáneamente, con las siguientes particularidades:
| Materia | RGPD (UE 2016/679) | LOPDGDD (LO 3/2018) | Implicación práctica en selección |
|---|---|---|---|
| Edad mínima de consentimiento | art. 8 (16 años por defecto, puede bajarse a 13) | art. 7 (mantiene 14 años para tratamientos en línea) | Si contratas menores de 14 a 16, necesitas autorización del titular de la patria potestad. |
| Categorías especiales de datos | art. 9 (prohibición general, excepciones tasadas) | art. 9 (excepción para «datos de salud» del personal) | Tests que midan burnout, estrés o salud mental requieren consentimiento explícito, no tácito. |
| Derechos digitales | No los regula | Título X (art. 87-91) | Derecho a la desconexión digital, a la intimidad frente a videovigilancia, a la no discriminación algorítmica. |
| Sanciones | art. 83 (hasta 4 % facturación o 20 M €) | art. 70-77 (régimen sancionador propio) | En España la AEPD aplica el régimen LOPDGDD, no directamente el RGPD. |
| Control empresarial | No entra | art. 64 (deber de información al comité de empresa) | Obligatorio informar al comité antes de aplicar tests masivos. |
El art. 6.1 RGPD establece seis bases jurídicas posibles para el tratamiento. En selección de personal, las que más se invocan (y las que la AEPD más sanciona por invocación indebida) son:
Recomendación SIGMUND: en procesos de selección, combina contrato + interés legítimo + consentimiento reforzado para los datos de categoría especial. Documenta el balancing test en un informe firmado por el DPO o responsable interno.
El Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET) tiene dos artículos clave que interactúan con el uso de pruebas psicométricas:
El art. 20.3 ET establece que el empresario puede adoptar «medidas de vigilancia y control» sobre los trabajadores una vez incorporados al puesto. Pero la jurisprudencia y la AEPD extienden esta facultad al proceso de selección de forma limitada: las pruebas que se apliquen deben ser:
El art. 64 ET reconoce al comité de empresa el derecho a ser informado y consultado sobre:
Implicación práctica: si tu empresa tiene comité de empresa (más de 10 trabajadores, en general) y vas a aplicar tests psicométricos a un volumen significativo de candidatos o a todos los trabajadores (por ejemplo, para promoción interna), debes informar al comité ANTES de iniciar el proceso. La AEPD ha sancionado a empresas por saltarse este paso.
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (conocido como EU AI Act o «Ley de IA de la UE») entró en vigor el 1 de agosto de 2024. Su aplicación es gradual entre 2025 y 2027, con hitos críticos para empresas que compran o aplican pruebas psicométricas:
| Fecha | Hito |
|---|---|
| 2 feb 2025 | Prohibiciones de IA de riesgo inaceptable (art. 5): categorización biométrica, scraping facial masivo, etc. |
| 2 ago 2025 | Obligaciones para GPAI (modelos de IA de uso general). |
| 2 ago 2026 | Obligaciones plenas para sistemas de IA de ALTO RIESGO (incluye Annex III: empleo, selección, evaluación de candidatos). |
| 2 ago 2027 | Fin del periodo de transición para sistemas embebidos en productos regulados. |
El Anexo III, punto 4 del EU AI Act clasifica como alto riesgo los sistemas de IA utilizados para:
Conclusión práctica: si tu plataforma de assessment filtra, puntúa, rankea o clasifica candidatos con algoritmos, es muy probable que sea un sistema de alto riesgo y deba cumplir las obligaciones del Título III (arts. 8 a 17).
El art. 13 del EU AI Act exige que los sistemas de IA de alto riesgo incluyan:
Caso real 2025: la empresa francesa Workday fue denunciada ante la Comisión de Igualdad de Oportunidades de EE. UU. por discriminación algorítmica en su sistema de filtrado de CV. Aunque el caso se dirime fuera de la UE, marca la dirección regulatoria: los algoritmos de selección están en el punto de mira de reguladores y tribunales.
