Microsoft 365 Copilot en la Ley de IA de la UE: clasificación de riesgo y deberes del responsable del despliegue
M365 Copilot es de riesgo mínimo por defecto. Clasifique según el uso: divulgación del Artículo 50 a partir de ago. de 2026; alto riesgo del Anexo III para el cribado de empleo o el crédito.
Microsoft 365 Copilot es un asistente de productividad integrado en Word, Excel, Outlook y Teams, construido sobre modelos de IA de uso general (GPAI) de Microsoft y OpenAI. Para la mayoría de las organizaciones que lo despliegan, las obligaciones de la Ley de IA de la UE son más ligeras de lo que sugieren los titulares — pero no son nulas, y dependen por completo de para qué lo utilice.
Esta guía abarca qué le exige el Reglamento como organización que lo despliega, dónde recaen las obligaciones del proveedor de GPAI (en Microsoft, no en usted), cuándo un despliegue de Copilot cruza a un territorio que exige más, y qué debe registrar.
¿En qué nivel de riesgo se sitúa M365 Copilot?
La pregunta correcta no es «¿es Copilot de alto riesgo?» sino «¿es de alto riesgo el uso que mi organización hace de Copilot?».
Copilot es una herramienta de productividad de uso general. Cuando su personal lo utiliza para redactar correos electrónicos, resumir notas de reuniones, generar presentaciones de diapositivas o escribir código, el despliegue se sitúa en el riesgo mínimo — el nivel base de la Ley de IA de la UE. A este nivel no se le aplica ninguna obligación obligatoria más allá de una gobernanza de datos de sentido común. El Reglamento fomenta explícitamente las herramientas de riesgo mínimo; no las prohíbe ni las grava.
El riesgo limitado (Artículo 50) puede aplicarse cuando Copilot produce contenido sintético compartido externamente o actúa en un papel conversacional que podría confundirse con un humano. El Artículo 50 exige divulgación — informar a los destinatarios de que están interactuando con un resultado generado por IA o leyéndolo. Esta obligación se aplica a partir del 2 de agosto de 2026 (no antes; sigue siendo una fecha futura a mediados de 2026). El deber es una obligación de etiquetado y divulgación, no una pila de documentación.
El alto riesgo (Artículo 6 + Anexo III) solo se aplica si despliega Copilot para tomar una decisión del Anexo III o influir materialmente en ella. Las categorías del Anexo III incluyen el cribado de empleo y la gestión de los trabajadores (Anexo III, punto 4), la evaluación de la solvencia (punto 5, letra b)) y la fijación de precios del riesgo de los seguros de vida y de salud (punto 5, letra c)). Un caso hipotético: si su equipo de RR. HH. utiliza Copilot para clasificar currículos y esa clasificación se incorpora directamente a una decisión de preselección sin una revisión humana sustantiva, tiene un despliegue del Anexo III, punto 4. Eso activa la pila de obligaciones de alto riesgo. Para los sistemas autónomos del Anexo III, el plazo de cumplimiento en virtud del Ómnibus Digital (acuerdo político, mayo de 2026) es el 2 de diciembre de 2027, aplazado respecto de la fecha original de agosto de 2026.
El filtro del Artículo 6, apartado 3, importa aquí. Aunque un uso se sitúe dentro de una categoría del Anexo III, no es de alto riesgo si desempeña una tarea preparatoria limitada y no sustituye ni influye materialmente en una evaluación humana. Copilot redactando un resumen para un responsable de RR. HH. que luego lee los documentos originales y decide de forma independiente puede quedar fuera del nivel de alto riesgo — pero necesita documentar ese razonamiento, no darlo por supuesto.
Dónde recaen las obligaciones del proveedor de GPAI
M365 Copilot está construido sobre modelos de GPAI. En virtud del capítulo V del Reglamento (en vigor desde el 2 de agosto de 2025), las obligaciones de los proveedores de GPAI — documentación técnica, información para los proveedores posteriores, política de derechos de autor, un resumen de los datos de entrenamiento (Artículo 53) — recaen en Microsoft y OpenAI, no en su organización.
Si el modelo subyacente está clasificado como de riesgo sistémico (Artículo 51, el umbral de 10²⁵ FLOP), las obligaciones del Artículo 55 sobre evaluación de modelos, pruebas adversarias y notificación de incidentes también recaen en el proveedor del modelo. Microsoft publica su información de cumplimiento de la Ley de IA de la UE y sus condiciones de tratamiento de datos en el Contrato de cliente de Microsoft y en sus compromisos del Límite de datos de la UE. Debe revisar esos documentos, pero usted no es el proveedor de GPAI — no asume las obligaciones del Artículo 53 ni del Artículo 55.
Esta es una distinción importante. Varios marcos de riesgo de proveedores tratan a la organización que despliega como responsable de toda la postura regulatoria del modelo. El Reglamento no funciona así: el rol determina la obligación.
Qué debe hacer la organización que despliega
Con independencia del nivel de riesgo del caso de uso, cuatro cosas se aplican a toda organización que despliega M365 Copilot en un contexto profesional.
1. Inventariar y registrar la herramienta
Registre M365 Copilot en su registro de IA. El Reglamento no prescribe un formato, pero su registro debe recoger: el nombre y la versión de la herramienta, el proveedor (Microsoft), el uso previsto dentro de su organización, la determinación del nivel de riesgo (mínimo / limitado / alto) y la fecha de esa determinación. Si más adelante cambia la forma en que lo utiliza — por ejemplo, de la redacción general a alimentar los resultados en decisiones de empleo — actualice el registro y reclasifique.
Esta es la diligencia de base en materia de alfabetización en IA del Artículo 4 y de responsable del despliegue del Artículo 26 que todo responsable del despliegue profesional debe mantener. Lleva una hora; su ausencia es la carencia de cumplimiento más habitual que buscarán los reguladores.
2. Cumplir los requisitos de alfabetización en IA del Artículo 4
El Artículo 4 se aplica desde el 2 de febrero de 2025. Su organización debe garantizar que el personal que trabaja con sistemas de IA tenga un conocimiento suficiente de las capacidades, las limitaciones y el uso adecuado de la herramienta. Para Copilot, esto significa formación práctica: qué puede hacer Copilot de forma fiable, dónde alucina, qué tipos de resultado requieren verificación humana y cómo distinguir el contenido generado por Copilot de la información verificada de forma independiente. Documente que la formación tuvo lugar.
3. Gestionar la gobernanza de datos y la higiene de permisos
Este es el riesgo práctico que la mayoría de las organizaciones subestiman. Copilot opera dentro de su tenant de Microsoft 365 y muestra contenido al que sus usuarios pueden acceder — pero lo hace con rapidez y a escala. Si sus permisos de SharePoint están mal configurados, Copilot mostrará documentos a los que los usuarios tienen acceso nominalmente pero que nunca se esperaba que leyeran. Eso no es en sí mismo una infracción de la Ley de IA, pero es una exposición al RGPD y un riesgo operativo real.
Revise su gobernanza de datos de Microsoft 365 antes de habilitar Copilot de forma amplia: restrinja los permisos de uso compartido, audite el acceso a documentos sensibles y confirme que la configuración de su DPA de Microsoft y del Límite de datos de la UE coincide con sus expectativas de residencia de los datos. El Contrato de cliente de Microsoft y el programa del Límite de datos de la UE son los instrumentos contractuales pertinentes aquí; verifique que está inscrito.
4. Aplicar la divulgación del Artículo 50 cuando proceda
A partir del 2 de agosto de 2026, cuando Copilot produzca contenido distribuido externamente que pueda confundirse con material de autoría humana, etiquételo. Es una obligación proporcionada: un resumen interno de una reunión redactado con Copilot que permanece interno no requiere un aviso de divulgación. Un informe orientado al cliente redactado con Copilot que se presenta como obra de su equipo es otra cuestión. Elabore una política interna breve: qué tipos de resultado de Copilot salen al exterior y qué texto de divulgación se les adjunta.
Cuándo un despliegue de Copilot pasa a ser de alto riesgo
La línea es el uso, no la herramienta. Tres escenarios convierten un despliegue de Copilot en de alto riesgo en la práctica.
Empleo y gestión de los trabajadores (Anexo III, punto 4, letra a)): Utilizar Copilot para cribar solicitudes, generar clasificaciones de candidatos, recomendar promociones, asignar tareas o supervisar el rendimiento de los trabajadores de formas que influyan materialmente en decisiones sobre las personas. Si el resultado de Copilot es una entrada más entre muchas y un humano realiza una evaluación independiente, puede aplicarse el filtro del Artículo 6, apartado 3. Si el resultado se trata como determinante, no se aplica.
Solvencia o calificación crediticia (Anexo III, punto 5, letra b)): Utilizar Copilot para generar evaluaciones de solvencia o resúmenes de admisibilidad a préstamos que se incorporan a decisiones de aprobación o rechazo. La redacción financiera general — resumir una cuenta de resultados, redactar una actualización para inversores — no es esto.
Riesgo y fijación de precios de los seguros de vida y de salud (Anexo III, punto 5, letra c)): Utilizar Copilot para fijar precios o suscribir productos de seguros de salud o de vida basándose en perfiles de riesgo individuales.
Si su caso de uso entra en una de estas categorías y el filtro del Artículo 6, apartado 3, no lo rescata, hereda las obligaciones del responsable del despliegue en virtud del Artículo 26 y los requisitos de evaluación pertinentes. Documente ese análisis. La obligación es pensarlo con claridad y anotar lo que concluyó, no dar por supuesta una u otra opción.
Evaluación de impacto relativa a los derechos fundamentales (Artículo 27)
La EIDF del Artículo 27 es obligatoria para los responsables del despliegue que sean organismos públicos y para los responsables del despliegue privados de sistemas que entran en el Anexo III, punto 5, letra b) (solvencia), y punto 5, letra c) (seguros de vida o de salud). No es automáticamente obligatoria para los despliegues de empleo del sector privado — el ámbito de aplicación del Artículo 27 no se extiende a todos los empleadores privados que utilizan herramientas del Anexo III, punto 4. Si es un organismo público, o despliega en contextos de crédito o de seguros, realice la EIDF antes de poner en marcha un flujo de trabajo de Copilot de alto riesgo. Si es un empleador privado que utiliza Copilot en un flujo de trabajo de RR. HH. que sea genuinamente de alto riesgo, la obligación es la supervisión humana y la supervisión del Artículo 26 — no una EIDF obligatoria, aunque realizar una es buena práctica.
Residencia de los datos y la capa contractual de Microsoft
El Contrato de cliente de Microsoft, el Límite de datos de la UE y su DPA de Microsoft constituyen la base contractual de los compromisos de residencia y tratamiento de los datos. El Límite de datos de la UE significa que Microsoft se compromete a almacenar y tratar los datos de los clientes comerciales y del sector público de la UE dentro de la UE y la AELC. Verifique que esto está habilitado para su tenant y documentado en su expediente de cumplimiento. Si un regulador pregunta cómo gestiona los datos personales su despliegue de Copilot, «Microsoft lo dijo en su documentación» no es suficiente — necesita demostrar que revisó y aceptó las condiciones pertinentes del DPA.
Para el RGPD, el instrumento pertinente es el artículo 28 del RGPD (obligación del encargado del tratamiento) — Microsoft actúa como encargado del tratamiento de datos cuando trata datos personales por cuenta de usted en M365. Asegúrese de que su acuerdo de tratamiento de datos esté actualizado y cubra Copilot.
Cómo ayuda Confir
Añada M365 Copilot a su registro de IA en Confir y responda a los escenarios de admisión. El motor de clasificación basado en reglas derivará el nivel de riesgo correcto a partir del uso que describa — mínimo, limitado (Artículo 50) o alto riesgo (Anexo III) — y mostrará el conjunto de obligaciones aplicable. Para un despliegue de productividad general, es una lista breve. Para un flujo de trabajo de Copilot utilizado en el cribado de empleo o la evaluación de la solvencia, Confir acotará toda la pila de obligaciones del responsable del despliegue del Artículo 26 y, cuando se aplique el Artículo 27, activará el flujo de trabajo de la EIDF.
El resultado es un registro fechado y auditable de su razonamiento de clasificación — el tipo de documentación que demuestra un cumplimiento de buena fe, llegue o no a producirse una auditoría.
Preguntas frecuentes
¿Está Microsoft 365 Copilot clasificado como de alto riesgo en virtud de la Ley de IA de la UE?
No — no por defecto, y el Reglamento no clasifica las herramientas por su nombre. El nivel de riesgo depende de cómo lo despliegue. El uso de productividad general — redacción, resumen, asistencia en la codificación — es de riesgo mínimo en virtud del Reglamento, sin obligaciones de cumplimiento obligatorias más allá de la gobernanza de datos y la alfabetización en IA del Artículo 4. La clasificación de alto riesgo (Artículo 6 + Anexo III) solo se aplica si su organización utiliza Copilot para tomar una decisión del Anexo III o influir materialmente en ella, como el cribado de empleo (punto 4) o la evaluación de la solvencia (punto 5, letra b)).
¿Quién asume las obligaciones del proveedor de GPAI para M365 Copilot?
Microsoft y OpenAI, como proveedores de los modelos de GPAI subyacentes, asumen las obligaciones del capítulo V en virtud de la Ley de IA de la UE — incluido el Artículo 53 (documentación técnica, información para los proveedores posteriores, política de derechos de autor, resumen de los datos de entrenamiento) y el Artículo 55 si el modelo es de riesgo sistémico. Estas obligaciones se aplican desde el 2 de agosto de 2025. Como organización que despliega, usted es responsable del despliegue en virtud del Artículo 26, no proveedor de GPAI. Se beneficia del cumplimiento de Microsoft, pero no hereda sus obligaciones de proveedor.
¿Convierte automáticamente en de alto riesgo el despliegue de Copilot con fines de RR. HH.?
Depende del papel que desempeñe Copilot en la decisión. Copilot redactando una plantilla de anuncio de empleo o resumiendo notas de entrevistas para un responsable de contratación que luego lee los materiales originales y decide de forma independiente es, probablemente, trabajo preparatorio que queda fuera del nivel de alto riesgo en virtud del filtro del Artículo 6, apartado 3. Copilot generando clasificaciones de candidatos que se incorporan directamente a la preselección sin una revisión humana sustantiva es otra cuestión — eso es, más probablemente, territorio del Anexo III, punto 4. Documente su evaluación en cualquier caso.
¿Cuándo se aplica la transparencia del Artículo 50 a los resultados de Copilot?
El Artículo 50 se aplica a partir del 2 de agosto de 2026. Cuando Copilot produzca contenido distribuido externamente que pueda confundirse con una obra de autoría humana, o cuando opere en un modo conversacional, debe divulgar que el contenido está generado por IA. El uso interno — resúmenes de reuniones, borradores de documentos que pasan por edición humana — no requiere el mismo etiquetado. Elabore una política interna breve antes de la fecha de agosto de 2026 para cubrir los casos de uso orientados al exterior.
¿Necesitamos una evaluación de impacto relativa a los derechos fundamentales para Copilot?
Solo si despliega en un contexto en el que se aplica el ámbito del Artículo 27. El Artículo 27 exige una EIDF a los responsables del despliegue que sean organismos públicos y a los responsables del despliegue que utilicen IA de alto riesgo en contextos de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida o de salud (punto 5, letra c)). Los empleadores privados que despliegan Copilot en flujos de trabajo de RR. HH. no están obligados automáticamente a una EIDF, aunque si el despliegue es genuinamente de alto riesgo en virtud del Anexo III, punto 4, se aplica la pila de obligaciones del Artículo 26 — incluidas la supervisión humana y la supervisión.
¿Qué deberíamos hacer realmente antes de habilitar Copilot de forma amplia?
Cuatro cosas: añadirlo a su registro de IA con una descripción del caso de uso y una clasificación de riesgo; impartir formación en alfabetización en IA del Artículo 4 a los usuarios; auditar y restringir sus permisos de datos de Microsoft 365 para que Copilot no muestre contenido que debería estar restringido; y revisar la configuración de su DPA de Microsoft y del Límite de datos de la UE para confirmar la residencia de los datos. Si algún uso previsto implica decisiones de empleo, crédito o seguros, clasifique ese flujo de trabajo por separado y aplique los controles adecuados antes de la puesta en marcha.
¿Cuál es el calendario de cumplimiento para los despliegues de Copilot de alto riesgo?
La aplicación general del Reglamento, incluida la transparencia de riesgo limitado del Artículo 50, es el 2 de agosto de 2026. Para los sistemas de IA de alto riesgo autónomos (Anexo III), el plazo en virtud del Ómnibus Digital (acuerdo político, mayo de 2026) es el 2 de diciembre de 2027 — aplazado respecto de la fecha original de agosto de 2026. La alfabetización en IA del Artículo 4 se aplica desde el 2 de febrero de 2025. Si tiene un flujo de trabajo de Copilot genuinamente de alto riesgo, el 2 de diciembre de 2027 es el plazo infranqueable; elaborar la documentación antes de esa fecha no es opcional, y solo la documentación lleva tiempo de reunir.
Guías relacionadas
- Clasificación de alto riesgo de la Ley de IA de la UE
- Obligaciones de cumplimiento del proveedor de SaaS
- comparar soluciones de cumplimiento de IA de alto riesgo
- requisitos de transparencia del Artículo 50
- obligaciones del proveedor de GPAI del Artículo 53
- definiciones del Artículo 3
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →