Guía Práctica sobre Tests Psicométricos y RGPD para RRHH en España

Usa pruebas psicométricas en selección de personal. Es legal. Pero el 80% de las empresas españolas las aplican sin cumplir plenamente el RGPD — y no lo saben.

Pruebas psicométricas y RGPD: lo que ningún departamento de RRHH debería ignorar

La pregunta aparece en cada proceso de selección. ¿Puedo utilizar una prueba de personalidad o de aptitudes cognitivas sin violar el reglamento europeo de protección de datos? La respuesta es sí. Con condiciones precisas, documentadas y defendibles ante la Agencia Española de Protección de Datos (AEPD).

No es una cuestión teórica. En 2023, la AEPD emitió 677 resoluciones sancionadoras. Las multas pueden alcanzar 20 millones de euros o el 4% de la facturación global de la empresa. El riesgo es real y cuantificable.

Un instrumento útil, un marco legal poco conocido

Las pruebas psicométricas legales en España miden lo que una entrevista no puede medir sola: la estabilidad emocional, la capacidad de razonamiento abstracto, las preferencias de comportamiento en situaciones de presión. Son datos valiosos. Precisamente por eso están regulados.

Según el artículo 4.15 del RGPD, estos datos pueden considerarse datos especialmente protegidos cuando revelan características de la personalidad vinculadas a categorías sensibles. La línea entre un test de aptitudes y un dato de categoría especial es más fina de lo que parece.

«El tratamiento de datos en el ámbito de los procesos selectivos exige una base jurídica específica y una información clara al candidato antes de la recogida.» — AEPD, Documento 2020-0086 sobre pruebas selectivas

El problema real que nadie nombra en los equipos de RRHH

La mayoría de las empresas que utilizan pruebas psicométricas en reclutamiento han copiado una práctica sin verificar su conformidad legal. El test estaba en el proceso. Funcionaba. Nadie lo cuestionó.

Pero ¿cuántos responsables de RRHH saben exactamente qué base legal ampara el tratamiento de esos datos? ¿Cuántos han redactado una nota informativa específica para la prueba? ¿Cuántos conservan los resultados más tiempo del permitido?

• Problema 1: Ausencia de base legal documentada para el tratamiento de los resultados
• Problema 2: Información al candidato genérica o posterior al test
• Problema 3: Conservación de resultados sin plazo definido ni procedimiento de supresión
• Problema 4: Transferencia de datos a proveedores sin garantías contractuales adecuadas
• Problema 5: Ausencia de registro de actividades de tratamiento para los procesos de selección

Según el informe de Deel Guide RH 2026, el 92% de los responsables de RRHH consideran el compromiso y la fidelización como prioridades críticas — mientras la conformidad reglamentaria sigue siendo la gran olvidada de las agendas.

LOPDGDD y RGPD: dos textos que trabajan juntos

En España, el RGPD europeo se aplica junto con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). No son textos alternativos. Son complementarios.

La LOPDGDD precisa y, en ocasiones, endurece las obligaciones del RGPD en el contexto español. Ignorar uno de los dos textos no es una opción. El responsable de RRHH debe dominar ambos para operar con tranquilidad.

Qué encontrará en esta guía práctica sobre conformidad legal en RRHH

Este artículo no es un texto jurídico. Es una guía operativa para profesionales de RRHH. Al final de las tres partes, sabrá exactamente:

1. Qué base legal aplicar según su situación de reclutamiento concreta
2. Qué información debe comunicar al candidato antes de que empiece la prueba
3. Durante cuánto tiempo puede conservar los resultados de forma legal
4. Cómo responder a los derechos de acceso, rectificación y supresión del candidato
5. Qué riesgo real asume su empresa en caso de incumplimiento
6. Cómo una plataforma conforme puede eliminar la mayor parte de esta carga operativa

Para los mercados latinoamericanos, la guía también hace referencia a la LFPDPPP mexicana, la Ley 25.326 argentina y la Ley 1581 colombiana. El RGPD europeo sirve de modelo en toda la región — con adaptaciones locales que se detallarán en cada punto.

Pruebas psicométricas conformes al RGPD: cómo SIGMUND gestiona la conformidad por usted

Sigmundtest.com es una plataforma de evaluación psicométrica diseñada desde el primer día con el principio de privacy by design. No es un añadido posterior. Es parte de la arquitectura.

Cada prueba administrada a través de SIGMUND respeta los requisitos del RGPD y de la LOPDGDD: información previa al candidato, base legal documentada, plazo de conservación configurado, y transferencias de datos con garantías contractuales.

• Transparencia activa: El candidato recibe la información obligatoria antes de iniciar la prueba, no después
• Anonimización automatizada: Los resultados pueden seudonimizarse para el análisis interno sin exponer datos personales identificables
• Registro de actividades: Cada sesión de evaluación queda registrada en el sistema con trazabilidad completa
• Alojamiento europeo: Los datos no salen de la Unión Europea — sin transferencias internacionales no controladas

Consulte el catálogo completo de pruebas SIGMUND para identificar las evaluaciones más adaptadas a sus procesos de selección — todas ellas validadas psicométricamente y conformes al marco legal europeo.

¿Quiere entender primero qué mide exactamente una prueba psicométrica aplicada a RRHH antes de abordar la conformidad? Es el punto de partida lógico.

Derechos del candidato en las pruebas psicométricas: plazos y procedimientos concretos

Acceso, rectificación y supresión: los tres derechos que más se ejercen

El derecho de acceso (art. 15 RGPD) permite al candidato obtener una copia de todos los datos que usted conserva sobre él. Eso incluye las puntuaciones de sus pruebas psicométricas, las notas del evaluador y los resultados del informe. El plazo para responder es de 30 días naturales. Sin prórroga salvo solicitudes complejas o múltiples — y en ese caso hay que notificarlo antes de que expire el primer mes.

El derecho de rectificación (art. 16 RGPD) obliga a corregir los datos inexactos. Atención: no significa que el candidato pueda impugnar su puntuación en un test validado. Significa que, si su nombre está mal escrito o su dirección de correo es incorrecta, usted debe corregirlo.

El derecho de supresión — el llamado «derecho al olvido» (art. 17 RGPD) — permite al candidato pedir que se eliminen sus datos cuando ya no son necesarios para la finalidad original. Si el proceso de selección terminó hace ocho meses y usted sigue conservando los resultados sin base legal clara, la solicitud de supresión es legítima.

• 30 días para responder a cualquier solicitud de ejercicio de derechos
• Prórroga máxima de 2 meses adicionales solo en casos complejos, notificada en el primer mes
• Gratuito para el candidato en la mayoría de los casos
• Por escrito o en formato electrónico equivalente al de la solicitud

Portabilidad y oposición: dos derechos que se confunden con frecuencia

El derecho a la portabilidad (art. 20 RGPD) permite al candidato recibir sus datos en un formato estructurado y legible por máquina — por ejemplo, un archivo CSV o JSON. Solo se aplica cuando la base legal del tratamiento es el consentimiento explícito. Si usted trata los datos bajo interés legítimo, este derecho no aplica en ese tratamiento concreto.

El derecho de oposición (art. 21 RGPD) funciona al revés: se activa precisamente cuando la base legal es el interés legítimo. El candidato puede oponerse al tratamiento. Usted debe entonces demostrar un motivo imperioso para continuar procesando sus datos. Si no puede demostrarlo, el tratamiento debe detenerse.

La checklist mínima para responder a cualquier solicitud en 30 días

Los derechos no valen nada sin procesos operativos detrás. La AEPD puede controlar su capacidad de respuesta en el marco de una auditoría. «No teníamos el procedimiento documentado» no es una respuesta válida.

1. Designar un punto de contacto único para las solicitudes RGPD — el DPD o un responsable de RRHH formado
2. Crear un registro de seguimiento de solicitudes con marca de tiempo de entrada y de respuesta
3. Preparar plantillas de respuesta para cada tipo de solicitud: acceso, supresión, portabilidad, oposición
4. Formar a los responsables de selección para identificar una solicitud RGPD — aunque llegue formulada informalmente por correo electrónico
5. Verificar que su herramienta de evaluación puede exportar los datos del candidato a petición, en formato portable

Transparencia antes de la prueba psicométrica: qué debe comunicar el responsable de RRHH

Los elementos obligatorios de la información previa al candidato

El candidato debe conocer, de forma clara y accesible, lo siguiente:

• La identidad y datos de contacto del responsable del tratamiento — nombre de la empresa, dirección, correo del DPD si existe
• La finalidad y la base legal del tratamiento — evaluación en el marco de un proceso de selección, base: interés legítimo o consentimiento
• El tipo de datos tratados — resultados de pruebas de personalidad, aptitudes cognitivas, etc.
• El plazo de conservación — cuánto tiempo se conservarán los resultados una vez finalizado el proceso
• Los destinatarios o categorías de destinatarios — ¿quién tendrá acceso a los resultados? ¿Solo RRHH o también los managers?
• Los derechos del candidato y cómo ejercerlos (acceso, rectificación, supresión, oposición)
• El derecho a presentar reclamación ante la AEPD

Esta información puede facilitarse en el correo de invitación al test, en la página de inicio de la prueba, o en una política de privacidad específica para candidatos. Lo que no es válido: un enlace enterrado en el pie de página del correo, con letra pequeña y sin destacar que se refiere al tratamiento de datos de selección.

«El 73% de los candidatos tiene en cuenta las prácticas de privacidad del empleador al valorar una oferta de trabajo.» — Psico-Smart, Estudio sobre estándares de privacidad en pruebas psicométricas, 2025

¿Puede condicionarse el proceso de selección a la realización de la prueba?

Es la pregunta que más se repite en los departamentos de RRHH. La respuesta es clara: sí, puede condicionarse el proceso a la realización de una prueba psicométrica, siempre que se cumplan tres condiciones.

Primero: la prueba debe tener una relación directa con las exigencias del puesto. No puede aplicarse una prueba de aptitudes numéricas avanzadas para un puesto que no requiere cálculo complejo. La proporcionalidad es exigible.

Segundo: el candidato debe recibir la información previa antes de realizarla — no puede sorprenderle con un test sin ninguna explicación previa sobre cómo se usarán los resultados.

Tercero: la decisión de selección no puede basarse exclusivamente en el resultado automatizado de una prueba. El artículo 22 del RGPD prohíbe las decisiones individuales basadas únicamente en el tratamiento automatizado cuando produzcan efectos jurídicos significativos. Un rechazo de candidatura basado solo en el algoritmo de la plataforma, sin intervención humana, es una infracción.

El proceso transparente como ventaja competitiva en la selección

La transparencia no es solo una obligación legal. Es también un argumento de marca empleadora. Las empresas que explican claramente cómo y por qué usan pruebas psicométricas generan más confianza — y obtienen tasas de compleción más altas.

Un candidato que entiende que los resultados de su prueba de personalidad se usarán exclusivamente para evaluar su adecuación al puesto, que serán tratados de forma confidencial y que podrá solicitar su eliminación al finalizar el proceso, es un candidato que confía en el proceso.

La página de conformidad RGPD de SIGMUND ofrece un ejemplo concreto de proceso transparente: información previa integrada en el flujo de invitación, base legal documentada, plazo de conservación explícito, y mecanismo de ejercicio de derechos accesible desde el propio correo de invitación al candidato.

¿Quiere saber exactamente qué tipos de pruebas puede usar legalmente y cuáles generan mayor riesgo regulatorio? El catálogo de pruebas de SIGMUND detalla la finalidad y las condiciones de uso de cada evaluación disponible.

Sanciones AEPD: lo que arriesga una empresa no conforme

Un candidato impugna su proceso de selección. La empresa no puede demostrar que obtuvo un consentimiento válido para aplicar la prueba psicométrica. La AEPD abre una investigación. ¿Cuánto puede costar este error?

Las sanciones no son teóricas. El artículo 83 del RGPD fija multas de hasta 20 millones de euros o el 4 % de la facturación global anual, la cifra que resulte mayor. La LOPDGDD española replica este esquema y añade un régimen de infracciones graduado en leve, grave y muy grave.

Qué investiga exactamente la AEPD

La Agencia Española de Protección de Datos no espera una denuncia masiva para actuar. Un solo candidato que considere que sus datos fueron tratados sin base legal suficiente puede activar el procedimiento. La AEPD verificará cuatro puntos concretos:

• Base legal documentada — ¿existe consentimiento explícito o interés legítimo evaluado formalmente?
• Información previa al candidato — ¿recibió aviso de privacidad completo antes de completar la prueba?
• Plazo de conservación — ¿los resultados se conservan más allá de los 2 años máximos recomendados?
• Registro de actividades de tratamiento — ¿está documentado el tratamiento en el registro interno?

El Documento AEPD 2020-0086 es explícito sobre pruebas selectivas: los datos recogidos durante una evaluación constituyen tratamiento de datos personales y exigen todas las garantías del RGPD. No hay zona gris.

El riesgo civil que pocos anticipan

Más allá de la sanción administrativa, existe un riesgo civil directo. Un candidato puede impugnar una decisión de selección si considera que se basó exclusivamente en un tratamiento automatizado de sus datos, sin intervención humana significativa. El artículo 22 del RGPD le reconoce ese derecho expresamente.

En la práctica: si la prueba psicométrica fue el único factor de descarte y el candidato no fue informado de ello, la empresa puede enfrentarse a una reclamación judicial por decisión automatizada no declarada. El coste reputacional supera a menudo el coste de la multa.

La situación en Latinoamérica: marcos distintos, riesgos equivalentes

Las empresas que operan en varios países deben conocer los marcos aplicables. Las sanciones varían, pero la dirección es idéntica: más control, más responsabilidad.

• México — La LFPDPPP establece multas de hasta 320.000 días de salario mínimo por infracción grave en el tratamiento de datos personales.
• Argentina — La Ley 25.326 prevé sanciones administrativas y la posibilidad de acción de habeas data por parte del afectado.
• Colombia — La Ley 1581 otorga a la Superintendencia de Industria y Comercio la facultad de imponer multas de hasta 2.000 salarios mínimos mensuales.

El RGPD europeo actúa en toda la región como modelo de referencia. Las empresas multinacionales que ya aplican el estándar europeo están, en la práctica, por encima del mínimo exigido en la mayoría de los países latinoamericanos.

Buenas prácticas SIGMUND: conformidad RGPD integrada desde el diseño

Cumplir el RGPD no es añadir un párrafo legal al final de un formulario. Es construir el proceso de evaluación de modo que la conformidad sea el punto de partida, no un añadido posterior. Esto es lo que los expertos en privacidad llaman privacy by design.

SIGMUND ha construido su plataforma sobre este principio. Cada prueba psicométrica disponible en el catálogo integra los requisitos legales desde la primera interacción con el candidato hasta el archivado final de los resultados.

El proceso conforme de SIGMUND paso a paso

1. Información previa completa — El candidato recibe, antes de comenzar, una descripción clara de la finalidad del tratamiento, la identidad del responsable y sus derechos. Sin ambigüedad.
2. Consentimiento explícito documentado — Cuando la base legal es el consentimiento, la plataforma lo registra con marca de tiempo y versión del texto aceptado.
3. Almacenamiento limitado en el tiempo — Los resultados se conservan el tiempo estrictamente necesario, coherente con el plazo máximo de 2 años recomendado por las autoridades de control.
4. Acceso restringido — Solo los responsables de RRHH habilitados acceden a los resultados. El acceso queda registrado en trazabilidad de auditoría.
5. Transferencias fuera de la UE encuadradas — Los datos no salen del espacio europeo sin garantías adecuadas. Los servidores de SIGMUND están localizados en la Unión Europea.

Puede consultar el detalle completo del proceso en la página de conformidad RGPD de SIGMUND, que incluye las medidas técnicas y organizativas aplicadas.

Medidas técnicas y organizativas concretas

La conformidad no se declara. Se documenta. SIGMUND aplica las siguientes medidas:

• Cifrado en tránsito y en reposo — Los datos de los candidatos viajan y se almacenan cifrados. Un acceso no autorizado no produce datos legibles.
• Seudonimización por defecto — Los resultados se disocian de la identidad del candidato en las capas de análisis interno. Solo el responsable de RRHH con acceso habilitado puede reidentificar.
• Registro de actividades de tratamiento — SIGMUND mantiene y actualiza el registro exigido por el artículo 30 del RGPD para todas las operaciones de tratamiento vinculadas a sus pruebas.
• Gestión de solicitudes de derechos — La plataforma facilita la respuesta a solicitudes de acceso, rectificación o supresión en el plazo legal de 30 días.

Qué debe exigir a cualquier proveedor de pruebas psicométricas

Si su empresa ya utiliza otro proveedor, estas son las preguntas que debe hacer antes de la próxima campaña de reclutamiento:

• ¿Dónde están alojados los datos? — ¿Servidores en la UE o transferencia a terceros países sin garantías adecuadas?
• ¿Existe un ATD firmado? — Sin este documento, su empresa es la única responsable ante la AEPD.
• ¿Cuánto tiempo conservan los resultados? — Un plazo indefinido es una infracción del principio de limitación del plazo de conservación.
• ¿Las pruebas han sido validadas científicamente? — La validez científica es también un requisito de equidad y no discriminación. Puede explorar las pruebas de RRHH de SIGMUND como referencia de lo que debe exigir.

Pruebas psicométricas legales: la checklist accionable para su equipo de RRHH

Su equipo no necesita convertirse en experto jurídico. Necesita un protocolo claro. El siguiente no requiere un DPD dedicado para aplicarse en una empresa de tamaño medio.

«El 30 % de los candidatos muestra mayor confianza en un proceso de selección cuando el proveedor de evaluación demuestra adherencia regulatoria explícita.» — MokaHR, 2026

Antes de lanzar cualquier evaluación

• Identificar la base legal — ¿Consentimiento explícito o interés legítimo? Documentar la elección y su justificación.
• Redactar el aviso de privacidad — Finalidad, responsable, derechos del candidato, plazo de conservación. Texto claro, sin jerga legal.
• Verificar el ATD con el proveedor — Si no existe, no puede lanzar la evaluación legalmente.
• Registrar el tratamiento — Añadir la actividad de evaluación psicométrica al registro de actividades de tratamiento de la empresa.
• Definir el plazo de conservación — Máximo 2 años para candidatos no seleccionados, salvo que exista una justificación documentada.

Durante el proceso de evaluación

• Mostrar el aviso de privacidad antes del inicio — No al final, no en letra pequeña. Antes. Y con confirmación registrada.
• No utilizar la prueba como único criterio de decisión — Combinarla con entrevista y otras fuentes. Esto protege frente al artículo 22 del RGPD sobre decisiones automatizadas.
• Garantizar la confidencialidad de los resultados — Solo accede quien necesita acceder. Ningún responsable ajeno al proceso de selección.

Después: derechos del candidato y archivado

• Establecer un procedimiento de respuesta a derechos — Acceso, rectificación, supresión, portabilidad, oposición. Plazo máximo: 30 días naturales.
• Notificar el resultado al candidato si lo solicita — No hay obligación de revelar el detalle completo de la prueba, pero sí de informar sobre el tratamiento de sus datos.
• Archivar o suprimir en plazo — Programar la eliminación automática de resultados al vencimiento del plazo de conservación definido.
• Auditar el proceso anualmente — Revisar que el proveedor sigue siendo conforme, que el ATD está actualizado, que el registro de tratamientos refleja la realidad.

Conclusión: usar pruebas psicométricas con total tranquilidad es posible

El RGPD no prohíbe las pruebas psicométricas en el reclutamiento. Las regula. Y esa regulación, leída correctamente, no es un obstáculo. Es una ventaja competitiva para quien la aplica bien.

Un candidato que confía en su proceso de evaluación es un candidato que responde con más autenticidad. Un proceso documentado es un proceso que protege a la empresa frente a cualquier reclamación. Y un proveedor conforme es un proveedor que comparte la responsabilidad legalmente.

¿Su empresa está entre el 73 % que no está plenamente preparada? El momento de cambiar eso no es cuando llegue una notificación de la AEPD. Es ahora, antes de la próxima campaña de selección de personal.

«La conformidad RGPD no es un coste. Es la condición mínima para que los datos que recoge sirvan de algo en un tribunal o ante una autoridad de control.» — Protecciondatos.org

SIGMUND acompaña este proceso desde el primer día. La plataforma está diseñada para que el responsable de RRHH pueda lanzar una evaluación psicométrica sabiendo que cada paso cumple con el RGPD y la LOPDGDD, sin necesidad de convertirse en abogado especializado en protección de datos.

¿Quiere ver cómo funciona en la práctica? Explore el catálogo completo de pruebas psicométricas de SIGMUND y compruebe qué información de conformidad acompaña a cada evaluación.