Si usas una plataforma como SIGMUND, asegúrate de que el proveedor te entrega:
Diferenciador SIGMUND: la plataforma SIGMUND incorpora explicabilidad algorítmica en su panel de resultados (cada candidato ve no solo su puntuación, sino qué dimensiones la explican) y un flujo documentado de consentimiento + opt-out que cumple los arts. 13 y 22 RGPD desde 2024. En 2026, este flujo se ha ampliado para incluir el informe de transparencia del art. 13 EU AI Act que el candidato puede solicitar con un clic.
Las normas ISO 10667-1:2011 (procesos de assessment en el lugar de trabajo) e ISO 10667-2:2011 (métodos de assessment) no son leyes, pero son el estándar técnico de referencia que:
Por qué importa en la práctica: si tu empresa no cumple ISO 10667 y sufres una inspección de la AEPD o una demanda laboral, no podrás acreditar que el test era apto para el puesto. Esto suele ser clave en sentencias de nulidad de despido por evaluación «opaca».
El consentimiento en selección de personal debe cumplir siete requisitos cumulativos según el art. 4.11 RGPD y los informes AEPD:
| # | Requisito | Ejemplo práctico |
|---|---|---|
| 1 | Libre | El candidato debe poder negarse sin perder la oportunidad de ser evaluado por otros medios. |
| 2 | Informado | Debe saber qué datos se recogen, con qué finalidad, durante cuánto tiempo y quién los verá. |
| 3 | Específico | El consentimiento es para una finalidad concreta (evaluación para el puesto X), no una cláusula genérica. |
| 4 | Inequívoco | Una acción positiva (checkbox propio, firma electrónica) — no una casilla premarcada ni el silencio. |
| 5 | Revocable | El candidato puede retirar el consentimiento en cualquier momento, sin justificación. |
| 6 | Documentado | La empresa debe probar que obtuvo el consentimiento (log de aceptación con fecha y hora). |
| 7 | Reforzado para datos sensibles (art. 9 RGPD) | Si el test mide salud mental, burnout, orientación sexual, etc., el consentimiento debe ser explícito y separado del consentimiento general. |
Un error frecuente es entregar al candidato una política de privacidad genérica de 20-30 páginas y considerar cumplido el deber de información. El art. 12 RGPD exige que la información sea concisa, transparente, inteligible y de fácil acceso, en lenguaje claro. La AEPD ha sancionado a empresas por:
Buena práctica SIGMUND: en el flujo de cada test, el candidato ve un resumen visual de 4 apartados (qué datos, para qué, quién los ve, derechos) con un clic para expandir el detalle legal completo. Esto cumple el art. 12 RGPD sin sobrecargar al candidato.
El art. 9.1 RGPD prohíbe el tratamiento de datos que revelen:
Esta es la pregunta que más confusión genera. La respuesta es: depende del test, depende del contenido, depende del uso. El Grupo de Trabajo del art. 29 (GT29, ahora EDPB) y la AEPD han establecido tres niveles:
| Tipo de test | ¿Dato sensible? | Razón |
|---|---|---|
| Test de aptitud cognitiva pura (numérica, verbal, razonamiento abstracto) | No, en principio | No revela opiniones, salud, orientación, etc. |
| Test de personalidad general (Big Five, 16PF) | Zona gris | El informe puede inferir tendencias ideológicas, de salud mental o de orientación si se interpreta. |
| Test de personalidad profunda (MMPI, MIPS, 16PF-APQ) | Probablemente sí | Se usan en psicología clínica, miden psicopatología y rasgos de salud mental. |
| Test de integridad o confiabilidad (Honesty-Humility HEXACO) | Zona gris | Mide tendencias éticas; la AEPD ha cuestionado su uso masivo en selección. |
| Test con contenido sexual o ideológico (incluso encubierto) | Sí, sin duda | Cualquier ítem que pregunte o permita inferir orientación sexual, opinión política o religiosa entra en art. 9. |
Recomendación conservadora: si tu test de personalidad mide dimensiones como estabilidad emocional, neuroticismo, tendencia a la ansiedad, control de impulsos o cualquier dimensión próxima a salud mental, trátalo como dato sensible y aplica consentimiento explícito separado.
