ChatGPT en virtud de la Ley de IA de la UE: clasifique por uso, no por nombre
El nivel de riesgo de ChatGPT en la Ley de IA de la UE depende de cómo lo despliegue: mínimo, limitado (Art. 50) o de alto riesgo (Anexo III). Se cubren las obligaciones del RGPD y el plazo del 2 de diciembre de 2027.
La mayoría de las guías de cumplimiento tratan ChatGPT como un único objeto con un riesgo fijo. La Ley de IA de la UE no funciona así. El nivel de riesgo para su organización depende de lo que haga con ChatGPT — no del nombre de la herramienta.
El Reglamento reparte las obligaciones entre dos partes distintas. OpenAI, como proveedor del modelo, entra en el Capítulo V (obligaciones de GPAI, en vigor desde el 2 de agosto de 2025). Su empresa, como responsable del despliegue, se rige por una pila aparte que escala según cómo utilice la herramienta. Un equipo que usa ChatGPT para redactar memorandos internos se sitúa en el riesgo mínimo. La misma empresa, al usar un asistente impulsado por ChatGPT para preseleccionar candidaturas de empleo, aterriza de lleno en el Anexo III — y hereda un conjunto de requisitos sustancialmente más pesado.
Esta página traza ese reparto, le indica qué obligaciones recaen en cada nivel de riesgo y señala las trampas del RGPD que pillan desprevenidas a las empresas antes incluso de llegar a la capa de la Ley de IA.
Cómo reparte el Reglamento la responsabilidad: OpenAI frente a usted
ChatGPT se construye sobre la familia de modelos de GPAI GPT de OpenAI. En virtud del Capítulo V del Reglamento (UE) 2024/1689, OpenAI — como proveedor del modelo de GPAI — soporta obligaciones que se aplican con independencia de cómo utilice la herramienta cualquier responsable del despliegue posterior. Estas incluyen:
- Mantener documentación técnica (Artículo 53, apartado 1, letra a))
- Publicar un resumen suficientemente detallado de los datos de entrenamiento utilizados (Artículo 53, apartado 1, letra d))
- Implementar una política de cumplimiento de los derechos de autor (Artículo 53, apartado 1, letra c))
- Facilitar a los responsables del despliegue posteriores la información que necesitan para cumplir sus propias obligaciones (Artículo 53, apartado 1, letra b))
Si los modelos GPT de OpenAI superan el umbral de entrenamiento de 10²⁵ FLOP que desencadena la clasificación de riesgo sistémico (Artículo 51), entran en juego obligaciones adicionales en virtud del Artículo 55 — pruebas de adversarios, notificación de incidentes, medidas de ciberseguridad. Esa es la carga de OpenAI, no la suya.
Sus obligaciones como responsable del despliegue comienzan en el Artículo 26 y escalan hacia arriba según dónde se sitúe su caso de uso en la jerarquía de riesgo.
Clasificación de su caso de uso de ChatGPT
La cuestión no es si ChatGPT es de alto riesgo. La cuestión es si su despliegue específico activa una categoría del Anexo III en virtud del Artículo 6.
Riesgo mínimo: productividad general del personal
Utilizar ChatGPT para redactar correos electrónicos, resumir documentos, generar sugerencias de código o apoyar la gestión interna del conocimiento no conlleva obligaciones imperativas de la Ley de IA de la UE. La herramienta se sitúa en el riesgo mínimo. No necesita registrarla, realizar una evaluación de la conformidad ni elaborar documentación técnica con arreglo al Artículo 11. Las buenas prácticas voluntarias — registrar el uso, fijar una política de uso aceptable — son sensatas, pero no jurídicamente obligatorias.
La única obligación ya en vigor para todas las organizaciones: la alfabetización en IA del Artículo 4, que se aplica desde el 2 de febrero de 2025. El personal que utiliza herramientas de IA en su trabajo debe comprender las capacidades y limitaciones de la herramienta a un nivel adecuado a su función. Eso no exige un programa de formación formal para cada usuario de ChatGPT; pero sí significa que no puede alegar ignorancia si un mal uso causa un perjuicio.
