Cumplimiento de IA en Contratación · Sesgo y Accesibilidad Multijurisdiccionales
A fecha de abril de 2026, el CHRO o el Asesor Jurídico General que opera AEDT en Nueva York, Colorado, Illinois, Texas, California o la UE se encuentra dentro de una ventana regulatoria para la que la mayoría de sus proveedores no fueron diseñados. La ley HB 3773 de Illinois entró en vigor el 1 de enero. La TRAIGA de Texas entró en vigor el 1 de enero. Las enmiendas FEHA ADS de California entraron en vigor el pasado octubre. La ley SB 24-205 de Colorado entra en vigor el 30 de junio. La Ley de IA de la UE trata la contratación como de alto riesgo a partir del 2 de agosto. El Contralor del Estado de Nueva York acaba de publicar una auditoría de diciembre de 2025 que halló 17 infracciones de la LL144 donde el DCWP había encontrado una, y el DCWP acordó pasar a una aplicación proactiva. Mobley v. Workday está en fase de instrucción probatoria. Kistler v. Eightfold plantea si las plataformas de contratación con IA son agencias de informes al consumidor según la FCRA. Esta página existe porque ningún proveedor individual de su lista corta puede responder a todo eso de forma honesta.
17 frente a 1
infracciones de la LL144 halladas por los auditores del Estado de Nueva York frente al DCWP en la misma muestra de 32 empresas
Contralor del Estado de Nueva York, 2 de diciembre de 2025
4,6 %
De 391 empleadores de Nueva York habían publicado una auditoría de sesgo: el hallazgo de "Cumplimiento Nulo"
Cornell / Data & Society / Consumer Reports, FAccT 2024
64 M
Registros de solicitantes expuestos cuando una cuenta de administrador de McHire / Paradox usó la contraseña "123456"
Divulgación de Carroll & Curry, 30 de junio de 2025
Tres de estos acontecimientos ya están en vigor. Dos entran en plena vigencia antes de que termine el verano. Dos están en litigio activo. Ninguno de ellos espera a su ciclo anual de cumplimiento.
Los empleadores deben conservar las entradas, las salidas, los resultados de las pruebas de sesgo y los criterios de selección del ADS durante al menos cuatro años. La responsabilidad recae sobre las prácticas de empleo discriminatorias causadas por un ADS, sean intencionales o no. Se aplica a cualquier empleador que contrate en California, con independencia de la ubicación de su sede.
Prohíbe el uso de IA que tenga un efecto discriminatorio en la captación, contratación, promoción, sanción disciplinaria o despido. Prohíbe explícitamente el uso de códigos postales como sustitutos de clases protegidas. Se requiere notificación siempre que se use IA para "influir o facilitar" cualquier decisión de empleo. Su cumplimiento lo hace cumplir el Departamento de Derechos Humanos de Illinois, que publicó un borrador de las normas de notificación a finales de 2025.
Prohíbe la discriminación intencional mediante IA. Texas rechazó explícitamente el impacto dispar como teoría autónoma, apartándose de los marcos de la LL144 y de Colorado. Su cumplimiento lo hace cumplir exclusivamente el Fiscal General de Texas. Los infractores reciben una notificación y un período de subsanación de 60 días; las sanciones van desde 12.000 USD por infracciones subsanables hasta 200.000 USD por las no subsanables.
Los auditores estatales hallaron 17 posibles infracciones de la LL144 en la misma muestra de 32 empresas en la que el DCWP encontró una. El 75 % de las 311 llamadas de queja sobre AEDT se enrutaron incorrectamente. El DCWP admitió que carecía de la experiencia técnica para evaluar AEDT y acordó adoptar una aplicación proactiva. La estructura de sanciones no cambió: hasta 1.500 USD por día por infracción. El "Cumplimiento Nulo" —autoclasificar su herramienta como fuera del ámbito de aplicación— ya no es una postura defendible en la ciudad de Nueva York.
La jueza Rita F. Lin denegó la moción de desestimación de Workday, sosteniendo que un proveedor de contratación con IA puede ser directamente responsable como "agente" de los empleadores cuando su herramienta participa en la toma de decisiones al recomendar o filtrar candidatos. Se concedió la certificación colectiva preliminar el 16 de mayo de 2025; el plazo de adhesión para solicitantes mayores de 40 años cerró el 7 de marzo de 2026. El tribunal ordenó posteriormente a Workday que presentara una lista exhaustiva de los empleadores que habilitaron HiredScore Spotlight y Fetch, rechazando el intento de Workday de excluir los productos posteriores a la adquisición del colectivo.