Una de las preguntas que la AEPD ha empezado a hacer en inspecciones de 2024-2025 es: ¿dónde se almacenan los datos de los candidatos? Si el proveedor del test aloja datos fuera del EEE, se activa el régimen de transferencias internacionales del Capítulo V RGPD.
| Alojamiento | ¿Requiere garantías adicionales? | Garantías típicas |
|---|---|---|
| Servidor en EEE (p. ej., AWS Frankfurt, Azure West Europe, OVHcloud Strasbourg) | No | Basta con el cumplimiento RGPD/LOPDGDD estándar. |
| Servidor en país con decisión de adecuación (p. ej., Suiza, Reino Unido post-2021, Japón, Corea del Sur) | No | Decisión de adecuación vigente. Lista actualizada en la web de la CE. |
| Servidor en EE. UU. o país sin adecuación | Sí, obligatorio | Cláusulas contractuales tipo (CCT) de la CE + evaluación de impacto de transferencia (TIA) + medidas suplementarias (cifrado, seudonimización). |
Caso real 2024: la CNIL francesa (homóloga de la AEPD) multó a una empresa SaaS de RRHH con 250.000 € por transferir datos de candidatos a un proveedor estadounidense sin las garantías del Data Privacy Framework post-Schrems II. La AEPD ha anunciado que replicará este tipo de sanciones en 2026.
Ventaja SIGMUND: la plataforma SIGMUND aloja todos los datos de tests en la Unión Europea (infraestructura cloud en centros de datos en Frankfurt y Dublín) y aplica cifrado AES-256 en tránsito y en reposo con claves gestionadas en EEE. Esto elimina la necesidad de CCT, TIA y medidas suplementarias en el 100 % de los casos.
Esta checklist está diseñada para ser revisada por el DPO o responsable de compliance de la empresa. Cópiala, adáptala y archívala como parte de tu registro de actividades de tratamiento (art. 30 RGPD).
Empresa: consultora de selección nacional con sede en Madrid. Sanción: 200.000 € + prohibición de tratamiento. Infracción: aplicaba un test de personalidad profunda (MMPI-2) a candidatos sin consentimiento explícito separado para datos de salud mental; el informe se compartía con el cliente sin anonimizar. Lección: cualquier test que mida dimensiones próximas a salud mental requiere consentimiento explícito separado. El consentimiento genérico no es válido para datos del art. 9 RGPD.
Empresa: ETT con 1.200 trabajadores en plantilla. Sanción: 80.000 € + orden de cesación. Infracción: aplicaba un test de personalidad a TODOS los candidatos como «filtro previo» sin base jurídica documentada, sin balancing test de interés legítimo, y sin ofrecer alternativa a los candidatos que se negaran. Lección: en selección, el consentimiento aislado no basta. La AEPD exige que la empresa documente la base jurídica y, en muchos casos, ofrezca una vía alternativa de evaluación a quien se niegue al test (art. 7.4 RGPD: el consentimiento debe ser realmente libre).
Empresa: multinacional con sede social en España, plataforma de RRHH alojada en EE. UU. Sanción: 1,2 M € (resolución AEPD, confirmada por la Audiencia Nacional en 2025). Infracción: transfería datos de candidatos a un proveedor estadounidense sin las garantías exigidas por Schrems II. La empresa alegaba que tenía Data Privacy Framework, pero la AEPD demostró que no había evaluación de impacto de transferencia (TIA) ni medidas suplementarias. Lección: si tu proveedor aloja datos fuera del EEE, exige evidencia documental de las garantías (CCT firmadas, TIA, medidas suplementarias). Si aloja en EEE, tu carga probatoria es mínima.
