Icono del asistente
¿Puedo ayudarle? ¿Qué tipo de prueba está buscando?

Lucas Consultor SIGMUND

×
Avatar del asistente
¿Puedo ayudarle? ¿Qué tipo de prueba está buscando?
Blog de RRHH y Psicometría
BLOG RECURSOS HUMANOS & EXPERTISE

Blog RR. HH. y Psicometría

Optimice sus procesos de reclutamiento
Domine los tests psicométricos
Modernice sus evaluaciones de competencias
Revolucione las evaluaciones anuales
Aproveche los tests de aptitudes
Buenas prácticas de RR. HH. & management

Marco legal de las pruebas psicométricas en España 2026: la guía de conformidad que tu departamento de RRHH necesita

jun. 10, 2026, 09:08 Por Sam Martin
--- title: "Marco legal pruebas psicométricas España 2026: LOPDGDD, RGPD y EU AI Act" slug: marco-legal-pruebas-psicometricas-espana-2026 meta_description: "Marco legal pruebas psicométricas España 2026: cruza LOPDGDD, R

title: "Marco legal pruebas psicométricas España 2026: LOPDGDD, RGPD y EU AI Act" slug: marco-legal-pruebas-psicometricas-espana-2026 meta_description: "Marco legal pruebas psicométricas España 2026: cruza LOPDGDD, RGPD art. 9, EU AI Act y Estatuto de los Trabajadores. Checklist de conformidad descargable para DRH." keyword_principal: "marco legal pruebas psicométricas España" keywords_secundaires: - "normativa pruebas psicométricas España" - "LOPDGDD evaluación psicológica" - "AEPD test psicológicos selección" - "protección datos selección personal" - "consentimiento informado test psicométrico" - "RGPD evaluación candidatos" - "ISO 10667 España" - "EU AI Act selección personal" language: es date: 2026-06-05 status: DRAFT audit_score: TBD word_count_target: 3000


Marco legal de las pruebas psicométricas en España 2026: la guía de conformidad que tu departamento de RRHH necesita

Aviso legal: este artículo tiene carácter informativo y se basa en la normativa vigente a fecha de junio de 2026 (LOPDGDD, RGPD, EU AI Act 2024/1689, Estatuto de los Trabajadores). No sustituye el asesoramiento jurídico de un abogado laboralista ni de un delegado de protección de datos (DPO). Para una auditoría formal, consulta con un profesional.

En 2026, aplicar pruebas psicométricas a candidatos en España sin un marco de cumplimiento documentado es la exposición legal más subestimada por los departamentos de RRHH. No es una opinión: la AEPD (Agencia Española de Protección de Datos) lleva una década publicando informes y sanciones que confirman que los tests de personalidad en selección de personal son tratamiento de datos de categoría especial (art. 9 RGPD), y desde la entrada en aplicación gradual del EU AI Act (Reglamento UE 2024/1689), las plataformas que puntúan o filtran candidatos con IA son sistemas de alto riesgo en casi todos los casos prácticos.

Este artículo cruza, por primera vez, las cuatro normas que se solapan sobre la mesa de cualquier DRH español que compre o aplique pruebas psicométricas en 2026:

  1. RGPD (UE 2016/679) + LOPDGDD (Ley Orgánica 3/2018): base jurídica, datos sensibles, derechos del candidato.
  2. EU AI Act 2024/1689 (aplicación gradual 2025-2027, obligaciones críticas en 2026): clasificación de alto riesgo, transparencia algorítmica, vigilancia humana.
  3. Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015): facultades de dirección (art. 20), información al comité de empresa (art. 64).
  4. ISO 10667-1:2011 e ISO 10667-2:2011: estándar técnico de calidad en procesos de assessment (no es ley, pero es el benchmark que la AEPD cita como buena práctica).

Al final encontrarás una checklist de conformidad descargable de 24 puntos, un caso real de sanción AEPD a una empresa española, y un análisis de los errores más frecuentes que la AEPD ha sancionado entre 2023 y 2025.


1. Por qué el marco legal de las pruebas psicométricas en España no es opcional en 2026

La AEPD ha publicado múltiples informes (entre ellos el informe 0445/2009, de referencia continua en la jurisprudencia posterior) en los que establece que:

  • Los tests de personalidad, cognitivos y de aptitud aplicados en selección de personal son datos personales y, en la mayoría de los casos, datos de categoría especial (art. 9.1 RGPD: «datos que revelen opiniones políticas, afiliación sindical, datos relativos a la salud, orientación sexual, origen étnico o filosófico»). Los resultados, por su capacidad predictiva de salud mental, comportamiento bajo estrés y rasgos de personalidad profunda, entran en el perímetro del art. 9 en la mayoría de los informes jurídicos serios.
  • El responsable del tratamiento es la empresa contratante, no el proveedor del test. Esto significa que el DRH es responsable solidariamente junto al proveedor si hay una brecha.
  • La falta de base jurídica (consentimiento viciado, interés legítimo no ponderado, contrato no cumplido) es la causa número uno de sanciones en procesos de selección.

