Skip to content
Confir.
Prueba gratuita
Blog

Google Gemini y la Ley de IA de la UE: clasificación, obligaciones y qué le corresponde a su organización

AI Tool Compliance9 April 2026· 20 min de lectura

Gemini es un modelo de IA de uso general — su cumplimiento depende de cómo lo despliegue. Divulgación del Artículo 50 desde agosto de 2026; obligaciones de alto riesgo del Anexo III antes de diciembre de 2027.

Google Gemini es un asistente basado en IA de uso general — un modelo de IA de uso general (GPAI), según se define en el artículo 3, punto 63, del Reglamento (UE) 2024/1689, que Google pone a disposición a través de Workspace, la aplicación Gemini y Vertex AI. Esa condición importa estructuralmente: las obligaciones relativas a la IA de uso general del Capítulo V (Artículos 51 a 55) recaen en Google como proveedor del modelo, no en su organización. Su cuestión de cumplimiento es otra distinta. Gira en torno a lo que usted hace con Gemini, no a cómo se llama Gemini.

Esta guía aborda esa cuestión de forma sistemática: cómo clasificar su despliegue de Gemini por su uso, qué obligaciones se derivan de esa clasificación, dónde entran en juego los deberes de transparencia del Artículo 50 incluso para usos de bajo riesgo, y qué cambia cuando construye sobre Gemini en lugar de limitarse a consumirlo.

El principio de clasificación: el uso determina el riesgo

La Ley de IA de la UE no enumera Gemini ni ninguna herramienta comercial por su nombre. Clasifica los sistemas de IA por el papel que desempeñan en las decisiones que afectan a las personas. Gemini utilizado para resúmenes internos de reuniones se sitúa en el riesgo mínimo — sin obligaciones obligatorias. Gemini utilizado para cribar a los candidatos a un empleo se sitúa en el alto riesgo con arreglo al Anexo III, punto 4, letra a), y hereda un considerable conjunto de obligaciones de cumplimiento. El nombre de la herramienta es irrelevante; el caso de uso lo es todo.

Esta es la primera y más importante corrección que hacer al evaluar Gemini en su inventario de IA. No etiquete a Gemini en sí como de alto riesgo. Clasifique cada despliegue por su finalidad prevista y las decisiones en las que influye.

Los tres resultados a los que llegará su ejercicio de clasificación

Riesgo mínimo — productividad general, redacción, resumen, preguntas y respuestas internas, traducción, generación de código para herramientas internas. Ninguna obligación obligatoria de la Ley de IA de la UE más allá de mantener un registro para su inventario de IA (buena práctica, todavía no un deber legal firme para los responsables del despliegue). Las obligaciones de alfabetización en materia de IA del Artículo 4 se aplican a su organización desde el 2 de febrero de 2025 con independencia de las herramientas que utilice.

Riesgo limitado (obligaciones de transparencia con arreglo al Artículo 50) — despliegues de Gemini de cara al cliente o al usuario en los que la persona que interactúa con el sistema podría no saber que está hablando con una IA. El Artículo 50 se aplica desde el 2 de agosto de 2026. Dos deberes son los más pertinentes aquí:

  • Artículo 50, apartado 1: si Gemini se despliega como un chatbot o agente conversacional que interactúa con personas físicas, debe divulgar que están interactuando con un sistema de IA — salvo que sea evidente por el contexto.
  • Artículo 50, apartado 2: si Gemini genera audio, vídeo, imágenes o texto sintéticos que se difunden al público, deben marcarse como generados o manipulados artificialmente.

Estos deberes de transparencia son el suelo para la mayoría de los despliegues comerciales de Gemini. No son opcionales y se aplican a los responsables del despliegue, no solo a los proveedores.

Alto riesgo — Gemini desplegado para una finalidad del Anexo III: cribado para la contratación (punto 4, letra a)), evaluación del rendimiento de los empleados o recomendaciones de despido (punto 4, letra b)), evaluación de la solvencia (punto 5, letra b)), admisibilidad a servicios públicos esenciales o prestaciones sociales (punto 5, letra a)), asignación de estudiantes o evaluación educativa (punto 3, letra a)), identificación o categorización biométrica remota (punto 1, letra a)/b)), o similares. Las obligaciones de alto riesgo se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III (aplazado respecto de la fecha original de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026). Eso le da tiempo para prepararse — no es una razón para aplazar el comienzo.

Las obligaciones del proveedor de IA de uso general corresponden a Google

Gemini es un modelo de IA de uso general en el sentido del artículo 3, punto 63: un modelo entrenado con grandes volúmenes de datos, capaz de servir a una amplia variedad de tareas. El Capítulo V de la Ley de IA (Artículos 51 a 55) crea un régimen dedicado para los proveedores de IA de uso general. Google, como entidad que entrenó e introduce Gemini en el mercado bajo su propio nombre, soporta esas obligaciones. Su organización no, salvo que entrene o ajuste un modelo a una escala que le convierta en proveedor de IA de uso general (el umbral de riesgo sistémico del Artículo 51 es de 10²⁵ FLOPs de potencia de cálculo de entrenamiento — órdenes de magnitud por encima de lo que hace cualquier responsable del despliegue que ejecute llamadas a la API de Gemini).

Lo que esto significa en la práctica: a usted no le corresponden las obligaciones del Artículo 53 de Google (documentación técnica del modelo, información para los agentes posteriores, política de derechos de autor, resumen de los datos de entrenamiento). A usted le corresponden sus propias obligaciones como responsable del despliegue o, si construye un producto sobre Gemini, potencialmente como proveedor de ese producto.

¿Proveedor o responsable del despliegue? La cuestión de la función para los usuarios de Gemini

Su función con arreglo a la Ley determina qué obligaciones le corresponden.

Es usted un responsable del despliegue (Artículo 26) si utiliza Gemini a través de la API estándar de Google, la integración con Workspace o la aplicación de consumo sin modificar materialmente el modelo, y lo despliega bajo la autoridad de su organización en un contexto profesional. La mayoría de las organizaciones que utilizan Gemini son responsables del despliegue.

Se convierte en proveedor (Artículo 16) — y hereda el conjunto de obligaciones más pesado — en tres circunstancias, regidas por el Artículo 25:

  1. Introduce en el mercado un sistema basado en Gemini bajo su propio nombre o marca.
  2. Modifica sustancialmente un sistema basado en Gemini (el artículo 3, punto 23, define la modificación sustancial como un cambio que afecta al cumplimiento por parte del sistema de los requisitos de alto riesgo, o un cambio de finalidad prevista que lo desplaza hacia la categoría de alto riesgo o dentro de ella).
  3. Modifica la finalidad prevista de un sistema basado en Gemini de un modo que crea un nuevo caso de uso de alto riesgo.

Una empresa que toma Gemini, lo ajusta con datos de RR. HH. propios y vende la herramienta de cribado de candidatos resultante a otros empleadores es un proveedor de un sistema de IA de alto riesgo. Debe realizar una evaluación de la conformidad con arreglo al Artículo 43, elaborar la documentación técnica con arreglo al Artículo 11 y el Anexo IV, preparar una declaración UE de conformidad con arreglo al Artículo 47 y registrar el sistema en la base de datos de la UE con arreglo al Artículo 49 — todo ello antes de introducirlo en el mercado. Esta es la vía más pesada.

Una empresa que utiliza la API de Gemini para generar primeros borradores de resúmenes de evaluaciones de rendimiento que luego los responsables editan y aprueban es un responsable del despliegue. Las obligaciones son más ligeras — pero no inexistentes, especialmente si el caso de uso es de alto riesgo.

Obligaciones del responsable del despliegue para los despliegues de Gemini de alto riesgo

Si su despliegue de Gemini es de alto riesgo (se aplica el Anexo III), el Artículo 26 establece lo que su organización debe hacer.

Utilice el sistema con arreglo a las instrucciones. Google publica políticas de uso, documentación de uso aceptable y términos de tratamiento de datos para Workspace y Vertex AI. Los responsables del despliegue deben seguir las instrucciones del proveedor — ese es el requisito de base del Artículo 26, y es también el fundamento de su registro de diligencia debida.

Implante una supervisión humana significativa. El Artículo 14 exige que los sistemas de alto riesgo se diseñen de modo que permitan la supervisión humana; el Artículo 26 exige a los responsables del despliegue que la ejerzan realmente. Para Gemini, esto significa que las personas que actúan sobre sus salidas — rechazando candidatos, aprobando decisiones de crédito, recomendando asignaciones de estudiantes — deben tener autoridad genuina para anular el sistema, acceso a información suficiente para evaluar su salida y la formación para hacerlo de forma crítica. Un revisor que aprueba sin más la recomendación de Gemini sin escrutinio no satisface el Artículo 14.

Conserve los registros. El Artículo 26 exige a los responsables del despliegue conservar los registros del funcionamiento del sistema durante al menos seis meses (cuando esos registros sean generados por el responsable del despliegue y estén bajo su control). No lo confunda con la conservación de diez años de la documentación técnica del proveedor con arreglo al Artículo 18.

Informe a los trabajadores. Si despliega Gemini para supervisar, evaluar o asistir en decisiones que afectan a sus empleados, el Artículo 26 le exige informar a los representantes de los trabajadores antes de que comience el despliegue.

Realice una evaluación de impacto relativa a los derechos fundamentales (EIDF) cuando sea necesario. El Artículo 27 se aplica a los organismos públicos que despliegan IA de alto riesgo y a los responsables del despliegue privados de sistemas de evaluación de la solvencia (Anexo III, 5(b)) o de calificación del riesgo de los seguros de vida y de salud (Anexo III, 5(c)). Si su despliegue de Gemini entra en una de esas categorías, la EIDF es obligatoria — no es un ejercicio voluntario de buenas prácticas.

Vigile y notifique. Los responsables del despliegue deben vigilar los riesgos derivados del uso real y notificar los incidentes graves al proveedor y, cuando sea necesario, a la autoridad de vigilancia del mercado pertinente con arreglo al mecanismo del Artículo 73 (ese artículo rige el deber formal de notificación del proveedor; la obligación del responsable del despliegue de señalar los incidentes al proveedor se deriva del Artículo 26).

La capa de transparencia del Artículo 50: se aplica con independencia del nivel de riesgo

Incluso un despliegue de Gemini de riesgo mínimo puede activar las obligaciones del Artículo 50 si implica una interacción humana directa. A partir del 2 de agosto de 2026:

Chatbots y agentes conversacionales (Artículo 50, apartado 1): toda interfaz basada en Gemini que interactúe con personas físicas en tiempo real debe comunicar a esas personas que están hablando con una IA — salvo que el contexto lo haga evidente. Un bot de atención al cliente integrado en su sitio web, un servicio de asistencia interno basado en Gemini, un asistente de producto en su aplicación: todos requieren divulgación.

Contenido sintético (Artículo 50, apartado 2): las imágenes, el audio o el vídeo generados por Gemini que se presenten al público deben llevar una etiqueta legible por máquina del Artículo 50, apartado 2. El texto destinado a la difusión pública que sea generado por IA debe marcarse con arreglo al Artículo 50, apartado 4 — aunque hay una excepción estricta para el contenido revisado por humanos y sustancialmente editado.

Estos son deberes de transparencia, no deberes de seguridad. La sanción por incumplimiento entra en el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. Ese techo se aplica al mismo tramo que la mayoría de las demás infracciones de las obligaciones del responsable del despliegue y del proveedor.

Residencia de datos, RGPD y Workspace frente a Vertex AI

Gemini se presenta en dos formas estructuralmente diferentes para los usuarios empresariales, y las implicaciones de cumplimiento difieren.

Google Workspace con Gemini opera bajo el Acuerdo de Cliente de Workspace de Google y la correspondiente cláusula adicional de tratamiento de datos. Los datos se tratan en la infraestructura de Google; los clientes de la UE pueden seleccionar la residencia de datos en la UE. Las obligaciones del modelo de IA de uso general (Capítulo V) recaen en Google; usted es responsable del tratamiento con arreglo al RGPD y responsable del despliegue con arreglo a la Ley de IA.

Vertex AI / API de Gemini le da más control — y más responsabilidad. Usted define las instrucciones, el contexto, la lógica de la aplicación y las salidas posteriores. Si construye un producto que toma decisiones consecuentes utilizando Vertex AI, es más probable que cruce el umbral de responsable del despliegue a proveedor con arreglo al Artículo 25. Evalúe sus casos de uso de Vertex AI por separado.

El RGPD sigue siendo una obligación paralela. Cuando Gemini trata datos personales — y la mayoría de los despliegues empresariales lo hacen —, necesita una base jurídica, un acuerdo de tratamiento de datos con Google y, para los datos de categorías especiales o la elaboración de perfiles de gran volumen, una evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD). El cumplimiento del RGPD no es un sustituto del cumplimiento de la Ley de IA de la UE; ambos se aplican.

Construir sobre Gemini: cuándo se convierte usted en el proveedor

El escenario que más cambia el cálculo del cumplimiento es construir un producto o servicio sobre Gemini y distribuirlo a terceros.

Si ofrece una herramienta de cribado para la contratación basada en Gemini, un asistente de análisis de crédito o un sistema de triaje sanitario bajo su propia marca, es un proveedor de un sistema de IA en el sentido del artículo 3, punto 3. Si ese sistema es de alto riesgo, hereda el conjunto completo de obligaciones del Artículo 16 — antes de su lanzamiento:

  • Artículo 9: establecer y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida.
  • Artículo 10: implantar la gobernanza de datos para los datos de entrenamiento y validación (si ajusta o adapta el modelo).
  • Artículo 11 + Anexo IV: elaborar la documentación técnica.
  • Artículo 13: facilitar información de transparencia al responsable del despliegue posterior.
  • Artículo 14: incorporar la supervisión humana desde el diseño.
  • Artículo 43: completar una evaluación de la conformidad (la mayoría de las categorías del Anexo III utilizan la vía de autoevaluación interna del Anexo VI; la biometría del Anexo III, punto 1, requiere por lo general la vía del organismo notificado del Anexo VII).
  • Artículo 47 + Anexo V: firmar y conservar una declaración UE de conformidad.
  • Artículo 49: registrar el sistema en la base de datos de la UE antes de introducirlo en el mercado.

La fecha de aplicación del alto riesgo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, aplazada respecto del 2 de agosto de 2026 en virtud del Ómnibus Digital. Para la IA de alto riesgo integrada en productos regulados del Anexo I (productos sanitarios, máquinas, etc.), el plazo es el 2 de agosto de 2028. Estos calendarios son más ajustados de lo que parecen una vez que se tienen en cuenta la documentación, la evaluación de la conformidad y cualquier revisión por un organismo notificado.

Artículo 4: la alfabetización en materia de IA se aplica ahora

Sea cual sea la clasificación de riesgo de su despliegue de Gemini, el Artículo 4 se aplica desde el 2 de febrero de 2025. Las organizaciones deben garantizar que el personal que utiliza, supervisa o toma decisiones basadas en sistemas de IA tenga una alfabetización en materia de IA suficiente para el papel que desempeña. Para los despliegues de Gemini, esto significa, como mínimo: que los usuarios comprendan que las salidas pueden ser erróneas, sesgadas o fabricaciones expuestas con seguridad; que los revisores de las salidas de alto riesgo comprendan las limitaciones del sistema y su autoridad de anulación; y que la organización haya documentado cómo está cumpliendo el requisito de alfabetización.

El Artículo 4 es una de las obligaciones con menos recursos en la práctica. Es también una de las más baratas de abordar antes de que llegue una inspección.

Cómo ayuda Confir

El registro de IA de Confir le permite registrar cada despliegue de Gemini — por caso de uso y contexto de despliegue — como una entrada separada. El motor de clasificación basado en reglas deriva entonces el nivel de riesgo (inaceptable, alto, limitado, mínimo) y la función de su organización (proveedor, responsable del despliegue) a partir de una admisión en lenguaje sencillo. Las mismas entradas producen la misma salida siempre; la lógica es transparente y auditable, no probabilística.

Para un responsable del despliegue con una mezcla de casos de uso de Gemini — Workspace Gemini para la productividad interna, un chatbot de Gemini de cara al cliente y una integración de Vertex AI para un producto B2B —, esas tres entradas acabarán respectivamente en riesgo mínimo, limitado (con divulgación del Artículo 50 requerida) y potencialmente de alto riesgo o de nivel de proveedor. Cada una se delimita por separado.

Preguntas frecuentes

¿Es Google Gemini en sí mismo un sistema de IA de alto riesgo con arreglo a la Ley de IA de la UE?

No. Gemini es un modelo de IA de uso general — un modelo de uso general regido por el Capítulo V (Artículos 51 a 55), que es un régimen independiente y transversal, no un nivel de riesgo. La Ley de IA de la UE clasifica los sistemas de IA por su uso, no por el nombre de la herramienta. Un despliegue de Gemini que criba a los candidatos a un empleo es de alto riesgo con arreglo al Anexo III, punto 4, letra a). Un despliegue de Gemini que redacta correos electrónicos internos es de riesgo mínimo. El modelo en sí no conlleva ningún nivel de riesgo inherente; lo hace el despliegue.

¿Cuáles son las obligaciones de Google con arreglo a la Ley de IA de la UE, y se nos transfieren?

Como proveedor de IA de uso general, Google soporta las obligaciones del Artículo 53: mantener la documentación técnica del modelo, transmitir información pertinente a los agentes posteriores y a los proveedores que construyen sobre Gemini, publicar una política de derechos de autor y facilitar un resumen de los datos de entrenamiento. Si Gemini cruza el umbral de riesgo sistémico (presunción de 10²⁵ FLOPs con arreglo al Artículo 51), las obligaciones del Artículo 55 también se aplican a Google. Ninguna de estas obligaciones se transfiere a su organización. A usted le corresponden sus propias obligaciones como responsable del despliegue o proveedor del producto — son independientes y discurren en paralelo.

Utilizamos Gemini en Google Workspace para la productividad. ¿Qué nos corresponde realmente?

En el riesgo mínimo, su obligación principal es la alfabetización en materia de IA del Artículo 4 — en vigor desde el 2 de febrero de 2025. Asegúrese de que el personal pertinente comprenda las limitaciones de Gemini y pueda evaluar sus salidas de forma crítica. A partir del 2 de agosto de 2026, si cualquier función de Gemini integrada en Workspace interactúa directamente con clientes o usuarios externos en un contexto conversacional, se aplica la divulgación del Artículo 50, apartado 1. Mantenga registros de su decisión de clasificación. No se aplican obligaciones de alto riesgo salvo que un caso de uso específico entre en el Anexo III.

Hemos construido un producto que utiliza la API de Gemini. ¿Somos un proveedor?

Si introdujo en el mercado un sistema construido sobre Gemini bajo su propio nombre, o modificó sustancialmente un sistema basado en Gemini, el Artículo 25 le convierte en el proveedor de ese sistema. Si el caso de uso es de alto riesgo, le corresponde el conjunto completo del Artículo 16 — gestión de riesgos (Artículo 9), documentación técnica (Artículo 11 + Anexo IV), evaluación de la conformidad (Artículo 43), declaración de conformidad (Artículo 47) y registro (Artículo 49). El plazo pertinente para los sistemas de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.

¿Qué exige el Artículo 50 para un chatbot de cara al cliente basado en Gemini?

El Artículo 50, apartado 1, exige que los usuarios que interactúan con un chatbot o agente de IA conversacional sean informados de que están hablando con un sistema de IA — salvo que sea evidente por el contexto. Esto se aplica desde el 2 de agosto de 2026. La divulgación debe hacerse al inicio de la interacción, no enterrada en los términos del servicio. Si el chatbot también genera contenido sintético (imágenes, audio, vídeo) para difusión pública, se aplica el marcado legible por máquina del Artículo 50, apartado 2. No divulgarlo puede dar lugar a multas con arreglo al Artículo 99, apartado 4, de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial.

¿Cuáles son las sanciones por incumplimiento?

El Artículo 99 tiene tres tramos. Infringir las prohibiciones del Artículo 5 (prácticas prohibidas): hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial, si esta última cifra es mayor. Infringir la mayoría de las demás obligaciones — incluidos los requisitos de alto riesgo, los deberes del proveedor y del responsable del despliegue, y la transparencia del Artículo 50: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial. Facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados: hasta 7,5 millones de euros o el 1 % del volumen de negocios anual mundial. Para los proveedores de IA de uso general en concreto, el Artículo 101 permite a la Comisión imponer multas de hasta 15 millones de euros o el 3 %. No hay tramos intermedios; las cifras de «30 M EUR/6 %» que circulan no figuran en el Reglamento. Las pymes y las empresas emergentes se benefician del límite de proporcionalidad del Artículo 99, apartado 6, que limita las multas al menor de los dos importes, el porcentaje o la cantidad fija.

¿Cómo interactúa el RGPD con la Ley de IA de la UE en los despliegues de Gemini?

Ambos se aplican, y satisfacer uno no satisface el otro. El RGPD rige el tratamiento de datos personales — base jurídica, derechos de los interesados, seguridad y el requisito de una EIPD (artículo 35 del RGPD) para el tratamiento de alto riesgo. La Ley de IA de la UE rige el nivel de riesgo del sistema de IA, la supervisión y la transparencia. Para un despliegue de Gemini de alto riesgo que trata datos personales, necesita tanto una base de tratamiento conforme con el RGPD como una vía de conformidad de la Ley de IA de la UE. Áreas de solapamiento práctico: la EIDF del Artículo 27 (evaluación de impacto relativa a los derechos fundamentales exigida a determinados responsables del despliegue de alto riesgo) se cruza con las obligaciones de la EIPD del RGPD y debería idealmente realizarse de forma simultánea para evitar duplicar el esfuerzo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Complete Guide

Inventario de sistemas de IA para el cumplimiento de la Ley de IA de la UE: la guía completa del registro

Cree un inventario de IA conforme con la Ley de IA de la UE: descubra la IA en la sombra, clasifique cada sistema con arreglo al Artículo 6 y prepárese para el registro del Artículo 49 antes del 2 dic 2027.

AI Tool Compliance

AWS Bedrock y la Ley de IA de la UE: clasifique lo que construye

¿Construye sobre AWS Bedrock? Conforme a la Ley de IA de la UE, probablemente sea el proveedor (Art. 16). Clasifique por uso: alto riesgo del Anexo III antes de dic 2027, chatbots antes de ago 2026.

AI Tool Compliance

Azure OpenAI y la Ley de IA de la UE: ¿de quién es la obligación de cumplimiento?

Azure OpenAI: si construye bajo su nombre, el Artículo 16 le convierte en proveedor. Su nivel de riesgo depende de lo que haga su sistema — clasifique según el uso.