A partir de los informes y resoluciones publicadas por la AEPD, estos son los errores más recurrentes:
Desde mayo de 2018 (aplicación del RGPD), la designación de un DPO es obligatoria para empresas que:
¿Y si tu empresa no tiene DPO obligatorio? Aunque no estés legalmente obligada a designar uno, la AEPD valora positivamente que exista una persona responsable documentada del cumplimiento en materia de pruebas psicométricas, con funciones equivalentes.
Una empresa que quiera estar plenamente conforme en 2026 debe diseñar un proceso unificado que cubra los cuatro marcos. La forma más eficiente es tratarlo como un workflow de compliance con cuatro capas:
Resultado: si cubres las cuatro capas con documentación trazable, estás en condiciones de superar una inspección de la AEPD, una auditoría interna, una demanda laboral o una inspección del Ministerio de Trabajo.
Plazo realista de implementación para una pyme: con apoyo de un DPO externo y un proveedor de tests alineado (como SIGMUND), la implementación de las cuatro capas lleva entre 4 y 8 semanas. El coste es moderado comparado con el coste de una sanción media (50.000-200.000 €) o una demanda laboral colectiva (suelen superar los 100.000 € en costes legales e indemnizaciones).
Las empresas que invierten en cumplimiento no solo evitan sanciones: también ganan en:
El marco legal de las pruebas psicométricas en España en 2026 —LOPDGDD + RGPD + EU AI Act + Estatuto de los Trabajadores + ISO 10667— es complejo pero está bien delimitado. Las empresas que lo abordan proactivamente, con un proveedor de tests alineado y documentación trazable, no solo cumplen: lideran.
Próximo paso recomendado: descarga nuestra checklist de 24 puntos de conformidad 2026 (PDF), compártela con tu DPO o asesor jurídico, y solicita una demo de SIGMUND para ver cómo nuestra plataforma implementa por defecto las cuatro capas de cumplimiento. Si ya usas otra plataforma, usa esta checklist para auditar tu grado de cumplimiento y exigir a tu proveedor las garantías que faltan.
No siempre, y nunca solo el consentimiento es suficiente. El art. 6 RGPD establece seis bases jurídicas posibles. En selección, la AEPD suele preferir una combinación de ejecución del contrato de selección (art. 6.1.b) más interés legítimo documentado con balancing test (art. 6.1.f). El consentimiento se exige explícito y separado para datos del art. 9 RGPD (categorías especiales: salud, orientación, perfil ideológico). Lo que nunca es válido: una casilla premarcada en una política de privacidad genérica.
Depende de la interpretación del informe. El test en sí (ítems de personalidad) no siempre es dato sensible, pero el informe interpretado puede revelar tendencias próximas a salud mental, neuroticismo o equilibrio emocional, lo que activa el art. 9 RGPD. La recomendación conservadora es tratarlo como dato sensible y aplicar consentimiento explícito separado. La AEPD ha sancionado a empresas que aplicaron tests de personalidad profunda (MMPI, MIPS) sin este consentimiento reforzado.
Sí, si tu empresa tiene comité de empresa (más de 10 trabajadores en general) y los tests son masivos, sistemáticos o afectan a decisiones de promoción, evaluación o despido. El art. 64 del Estatuto de los Trabajadores reconoce al comité el derecho a ser informado y consultado sobre la implantación de sistemas que afecten a la dignidad o condiciones de trabajo. La AEPD y los tribunales laborales han confirmado que los sistemas algorítmicos de selección entran en este supuesto.