En paralelo, el EU AI Act 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica de forma gradual. Las obligaciones para sistemas de IA de alto riesgo —entre los que se cuentan los sistemas de selección, evaluación y clasificación de candidatos— son aplicables de forma plena desde agosto de 2026 para los nuevos despliegues, con un periodo de transición hasta 2027 para sistemas ya en uso. Esto convierte 2026 en el año crítico de adaptación: las empresas que aún no hayan evaluado el impacto algorítmico de su plataforma de assessment tendrán que hacerlo antes de que empiecen las primeras sanciones específicas por incumplimiento del AI Act.

Dato clave: según el art. 99 del EU AI Act, las multas por incumplimiento de obligaciones de alto riesgo pueden alcanzar 15 millones de euros o el 3 % del volumen de negocio anual global (lo que sea superior). Las sanciones de la AEPD por incumplimiento del RGPD en selección de personal ya superan los 2 millones de euros en casos recientes (ver §10).


2. LOPDGDD + RGPD: los dos textos que se leen juntos (no por separado)

2.1. La LOPDGDD no sustituye al RGPD, lo complementa

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que desarrolla y concreta el RGPD en el ordenamiento jurídico español. Para un DRH significa que debe cumplir ambas simultáneamente, con las siguientes particularidades:

Materia RGPD (UE 2016/679) LOPDGDD (LO 3/2018) Implicación práctica en selección
Edad mínima de consentimiento art. 8 (16 años por defecto, puede bajarse a 13) art. 7 (mantiene 14 años para tratamientos en línea) Si contratas menores de 14 a 16, necesitas autorización del titular de la patria potestad.
Categorías especiales de datos art. 9 (prohibición general, excepciones tasadas) art. 9 (excepción para «datos de salud» del personal) Tests que midan burnout, estrés o salud mental requieren consentimiento explícito, no tácito.
Derechos digitales No los regula Título X (art. 87-91) Derecho a la desconexión digital, a la intimidad frente a videovigilancia, a la no discriminación algorítmica.
Sanciones art. 83 (hasta 4 % facturación o 20 M €) art. 70-77 (régimen sancionador propio) En España la AEPD aplica el régimen LOPDGDD, no directamente el RGPD.
Control empresarial No entra art. 64 (deber de información al comité de empresa) Obligatorio informar al comité antes de aplicar tests masivos.

2.2. Base jurídica en selección: por qué el consentimiento NO siempre vale

El art. 6.1 RGPD establece seis bases jurídicas posibles para el tratamiento. En selección de personal, las que más se invocan (y las que la AEPD más sanciona por invocación indebida) son:

  • a) Consentimiento (art. 6.1.a): válido solo si es libre, informado, específico, inequívoco y revocable. Problema crítico en selección: si el candidato siente que el consentimiento es la única vía para acceder al puesto, no es libre (asimetría de poder). La AEPD ha reiterado en múltiples informes que, en selección, el consentimiento suele no ser la base jurídica adecuada.
  • b) Ejecución de un contrato (art. 6.1.b): válido para tratamientos necesarios para evaluar al candidato en el marco del proceso de selección, pero NO para tratamientos ulteriores (perfilar, segmentar, reusar para otras vacantes).
  • c) Cumplimiento de obligación legal (art. 6.1.c): si el puesto tiene requisitos legales (por ejemplo, certificado de antecedentes para trabajar con menores), el test que evalúe dichos requisitos puede basarse en esta base.
  • f) Interés legítimo (art. 6.1.f): el DRH puede invocarlo si supera el test de ponderación (idoneidad, necesidad, proporcionalidad, balancing test). La AEPD exige que se documente el balancing test, lo que la mayoría de empresas no hace.

Recomendación SIGMUND: en procesos de selección, combina contrato + interés legítimo + consentimiento reforzado para los datos de categoría especial. Documenta el balancing test en un informe firmado por el DPO o responsable interno.


3. Estatuto de los Trabajadores: lo que el art. 20 y el art. 64 obligan

El Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET) tiene dos artículos clave que interactúan con el uso de pruebas psicométricas:

3.1. Artículo 20 — Poder de dirección del empresario

El art. 20.3 ET establece que el empresario puede adoptar «medidas de vigilancia y control» sobre los trabajadores una vez incorporados al puesto. Pero la jurisprudencia y la AEPD extienden esta facultad al proceso de selección de forma limitada: las pruebas que se apliquen deben ser:

  • Proporcionadas al puesto (no se puede exigir un test de personalidad invasivo para un puesto administrativo sin justificación).
  • Previamente informadas (el candidato debe conocer qué se le va a aplicar, con qué finalidad y qué consecuencias tiene).
  • Reversibles (el candidato debe poder ejercer derechos ARCO-POL: acceso, rectificación, supresión, oposición, limitación, portabilidad, y oposición a decisiones automatizadas).

3.2. Artículo 64 — Información al comité de empresa

El art. 64 ET reconoce al comité de empresa el derecho a ser informado y consultado sobre:

  • La implantación y revisión de sistemas de organización del trabajo.
  • Los estudios de tiempos, establecimiento de sistemas de primas e incentivos.
  • La implantación de sistemas tecnológicos, informáticos o de inteligencia artificial que afecten a la dignidad o condiciones de trabajo.

Implicación práctica: si tu empresa tiene comité de empresa (más de 10 trabajadores, en general) y vas a aplicar tests psicométricos a un volumen significativo de candidatos o a todos los trabajadores (por ejemplo, para promoción interna), debes informar al comité ANTES de iniciar el proceso. La AEPD ha sancionado a empresas por saltarse este paso.


4. EU AI Act 2026: cómo afecta a los tests psicométricos en selección

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (conocido como EU AI Act o «Ley de IA de la UE») entró en vigor el 1 de agosto de 2024. Su aplicación es gradual entre 2025 y 2027, con hitos críticos para empresas que compran o aplican pruebas psicométricas:

4.1. Cronograma de aplicación

Fecha Hito
2 feb 2025 Prohibiciones de IA de riesgo inaceptable (art. 5): categorización biométrica, scraping facial masivo, etc.
2 ago 2025 Obligaciones para GPAI (modelos de IA de uso general).
2 ago 2026 Obligaciones plenas para sistemas de IA de ALTO RIESGO (incluye Annex III: empleo, selección, evaluación de candidatos).
2 ago 2027 Fin del periodo de transición para sistemas embebidos en productos regulados.

4.2. ¿Cuándo un test psicométrico es «alto riesgo»?

El Anexo III, punto 4 del EU AI Act clasifica como alto riesgo los sistemas de IA utilizados para:

  • Reclutar o seleccionar candidatos (filtrado de CV, screening, ranking).
  • Tomar decisiones sobre promoción, despido, asignación de tareas.
  • Evaluar el rendimiento o el comportamiento de los trabajadores.
  • Monitorear o evaluar el cumplimiento de obligaciones contractuales.

Conclusión práctica: si tu plataforma de assessment filtra, puntúa, rankea o clasifica candidatos con algoritmos, es muy probable que sea un sistema de alto riesgo y deba cumplir las obligaciones del Título III (arts. 8 a 17).

4.3. Obligaciones del art. 13 (transparencia) que tu proveedor debe cumplir

El art. 13 del EU AI Act exige que los sistemas de IA de alto riesgo incluyan:

  • Instrucciones de uso que incluyan la finalidad prevista, el nivel de precisión, robustez y ciberseguridad declarado por el proveedor.
  • Información sobre la lógica algorítmica: el candidato debe poder comprender cómo se llegó a una decisión que le afecta.
  • Capacidad de interpretación: los outputs deben ser interpretables por humanos (no cajas negras totales).
  • Vigilancia humana (art. 14): un humano debe poder revisar, revertir o ajustar la decisión algorítmica.

Caso real 2025: la empresa francesa Workday fue denunciada ante la Comisión de Igualdad de Oportunidades de EE. UU. por discriminación algorítmica en su sistema de filtrado de CV. Aunque el caso se dirime fuera de la UE, marca la dirección regulatoria: los algoritmos de selección están en el punto de mira de reguladores y tribunales.

4.4. ¿Qué debe documentar tu proveedor de tests?

Si usas una plataforma como SIGMUND, asegúrate de que el proveedor te entrega:

  1. Declaración de conformidad UE del sistema de IA (Anexo V del EU AI Act).
  2. Documentación técnica completa (Anexo IV).
  3. Informe de transparencia algorítmica que puedas entregar a los candidatos que lo soliciten.
  4. Evaluación de impacto algorítmico (AIA) conforme al art. 27 del EU AI Act.
  5. Política de vigilancia humana (cómo se asegura que un humano revisa las decisiones automatizadas).

Diferenciador SIGMUND: la plataforma SIGMUND incorpora explicabilidad algorítmica en su panel de resultados (cada candidato ve no solo su puntuación, sino qué dimensiones la explican) y un flujo documentado de consentimiento + opt-out que cumple los arts. 13 y 22 RGPD desde 2024. En 2026, este flujo se ha ampliado para incluir el informe de transparencia del art. 13 EU AI Act que el candidato puede solicitar con un clic.


5. ISO 10667: el estándar de calidad que la AEPD cita (y que tus abogados deberían conocer)

Las normas ISO 10667-1:2011 (procesos de assessment en el lugar de trabajo) e ISO 10667-2:2011 (métodos de assessment) no son leyes, pero son el estándar técnico de referencia que:

  • La AEPD cita en sus informes como buena práctica para demostrar conformidad.
  • Los tribunales laborales citan en sentencias de despido disciplinario basado en assessment.
  • Las consultoras de compliance utilizan como benchmark en auditorías.

5.1. Cinco requisitos de ISO 10667-1 que toda empresa debería implementar

  1. Acuerdo de servicios de assessment (ASA) entre la empresa y el proveedor: por escrito, con alcance, finalidad, métodos, duración, confidencialidad, subcontratación.
  2. Cualificación del personal: los psicólogos y evaluadores deben tener titulación habilitante y formación específica en el método aplicado.
  3. Validación del método: los tests deben tener estudios de validez publicados (validez predictiva, de constructo, de contenido) y baremos actualizados para la población de referencia.
  4. Informes interpretables: el candidato debe recibir un informe que pueda entender y que no se limite a un percentil o un código alfanumérico opaco.
  5. Trazabilidad: cada resultado debe ir acompañado de metadatos (fecha, hora, condiciones, versión del test) que permitan auditoría posterior.

Por qué importa en la práctica: si tu empresa no cumple ISO 10667 y sufres una inspección de la AEPD o una demanda laboral, no podrás acreditar que el test era apto para el puesto. Esto suele ser clave en sentencias de nulidad de despido por evaluación «opaca».


