La API de OpenAI y la Ley de IA de la UE: ¿quién es el proveedor y qué debe hacer?

La Ley de IA de la UE no menciona a OpenAI por su nombre. Plantea una pregunta distinta: ¿qué hace este sistema de IA y quién lo introduce en el mercado? Si integra la API de OpenAI para construir un producto o una funcionalidad que lanza a los usuarios, usted es casi con seguridad el proveedor del sistema de IA resultante con arreglo al Artículo 16 del Reglamento (UE) 2024/1689 — no un mero espectador que se beneficia del cumplimiento de otro. Su clasificación, y por tanto su pila de obligaciones, depende enteramente de lo que su sistema haga con esa API.

Esta guía explica cómo determinar su papel, cómo clasificar su sistema según el uso, qué significa la capa del modelo GPAI para usted como desarrollador posterior, y qué puede hacer Confir para abreviar el trabajo de documentación.

OpenAI es el proveedor de GPAI. Usted es probablemente el proveedor del sistema de IA.

OpenAI tiene obligaciones de modelo GPAI con arreglo al Artículo 53. Estas incluyen: documentación técnica conforme al Anexo XI, información para los agentes posteriores conforme al Anexo XII (que usted, cliente de la API, recibe), una política de derechos de autor y un resumen de los datos de entrenamiento. Si GPT-4o supera el umbral de 10²⁵ FLOP que activa la clasificación de riesgo sistémico con arreglo al Artículo 51, OpenAI también debe realizar evaluaciones de modelos y pruebas adversarias con arreglo al Artículo 55. Estas son obligaciones de OpenAI. Usted no las hereda.

Lo que sí hereda es la condición de proveedor del Artículo 16 para cualquier sistema de IA que construya encima. La definición de «proveedor» de la Ley (Artículo 3, punto 3) comprende a cualquier persona física o jurídica que desarrolle un sistema de IA o que mande desarrollarlo y lo introduzca en el mercado o lo ponga en servicio con su propio nombre o marca. Si lanza una herramienta de cribado de currículos, un asistente de evaluación crediticia, un chatbot orientado al cliente o un producto interno de flujo de trabajo bajo el nombre de su empresa, usted es el proveedor de ese sistema. OpenAI es un proveedor de componentes (el proveedor del modelo GPAI), no el proveedor de su producto.

El Artículo 25 lo deja explícito: si pone su nombre en un sistema, lo modifica sustancialmente o modifica su finalidad prevista, las obligaciones del proveedor se le transfieren. Envolver GPT-4o en una interfaz de producto y venderlo es exactamente eso.

Una excepción: si utiliza la API de OpenAI exclusivamente para operaciones internas — por ejemplo, una herramienta de resumen de textos de la trastienda utilizada solo por su propio personal, no introducida en el mercado —, su papel es el de responsable del despliegue con arreglo al Artículo 26. Las obligaciones del responsable del despliegue son notablemente más ligeras.

Primer paso: clasificar según lo que hace el sistema

La Ley ordena los sistemas de IA en cuatro niveles. El nivel lo determina el uso del sistema, no el modelo subyacente.

Prohibido (Artículo 5) — en vigor desde el 2 de febrero de 2025

Algunas aplicaciones están prohibidas de plano con independencia de la pila tecnológica. Construir sobre la API de OpenAI no le exime. Un sistema que utiliza el reconocimiento de emociones para inferir los estados emocionales de los trabajadores en el lugar de trabajo o en la educación entra dentro de la prohibición del Artículo 5, apartado 1, letra f). Un sistema que puntúa el comportamiento social de las personas para determinar el acceso a servicios entra dentro del Artículo 5, apartado 1, letra c). Un sistema que explota las vulnerabilidades de grupos específicos para distorsionar su comportamiento entra dentro del Artículo 5, apartado 1, letra b).

Estas prohibiciones no son aspiracionales — están en vigor. Si su producto opera actualmente en uno de estos ámbitos, necesita asesoramiento jurídico antes de continuar, no un marco de cumplimiento.

Alto riesgo (Artículo 6 + Anexo III) — se aplica a partir del 2 de diciembre de 2027

Un sistema de IA es de alto riesgo si entra dentro de uno de los ocho epígrafes del Anexo III y no reúne las condiciones para la exención del Artículo 6, apartado 3. Los sistemas autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027 en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026 (la fecha original del 2 de agosto de 2026 se ha aplazado). Para la IA integrada en productos regulados (Anexo I), la fecha es el 2 de agosto de 2028.