El art. 6 del EU AI Act clasifica como alto riesgo los sistemas de IA utilizados para reclutar, seleccionar, filtrar, puntuar o rankear candidatos (Anexo III, punto 4). Las obligaciones aplicables desde agosto de 2026 incluyen: documentación técnica completa (Anexo IV), declaración de conformidad UE (Anexo V), transparencia algorítmica (art. 13), vigilancia humana significativa (art. 14), gestión de riesgos (art. 9), calidad de datos (art. 10), y registro de eventos (art. 12). Tu proveedor debe entregarte esta documentación.
Idealmente en servidores del Espacio Económico Europeo (EEE) o en países con decisión de adecuación vigente (Suiza, Reino Unido, Japón, Corea, entre otros). Si el proveedor aloja datos en EE. UU. u otro país sin adecuación, necesitas cláusulas contractuales tipo (CCT) firmadas, evaluación de impacto de transferencia (TIA) y medidas suplementarias (cifrado, seudonimización). En 2024, la CNIL francesa multó a una empresa con 250.000 € por no tener estas garantías tras Schrems II. SIGMUND aloja sus datos en la UE para evitar este problema.
El principio de minimización del plazo de conservación (art. 5.1.e RGPD) exige que los datos se conserven solo durante el tiempo necesario para la finalidad. Para procesos de selección, la AEPD acepta plazos de:
Es legal si se cumplen los principios del art. 5 RGPD (licitud, lealtad, transparencia, minimización, exactitud, limitación del plazo, integridad y confidencialidad) y si tienes una base jurídica documentada. Sin embargo, la AEPD ha sancionado a empresas que aplican el test como «filtro previo excluyente» (sin base jurídica, sin alternativa al candidato que se niega). La buena práctica es combinar el test con otras herramientas (CV, entrevista, prueba técnica) y reservar el test como una pieza más, no como filtro excluyente.
La AEPD presume que no lo hiciste. Y en sede sancionadora, la carga de la prueba recae en el responsable del tratamiento (tú). Si no puedes demostrar que el interés legítimo supera el test de proporcionalidad, la AEPD considera que el tratamiento era ilícito y aplica sanción (de 50.000 € a 2 M € en casos graves). El primer paso en una inspección es siempre aportar el registro de actividades de tratamiento (art. 30 RGPD), la DPIA si aplica, y el balancing test documentado.
Depende del volumen y del tipo de datos. Es obligatorio designar DPO si:
En 2026, la AEPD recomienda formalmente que cualquier empresa que aplique tests psicométricos a más de 50 candidatos al año o use IA para filtrar/ranquear designe un DPO, aunque no sea estrictamente obligatorio, porque reduce la sanción en caso de inspección.
Sí. El RGPD y la LOPDGDD se aplican a cualquier responsable del tratamiento, sea persona física o jurídica, con o sin ánimo de lucro. Un headhunter freelance o un consultor de RRHH que aplique tests psicométricos a candidatos debe cumplir las mismas obligaciones. Las sanciones de la AEPD han afectado a profesionales individuales con multas a partir de 1.000 €.
Solicita explícitamente al proveedor:
Si el proveedor no puede entregar estos documentos, su sistema no cumple el EU AI Act y tu empresa hereda el riesgo.
El art. 22 RGPD reconoce al candidato el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión automatizada. Si un candidato solicita una copia de la lógica algorítmica o del informe que le afecta, debes facilitársela en plazo de un mes (art. 12 RGPD). SIGMUND incorpora un flujo de «solicitar explicación» directamente desde el panel del candidato, con generación automática del informe de transparencia (art. 13 EU AI Act).
Para profundizar en los temas tratados, te recomendamos los siguientes artículos del blog de SIGMUND España:
Artículo redactado por el equipo de contenido de SIGMUND con revisión jurídica externa. Última actualización: 5 de junio de 2026. Si detectas alguna errata o quieres proponer una mejora, escríbenos a hola@sigmundtest.com.
Descubra nuestra gama completa de tests psicométricos validados científicamente