6. Consentimiento informado en tests psicométricos: los 7 elementos que la AEPD exige

El consentimiento en selección de personal debe cumplir siete requisitos cumulativos según el art. 4.11 RGPD y los informes AEPD:

# Requisito Ejemplo práctico
1 Libre El candidato debe poder negarse sin perder la oportunidad de ser evaluado por otros medios.
2 Informado Debe saber qué datos se recogen, con qué finalidad, durante cuánto tiempo y quién los verá.
3 Específico El consentimiento es para una finalidad concreta (evaluación para el puesto X), no una cláusula genérica.
4 Inequívoco Una acción positiva (checkbox propio, firma electrónica) — no una casilla premarcada ni el silencio.
5 Revocable El candidato puede retirar el consentimiento en cualquier momento, sin justificación.
6 Documentado La empresa debe probar que obtuvo el consentimiento (log de aceptación con fecha y hora).
7 Reforzado para datos sensibles (art. 9 RGPD) Si el test mide salud mental, burnout, orientación sexual, etc., el consentimiento debe ser explícito y separado del consentimiento general.

6.1. El error de la «política de privacidad de 30 páginas»

Un error frecuente es entregar al candidato una política de privacidad genérica de 20-30 páginas y considerar cumplido el deber de información. El art. 12 RGPD exige que la información sea concisa, transparente, inteligible y de fácil acceso, en lenguaje claro. La AEPD ha sancionado a empresas por:

  • Usar lenguaje jurídico-técnico inaccesible.
  • Esconder la información de pruebas psicométricas en la sección «otros tratamientos».
  • No traducir la información a la lengua del candidato cuando este lo solicita.
  • Omitir el derecho a presentar una reclamación ante la AEPD.

Buena práctica SIGMUND: en el flujo de cada test, el candidato ve un resumen visual de 4 apartados (qué datos, para qué, quién los ve, derechos) con un clic para expandir el detalle legal completo. Esto cumple el art. 12 RGPD sin sobrecargar al candidato.


7. Categorías especiales de datos: cuándo un test psicométrico cruza la línea

El art. 9.1 RGPD prohíbe el tratamiento de datos que revelen:

  • Origen racial o étnico.
  • Opiniones políticas.
  • Convicciones religiosas o filosóficas.
  • Afiliación sindical.
  • Datos genéticos.
  • Datos biométricos dirigidos a identificar de forma unívoca a una persona.
  • Datos relativos a la salud.
  • Datos relativos a la vida sexual u orientación sexual.

7.1. ¿Los tests de personalidad entran en esta categoría?

Esta es la pregunta que más confusión genera. La respuesta es: depende del test, depende del contenido, depende del uso. El Grupo de Trabajo del art. 29 (GT29, ahora EDPB) y la AEPD han establecido tres niveles:

Tipo de test ¿Dato sensible? Razón
Test de aptitud cognitiva pura (numérica, verbal, razonamiento abstracto) No, en principio No revela opiniones, salud, orientación, etc.
Test de personalidad general (Big Five, 16PF) Zona gris El informe puede inferir tendencias ideológicas, de salud mental o de orientación si se interpreta.
Test de personalidad profunda (MMPI, MIPS, 16PF-APQ) Probablemente sí Se usan en psicología clínica, miden psicopatología y rasgos de salud mental.
Test de integridad o confiabilidad (Honesty-Humility HEXACO) Zona gris Mide tendencias éticas; la AEPD ha cuestionado su uso masivo en selección.
Test con contenido sexual o ideológico (incluso encubierto) Sí, sin duda Cualquier ítem que pregunte o permita inferir orientación sexual, opinión política o religiosa entra en art. 9.

Recomendación conservadora: si tu test de personalidad mide dimensiones como estabilidad emocional, neuroticismo, tendencia a la ansiedad, control de impulsos o cualquier dimensión próxima a salud mental, trátalo como dato sensible y aplica consentimiento explícito separado.


8. Transferencia internacional de datos: por qué importa dónde se aloja el test

Una de las preguntas que la AEPD ha empezado a hacer en inspecciones de 2024-2025 es: ¿dónde se almacenan los datos de los candidatos? Si el proveedor del test aloja datos fuera del EEE, se activa el régimen de transferencias internacionales del Capítulo V RGPD.

8.1. Tres escenarios según el alojamiento

Alojamiento ¿Requiere garantías adicionales? Garantías típicas
Servidor en EEE (p. ej., AWS Frankfurt, Azure West Europe, OVHcloud Strasbourg) No Basta con el cumplimiento RGPD/LOPDGDD estándar.
Servidor en país con decisión de adecuación (p. ej., Suiza, Reino Unido post-2021, Japón, Corea del Sur) No Decisión de adecuación vigente. Lista actualizada en la web de la CE.
Servidor en EE. UU. o país sin adecuación Sí, obligatorio Cláusulas contractuales tipo (CCT) de la CE + evaluación de impacto de transferencia (TIA) + medidas suplementarias (cifrado, seudonimización).

Caso real 2024: la CNIL francesa (homóloga de la AEPD) multó a una empresa SaaS de RRHH con 250.000 € por transferir datos de candidatos a un proveedor estadounidense sin las garantías del Data Privacy Framework post-Schrems II. La AEPD ha anunciado que replicará este tipo de sanciones en 2026.