Riesgo limitado: despliegues de cara al cliente o generativos
Si despliega ChatGPT en un chatbot de cara al cliente — un asistente de soporte, un agente virtual en su sitio web — activa el Artículo 50, apartado 1. Los usuarios deben ser informados de que interactúan con un sistema de IA, salvo que el contexto lo haga obvio. Esa obligación se aplica a partir del 2 de agosto de 2026.
Si su uso implica generar contenido sintético — artículos escritos por IA, textos de marketing, descripciones de productos — ese contenido debe marcarse como generado por máquina con arreglo al Artículo 50, apartado 2, con excepciones para las obras claramente creativas o satíricas. De nuevo, se trata de un deber de comunicación, no de una evaluación de la conformidad. La carga de cumplimiento es ligera, pero no nula.
Alto riesgo: casos de uso del Anexo III
ChatGPT pasa a ser un despliegue de alto riesgo cuando se utiliza para una finalidad enumerada en el Anexo III del Reglamento. Los desencadenantes más comunes para las empresas que usan ChatGPT:
- Anexo III, punto 4, letra a): IA utilizada para la contratación o la selección de personas físicas, o para evaluarlas y clasificarlas en el empleo. Una herramienta impulsada por ChatGPT que preselecciona currículos, genera resúmenes de candidatos para RR. HH. o puntúa respuestas de entrevistas entra aquí.
- Anexo III, punto 5, letra b): Evaluación de la solvencia o calificación crediticia. Un prestamista que utiliza ChatGPT para analizar los perfiles de los prestatarios o redactar decisiones crediticias aterriza en esta categoría.
- Anexo III, punto 3: IA utilizada en la educación o la formación profesional para fines como la evaluación de los estudiantes. Un producto de tecnología educativa que utiliza ChatGPT para calificar tareas o generar evaluaciones de aprendizaje personalizadas reúne las condiciones.
Una comprobación importante antes de dar por hecho el alto riesgo: el filtro del Artículo 6, apartado 3. Un sistema que toca un ámbito del Anexo III no es automáticamente de alto riesgo si desempeña una tarea procedimental limitada, realiza un trabajo preparatorio sin influir en una decisión humana, o mejora el resultado de una actividad humana previamente realizada. Todo proveedor que reclame esta exención debe documentar la evaluación. Y todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sea como sea.
Para los responsables del despliegue, la trampa del Artículo 25 importa aquí: si su empresa construye un producto sobre la API de ChatGPT y pone su propio nombre o marca en el resultado — o modifica sustancialmente la finalidad prevista — pasa de responsable del despliegue a proveedor. Las obligaciones del proveedor (Artículo 16) son significativamente más pesadas: documentación técnica (Artículo 11 / Anexo IV), evaluación de la conformidad (Artículo 43), registro (Artículo 49), declaración UE de conformidad (Artículo 47) y un sistema de gestión de riesgos (Artículo 9).
Qué deben hacer los responsables del despliegue de alto riesgo
Si su despliegue de ChatGPT es de alto riesgo del Anexo III, esto es lo que el Reglamento le exige a usted como responsable del despliegue — no a OpenAI.
Registre y clasifique la herramienta. Todo sistema de IA de alto riesgo que utilice su organización debe inscribirse en la base de datos de la UE con arreglo al Artículo 49. El registro recoge la finalidad prevista del sistema, su función y la categoría del Anexo III.
Supervisión humana (Artículo 14). Los resultados que afecten a la posición jurídica o a las oportunidades vitales de una persona deben ser revisados por un humano antes de que surtan efecto. Un rechazo automatizado de un currículo enviado sin revisión humana es una infracción directa del Artículo 14. El mecanismo de supervisión debe estar documentado.
Alfabetización en IA (Artículo 4). En vigor desde el 2 de febrero de 2025. El personal que interactúa con los resultados de la IA de alto riesgo — responsables de RR. HH. que actúan sobre los resúmenes de cribado de ChatGPT, agentes de préstamos que revisan notas de crédito generadas por IA — necesita una comprensión básica de lo que hace el sistema y de dónde puede equivocarse.
Obligaciones del responsable del despliegue del Artículo 26. Siga las instrucciones del proveedor; registre el uso del sistema durante al menos seis meses (Artículo 26); informe a los representantes de los trabajadores antes de desplegar sistemas de IA que afecten a los empleados (Artículo 26); supervise el sistema en funcionamiento y notifique las anomalías al proveedor.
Evaluación de impacto relativa a los derechos fundamentales (Artículo 27). Obligatoria para los responsables del despliegue que sean organismos públicos, y para cualquier responsable del despliegue que utilice un sistema de solvencia o de seguros de vida/salud (Anexo III, puntos 5, letra b) y 5, letra c)). No obligatoria automáticamente para los empleadores privados que usan ChatGPT en RR. HH. — pero sí una buena práctica, y cada vez más esperada por las autoridades nacionales de supervisión.
Plazo: En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha de aplicación para los sistemas de IA de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027 (aplazada respecto de la fecha original del 2 de agosto de 2026). Eso es margen para respirar, no un indulto — reunir la documentación y los procesos lleva meses, y vale la pena hacer ahora el trabajo de inventario para comprender su exposición.
RGPD: la capa que está por debajo de la Ley de IA
Antes de llegar a las obligaciones de la Ley de IA, el RGPD se aplica a casi todo lo que hace con ChatGPT en un contexto profesional.
No pegue nombres, direcciones de correo electrónico, evaluaciones de desempeño, información médica ni cualquier otro dato personal en las indicaciones (prompts) de ChatGPT a menos que tenga una base jurídica para el tratamiento (artículo 6 del RGPD) y un acuerdo de tratamiento de datos con OpenAI. Las cuentas de consumidor de ChatGPT (chatgpt.com) no vienen con un DPA por defecto. El nivel empresarial de OpenAI y el acceso a la API incluyen un DPA y controles de datos; los niveles gratuito y Plus del producto de consumo, no.
Las categorías especiales de datos — información de salud, origen étnico, convicciones religiosas, afiliación sindical — están sujetas al artículo 9 del RGPD y requieren el consentimiento explícito u otro fundamento jurídico específico. Enviar el historial de baja por enfermedad de un empleado a una indicación estándar de ChatGPT es una infracción del RGPD antes incluso de preguntarse si se aplica la Ley de IA.
Mínimo práctico: utilice ChatGPT Enterprise o la API con un DPA firmado para cualquier contexto profesional. Fije una política de tratamiento de datos que indique al personal qué categorías de información no puede enviar. Revísela cuando incorpore nuevos casos de uso.
Cómo ayuda Confir
Añada ChatGPT a su registro de IA y el motor de clasificación basado en reglas de Confir le pregunta cómo lo utiliza — no solo cómo se llama. Responda a las preguntas de admisión (función, caso de uso, tipos de datos, población de usuarios) y el motor deriva su nivel de riesgo y el alcance de sus obligaciones en dos pasos: primero la comprobación de prácticas prohibidas del Artículo 5; luego la delimitación del Artículo 6 / Anexo III. Si su uso se sitúa en el riesgo mínimo, ve una lista de comprobación breve. Si activa el Anexo III, aparece la pila completa de obligaciones del responsable del despliegue — las obligaciones del Artículo 26, el flujo de trabajo de la EIDF del Artículo 27 si procede y el registro de alfabetización del Artículo 4.
Todo es basado en reglas y reproducible: la misma admisión produce la misma conclusión, y la regla que se activó está escrita en lenguaje sencillo para que cualquier revisor pueda comprobarla.
Preguntas frecuentes
¿Es ChatGPT en sí mismo de alto riesgo en virtud de la Ley de IA de la UE?
No por defecto. ChatGPT se construye sobre los modelos de GPAI de OpenAI, y las obligaciones del Capítulo V (Artículos 51 a 55) recaen en OpenAI como proveedor del modelo — esas se aplican desde el 2 de agosto de 2025. Para su empresa como responsable del despliegue, el nivel de riesgo depende del caso de uso: las herramientas de productividad general se sitúan en el riesgo mínimo; un chatbot de cara al cliente activa los deberes de transparencia de riesgo limitado del Artículo 50; una aplicación del Anexo III (cribado de selección de personal, evaluación crediticia) activa las obligaciones de alto riesgo. El nombre de la herramienta no determina el nivel. El uso, sí.
¿Qué exige el Artículo 50 para un chatbot de cliente impulsado por ChatGPT?
Con arreglo al Artículo 50, apartado 1, los usuarios deben ser informados de que interactúan con un sistema de IA — salvo que el contexto lo haga obvio. Si el chatbot genera contenido sintético (texto, imágenes), ese contenido debe etiquetarse como generado por máquina con arreglo al Artículo 50, apartado 2. Estos requisitos de transparencia se aplican a partir del 2 de agosto de 2026. Son deberes de comunicación, no una evaluación de la conformidad. El incumplimiento expone a multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial en virtud del Artículo 99, apartado 4.
Si construimos un producto sobre la API de ChatGPT, ¿somos responsables del despliegue o proveedor?
Depende de lo que construya. Si utiliza la API como un servicio sobre la infraestructura de OpenAI y traslada los resultados a los usuarios, empieza como responsable del despliegue. Pero si pone su propio nombre o marca en el resultado del sistema, o cambia sustancialmente la finalidad prevista del sistema, el Artículo 25 le convierte en proveedor — con todas las obligaciones del proveedor en virtud del Artículo 16: documentación técnica, evaluación de la conformidad (Artículo 43), declaración UE de conformidad (Artículo 47) y registro en la base de datos de la UE (Artículo 49). Esta es la trampa del Art. 25 que pilla a muchas empresas de SaaS que construyen sobre las API de modelos fundacionales.
¿Cuáles son nuestras obligaciones del RGPD al usar ChatGPT?
El RGPD se aplica antes que la Ley de IA. Cualquier uso profesional de ChatGPT que implique datos personales requiere una base jurídica (artículo 6 del RGPD) y, normalmente, un acuerdo de tratamiento de datos con OpenAI. Las cuentas de consumidor de ChatGPT no incluyen un DPA; ChatGPT Enterprise y la API, sí. Las categorías especiales de datos (salud, origen étnico, religión, afiliación sindical con arreglo al artículo 9 del RGPD) requieren el consentimiento explícito u otro fundamento jurídico específico. No envíe datos personales de empleados, registros de clientes ni información empresarial sensible a una cuenta de consumidor de ChatGPT.
¿Cuándo se aplica el plazo de alto riesgo si usamos ChatGPT para la selección de personal?
En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de alto riesgo para los sistemas autónomos del Anexo III se aplican a partir del 2 de diciembre de 2027 (la fecha original del 2 de agosto de 2026 se ha aplazado). Si su despliegue de ChatGPT criba a los candidatos a un empleo (Anexo III, punto 4, letra a)), tiene hasta entonces para tener implantados su gestión de riesgos, su supervisión humana y su documentación. La alfabetización en IA del Artículo 4 se aplica ya (desde el 2 de febrero de 2025). La transparencia del Artículo 50 para la IA de cara al cliente se aplica a partir del 2 de agosto de 2026. El registro en virtud del Artículo 49 está vinculado a la fecha de aplicación de alto riesgo.
¿Necesitamos una evaluación de impacto relativa a los derechos fundamentales (EIDF) para ChatGPT en RR. HH.?
La EIDF del Artículo 27 es obligatoria para los responsables del despliegue que sean organismos públicos y para los responsables del despliegue de sistemas de solvencia o de seguros de vida/salud (Anexo III, puntos 5, letra b) y 5, letra c)). Los empleadores privados que despliegan ChatGPT en la selección de personal no están obligados automáticamente a realizar una — pero, dado que la selección de personal es de alto riesgo del Anexo III, mantener un análisis de impacto sobre los derechos documentado es prudente y cada vez más esperado por las autoridades de supervisión. La evaluación debe cubrir la no discriminación, la minimización de datos, los mecanismos de supervisión humana y los derechos de recurso de los candidatos afectados.
¿Qué sanciones se aplican si nos equivocamos en esto?
Los incumplimientos de los deberes de transparencia del Artículo 50 y de la mayoría de las obligaciones del responsable del despliegue del Artículo 26 conllevan una multa máxima de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las empresas clasificadas como pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija — una protección de proporcionalidad que conviene conocer. Las multas a los proveedores de GPAI (OpenAI) las impone la Comisión en virtud del Artículo 101, hasta 15 millones de euros o el 3 %.
Guías relacionadas
- clasificación de alto riesgo del Artículo 6
- guía de los niveles de clasificación de riesgo
- definiciones del Artículo 3
- visión general de la Ley de IA de la UE
- gestión del inventario de sistemas de IA
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →