EU AI ActGenerative AITransparencySMEs

El Reglamento de IA de la UE y la IA generativa: lo que los usuarios de ChatGPT y de chatbots deben saber

Publicado 18 de julio de 2026 · 6 min de lectura

Casi todas las pymes europeas utilizan ahora IA generativa: ChatGPT para redactar, Copilot en la suite ofimática, un chatbot en el sitio web. La buena noticia es que utilizar la herramienta de IA de otra persona no le convierte en su proveedor, y el Reglamento de IA de la UE trata la mayoría de estos usos como de bajo riesgo. Esto es lo que realmente tiene que hacer, en términos sencillos.

Usted es (por lo general) responsable del despliegue, no proveedor

El Reglamento reparte las obligaciones según el rol. Un proveedor desarrolla un sistema de IA y lo introduce en el mercado con su propio nombre, como OpenAI, Microsoft, Anthropic o Google (artículo 3(3)). Un responsable del despliegue simplemente utiliza un sistema de IA en su actividad (artículo 3(4)). Si usa ChatGPT, Copilot o un chatbot de terceros, es responsable del despliegue, y las exigentes obligaciones de diseño y marcado recaen aguas arriba en el proveedor, no en usted.

Las normas de transparencia (artículo 50)

El artículo 50 es una capa ligera de transparencia que se aplica a determinados sistemas de IA sea cual sea su nivel de riesgo. Establece cuatro obligaciones y es cuidadoso a la hora de determinar quién debe cumplir cada una:

  • Divulgación del chatbot (50(1)), una obligación del proveedor. Los sistemas de IA que interactúan con personas deben informarles de que están tratando con una IA, salvo que resulte evidente. El proveedor lo incorpora en el diseño, de modo que un responsable del despliegue que utiliza una herramienta conforme lo hereda.
  • Marcado del contenido generado por IA (50(2)), una obligación del proveedor. Los sistemas que generan audio, imágenes, vídeo o texto sintéticos deben marcar el resultado para que sea legible por máquina y detectable como artificial. De nuevo, el proveedor lo integra.
  • Reconocimiento de emociones y categorización biométrica (50(3)), una obligación del responsable del despliegue. Si utiliza un sistema que interpreta emociones o categoriza a las personas biométricamente, debe informar a las personas expuestas y respetar el RGPD.
  • Ultrafalsificaciones (deepfakes) y texto de interés público (50(4)), una obligación del responsable del despliegue. Si publica una imagen, audio o vídeo de ultrafalsificación (deepfake), o un texto generado por IA sobre un asunto de interés público, debe divulgar que está hecho con IA, con excepciones para las fuerzas de seguridad, las obras claramente artísticas o satíricas y los textos que hayan sido objeto de una revisión editorial humana genuina.

En todos los casos, el aviso debe ser claro y facilitarse, a más tardar, en el momento de la primera interacción o exposición (artículo 50(5)).

Entonces, ¿qué debe cumplir realmente una pyme típica?

Si utiliza IA generativa internamente o gestiona un chatbot de atención al cliente construido sobre una herramienta conforme, su propia exposición al artículo 50 es reducida, sobre todo asegurarse de que las divulgaciones sobre emociones, biometría o ultrafalsificaciones (deepfakes) estén implantadas si hace esas cosas. La única obligación que ya le vincula hoy es la alfabetización en IA: desde el 2 de febrero de 2025, el artículo 4 exige tanto a los proveedores como a los responsables del despliegue que doten al personal que utiliza IA de un nivel de comprensión suficiente. Consulte nuestra guía de alfabetización en IA.

Dos formas en que el uso ordinario se convierte en una obligación más exigente

La postura de «yo solo la uso» no es un refugio seguro permanente:

  1. Cambia la marca o modifica sustancialmente un sistema. Con arreglo al artículo 25, un responsable del despliegue que pone su propio nombre en un sistema de alto riesgo, cambia su finalidad o lo modifica sustancialmente se convierte en proveedor y hereda las obligaciones del proveedor.
  2. Su uso entra en un caso de uso de alto riesgo. El artículo 50 no convierte por sí mismo un sistema en de alto riesgo. Pero si utiliza IA generativa para algo enumerado en el anexo III, como la contratación, la gestión de trabajadores, la evaluación crediticia o de seguros, la educación o los servicios esenciales, es de alto riesgo con arreglo al artículo 6, con obligaciones mucho más exigentes. La clasificación depende de los hechos concretos: compruebe su caso de uso real.

¿Construye sobre un modelo? Puede ser un proveedor de GPAI

Si va más allá de usar un modelo y empieza a ajustarlo (fine-tuning) o modificarlo materialmente uno de ellos, puede convertirse en proveedor de un modelo de IA de uso general (GPAI), aunque sus obligaciones se limitan entonces a su modificación (considerando 109). Las directrices de la Comisión de julio de 2025 le consideran un proveedor de GPAI distinto solo cuando la potencia de cálculo de sus cambios supera aproximadamente un tercio de la potencia de cálculo de entrenamiento del modelo original, de modo que un ajuste ligero le mantiene como responsable del despliegue. Consulte nuestra guía de obligaciones de GPAI para saber qué cambia si cruza esa línea.

Plazos

La alfabetización en IA ya se aplica (2 de febrero de 2025). Las obligaciones de transparencia del artículo 50 se aplican a partir del 2 de agosto de 2026. El marcado legible por máquina del contenido sintético para los sistemas que ya están en el mercado se aplazó al 2 de diciembre de 2026 mediante el Digital Omnibus (adoptado, a la espera de su publicación en el Diario Oficial). Nuestra guía de plazos incluye la tabla completa.

Compruebe su situación

¿No está seguro de si su uso de IA generativa es de bajo riesgo o entra en un caso de uso de alto riesgo? La herramienta gratuita EU AI Act Snapshot lo resuelve en dos minutos, sin registro, y nuestra lista de comprobación de cumplimiento en 9 pasos convierte el resultado en un plan. Los planes empiezan desde EUR 0.

Guías relacionadas