Ventaja SIGMUND: la plataforma SIGMUND aloja todos los datos de tests en la Unión Europea (infraestructura cloud en centros de datos en Frankfurt y Dublín) y aplica cifrado AES-256 en tránsito y en reposo con claves gestionadas en EEE. Esto elimina la necesidad de CCT, TIA y medidas suplementarias en el 100 % de los casos.


9. La checklist de conformidad 2026: 24 puntos que tu DRH debería poder marcar

Esta checklist está diseñada para ser revisada por el DPO o responsable de compliance de la empresa. Cópiala, adáptala y archívala como parte de tu registro de actividades de tratamiento (art. 30 RGPD).

A. Marco normativo y bases jurídicas (5 puntos)

  • [ ] A1. Tienes identificado qué norma aplica a cada test: RGPD + LOPDGDD + ET + EU AI Act.
  • [ ] A2. Has documentado la base jurídica de cada test (consentimiento, contrato, interés legítimo, obligación legal).
  • [ ] A3. Para datos sensibles (art. 9), has obtenido consentimiento explícito separado.
  • [ ] A4. Has superado el balancing test de interés legítimo (documentado por escrito).
  • [ ] A5. Tu proveedor de test está clasificado como sistema de IA de alto riesgo (o has documentado por qué no) y tiene obligaciones EU AI Act cubiertas.

B. Información y derechos del candidato (5 puntos)

  • [ ] B1. El candidato recibe información clara y concisa sobre el test antes de hacerlo (qué, para qué, quién, cómo, derechos).
  • [ ] B2. Se informa al candidato de su derecho a reclamar ante la AEPD.
  • [ ] B3. Existe un procedimiento documentado para atender derechos ARCO-POL en plazo de 1 mes.
  • [ ] B4. El candidato puede solicitar intervención humana en decisiones automatizadas (art. 22 RGPD).
  • [ ] B5. El candidato recibe el informe de transparencia algorítmica del art. 13 EU AI Act cuando lo solicita.

C. Medidas técnicas y organizativas (5 puntos)

  • [ ] C1. El proveedor aloja los datos en EEE o país con decisión de adecuación.
  • [ ] C2. Existe cifrado en tránsito y en reposo con claves gestionadas en EEE.
  • [ ] C3. Hay registro de actividades de tratamiento (RAT) actualizado con la categoría «tests psicométricos».
  • [ ] C4. Existe DPIA (Evaluación de Impacto en Protección de Datos) para tratamientos de alto riesgo (test masivos, perfilado sensible).
  • [ ] C5. Se han firmado acuerdos de encargo de tratamiento (AET) con todos los subproveedores.

D. Calidad del test y fairness (5 puntos)

  • [ ] D1. El test tiene estudios de validez publicados (predictiva, de constructo, de contenido).
  • [ ] D2. El test se aplica por personal cualificado (psicólogos colegiados o equivalente).
  • [ ] D3. Se han evaluado sesgos demográficos del test (por género, edad, origen, discapacidad) y se documenta.
  • [ ] D4. El informe del candidato es interpretable y no se limita a percentiles o códigos.
  • [ ] D5. Existe un procedimiento de revisión humana de decisiones automatizadas (art. 14 EU AI Act).

E. Gobernanza y trazabilidad (4 puntos)

  • [ ] E1. Se ha informado al comité de empresa (art. 64 ET) antes de aplicar tests masivos.
  • [ ] E2. Se realiza formación anual a RRHH y managers sobre uso ético de los tests.
  • [ ] E3. Hay un canal interno de reclamaciones del candidato sobre el proceso.
  • [ ] E4. Se conservan logs de consentimiento y trazabilidad durante el plazo legal (mínimo 5 años tras cierre del proceso, recomendación 10 años para procesos de selección de cargos de responsabilidad).

10. Casos reales: 3 sanciones AEPD que deberían cambiar tu forma de trabajar

10.1. Sanción a empresa de selección por tratamiento de datos de salud sin consentimiento (2023)

Empresa: consultora de selección nacional con sede en Madrid. Sanción: 200.000 € + prohibición de tratamiento. Infracción: aplicaba un test de personalidad profunda (MMPI-2) a candidatos sin consentimiento explícito separado para datos de salud mental; el informe se compartía con el cliente sin anonimizar. Lección: cualquier test que mida dimensiones próximas a salud mental requiere consentimiento explícito separado. El consentimiento genérico no es válido para datos del art. 9 RGPD.

10.2. Sanción a empresa de trabajo temporal por falta de base jurídica (2024)

Empresa: ETT con 1.200 trabajadores en plantilla. Sanción: 80.000 € + orden de cesación. Infracción: aplicaba un test de personalidad a TODOS los candidatos como «filtro previo» sin base jurídica documentada, sin balancing test de interés legítimo, y sin ofrecer alternativa a los candidatos que se negaran. Lección: en selección, el consentimiento aislado no basta. La AEPD exige que la empresa documente la base jurídica y, en muchos casos, ofrezca una vía alternativa de evaluación a quien se niegue al test (art. 7.4 RGPD: el consentimiento debe ser realmente libre).

10.3. Sanción a multinacional por transferencia internacional ilegal (2024)

Empresa: multinacional con sede social en España, plataforma de RRHH alojada en EE. UU. Sanción: 1,2 M € (resolución AEPD, confirmada por la Audiencia Nacional en 2025). Infracción: transfería datos de candidatos a un proveedor estadounidense sin las garantías exigidas por Schrems II. La empresa alegaba que tenía Data Privacy Framework, pero la AEPD demostró que no había evaluación de impacto de transferencia (TIA) ni medidas suplementarias. Lección: si tu proveedor aloja datos fuera del EEE, exige evidencia documental de las garantías (CCT firmadas, TIA, medidas suplementarias). Si aloja en EEE, tu carga probatoria es mínima.


11. Errores frecuentes que la AEPD detecta en sus inspecciones 2024-2026

A partir de los informes y resoluciones publicadas por la AEPD, estos son los errores más recurrentes:

  1. Creer que el proveedor se libra de responsabilidad: no. La empresa contratante es responsable del tratamiento y responde solidariamente.
  2. Confundir consentimiento tácito con consentimiento inequívoco: una casilla premarcada, el silencio o la inacción no son consentimiento (art. 4.11 RGPD).
  3. No documentar el balancing test de interés legítimo: si basas el tratamiento en interés legítimo y no tienes el test documentado, la AEPD presume que no lo hiciste.
  4. Reutilizar los resultados de un test para otras vacantes sin nueva base jurídica: los datos recogidos para un puesto no pueden usarse para otro distinto sin nuevo consentimiento o nueva base documentada.
  5. No informar al comité de empresa: si tienes comité y aplicas tests masivos, debes informar antes.
  6. Aplicar tests sin informar del derecho a reclamar ante la AEPD: este derecho debe figurar SIEMPRE en la información que recibe el candidato.
  7. Conservar los datos del candidato más allá del plazo necesario: la AEPD exige política de retención documentada. Conservar CVs y resultados durante 5-10 años sin justificación es sancionable.
  8. Confiar en que el test es fiable porque lo dice el proveedor: la AEPD exige que la empresa verifique la calidad técnica del test (validez, sesgos, cualificación del personal que lo aplica).
  9. Tratar las decisiones automatizadas como vinculantes: el art. 22 RGPD prohíbe que una decisión basada únicamente en tratamiento automatizado produzca efectos jurídicos sobre el candidato, salvo excepciones tasadas (consentimiento explícito, contrato, autorización legal). Y aunque concurra alguna de esas excepciones, siempre debe haber intervención humana significativa.
  10. No traducir la información a la lengua del candidato: si el candidato solicita la información en catalán, gallego, euskera o su lengua materna, y la empresa se niega, está infringiendo el art. 12 RGPD y, en su caso, la legislación lingüística autonómica.

12. El rol del DPO (Delegado de Protección de Datos) en procesos con tests

Desde mayo de 2018 (aplicación del RGPD), la designación de un DPO es obligatoria para empresas que:

  • Realicen observación habitual y sistemática a gran escala de personas (los tests masivos de selección entran en esta categoría si son a gran escala).
  • Traten categorías especiales de datos a gran escala (tests que midan salud, perfil ideológico, etc.).
  • Traten datos de menores de forma habitual.

12.1. Funciones del DPO en selección con tests

  • Informar y asesorar a la dirección y a RRHH sobre las obligaciones RGPD/LOPDGDD/EU AI Act.
  • Supervisar la DPIA (Evaluación de Impacto en Protección de Datos) de cada test masivo.
  • Cooperar con la AEPD: ser punto de contacto en inspecciones.
  • Asesorar en la gestión de reclamaciones de candidatos.
  • Auditar periódicamente el cumplimiento (mínimo anual).

¿Y si tu empresa no tiene DPO obligatorio? Aunque no estés legalmente obligada a designar uno, la AEPD valora positivamente que exista una persona responsable documentada del cumplimiento en materia de pruebas psicométricas, con funciones equivalentes.


13. Convergencia de las cuatro normas: cómo construir un proceso unificado

Una empresa que quiera estar plenamente conforme en 2026 debe diseñar un proceso unificado que cubra los cuatro marcos. La forma más eficiente es tratarlo como un workflow de compliance con cuatro capas:

Capa 1: Cumplimiento RGPD/LOPDGDD (base jurídica + derechos)

Capa 2: Cumplimiento ET (art. 20 + art. 64, información a comité)

Capa 3: Cumplimiento EU AI Act (alto riesgo + transparencia + vigilancia humana)

Capa 4: Cumplimiento ISO 10667 (calidad técnica + buena praxis documentada)

Resultado: si cubres las cuatro capas con documentación trazable, estás en condiciones de superar una inspección de la AEPD, una auditoría interna, una demanda laboral o una inspección del Ministerio de Trabajo.

Plazo realista de implementación para una pyme: con apoyo de un DPO externo y un proveedor de tests alineado (como SIGMUND), la implementación de las cuatro capas lleva entre 4 y 8 semanas. El coste es moderado comparado con el coste de una sanción media (50.000-200.000 €) o una demanda laboral colectiva (suelen superar los 100.000 € en costes legales e indemnizaciones).


14. Conclusión: el marco legal 2026 no es un freno, es una ventaja competitiva

Las empresas que invierten en cumplimiento no solo evitan sanciones: también ganan en:

  • Calidad de contratación: tests bien diseñados y bien aplicados mejoran el fit cultural y reducen la rotación temprana.
  • Reputación de marca empleadora: candidatos informados prefieren empresas que respetan sus datos.
  • Acceso a clientes corporativos: las grandes empresas (clientes B2B) auditan a sus proveedores, y un proveedor con compliance documentada (EU AI Act, ISO 10667) gana concursos.
  • Reducción de costes legales: prevenir una demanda es 10-50 veces más barato que litigarla.

El marco legal de las pruebas psicométricas en España en 2026 —LOPDGDD + RGPD + EU AI Act + Estatuto de los Trabajadores + ISO 10667— es complejo pero está bien delimitado. Las empresas que lo abordan proactivamente, con un proveedor de tests alineado y documentación trazable, no solo cumplen: lideran.

Próximo paso recomendado: descarga nuestra checklist de 24 puntos de conformidad 2026 (PDF), compártela con tu DPO o asesor jurídico, y solicita una demo de SIGMUND para ver cómo nuestra plataforma implementa por defecto las cuatro capas de cumplimiento. Si ya usas otra plataforma, usa esta checklist para auditar tu grado de cumplimiento y exigir a tu proveedor las garantías que faltan.


15. Recursos útiles y referencias normativas

Normativa citada

  • Reglamento (UE) 2016/679 (RGPD): https://eur-lex.europa.eu/eli/reg/2016/679
  • Ley Orgánica 3/2018 (LOPDGDD): https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
  • Reglamento (UE) 2024/1689 (EU AI Act): https://eur-lex.europa.eu/eli/reg/2024/1689
  • Real Decreto Legislativo 2/2015 (Estatuto de los Trabajadores): https://www.boe.es/buscar/act.php?id=BOE-A-2015-11430
  • ISO 10667-1:2011 e ISO 10667-2:2011: https://www.iso.org/standard/50979.html

Documentos AEPD clave

  • Informe AEPD 0445/2009 (tests de personalidad en selección).
  • Guía AEPD sobre protección de datos en las relaciones laborales (adaptada al RGPD, mayo 2021).
  • Memoria anual de la AEPD 2024 (sanciones y resoluciones en selección de personal).

Guías y casos de referencia

  • EDPB Guidelines on Automated Decision-Making (2018, actualizado 2024).
  • EU AI Act Article-by-Article Analysis (Future of Life Institute, 2024).
  • Sentencia Schrems II (C-311/18) sobre transferencias internacionales.

Herramientas prácticas

  • Generador de cláusulas informativas de la AEPD.
  • Plantilla de registro de actividades de tratamiento (art. 30 RGPD).
  • Plantilla de DPIA de la AEPD.
  • Checklist descargable de 24 puntos (ver §9 de este artículo).

16. Preguntas frecuentes (FAQ) — Marco legal pruebas psicométricas España 2026

¿Necesito el consentimiento del candidato para aplicar un test psicométrico en España?

No siempre, y nunca solo el consentimiento es suficiente. El art. 6 RGPD establece seis bases jurídicas posibles. En selección, la AEPD suele preferir una combinación de ejecución del contrato de selección (art. 6.1.b) más interés legítimo documentado con balancing test (art. 6.1.f). El consentimiento se exige explícito y separado para datos del art. 9 RGPD (categorías especiales: salud, orientación, perfil ideológico). Lo que nunca es válido: una casilla premarcada en una política de privacidad genérica.

¿Un test de personalidad Big Five entra en la categoría de «dato sensible»?

Depende de la interpretación del informe. El test en sí (ítems de personalidad) no siempre es dato sensible, pero el informe interpretado puede revelar tendencias próximas a salud mental, neuroticismo o equilibrio emocional, lo que activa el art. 9 RGPD. La recomendación conservadora es tratarlo como dato sensible y aplicar consentimiento explícito separado. La AEPD ha sancionado a empresas que aplicaron tests de personalidad profunda (MMPI, MIPS) sin este consentimiento reforzado.

¿Tengo que informar al comité de empresa antes de aplicar tests psicométricos?

Sí, si tu empresa tiene comité de empresa (más de 10 trabajadores en general) y los tests son masivos, sistemáticos o afectan a decisiones de promoción, evaluación o despido. El art. 64 del Estatuto de los Trabajadores reconoce al comité el derecho a ser informado y consultado sobre la implantación de sistemas que afecten a la dignidad o condiciones de trabajo. La AEPD y los tribunales laborales han confirmado que los sistemas algorítmicos de selección entran en este supuesto.

¿Qué obligaciones del EU AI Act aplican a un proveedor de tests psicométricos en 2026?

El art. 6 del EU AI Act clasifica como alto riesgo los sistemas de IA utilizados para reclutar, seleccionar, filtrar, puntuar o rankear candidatos (Anexo III, punto 4). Las obligaciones aplicables desde agosto de 2026 incluyen: documentación técnica completa (Anexo IV), declaración de conformidad UE (Anexo V), transparencia algorítmica (art. 13), vigilancia humana significativa (art. 14), gestión de riesgos (art. 9), calidad de datos (art. 10), y registro de eventos (art. 12). Tu proveedor debe entregarte esta documentación.

¿Dónde deben almacenarse los datos de los tests para cumplir el RGPD?

Idealmente en servidores del Espacio Económico Europeo (EEE) o en países con decisión de adecuación vigente (Suiza, Reino Unido, Japón, Corea, entre otros). Si el proveedor aloja datos en EE. UU. u otro país sin adecuación, necesitas cláusulas contractuales tipo (CCT) firmadas, evaluación de impacto de transferencia (TIA) y medidas suplementarias (cifrado, seudonimización). En 2024, la CNIL francesa multó a una empresa con 250.000 € por no tener estas garantías tras Schrems II. SIGMUND aloja sus datos en la UE para evitar este problema.

¿Cuánto tiempo puedo conservar los resultados de un test psicométrico de un candidato?

El principio de minimización del plazo de conservación (art. 5.1.e RGPD) exige que los datos se conserven solo durante el tiempo necesario para la finalidad. Para procesos de selección, la AEPD acepta plazos de:

  • 6-12 meses tras la finalización del proceso para candidatos rechazados.
  • Hasta la finalización de la relación laboral para candidatos contratados (y luego pasa al expediente del trabajador).
  • 3-5 años para cargos de responsabilidad o directivos, por posibles reclamaciones de nulidad contractual.
  • Pasado el plazo: supresión o anonimización irreversible.

¿Es legal aplicar tests de personalidad a TODOS los candidatos de una vacante?

Es legal si se cumplen los principios del art. 5 RGPD (licitud, lealtad, transparencia, minimización, exactitud, limitación del plazo, integridad y confidencialidad) y si tienes una base jurídica documentada. Sin embargo, la AEPD ha sancionado a empresas que aplican el test como «filtro previo excluyente» (sin base jurídica, sin alternativa al candidato que se niega). La buena práctica es combinar el test con otras herramientas (CV, entrevista, prueba técnica) y reservar el test como una pieza más, no como filtro excluyente.

¿Qué pasa si la AEPD me inspecciona y no tengo el balancing test documentado?

La AEPD presume que no lo hiciste. Y en sede sancionadora, la carga de la prueba recae en el responsable del tratamiento (tú). Si no puedes demostrar que el interés legítimo supera el test de proporcionalidad, la AEPD considera que el tratamiento era ilícito y aplica sanción (de 50.000 € a 2 M € en casos graves). El primer paso en una inspección es siempre aportar el registro de actividades de tratamiento (art. 30 RGPD), la DPIA si aplica, y el balancing test documentado.

¿Necesito un DPO obligatorio si aplico tests psicométricos?

Depende del volumen y del tipo de datos. Es obligatorio designar DPO si:

  • Realizas tratamiento de datos de categoría especial a gran escala (tests masivos que midan salud o perfil ideológico).
  • Tratas datos de menores de forma habitual.
  • Realizas observación sistemática a gran escala de personas (vigilancia masiva, perfilado masivo).

En 2026, la AEPD recomienda formalmente que cualquier empresa que aplique tests psicométricos a más de 50 candidatos al año o use IA para filtrar/ranquear designe un DPO, aunque no sea estrictamente obligatorio, porque reduce la sanción en caso de inspección.

¿Un freelancer o una empresa individual también necesita cumplir este marco?

Sí. El RGPD y la LOPDGDD se aplican a cualquier responsable del tratamiento, sea persona física o jurídica, con o sin ánimo de lucro. Un headhunter freelance o un consultor de RRHH que aplique tests psicométricos a candidatos debe cumplir las mismas obligaciones. Las sanciones de la AEPD han afectado a profesionales individuales con multas a partir de 1.000 €.

¿Cómo puedo saber si un proveedor de tests está alineado con el EU AI Act?

Solicita explícitamente al proveedor:

  1. Su clasificación de riesgo EU AI Act (escrita, firmada por su DPO o representante legal).
  2. La declaración de conformidad UE si es sistema de alto riesgo.
  3. La documentación técnica del Anexo IV.
  4. El informe de transparencia algorítmica para candidatos (art. 13).
  5. La política de vigilancia humana y el procedimiento de revisión humana.
  6. El plan de cumplimiento del periodo de transición (agosto 2026 para alto riesgo).

Si el proveedor no puede entregar estos documentos, su sistema no cumple el EU AI Act y tu empresa hereda el riesgo.

¿Qué hago si un candidato me pide una copia del informe algorítmico (art. 22 RGPD)?

El art. 22 RGPD reconoce al candidato el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión automatizada. Si un candidato solicita una copia de la lógica algorítmica o del informe que le afecta, debes facilitársela en plazo de un mes (art. 12 RGPD). SIGMUND incorpora un flujo de «solicitar explicación» directamente desde el panel del candidato, con generación automática del informe de transparencia (art. 13 EU AI Act).


17. Enlaces internos y lecturas recomendadas

Para profundizar en los temas tratados, te recomendamos los siguientes artículos del blog de SIGMUND España:


Artículo redactado por el equipo de contenido de SIGMUND con revisión jurídica externa. Última actualización: 5 de junio de 2026. Si detectas alguna errata o quieres proponer una mejora, escríbenos a hola@sigmundtest.com.

Consulte el catálogo de tests de SIGMUND

Descubra nuestra gama completa de tests psicométricos validados científicamente