Skip to content
Confir.
Prueba gratuita
Blog

GitHub Copilot y la Ley de IA de la UE: riesgo mínimo, gobernanza real

AI Tool Compliance19 February 2026· 16 min de lectura

GitHub Copilot es de riesgo mínimo en virtud de la Ley de IA de la UE — no figura en el Anexo III. Alfabetización del Artículo 4, contexto de GPAI y la gobernanza real de propiedad intelectual y seguridad, explicados.

GitHub Copilot es un asistente de codificación construido sobre modelos GPAI (el linaje Codex de OpenAI, distribuido por GitHub/Microsoft). La mayoría de las organizaciones que lo despliegan para el desarrollo de software interno se enfrentan a un riesgo mínimo en virtud del Reglamento (UE) 2024/1689 — la Ley de IA de la UE. La herramienta no aparece en el Anexo III, no es una práctica prohibida con arreglo al Artículo 5, y el uso ordinario de desarrollo interno no activa las obligaciones de transparencia del Artículo 50 que se aplican a los chatbots o a los sistemas de reconocimiento de emociones.

Eso no significa que pueda ignorarla. Inventariar la herramienta, registrar el razonamiento de la clasificación, aplicar los requisitos de alfabetización en materia de IA del Artículo 4 y gestionar los riesgos reales de ingeniería — exposición a la propiedad intelectual, seguridad del código generado, filtración de secretos — son todas obligaciones legítimas. Esta guía explica qué exige realmente la Ley, dónde reside el verdadero trabajo de gobernanza y qué aspecto tiene un registro de cumplimiento correcto.

Por qué Copilot no es de alto riesgo en virtud de la Ley de IA de la UE

La clasificación de alto riesgo se deriva del Artículo 6 y de la lista del Anexo III. El Anexo III cubre ocho ámbitos concretos: biometría; componentes de seguridad de infraestructuras críticas; educación y formación profesional; empleo y gestión de los trabajadores; acceso a servicios esenciales privados y públicos; garantía del cumplimiento del Derecho; migración y control fronterizo; administración de justicia y procesos democráticos.

Un asistente de codificación utilizado para el desarrollo interno no encaja en ninguna de estas categorías. No toma decisiones sobre personas. No elabora perfiles de personas físicas. No determina la solvencia, no criba candidatos a un empleo ni gestiona cruces de fronteras. Sugiere la siguiente línea de código.

El Artículo 6, apartado 3, proporciona un filtro adicional: incluso un sistema que nominalmente entra en un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, si desempeña una tarea procedimental limitada sin sustituir ni influir en la evaluación humana. Copilot, utilizado en su forma estándar, superaría ese filtro incluso si se intentara argumentar un vínculo con el Anexo III. En la práctica, ninguna lectura creíble de la Ley sitúa una herramienta de autocompletado de código de uso general en el nivel de alto riesgo.

La conclusión para la clasificación: para la organización que la despliega, Copilot es de riesgo mínimo (el nivel más bajo de la Ley, que no conlleva obligaciones obligatorias más allá de las que se aplican a todos los sistemas de IA).

La hipotética excepción de alto riesgo

Hay un escenario en el que la clasificación cambia: si su organización construye un producto cuya función principal entra dentro del Anexo III — por ejemplo, un sistema de selección de personal que criba currículos — e integra Copilot tan profundamente en la lógica decisional de ese producto que el propio Copilot se convierte en el sistema de IA que desempeña la función del Anexo III, entonces el sistema de IA pertinente (el cribador de selección, no Copilot en sí) es de alto riesgo, y quienquiera que lo introduzca en el mercado soporta las obligaciones completas del proveedor con arreglo a los Artículos 9 a 17, 43, 47 y 49.

Eso no es una cuestión sobre Copilot la herramienta. Es una cuestión sobre lo que usted construyó con ella. El asistente de codificación que ayudó a escribir el modelo de selección no es en sí mismo el sistema de alto riesgo; el modelo de selección lo es. Clasifique por función, no por las herramientas utilizadas para escribir el código.

Qué exige realmente la Ley para Copilot

Artículo 4 — Alfabetización en materia de IA (en vigor desde el 2 de febrero de 2025)

El Artículo 4 exige a los proveedores y responsables del despliegue que adopten medidas para garantizar un nivel suficiente de alfabetización en materia de IA entre el personal y demás personas que operen sistemas de IA en su nombre. Esto se aplica con independencia del nivel de riesgo. Los desarrolladores que utilizan Copilot deben comprender qué hace, qué no hace, cómo genera sugerencias y dónde puede fallar (código verosímil pero incorrecto, patrones reproducidos de los datos de entrenamiento, posibles antipatrones de seguridad). Documente las medidas de alfabetización que tiene establecidas: una sesión informativa interna, materiales de incorporación, una política de uso. Son pasos proporcionados y de bajo esfuerzo que satisfacen el Artículo 4 para una herramienta de riesgo mínimo.

Inventariar la herramienta

Una buena gobernanza — y el flujo de trabajo principal de Confir — comienza por incorporar Copilot a su registro de IA. Eso significa anotar qué es, qué hace, quién lo utiliza y en qué nivel de riesgo se sitúa. Para Copilot, esa entrada debería recoger:

  • Herramienta: GitHub Copilot (proveedor: GitHub, Inc./Microsoft)
  • Función: Sugerencia y autocompletado de código
  • Función de despliegue: Responsable del despliegue (Artículo 26) — usted utiliza un sistema de IA de un tercero bajo su autoridad
  • Clasificación de riesgo: Mínimo (Artículo 6 y Anexo III: sin coincidencia; Artículo 5: no prohibido; Artículo 50: sin desencadenante para el uso estándar de desarrollo interno)
  • Razonamiento de la clasificación: documentado, de modo que un auditor o regulador pueda seguir el razonamiento sin que usted tenga que reconstruirlo

Registrar el razonamiento no es un exceso burocrático. Si un regulador llega a preguntar por qué no trató a Copilot como de alto riesgo, una entrada de registro contemporánea que muestre el análisis del Artículo 6 es mucho más defendible que una afirmación verbal.

Contexto de GPAI: dónde residen las obligaciones del proveedor

Copilot está construido sobre modelos GPAI. Las obligaciones de GPAI de la Ley (Artículos 51 a 55, en vigor desde el 2 de agosto de 2025) recaen sobre el proveedor de GPAI — en este caso GitHub/Microsoft/OpenAI — no sobre las organizaciones que utilizan Copilot para escribir código. El responsable del despliegue descendente no hereda los deberes del proveedor de GPAI por el mero hecho de utilizar una herramienta construida sobre un modelo fundacional.

Lo que debería verificar es que GitHub/Microsoft ha cumplido sus obligaciones del Artículo 53: publicar una política de derechos de autor para los datos de entrenamiento, proporcionar información técnica descendente y mantener un resumen de los datos de entrenamiento. GitHub ha publicado una política de uso y detalles técnicos sobre Copilot. Revise esta documentación y anótela en su registro — forma parte de la diligencia debida con arreglo al Artículo 26, que exige a los responsables del despliegue utilizar los sistemas de alto riesgo conforme a las instrucciones del proveedor. Para una herramienta de riesgo mínimo, esto es consultivo más que estrictamente obligatorio, pero es una buena práctica.

Las verdaderas preocupaciones de gobernanza para Copilot

La Ley de IA de la UE guarda en buena medida silencio sobre lo que realmente quita el sueño a los equipos jurídicos y de TI con Copilot. Estas preocupaciones son reales, pero residen en regímenes jurídicos adyacentes, no en la jerarquía de riesgos de la Ley de IA.

Exposición a la propiedad intelectual y a licencias de código abierto

Copilot se entrena con repositorios de código público, incluido código bajo diversas licencias de código abierto. Existe una incertidumbre jurídica en curso — incluida litigación en Estados Unidos — sobre si las sugerencias de Copilot reproducen código de los datos de entrenamiento de forma literal y si esa reproducción genera obligaciones de licencia. La interfaz de Copilot tiene un filtro de «detección de duplicación» que puede activarse para señalar sugerencias que coinciden con los datos de entrenamiento; esto reduce, pero no elimina, el riesgo.

Acciones de gobernanza: active la detección de duplicación, incluya el código generado por IA en su proceso de cribado de propiedad intelectual, defina en su política interna si los desarrolladores deben divulgar cuándo bloques significativos de código procedieron de Copilot. Esto reside en el Derecho de autor y de propiedad intelectual, no en la Ley de IA de la UE.

Seguridad del código generado

Los modelos de autocompletado de código pueden sugerir patrones sintácticamente correctos pero inseguros — vulnerabilidades de inyección SQL, falta de validación de entradas, credenciales de marcador de posición codificadas que los desarrolladores olvidan reemplazar. El National Cyber Security Centre (Reino Unido) y organismos similares han señalado esto como un riesgo práctico para los equipos de desarrollo que dependen en gran medida de la asistencia de IA sin una revisión de seguridad obligatoria.

Acciones de gobernanza: exija herramientas de análisis estático (SAST) sobre el código asistido por Copilot antes de su fusión a producción; incluya el código generado por IA en su revisión de código estándar; haga explícito en su política de seguridad interna que las sugerencias de Copilot no están preverificadas en cuanto a seguridad. Estos controles pertenecen a su práctica de seguridad de ingeniería, no a un paquete de conformidad de la Ley de IA de la UE.

Filtración de secretos

Los desarrolladores a veces pegan contexto — incluidas variables de entorno, claves de API o fragmentos de configuración — en la ventana de instrucciones de Copilot o en comentarios cercanos al código asistido por Copilot. Estos datos se envían a los servidores de GitHub. Si ese contexto contiene secretos, tiene un riesgo de manejo de datos.

Acciones de gobernanza: configure su IDE o los ajustes de GitHub para limitar los datos enviados a Copilot cuando sea posible; incluya a Copilot en su política de gestión de secretos; informe a los desarrolladores explícitamente sobre este riesgo como parte de las medidas de alfabetización del Artículo 4. Tanto Copilot for Business como Copilot Enterprise ofrecen políticas para limitar la retención de datos y bloquear determinadas transmisiones; verifique los ajustes de su nivel.

Política interna: alcance de uso y requisitos de revisión

La mayor parte de la gobernanza práctica de Copilot se resuelve en una política de uso: en qué contextos está aprobado Copilot, qué revisión se exige antes de que se fusione el código asistido por Copilot, cómo se gestionan la propiedad intelectual y la seguridad, y quién es responsable. Esta política no necesita hacer referencia a la Ley de IA de la UE (porque las herramientas de riesgo mínimo no conllevan obligaciones obligatorias de la Ley). Debe existir porque una práctica de ingeniería responsable así lo exige.

Cómo clasificar Copilot: un breve ejemplo práctico

Una empresa de software de 60 personas construye herramientas SaaS para despachos de servicios profesionales. Los desarrolladores utilizan Copilot a diario para el desarrollo interno de funcionalidades, la generación de pruebas y la refactorización. La empresa no tiene productos en territorio del Anexo III.

Recorrido de clasificación con arreglo al Artículo 6:

  1. Prácticas prohibidas del Artículo 5 — Copilot no es un sistema de puntuación social, una herramienta de manipulación subliminal ni un identificador biométrico en tiempo real. No prohibido.
  2. Artículo 6, apartado 1 — El código generado por Copilot no está integrado en un producto sujeto a la legislación de armonización del Anexo I (p. ej., productos sanitarios, máquinas). No aplicable.
  3. Artículo 6, apartado 2, y Anexo III — La herramienta no desempeña ninguna de las ocho funciones del Anexo III. No de alto riesgo.
  4. Artículo 50 — Copilot no es un chatbot que interactúa con usuarios finales, no genera medios sintéticos, no utiliza reconocimiento de emociones. Sin deber de transparencia de riesgo limitado en el uso estándar de desarrollo.
  5. Resultado: riesgo mínimo.

La misma empresa construye después un producto nuevo: un módulo automatizado de cribado de currículos vendido a equipos de RR. HH. El cribador de currículos es de alto riesgo con arreglo al Anexo III, punto 4, letra a) (selección y contratación de personas físicas para un empleo). El proveedor del cribador de currículos debe cumplir los Artículos 9, 10, 11, 13, 14, 15, 16, 43, 47 y 49 antes de que el producto llegue a los clientes, con el plazo de alto riesgo del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. El hecho de que el código del cribador de currículos se escribiera con la asistencia de Copilot es irrelevante para su clasificación. Copilot sigue siendo de riesgo mínimo en su registro; el cribador de currículos obtiene su propia entrada como sistema de alto riesgo en desarrollo.

Cómo ayuda Confir

El flujo de trabajo de admisión de Confir recorre las preguntas de los Artículos 5 y 6 en lenguaje sencillo, deriva la clasificación de riesgo mínimo para Copilot y registra el razonamiento frente a los artículos pertinentes — creando una entrada de registro lista para auditoría sin exigirle que interprete usted mismo el reglamento. Dado que la lógica de clasificación es determinista y basada en reglas, las mismas respuestas producen el mismo resultado: sin discrecionalidad, sin alucinación, sin ambigüedad sobre qué regla se activó.

Para las organizaciones con una cartera mixta — algunas herramientas claramente de riesgo mínimo, otras que requieren un examen más detenido — el registro de Confir le ofrece el panorama completo en un solo lugar, con la clasificación de cada herramienta y el razonamiento documentados.

Preguntas frecuentes

¿Es GitHub Copilot de alto riesgo en virtud de la Ley de IA de la UE?

No. Para una organización que utiliza Copilot para el desarrollo de software interno, la herramienta es de riesgo mínimo en virtud de la Ley de IA de la UE. La asistencia de codificación no aparece en el Anexo III, no es una práctica prohibida con arreglo al Artículo 5 y no activa los deberes de transparencia de riesgo limitado del Artículo 50 que se aplican a los chatbots o a las herramientas de medios sintéticos. La clasificación solo podría cambiar si la información de salida de Copilot se convirtiera en el núcleo decisional de un producto que desempeñe una función del Anexo III — en cuyo caso el producto (no Copilot) sería el sistema de alto riesgo.

¿Qué obligaciones impone realmente la Ley de IA de la UE a los responsables del despliegue de Copilot?

La principal obligación de la Ley es la alfabetización en materia de IA del Artículo 4, en vigor desde el 2 de febrero de 2025: los responsables del despliegue deben garantizar que el personal que utiliza sistemas de IA tenga una comprensión suficiente de la tecnología y sus riesgos. Para una herramienta de riesgo mínimo, esto es proporcionado — una política interna o una sesión informativa de incorporación es adecuada. Más allá de la alfabetización, el paso práctico de cumplimiento es registrar la herramienta en su inventario de IA con una justificación de clasificación documentada, de modo que el razonamiento quede registrado.

¿Dónde encajan las obligaciones del proveedor de GPAI de GitHub?

Copilot está construido sobre modelos GPAI. Las obligaciones de GPAI de la Ley con arreglo a los Artículos 51 a 55 (en vigor desde el 2 de agosto de 2025) se aplican al proveedor de GPAI — GitHub/Microsoft/OpenAI — no a su organización. GitHub debe mantener documentación técnica, publicar una política de derechos de autor para los datos de entrenamiento y proporcionar información descendente a los clientes empresariales. Su obligación como responsable del despliegue es la diligencia debida: comprobar que GitHub ha publicado la documentación pertinente, y anotarlo en su registro. No hereda los deberes del proveedor del Artículo 53 por utilizar la herramienta.

¿Cuáles son los verdaderos riesgos de cumplimiento con Copilot si no son los de la Ley de IA?

Tres ámbitos: (1) exposición a la propiedad intelectual y a licencias de código abierto — las sugerencias pueden reproducir código de los datos de entrenamiento, lo que puede generar obligaciones de licencia; active la detección de duplicación de Copilot y criba el código generado durante su proceso de revisión de propiedad intelectual. (2) Seguridad del código generado — las sugerencias generadas por IA pueden incluir patrones inseguros; aplique herramientas de análisis estático y exija una revisión de código antes de producción. (3) Filtración de secretos — el contexto enviado a los servidores de Copilot puede incluir claves de API o credenciales; incluya a Copilot en su política de gestión de secretos e informe a los desarrolladores explícitamente.

¿Utilizar Copilot para construir un sistema de IA de alto riesgo convierte a Copilot en sí mismo en de alto riesgo?

No. La clasificación pertinente es la del sistema de IA que usted construye y despliega, no la de las herramientas utilizadas para escribir su código. Si construye un cribador automatizado de selección de personal (Anexo III, punto 4, letra a)), ese cribador es de alto riesgo y usted soporta las obligaciones del proveedor para él. Copilot — la herramienta de codificación utilizada durante el desarrollo — sigue siendo de riesgo mínimo en su registro. Clasifique por lo que hace el sistema, no por cómo se escribió.

¿Cuál es el plazo de cumplimiento para las herramientas de IA de riesgo mínimo como Copilot?

Las obligaciones obligatorias de alto riesgo de la Ley de IA de la UE (Artículos 9 a 17, evaluación de la conformidad con arreglo al Artículo 43, registro con arreglo al Artículo 49) se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del Ómnibus Digital acordado en mayo de 2026. Estas obligaciones no se aplican en absoluto a las herramientas de riesgo mínimo — ni en 2027 ni ahora. La alfabetización en materia de IA del Artículo 4 se aplica desde el 2 de febrero de 2025. La aplicación general de la Ley, incluidos los deberes de transparencia de riesgo limitado del Artículo 50, se aplica a partir del 2 de agosto de 2026. Para Copilot como herramienta de riesgo mínimo, la acción práctica es la documentación de alfabetización en materia de IA y la entrada en el registro — ambas alcanzables ahora.

¿Necesitamos una evaluación de impacto relativa a los derechos fundamentales (EIDF) para Copilot?

No. Las EIDF del Artículo 27 se aplican a los responsables del despliegue de sistemas de IA de alto riesgo en circunstancias específicas (organismos públicos que despliegan sistemas de alto riesgo; responsables del despliegue de determinados sistemas de solvencia o de seguros). Copilot es de riesgo mínimo. No se exige ninguna EIDF.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Complete Guide

Inventario de sistemas de IA para el cumplimiento de la Ley de IA de la UE: la guía completa del registro

Cree un inventario de IA conforme con la Ley de IA de la UE: descubra la IA en la sombra, clasifique cada sistema con arreglo al Artículo 6 y prepárese para el registro del Artículo 49 antes del 2 dic 2027.

AI Tool Compliance

AWS Bedrock y la Ley de IA de la UE: clasifique lo que construye

¿Construye sobre AWS Bedrock? Conforme a la Ley de IA de la UE, probablemente sea el proveedor (Art. 16). Clasifique por uso: alto riesgo del Anexo III antes de dic 2027, chatbots antes de ago 2026.

AI Tool Compliance

Azure OpenAI y la Ley de IA de la UE: ¿de quién es la obligación de cumplimiento?

Azure OpenAI: si construye bajo su nombre, el Artículo 16 le convierte en proveedor. Su nivel de riesgo depende de lo que haga su sistema — clasifique según el uso.