Los ámbitos del Anexo III más habitualmente implicados al construir sobre la API de OpenAI:

• Empleo y gestión de los trabajadores (Anexo III, punto 4): cribado de selección de personal, preselección de currículos, evaluación del rendimiento, asignación de tareas y supervisión. Una empresa de tecnología de RR. HH. de 40 personas que vende un producto de puntuación de currículos construido sobre GPT-4o está plenamente en el punto 4, letra a). Como proveedor, soporta la pila completa de obligaciones: sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica conforme al Anexo IV (Artículo 11), conservación de registros (Artículo 12), instrucciones de transparencia para los responsables del despliegue (Artículo 13), supervisión humana por diseño (Artículo 14), exactitud y robustez (Artículo 15), sistema de gestión de la calidad (Artículo 17), evaluación de la conformidad (Artículo 43), declaración UE de conformidad (Artículo 47), marcado CE (Artículo 48) y registro en la base de datos de la UE (Artículo 49).
• Acceso a crédito y seguros (Anexo III, punto 5): la evaluación de la solvencia y la calificación crediticia entran dentro del punto 5, letra b) — la detección de fraude queda excluida. El riesgo y la fijación de precios de los seguros de vida y de salud entran dentro del punto 5, letra c). Una fintech que canaliza los resultados de la API de OpenAI hacia un flujo de trabajo de decisión de suscripción es un proveedor de alto riesgo. Las herramientas de roboasesoramiento y de prevención del blanqueo de capitales no son, en general, de alto riesgo por este motivo.
• Educación y formación profesional (Anexo III, punto 3): sistemas que determinan la admisión a instituciones educativas, evalúan el rendimiento de los estudiantes o supervisan los exámenes.
• Biometría (Anexo III, punto 1): sistemas de categorización biométrica y de reconocimiento de emociones (fuera de las prohibiciones del Artículo 5), e identificación biométrica remota dentro de las estrechas excepciones para la garantía del cumplimiento del Derecho.

El filtro del Artículo 6, apartado 3: un sistema que entra dentro de un ámbito del Anexo III no es automáticamente de alto riesgo. Puede documentar que no plantea un riesgo significativo de perjuicio — por ejemplo, porque desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones de toma de decisiones sin sustituir ni influir en la evaluación humana, o realiza únicamente un trabajo preparatorio. El filtro exige solo una de estas condiciones, no las cuatro. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo y no puede acogerse a la exención. Los proveedores que se acogen a la exención del Artículo 6, apartado 3, deben documentar la evaluación y, aun así, registrar el sistema con arreglo al Artículo 49.

Riesgo limitado (Artículo 50) — se aplica a partir del 2 de agosto de 2026

Si su sistema no alcanza el alto riesgo pero incluye una interfaz de chatbot, debe divulgar a los usuarios que están interactuando con un sistema de IA (Artículo 50, apartado 1). Si genera audio, imagen, vídeo o texto sintéticos destinados a confundirse con material real (ultrafalsificaciones), se aplican las obligaciones de etiquetado (Artículo 50, apartado 4). Los sistemas de reconocimiento de emociones que no entren dentro de la prohibición del Artículo 5 deben divulgar su funcionamiento con arreglo al Artículo 50, apartado 2.

Un chatbot de atención al cliente de uso general construido sobre la API de OpenAI — uno que no toma decisiones de consecuencias — es probablemente de riesgo limitado. El requisito de divulgación es la obligación, y se aplica a partir del 2 de agosto de 2026.

Riesgo mínimo

Las herramientas internas, los asistentes generales de productividad y las funcionalidades de generación de contenido que no tocan casos de uso del Anexo III y no implican interacción mediante chatbot ni medios sintéticos son de riesgo mínimo. No se aplican obligaciones obligatorias.

Qué significa para usted la información para los agentes posteriores del Anexo XII

OpenAI, como proveedor del modelo GPAI con arreglo al Artículo 53, debe facilitar a los desarrolladores posteriores el paquete de información del Anexo XII. Esto incluye: las instrucciones de uso, las capacidades y limitaciones del sistema, los casos de uso previstos e información suficiente para que usted cumpla sus propias obligaciones de proveedor. En términos prácticos, se trata de las fichas de modelo, las políticas de uso y la documentación del sistema de OpenAI.

Debe incorporar la documentación del Anexo XII que recibe de OpenAI a su propio expediente de documentación técnica del Artículo 11. Para los sistemas de alto riesgo, el Anexo IV especifica exactamente lo que debe contener ese expediente: una descripción general del sistema, una descripción de los elementos y del proceso de desarrollo, información sobre los datos utilizados, planes de vigilancia y mantenimiento, y documentación de la gestión de riesgos. La documentación técnica debe conservarse durante diez años después de que el sistema se introduzca en el mercado (Artículo 18).

Cambios de papel con arreglo al Artículo 25

Tres situaciones convierten a un responsable del despliegue en proveedor — y las obligaciones del proveedor se aplican automáticamente:

1. Pone su nombre o marca en un sistema de IA desarrollado originalmente por un tercero (incluido un sistema basado en OpenAI que no haya modificado sustancialmente).
2. Modifica sustancialmente un sistema de IA de alto riesgo.
3. Introduce un sistema de IA de alto riesgo en el mercado o lo pone en servicio con su propio nombre.

La mayoría de las empresas de SaaS que construyen productos comerciales sobre la API de OpenAI activan la situación 1 o la 3. Si vende o licencia a otras empresas una funcionalidad de producto que incorpora la API de OpenAI, usted es proveedor de un sistema de IA posterior, y la clasificación de riesgo de ese sistema — no del modelo de OpenAI — determina sus obligaciones.

Datos, RGPD y tratamiento de datos por la API

Utilizar la API de OpenAI para el tratamiento empresarial implica datos personales en la mayoría de los casos de uso serios. Los requisitos del RGPD se aplican en paralelo: necesita una base jurídica para el tratamiento, contratos de tratamiento de datos con OpenAI y una evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD) si trata datos de categorías especiales o toma decisiones exclusivamente automatizadas (artículo 22 del RGPD).

Sobre la residencia de los datos: OpenAI ofrece una opción de residencia de datos en la UE para los clientes de la API (datos tratados en la UE, no enviados a servidores estadounidenses). Para el cumplimiento de alto riesgo de la Ley de IA — en particular los requisitos de gobernanza de datos del Artículo 10 —, la residencia en la UE también simplifica demostrar que los datos de entrenamiento y validación cumplen los requisitos de la Ley. Si su sistema es de alto riesgo, la obligación del Artículo 10 recae sobre los datos de entrenamiento y validación de su sistema, no sobre los pesos del modelo de OpenAI.

Por defecto, OpenAI no utiliza los datos enviados a través de la API para entrenar o mejorar sus modelos (con sujeción a las condiciones de su contrato empresarial). Confírmelo con su contrato. Las obligaciones de calidad de los datos del Artículo 10 son suyas en cualquier caso.

Qué le exige realmente a usted como proveedor la pila de obligaciones de alto riesgo

Si su sistema es de alto riesgo, le incumben todas las siguientes antes de introducirlo en el mercado:

Sistema de gestión de riesgos (Artículo 9): un proceso continuo e iterativo — no una auditoría puntual. Debe identificar los riesgos previsibles, evaluar su probabilidad y gravedad, aplicar medidas de mitigación y actualizar la evaluación cada vez que el sistema o su contexto cambien. Para un sistema basado en la API de OpenAI, esto significa documentar el riesgo de alucinación, el riesgo de sesgo en los resultados, la exposición a la inyección de instrucciones y la dependencia de una API de un tercero que usted no controla.

Datos y gobernanza de datos (Artículo 10): los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos, libres de errores y completos en la medida de lo posible. Si ajusta el modelo con sus propios datos, esa gobernanza de datos recae sobre usted. Si utiliza el modelo base sin ajuste fino, documente las limitaciones conocidas del modelo de OpenAI (a partir del Anexo XII) y cómo las mitiga su sistema.

Documentación técnica (Artículo 11 + Anexo IV): el expediente de documentación debe existir antes de la introducción en el mercado. Cubre la descripción del sistema, las decisiones de diseño, la finalidad prevista, las limitaciones conocidas, los resultados de las pruebas, los registros de gestión de riesgos y los planes de vigilancia poscomercialización. Consérvelo durante diez años (Artículo 18).

Transparencia e instrucciones para los responsables del despliegue (Artículo 13): si vende su sistema de IA de alto riesgo a otras empresas (B2B), debe facilitar instrucciones de uso claras, información sobre el rendimiento del sistema y qué supervisión humana se exige. Esto es distinto del requisito de transparencia hacia el usuario final del Artículo 50.

Supervisión humana (Artículo 14): el sistema debe diseñarse de modo que una persona física pueda supervisarlo eficazmente, comprender sus resultados y anularlo o detenerlo. Es un requisito de diseño, no solo una política.

Evaluación de la conformidad (Artículo 43): antes de introducir un sistema de alto riesgo en el mercado, debe evaluar su conformidad con los requisitos de la Ley. Para la mayoría de las categorías del Anexo III, se trata de una autoevaluación interna con arreglo al Anexo VI. Para el punto 1 del Anexo III (biometría), por lo general se exige la vía del organismo notificado del Anexo VII.

Registro (Artículo 49): registre el sistema en la base de datos de la UE para sistemas de IA de alto riesgo establecida con arreglo al Artículo 71, antes de la introducción en el mercado.

Vigilancia poscomercialización (Artículo 72): debe existir un plan de vigilancia desde el primer día. Haga seguimiento de los datos de rendimiento, recopile comentarios de los usuarios y actualice el sistema de gestión de riesgos en consecuencia.

Notificación de incidentes graves (Artículo 73): si se produce un incidente grave — definido en el Artículo 3, apartado 49 —, notifique a la autoridad competente del Estado miembro afectado en un plazo de 15 días tras tener conocimiento (o 2 días si hay una infracción generalizada o un riesgo grave para infraestructuras críticas; 10 días si se ha producido un fallecimiento).

Cómo ayuda Confir

El motor de clasificación y documentación de Confir es basado en reglas y determinista — las mismas entradas producen los mismos resultados, mostrando en lenguaje sencillo la regla que se activa. Sin alucinaciones, sin conjeturas, defendible ante una auditoría desde el primer día.

Para un despliegue de la API de OpenAI, Confir hace tres cosas: registra el sistema en su inventario de IA, lo clasifica mediante escenarios en lenguaje sencillo frente a los Artículos 5 y 6 con la lógica completa del Anexo III para derivar el nivel de riesgo y su papel (proveedor con arreglo al Artículo 16 o responsable del despliegue con arreglo al Artículo 26), y a continuación impulsa una evaluación estructurada a través de cuatro áreas de cumplimiento — AIRC (clasificación de riesgo y conformidad: Artículos 5, 6, 43, 50), AITR (datos y robustez técnica: Artículos 10, 11, 15), AITO (transparencia y supervisión humana: Artículos 13, 14, 27, 50) y AIGM (gobernanza y vigilancia poscomercialización: Artículos 9, 72, 73).

El resultado es un paquete de documentación técnica del Anexo IV listo para imprimir, una declaración UE de conformidad del Artículo 47 y — cuando se exige — una evaluación de impacto relativa a los derechos fundamentales del Artículo 27. Sin consultores, sin proyecto de implementación.

Preguntas frecuentes

¿Integrar la API de OpenAI me convierte en proveedor de GPAI con arreglo a la Ley de IA de la UE?

No. Un proveedor de GPAI es la entidad que entrena y pone a disposición un modelo de IA de uso general — en este caso, OpenAI. Cuando integra la API para construir un producto, pasa a ser el proveedor del sistema de IA posterior con arreglo al Artículo 16. Las obligaciones del Artículo 53 de OpenAI (documentación técnica del Anexo XI, información para los agentes posteriores del Anexo XII, política de derechos de autor, resumen de los datos de entrenamiento) siguen recayendo sobre OpenAI. Usted recibe la información para los agentes posteriores del Anexo XII como parte de su acceso a la API y la incorpora a su propia documentación técnica del Artículo 11.

Mi producto utiliza GPT-4o para un chatbot orientado al cliente. ¿Es de alto riesgo?

Probablemente no, pero depende de lo que haga el chatbot. Un chatbot general de atención o de información es de riesgo limitado con arreglo al Artículo 50 — debe informar a los usuarios de que están hablando con un sistema de IA. Esa obligación se aplica a partir del 2 de agosto de 2026. Si el chatbot toma o influye sustancialmente en decisiones de consecuencias (admisibilidad crediticia, derecho a prestaciones, preselección en selección de personal), el caso de uso necesita un análisis completo del Anexo III. La clasificación sigue a la función, no al nombre del modelo.

¿Cuál es el plazo de cumplimiento de alto riesgo si construyo sobre la API de OpenAI?

Los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III deben cumplir antes del 2 de diciembre de 2027, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026 (la fecha original de agosto de 2026 se ha aplazado). Si su sistema es un componente de seguridad de un producto regulado del Anexo I, la fecha es el 2 de agosto de 2028. El requisito de transparencia de riesgo limitado del Artículo 50 para los chatbots y el contenido sintético se aplica a partir del 2 de agosto de 2026 — esa fecha no se ha movido.

¿Cuáles son las sanciones si no cumplo?

Las multas del Artículo 99 vienen en tres niveles. Infringir las prohibiciones del Artículo 5: hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. El incumplimiento de la mayoría de las demás obligaciones — incluidos los deberes del proveedor y del responsable del despliegue, los requisitos de alto riesgo y la transparencia del Artículo 50 —: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial. Facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados: hasta 7,5 millones de euros o el 1 % del volumen de negocios anual mundial. Para las empresas por debajo del umbral de pyme, el Artículo 99, apartado 6, limita las multas al menor de los dos importes, el de la cantidad fija o el del porcentaje — una verdadera protección de proporcionalidad, pero no un salvoconducto.

¿Cambian las obligaciones del RGPD cuando utilizo la API de OpenAI?

El RGPD se aplica junto con la Ley de IA de la UE, no en su lugar. Si trata datos personales a través de la API, necesita una base jurídica, un contrato de tratamiento de datos con OpenAI y — para el tratamiento de alto riesgo o de categorías especiales — una evaluación de impacto relativa a la protección de datos con arreglo al artículo 35 del RGPD. El artículo 22 del RGPD también limita las decisiones exclusivamente automatizadas que produzcan efectos jurídicos o significativos de modo similar sobre las personas; si su sistema toma tales decisiones sin revisión humana, necesita o bien el consentimiento explícito o bien una de las excepciones del artículo 22 del RGPD. Los dos regímenes son complementarios, y un sistema de alto riesgo de la Ley de IA que trate datos personales activa obligaciones con arreglo a ambos.

Utilizo la API de OpenAI solo internamente, no en un producto que vendo. ¿Se aplica la Ley?

El uso exclusivamente interno significa que usted es un responsable del despliegue con arreglo al Artículo 26, no un proveedor. Las obligaciones del responsable del despliegue son más ligeras: utilizar el sistema conforme a las instrucciones del proveedor, supervisar el rendimiento, conservar registros, garantizar la supervisión humana cuando se exija y — si es un organismo público que despliega un sistema de alto riesgo o un responsable del despliegue de determinados sistemas de solvencia o de seguros — realizar una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27. Si modifica sustancialmente el sistema o pone su nombre en él, el Artículo 25 le traslada a la condición de proveedor.

¿Cómo se relaciona la opción de residencia de datos en la UE de OpenAI con la Ley de IA de la UE?

Son marcos distintos pero vinculados en la práctica. La residencia de datos en la UE significa que OpenAI trata el tráfico de su API dentro de la infraestructura de la UE, lo que simplifica el cumplimiento del RGPD en materia de transferencias de datos. Para la Ley de IA de la UE, lo que importa es la gobernanza de datos del Artículo 10 de su sistema: los datos de entrenamiento, validación y prueba del sistema que está construyendo deben cumplir los requisitos de calidad y gobernanza de la Ley. Si ajusta el modelo o construye un sistema aumentado por recuperación sobre datos residentes en la UE, documentar esa gobernanza de datos resulta sencillo. La información para los agentes posteriores del Anexo XII de OpenAI también especificará el alcance de los datos de entrenamiento del modelo base, que usted incorpora a su propia documentación técnica.

Guías relacionadas

• exenciones de código abierto con arreglo al Artículo 6, apartado 1
• requisitos de cumplimiento de alto riesgo del Artículo 8
• obligaciones del responsable del despliegue por papel en el mercado
• marco de cumplimiento para SaaS
• requisitos del responsable del despliegue del Artículo 26
• obligaciones de transparencia del Artículo 13
• herramientas de clasificación de alto riesgo frente a uso general
• evaluación de IA de prestaciones sociales del Anexo III
• lista de comprobación de obligaciones del proveedor
• definiciones clave del Artículo 3
• marcos sistemáticos de clasificación de riesgo