Primera prueba de si las plataformas de contratación con IA son "agencias de informes al consumidor" según la FCRA. Los demandantes alegan que Eightfold extrajo datos de LinkedIn, GitHub, Stack Overflow y bases de datos públicas, construyó expedientes de candidatos a partir de "más de 1.500 millones de puntos de datos globales" y produjo una puntuación de "probabilidad de éxito" de 0 a 5 sin certificación, notificación, divulgación, autorización ni proceso de disputa del candidato. Si el tribunal sostiene que Eightfold es una CRA, toda plataforma similar adeuda a cada candidato puntuado una notificación de medida adversa y un flujo de trabajo de disputa. Los daños legales bajo la FCRA son de 100 a 1.000 USD por consumidor por infracción.
El gobernador Polis firmó el proyecto de ley de aplazamiento el 28 de agosto de 2025, trasladando la fecha de entrada en vigor del 1 de febrero al 30 de junio de 2026. Los implementadores deben adoptar un programa de gestión de riesgos, realizar evaluaciones de impacto iniciales y anuales, emitir notificaciones al consumidor previas a la decisión y de decisión adversa, y publicar divulgaciones en el sitio web. El Fiscal General de Colorado ostenta la autoridad exclusiva de aplicación. La defensa de presunción iuris tantum exige un cuidado razonable documentado.
La captación, el cribado, la segmentación de anuncios de empleo, el filtrado de solicitudes y la evaluación de candidatos entran todos dentro del alto riesgo del Anexo III. A más tardar el 2 de agosto de 2026, los proveedores deben completar las evaluaciones de conformidad, publicar la documentación técnica (Art. 11 / Anexo IV), implementar un programa de gobernanza de datos (Art. 10), garantizar la supervisión humana (Art. 14), registrarse en la base de datos de la UE y colocar el marcado CE. Las sanciones alcanzan los 35 M€ o el 7 % de la facturación anual mundial por infracciones de prácticas prohibidas, y los 15 M€ o el 3 % por obligaciones de alto riesgo. La propuesta de Ómnibus Digital de finales de 2025 podría posponer el Anexo III hasta diciembre de 2027, pero esa prórroga no se ha promulgado y un cumplimiento prudente trata el 2 de agosto como vinculante.
La tabla siguiente no es una guía de compra. Es un mapa de dónde se sitúa cada plataforma respecto al régimen legal actual, y qué significa eso para un CHRO que necesita renovar o reemplazar un contrato en 2026. Somos neutrales respecto a los proveedores y no tenemos ninguna relación comercial con ninguna de las empresas aquí enumeradas.
| Proveedor / Producto | Postura regulatoria actual | La brecha honesta de la que es responsable el CHRO |
|---|---|---|
| Workday + HiredScore (Spotlight, Fetch) | Publicó un análisis de terceros de Secretariat; ofrece configuraciones de auditoría LL144; defendiéndose activamente en Mobley | La jueza Lin rechazó el intento de Workday de excluir HiredScore del colectivo. Si un cliente implementó Spotlight durante el período del colectivo, el nombre de ese cliente figura en la lista ordenada por el tribunal. |
| Eightfold AI (Match) | Publica documentación de auditoría de sesgo; entre sus clientes empresariales se cuentan Microsoft, Morgan Stanley | Demandado nombrado en Kistler. Si la teoría de la FCRA prospera, todo cliente que usó la puntuación de Match podría adeudar retroactivamente a los candidatos notificaciones de medida adversa. |
| HireVue | Abandonó el análisis de codificación facial en enero de 2021; viró hacia evaluaciones estructuradas de texto y vídeo | Nombrado en la denuncia de la ACLU de marzo de 2025 (D.K. v. Intuit/HireVue) por fundamentos de la ADA, el Título VII y la Ley contra la Discriminación de Colorado. El CEO de HireVue niega que se usara evaluación con IA; el propio canal de ASR sigue sujeto al problema del WER dispar documentado en la investigación sobre accesibilidad. |
| Paradox (Olivia) | Sin diferenciación específica de cumplimiento; parcheo reactivo | Expuso 64 M de registros en junio de 2025 porque una cuenta de prueba de administrador de 2019 usaba 123456 como contraseña. La causa raíz fue de configuración, no de ML. Su DPO y su CISO deben estar presentes en cada conversación de renovación. |
| Pymetrics / Harver | Evaluación basada en juegos con un historial público de auditoría de sesgo | Aún sujeto a la teoría de la ADA en la denuncia de la ACLU ante la FTC sobre Aon/Cangrade: los instrumentos de rasgos de personalidad que reflejan criterios de diagnóstico clínico funcionan como cribas de discapacidad. |
| iCIMS, Greenhouse, Lever, SmartRecruiters, Ashby | Capa de ATS: algunos exportan informes de sesgo LL144; por lo general no son demandados nombrados | El ATS es un almacén de datos, no un AEDT por sí mismo. La cuestión del cumplimiento reside en el complemento de puntuación o clasificación que sus reclutadores activaron, el cual el proveedor del ATS no audita por usted. |
| FairNow, Holistic AI, Credo AI, Warden AI, Fairly AI | Plataformas de gobernanza y herramientas de auditoría; algunas especializadas en LL144 | Una plataforma le indica cómo se ven sus métricas. No reemplaza la diligencia debida sobre proveedores, no audita la accesibilidad por separado del impacto adverso, y no concilia regímenes en conflicto. Resulta más útil como panel de control una vez fijada la estrategia. |
| DCI Consulting, ORCAA, Secretariat | Auditores independientes de LL144 reconocidos legalmente; aproximadamente entre 50.000 y 200.000 USD por sistema al año | El estándar de oro para la instantánea anual que exige la LL144. No es continua, ni transjurisdiccional, ni está diseñada para reescribir la arquitectura de su AEDT. |
| Deloitte, KPMG, EY, PwC Prácticas de IA | Brazos de asesoría con relaciones en derecho laboral y credibilidad de auditoría | Los encargos suelen empezar en 500.000 USD y superan los 2 M USD. Sólidos en entregables de gobernanza, débiles en entregar código funcional. Buena respuesta para una Fortune 50 con un presupuesto ilimitado, respuesta equivocada para un CHRO de mercado medio que dispone de un trimestre para cumplir. |
La respuesta honesta es que Deloitte, KPMG, EY y PwC son la opción correcta si necesita un informe de gobernanza listo para el consejo y no le importa cuál sea la cifra de la factura. Su metodología es sólida, su marca lo protege políticamente, y sus relaciones regulatorias son reales. Son la opción equivocada cuando el problema de fondo es una red neuronal que produce puntuaciones de 0 a 5 sobre 2 M de candidatos al trimestre, su plazo vence dentro de doce semanas, y necesita a alguien que se siente con su equipo de ML y reescriba los canales de ingeniería de características. Las grandes firmas subcontratan ese trabajo; las pequeñas firmas especializadas lo hacen directamente. Cobramos una fracción de lo que cuesta un encargo de auditoría de las Big 4 porque no estamos financiando una torre de oficinas, y entregamos código funcional en lugar de una presentación de 200 diapositivas. Si necesita la presentación, contrate a las Big 4. Si necesita el código, siga leyendo.
Una auditoría de sesgo que satisface la LL144 de Nueva York no satisface a Colorado. Una auditoría que satisface a Colorado no satisface la Ley de IA de la UE. Algunos requisitos son técnicamente incompatibles. Esto no es un defecto de diseño que el mercado corregirá: es el entorno legal en el que usted está entrando.
La LL144 exige ratios de impacto interseccional calculados por raza × sexo para cada etapa de selección. El estándar de "cuidado razonable" de la SB 24-205 de Colorado no especifica una metodología, y la Ley de Derechos Humanos de Illinois se centra en el efecto discriminatorio sin prescribir una prueba estadística. Ejecutar una única auditoría universal produce resultados demasiado generales para la LL144 y demasiado detallados para reconocerse como la evaluación de impacto específica de Colorado. Cada jurisdicción recibe un entregable de forma distinta o cada una falla en sus propios términos.
La HB 3773 de Illinois prohíbe explícitamente el uso de códigos postales como sustitutos de clases protegidas. El Artículo 10(3) de la Ley de IA de la UE exige que los datos de entrenamiento sean "pertinentes, representativos y, en la medida de lo posible, exentos de errores y completos", lo que normalmente significa incluir características geográficas para evitar lagunas de cobertura regional. Elimine los códigos postales y suspenderá la auditoría de representatividad de la UE; consérvelos e infringirá la ley de Illinois. La respuesta práctica es una característica explícita de residencia con una granularidad geográfica más gruesa para los datos de entrenamiento de la UE y un enmascaramiento geográfico completo para la inferencia de Illinois, lo que requiere dos configuraciones de implementación del mismo modelo, no una.
Bajo la LL144, el empleador autodetermina si una herramienta "asiste sustancialmente" en una decisión de contratación. Bajo Mobley, el proveedor es directamente responsable cuando su herramienta recomienda o filtra candidatos, con independencia de lo que el empleador afirme. Un memorando de autoclasificación de 2024 que diga "nuestra implementación de Workday Spotlight no es un AEDT" es ahora la prueba A de los demandantes. La única postura defendible es tratar toda herramienta de puntuación, clasificación, filtrado o enrutamiento como dentro del ámbito de aplicación y documentarlo en consecuencia.
La TRAIGA de Texas es la primera ley estatal que rechaza explícitamente el impacto dispar como base autónoma de responsabilidad en la contratación con IA. Esto no significa que los empleadores de Texas estén a salvo —las reclamaciones del Título VII federal y de la Ley de la Comisión de Derechos Humanos de Texas siguen aplicándose—, pero significa que el entregable de cumplimiento de la TRAIGA se centra en la intención en lugar de en las estadísticas. Un análisis de impacto adverso del Título VII federal, un informe de los cuatro quintos de la LL144 y una evaluación de intención de la TRAIGA son tres encargos distintos con tres estándares probatorios distintos.
Kistler v. Eightfold no es un caso de impacto adverso. El marco de la FCRA pregunta si la plataforma funciona como una agencia de informes al consumidor, con independencia de si sus puntuaciones son justas. Una plataforma perfectamente imparcial puede aun así adeudar a cada candidato puntuado una notificación previa a la medida adversa, una copia del "informe" y una vía de disputa. Las auditorías de sesgo no producen ninguno de esos artefactos. Un comprador que optimiza únicamente para el cumplimiento de la LL144 y de Colorado puede aun así ser demandado en una acción colectiva porque la cuestión de la FCRA nunca se planteó.
La LL144 no exige pruebas de impacto por discapacidad. Colorado la exige bajo el estándar general de "cuidado razonable", pero no especifica metodología. La denuncia de la ACLU en nombre de una empleada indígena sorda (D.K. v. Intuit / HireVue) sostiene que las entrevistas en vídeo impulsadas por ASR perjudican de forma dispar a personas cuyos patrones de habla estaban infrarrepresentados en los datos de entrenamiento. El problema técnico subyacente es medible: la investigación publicada muestra que el WER medio multilingüe de Whisper es aproximadamente el triple de su WER en inglés, y el equipo ganador del Speech Accessibility Project Challenge de Interspeech 2025 logró un WER del 8,11 % en habla con deterioro, todavía varios múltiplos de los puntos de referencia estándar. Las auditorías de sesgo que solo rastrean raza y sexo no harán aflorar esto, y una empresa que aprueba la LL144 puede aun así enfrentarse a una denuncia por la ADA.
La brecha de Paradox / McHire expuso 64 M de registros de candidatos porque una cuenta de prueba de administrador de 2019 seguía activa con 123456 tanto como nombre de usuario como contraseña, sin MFA, y con un IDOR en una API interna. Nada de esto tuvo que ver con el ML. Todo ello recae ahora sobre el CHRO porque los datos de candidatos expuestos a través de una herramienta de contratación siguen siendo datos de contratación, sujetos a la notificación de brechas del RGPD, al derecho privado de acción de la CCPA y a la pérdida de la base jurídica para el tratamiento continuado. La diligencia debida sobre las herramientas de contratación con IA debe abarcar la higiene de credenciales, los límites de autorización de las API y las auditorías de contraseñas por defecto, lo cual no es lo que le dice una carta SOC 2 estándar.
Estos son encargos de consultoría, no productos. Cada uno es a medida. Lo que nos hace útiles es que escribimos código y asistimos a sus reuniones con proveedores. Somos neutrales respecto a los proveedores: no revendemos tecnología de RR. HH., y le diremos cuándo su implementación de Workday o Eightfold es defendible tal como está.
Enumeramos toda herramienta que toca una decisión de contratación: complementos de ATS, motores de puntuación, bots de programación, entrevistadores en vídeo, API de verificación de referencias, integraciones de verificación de antecedentes, la IA nativa de LinkedIn Recruiter, cualquier cosa que muestre u oculte candidatos. Para cada herramienta, la clasificamos frente a la definición de "asiste sustancialmente" de la LL144, la distinción implementador/desarrollador de Colorado, la prueba de "influir o facilitar" de Illinois, la prueba de solo intención de Texas y la clasificación de alto riesgo del Anexo III de la UE. El resultado es un registro de AEDT que resiste una investigación de un regulador y una lista de proveedores que indica al área legal qué contratos necesitan enmienda.
Entregable: registro de AEDT, matriz de exposición jurisdiccional, lista de enmiendas a contratos de proveedores, cola de prioridades de remediación.
Realizamos el análisis completo de los cuatro quintos al nivel interseccional que exige la LL144, calculamos la evaluación de impacto de "cuidado razonable" de Colorado en el formato hacia el que se inclinan los borradores de normas del Fiscal General de CO, generamos los artefactos de notificación de Illinois y producimos la documentación de gobernanza de datos del Artículo 10 de la Ley de IA de la UE. Donde los regímenes entran en conflicto, redactamos un memorando que indica exactamente dónde y por qué, y hacemos la recomendación de estrategia legal (para qué régimen optimiza, en cuál acepta exposición, cuál es realmente la magnitud de la exposición). No somos un auditor independiente bajo la LL144 —ese papel corresponde a DCI, ORCAA o Secretariat—, pero dejamos su sistema en el estado en el que la auditoría independiente no encuentra nada digno de reportar.
Entregable: informe interseccional de la LL144, evaluación de impacto de Colorado, plantilla de notificación de Illinois, paquete de documentación de los Art. 10/11 de la UE, memorando de conflictos.
Tratamos esto como una disciplina aparte porque ningún marco de auditoría de sesgo lo cubre. Comparamos el canal de ASR de sus entrevistas en vídeo con el corpus del Speech Accessibility Project y las disparidades de WER publicadas para hablantes sordos, con dificultades auditivas y con acento. Evaluamos los instrumentos de personalidad frente a la teoría de Aon de la ACLU: si las preguntas reflejan criterios de diagnóstico clínico, funcionan como una criba de discapacidad bajo la ADA. Diseñamos la vía de escalado con intervención humana para candidatos que revelan una necesidad de adaptación, incluido un SLA de proveedor de CART que no deje a los candidatos esperando 72 horas. Aquí es donde comienza una denuncia de la ACLU o una investigación de la ADA del DOJ, así que lo documentamos según el estándar probatorio que exigen esos procedimientos.
Entregable: informe de disparidad de WER en ASR, revisión de la ADA de instrumentos de personalidad, especificación del flujo de trabajo de adaptación, plantilla de SLA de proveedor de CART.
Evaluamos si sus proveedores de contratación con IA cumplen el patrón fáctico que persiguen los demandantes de Kistler: extracción de datos de terceros, construcción de perfiles de candidatos, producción de puntuaciones numéricas y uso de esas puntuaciones para filtrar. Donde el patrón aplica, construimos la canalización de notificaciones de medida adversa de la FCRA, el flujo de trabajo de disputa de cara al candidato, el registro de procedencia de datos que muestra qué información se usó en una puntuación, y el cronograma de resolución de disputas que su Asesor Jurídico General pueda defender ante un tribunal. Si el tribunal en Kistler sostiene que Eightfold es una CRA, usted está listo desde el primer día. Si no lo hace, usted tiene una experiencia para el candidato por la que su equipo de DEI le agradecerá de todos modos.
Entregable: memorando de aplicabilidad de la FCRA, plantillas de notificación de medida adversa, especificación del portal de disputas para candidatos, arquitectura de registro de procedencia de datos.
Tras McHire, una carta SOC 2 no es suficiente. Realizamos una revisión de seguridad consciente de la IA sobre cada proveedor de tecnología de RR. HH. de su stack: credenciales por defecto, aplicación de MFA en cuentas de administrador, límites de autorización de las API (en concreto, fallos de la clase IDOR como el que expuso 64 M de registros), retención de transcripciones de chat de candidatos, endurecimiento contra inyección de prompts en interfaces conversacionales, y residencia de datos para el análisis de la base jurídica del RGPD. El entregable es un memorando de riesgo de proveedores que el CISO pueda cofirmar y una cláusula contractual que su equipo de adquisiciones pueda adjuntar a cada renovación.
Entregable: memorando de riesgo de proveedores, resultados de pruebas de IDOR / límites de autorización, cláusula contractual de seguridad, actualización de la EIPD para el RGPD.
Cuando la auditoría revela una herramienta que no se puede hacer conforme sin cambiar el modelo, tenemos dos opciones. Opción uno: reemplazarla por una arquitectura de caja de cristal que construimos: un emparejador de habilidades basado en grafos de conocimiento o un motor de reglas simbólicas con restricciones aplicadas donde cada decisión se rastrea hasta un nodo auditable en lugar de hasta un peso de coma flotante. Opción dos: superponer una capa de cumplimiento sobre el proveedor existente, interceptando puntuaciones, aplicando ajustes específicos por jurisdicción y generando un rastro de auditoría independiente que sobreviva a la instrucción probatoria. No empezamos desde cero a menos que la alternativa sea genuinamente peor; la mayoría de las veces una capa estrecha resuelve el problema.
Entregable: memorando de opciones de remediación, código de prototipo o de capa superpuesta, especificación de integración para el ATS existente.
No vendemos contratos de retención. Cada fase a continuación es su propio pliego de trabajo con su propio entregable. Algunos clientes se detienen tras la Fase 1 y se sienten satisfechos con ello; otros continúan hasta la remediación arquitectónica. Ninguna fase depende de comprometerse con la siguiente.
Acompañamos como observadores un ciclo completo de contratación, enumeramos cada AEDT, mapeamos sus jurisdicciones operativas y producimos un memorando de exposición que indica qué regímenes aplican y dónde se encuentra usted actualmente fuera de cumplimiento. Sesiones de trabajo con RR. HH., Legal, Adquisiciones y Seguridad de TI. Tarifa fija. Estado final: su Asesor Jurídico General puede entrar a una reunión del consejo con una lista numerada.
El trabajo estadístico propiamente dicho. Tablas interseccionales de impacto adverso, evaluación de impacto de Colorado, artefactos de notificación de Illinois, documentación de los Art. 10/11 de la UE, memorando de aplicabilidad de la FCRA, puntos de referencia de WER en ASR. Producimos el paquete previo a la auditoría que el auditor independiente de LL144 que usted elija (DCI, ORCAA, Secretariat) aceptará sin reescribir. Identificamos los conflictos irreconciliables y redactamos el memorando de estrategia legal que indica a la dirección qué exposiciones está aceptando a sabiendas.
Para cada proveedor nombrado, realizamos una revisión de seguridad consciente de la IA, revisamos los DPA frente a las siete zonas de colisión, y redactamos las cláusulas contractuales que su equipo de adquisiciones adjuntará en la renovación. Para los clientes de Workday / HiredScore, revisamos específicamente la Mobley exposición y documentamos en qué difiere su implementación del patrón fáctico. Para los clientes de Eightfold, señalamos el riesgo de Kistler y recomendamos mitigaciones provisionales.
Solo si es necesario. Una capa que intercepta puntuaciones antes de que lleguen a la pantalla de un reclutador, un portal de disputas de cara al candidato integrado con su ATS, un emparejador de habilidades basado en grafos de conocimiento para la única familia de puestos donde el proveedor existente no puede aprobar. Construimos, entregamos el código, lo documentamos para su equipo de ingeniería. Encargo típico: de uno a tres trimestres.
Le ayudamos a poner en marcha una supervisión continua sobre una plataforma de gobernanza que usted ya posea o haya elegido (FairNow, Holistic AI, Credo AI son todas adecuadas para esto; no estamos revendiendo ninguna de ellas). Capacitamos a su equipo interno sobre cómo interpretar los paneles de control en el lenguaje que usa cada regulador. Luego nos retiramos.
Sobre plazos y honestidad: Una empresa que no ha tocado esto desde 2024 no puede estar plenamente conforme con seis regímenes para el 2 de agosto de 2026. Le diremos exactamente qué exposiciones quedan, redactaremos el memorando y le ayudaremos a tomar una decisión informada de estrategia legal sobre lo que está aceptando. La alternativa —afirmar cobertura total para una fecha que nunca fue alcanzable— crea precisamente el registro de "mala fe" que buscan los reguladores y los demandantes.
Introduzca dónde contrata y qué usa. La herramienta calcula qué regímenes aplican, cuáles de sus proveedores tienen litigios activos o exposición regulatoria, y cuál es el orden de prioridad de la remediación. No se envía nada a ninguna parte: esto se ejecuta enteramente en su navegador. Use el resultado en su próxima reunión de cumplimiento, tanto si nos contrata como si no.
Formuladas tal como los clientes las formulan realmente en la primera llamada, no depuradas para el sitio web.
No auditorías separadas, sino entregables separados derivados de una sola auditoría bien diseñada. El trabajo estadístico subyacente —ratios de impacto adverso, análisis interseccional, atribuciones de características— es común. El formato y lo que se calcula no lo es. La LL144 exige ratios de impacto interseccional de raza por sexo y un resumen publicado públicamente en un formato específico. Colorado quiere una evaluación de impacto documentada como parte de un programa de gestión de riesgos, sin un requisito explícito de los cuatro quintos. Illinois necesita un artefacto de notificación y documentación de variables sustitutas. La UE quiere registros de gobernanza de datos del Art. 10 y documentación técnica del Art. 11, que es mucho más profunda que cualquier marco estadounidense. Un único auditor que ejecuta una auditoría LL144 "universal" y la declara válida para Colorado le está dando algo que un regulador rechazará. Un solo encargo de auditoría produce cuatro o cinco entregables de forma distinta si se diseña correctamente. Diseñamos los encargos de esa manera; la mayoría de los proveedores de auditoría de propósito general no lo hacen.
Puede que sí o puede que no. El colectivo que recibió la certificación preliminar en mayo de 2025 cubre a los solicitantes de empleo de 40 años o más que fueron descartados por un cliente de Workday que usaba las herramientas de Workday. La jueza Lin rechazó posteriormente el intento de Workday de excluir del colectivo a HiredScore Spotlight y Fetch, aunque esos productos se adquirieron tras la demanda, y ordenó a Workday que presentara una lista exhaustiva de los empleadores que habilitaron las funciones de HiredScore. El plazo de adhesión para solicitantes mayores de 40 años cerró el 7 de marzo de 2026, lo que significa que la instrucción probatoria avanza ahora sobre miembros identificados del colectivo. Sus medidas inmediatas son: obtener su historial de implementación de HiredScore con fechas, identificar los puestos y geografías donde Spotlight o Fetch filtraron candidatos, conservar todos los datos a nivel de solicitante de ese período, y documentar el punto de control de revisión humana si lo hubo. Una defensa de "el proveedor se ocupó de ello" es exactamente lo que la resolución de "agente" de la jueza Lin fue diseñada para derrotar. Cuanto antes tenga su Asesor Jurídico General un memorando fáctico, mejor será su postura cuando el abogado de los demandantes se ponga en contacto.
Los auditores independientes reconocidos bajo la LL144 —principalmente DCI Consulting, ORCAA, Secretariat y un puñado de firmas más pequeñas— suelen cobrar de 50.000 a 200.000 USD por AEDT al año según el volumen de datos, la disponibilidad demográfica y la complejidad del flujo de trabajo de selección. El plazo desde que los datos están listos hasta la auditoría firmada es de 15 a 20 días hábiles una vez que el auditor tiene todo lo que necesita. La fase de "llegar a tener los datos listos" es donde desaparece la mayor parte del tiempo, y es lo que hacemos nosotros: canalización de datos, elección del método de imputación demográfica, agrupación interseccional, cálculo de tasas de selección, formateo de artefactos. Un auditor que recibe de nosotros un paquete previo a la auditoría limpio puede firmar en los 15-20 días publicados; un auditor que tiene que limpiar sus datos él mismo facturará hacia el extremo alto del rango y tardará más. No somos un auditor independiente —no podemos firmar el entregable final de la LL144, por diseño—, pero somos la razón por la que la auditoría que firma su auditor independiente está limpia.
No. La Ley de IA de la UE es el régimen más exigente en cuanto a documentación, gobernanza de datos y supervisión humana, pero no exige los ratios específicos de impacto adverso interseccional que demanda la LL144, y no produce el formato de evaluación de impacto de Colorado que contemplan los borradores de normas del Fiscal General de CO. El cumplimiento de la UE es necesario pero no suficiente para el cumplimiento estatal en EE. UU. En sentido contrario, el cumplimiento de la LL144 no lo acerca al listón de la UE: la LL144 es esencialmente una auditoría estadística estrecha y un resumen publicado, mientras que la Ley de IA de la UE quiere un sistema completo de gestión de la calidad (Art. 17), una evaluación de conformidad, un expediente de documentación técnica, una vigilancia poscomercialización y el marcado CE. Si su presencia es tanto en EE. UU. como en la UE, planifique dos flujos de trabajo. Las zonas de conflicto donde el requisito de un régimen infringe el de otro (siendo el código postal el ejemplo más claro) son reales y necesitan una decisión de estrategia legal, no de ingeniería.
Se defiende con una revisión separada de la canalización de la ADA, que la mayoría de los proveedores de auditoría de sesgo no ofrecen porque es una teoría legal diferente y una base probatoria diferente. Para las herramientas de entrevista en vídeo, eso significa comparar su componente de ASR con el corpus del Speech Accessibility Project y conjuntos de prueba similares de hablantes sordos, con dificultades auditivas y de inglés con acento. Las disparidades publicadas son grandes: el equipo ganador del SAP Challenge de 2025 logró un WER del 8,11 % en habla con deterioro, que sigue siendo varios múltiplos del WER de referencia para el inglés estándar, y el rendimiento multilingüe de Whisper es aproximadamente 3 veces peor que su rendimiento en inglés en promedio. Para las evaluaciones de personalidad y basadas en juegos, la cuestión es si el instrumento refleja criterios de diagnóstico clínico: la teoría de la denuncia de Aon de la ACLU ante la FTC. Para la experiencia del candidato, necesita un flujo de trabajo de adaptación que no deje a un solicitante sordo esperando 72 horas para obtener apoyo humano de CART, porque "el proceso estaba disponible" no es una defensa cuando el proceso requiere que el solicitante sepa que debe pedirlo. La D.K. v. Intuit/HireVue denuncia es la plantilla que está usando ahora el abogado de los demandantes; léala y alinee sus controles con cada alegación específica, porque eso es exactamente lo que recorrerá la instrucción probatoria.
Depende de qué teoría le alcance. La LL144 son 1.500 USD/día por infracción, lo que asciende a 547.500 USD al año por herramienta no auditada antes de que se superponga cualquier derecho privado de acción. La TRAIGA de Texas tiene un tope de 200.000 USD por infracción no subsanable. La Ley de IA de la UE tiene un tope en el mayor de 15 M€ o el 3 % de la facturación anual mundial por obligaciones de alto riesgo. La EEOC resolvió su primer caso de contratación con IA (iTutorGroup, 2023) por 365.000 USD, lo cual es pequeño hasta que uno se da cuenta de que es ahora el suelo para las reclamaciones individuales de discriminación. Las acciones colectivas escalan de forma diferente: el colectivo de Mobley cubre potencialmente una fracción significativa de los solicitantes mayores de 40 años que pasaron por el ecosistema de Workday, que el tribunal señaló que puede superar los mil millones. La teoría de la FCRA de Kistler, si prospera, vincula daños legales de 100 a 1.000 USD por consumidor por infracción a cada candidato puntuado por una plataforma considerada agencia de informes al consumidor. Una empresa que puntúa 2 millones de candidatos al año y que se considere que adeuda incluso el extremo bajo se enfrenta a 200 M USD al año de exposición. El coste de un programa de auditoría y remediación multirrégimen se mide en cifras bajas de seis dígitos para la mayoría de nuestros clientes, y en cifras bajas de siete dígitos solo para los más grandes. El cálculo de seguro frente a exposición no está ni cerca de equilibrarse.
Sí, y para la supervisión continua una plataforma de gobernanza es genuinamente útil. Tenemos clientes que ejecutan FairNow para el seguimiento continuo de la LL144 y Holistic AI para la visibilidad transversal de riesgos, y recomendamos ambas en el contexto adecuado. Lo que una plataforma no hace es asistir a su revisión de seguridad de proveedores con su CISO, redactar el memorando de estrategia legal cuando los requisitos de Illinois y de la UE chocan, ejecutar un punto de referencia de ASR con el corpus de SAP sobre su implementación de HireVue, o reescribir una canalización de puntuación para interceptar las salidas antes de que lleguen a la pantalla del reclutador. Una plataforma es un panel de control; el encargo que ejecutamos nosotros es lo que llena el panel de control con datos significativos en primer lugar. Ejecute la plataforma y contrate al especialista para el encargo. No son sustitutos.
Era suficiente en 2024. No es suficiente ahora. La investigación de Cornell / Data & Society / Consumer Reports acuñó el término "Cumplimiento Nulo" para exactamente este patrón: 391 empleadores de Nueva York estudiados, solo el 4,6 % publicó una auditoría de sesgo, y el resto se apoyó en argumentos de autoclasificación que situaban la herramienta fuera del ámbito de aplicación de la LL144. La auditoría del Contralor del Estado de Nueva York de diciembre de 2025 demostró entonces que la autoclasificación no sobrevive a una rigurosa revisión de terceros: los auditores estatales hallaron 17 posibles infracciones en la misma muestra de 32 empresas en la que el DCWP había encontrado una. El DCWP acordó adoptar una aplicación proactiva, lo que significa que el regulador ahora ejecuta su propio análisis en lugar de esperar a que los empleadores divulguen. En cuanto a la responsabilidad del proveedor, la teoría del "agente" de Mobley rechaza explícitamente la idea de que una herramienta de cribado que recomienda o filtra candidatos no esté participando en la decisión. La postura práctica para cualquier CHRO es: asumir que toda herramienta de puntuación, clasificación o filtrado está dentro del ámbito de aplicación, tratar el memorando de "el proveedor dijo que no somos un AEDT" como una futura prueba de la instrucción probatoria, y auditar en consecuencia. Una defensa de autoclasificación que requiere que el regulador y el demandante coincidan con la caracterización del proveedor no es una defensa, es una esperanza.
Esta página de solución se basa en ocho de nuestros documentos técnicos interactivos. Cada uno cubre una porción distinta del problema del cumplimiento de la IA en contratación. El comprador serio debería hojearlos todos antes de cualquier conversación sobre un encargo.
El documento de referencia de esta página. Analiza la auditoría de la LL144 del Contralor del Estado de Nueva York de diciembre de 2025, el "Trilema del Cumplimiento" entre Nueva York, Colorado, Illinois y la UE, y los requisitos arquitectónicos para sistemas de contratación con IA listos para auditoría.
Enfoques basados en grafos de conocimiento para una contratación explicable. Cómo una ontología de habilidades permite el tipo de rastreo de decisiones que exigen los Art. 13 y 14 de la Ley de IA de la UE, y dónde el enfoque topa con los límites del sesgo por variable sustituta.
Equidad contrafactual y Modelos Causales Estructurales. Por qué el desesgo adversarial es inestable en la práctica y cómo es realmente la disyuntiva con la precisión predictiva.
La exposición a la ADA que las auditorías de sesgo no cubren. Analiza la teoría de la denuncia de Aon de la ACLU ante la FTC y los límites técnicos del aprendizaje de representación causal para evaluaciones conscientes de la discapacidad.
Análisis post mortem de la brecha de 64 M de registros de McHire / Paradox. Higiene de credenciales, fallos de la clase IDOR, y por qué una carta SOC 2 no es un sustituto de la diligencia debida sobre proveedores consciente de la IA.
Análisis en profundidad de la resolución de "agente" de Mobley v. Workday. Cómo las arquitecturas neuro-simbólicas producen los rastros de decisiones auditables que sobreviven a la instrucción probatoria.
Aplicabilidad de la FCRA a las plataformas de contratación con IA, el patrón fáctico de Kistler v. Eightfold, y los flujos de trabajo de procedencia de datos y "Derecho a Disputa" que un proveedor clasificado como CRA necesitará construir.
El ángulo de la accesibilidad y la fusión multimodal. Disparidades de WER en ASR para hablantes sordos, con dificultades auditivas e indígenas de inglés; el patrón fáctico de D.K. v. Intuit / HireVue; y un diseño realista de escalado HITL.
Un AEDT no auditado en Nueva York acumula hasta 547.500 USD al año solo en sanciones de la LL144. Mobley y Kistler añaden exposición a acciones colectivas que escala con su volumen de solicitudes. El coste de un encargo adecuado de auditoría multirrégimen es una pequeña fracción de la defensa de una sola acción colectiva.
Empezamos con un descubrimiento y una revisión de exposición de tarifa fija. Usted se lleva un registro de AEDT defendible y un memorando numerado, tanto si continúa el encargo como si no.