¿Necesitas cumplir el Reglamento de IA si solo usas la API de OpenAI?

La respuesta corta conforme al Reglamento (UE) 2024/1689: depende de tu papel y de tu caso de uso, no del hecho de que llames a una API. Enviar peticiones a la API de OpenAI no resuelve por sí solo tu exposición; lo que la resuelve es el papel que ocupas conforme al reglamento (artículo 3) y lo que realmente haces con el modelo.

OpenAI es el proveedor del modelo de IA de uso general (GPAI) del modelo subyacente. Sus obligaciones viven en el capítulo V (artículos 51 a 55) y se aplican desde el 2 de agosto de 2025. Esos deberes recaen en OpenAI, no en ti. Tu empresa, que construye sobre la API, es casi siempre un responsable del despliegue (artículo 3(4)), y puede pasar a ser proveedor de un sistema de IA en virtud del artículo 25 en circunstancias específicas y bien definidas.

La pila de obligaciones que cae sobre ti la determina el nivel de riesgo de tu caso de uso —mínimo, limitado o alto riesgo—, nunca el proveedor del modelo que hayas elegido. Esta guía relaciona papel con uso y con obligación, te muestra exactamente cuándo un responsable del despliegue se convierte en proveedor y te dice qué plazos son reales hoy frente a los acordados pero aún no es ley.

---

La respuesta corta: el papel y el uso, no la API

«Solo usamos una API» no es una respuesta de cumplimiento. El reglamento no te clasifica por tu proveedor; te clasifica por lo que haces. Un equipo financiero que usa la API para resumir informes internos se sitúa en riesgo mínimo. La misma empresa que conecta la misma API a una herramienta que puntúa la solvencia de personas físicas aterriza de lleno en el anexo III, con toda la pila de obligaciones de alto riesgo.

Por qué «solo uso una API» no es una respuesta de cumplimiento

Llamar a la API de una GPAI no te convierte en proveedor de GPAI. Este es el malentendido más habitual que corregimos. Las obligaciones de la GPAI de los artículos 51 a 55 recaen sobre el actor que desarrolla e introduce el modelo en el mercado: OpenAI. Consumir ese modelo a través de una API deja esas obligaciones en manos de OpenAI. Tus deberes provienen de una parte completamente distinta del reglamento: las reglas del responsable del despliegue (artículo 26), las reglas de transparencia (artículo 50) y —si tu caso de uso es de alto riesgo— la pila del capítulo III.

Lo que es de OpenAI frente a lo que es tuyo

OpenAI es responsable de los deberes a nivel de modelo: la documentación técnica del modelo, una política de derechos de autor y un resumen suficientemente detallado de los datos de entrenamiento (artículo 53), además de los deberes de riesgo sistémico del artículo 55 cuando proceden. Tú eres responsable de todo lo que viene después: avisar a los usuarios de que están hablando con una IA, marcar el contenido sintético que publicas y —cuando tu caso de uso es de alto riesgo— la gestión de riesgos, la gobernanza de datos, la supervisión humana y los deberes del responsable del despliegue del artículo 26. Para clasificar tu uso concreto frente a la ley en lugar de deducirlo del nombre del proveedor, consulta la API de OpenAI conforme al Reglamento de IA.

---

Quién es quién: proveedor, responsable del despliegue y el proveedor del modelo GPAI

Aquí importan tres papeles, y no son intercambiables.

El papel por defecto del responsable del despliegue para los clientes de la API

Un responsable del despliegue (artículo 3(4)) es una persona física o jurídica que utiliza un sistema de IA bajo su propia autoridad en el ejercicio de su actividad profesional. Ese es el papel por defecto de un cliente de la API de OpenAI: tomas el modelo y lo pones a trabajar en tu producto o tus operaciones. La mayoría de los deberes de transparencia del artículo 50 y los deberes del responsable del despliegue del artículo 26 recaen sobre ti como operador que interactúa con los usuarios finales, no sobre OpenAI.

Un proveedor (artículo 3(3)) es el actor que desarrolla un sistema de IA, o que encarga su desarrollo, y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca. Los papeles no se excluyen mutuamente a lo largo del ciclo de vida del producto: puedes ser responsable del despliegue del modelo de OpenAI y, a la vez, proveedor de tu propio sistema de IA aguas abajo.

Dónde terminan las obligaciones de GPAI de OpenAI y empiezan las tuyas

El proveedor del modelo GPAI es OpenAI, que soporta las obligaciones del capítulo V (artículos 51 a 55): documentación técnica del modelo, una política de cumplimiento en materia de derechos de autor y el resumen de los datos de entrenamiento. Esas obligaciones se detienen en la frontera del modelo. En el momento en que envuelves ese modelo en algo que operas u ofreces a terceros, empiezan tus propias obligaciones de responsable del despliegue —y posiblemente de proveedor—. Para la prueba completa del papel, consulta los papeles de proveedor frente a responsable del despliegue; para los propios deberes a nivel de modelo, consulta las obligaciones de la GPAI.

---

El cambio de papel del artículo 25: cuándo un responsable del despliegue pasa a ser proveedor

Esta es la exposición más infravalorada para las empresas que dan por hecho que «solo llamamos a una API». El artículo 25(1) reasigna las obligaciones del proveedor a un responsable del despliegue (o a un distribuidor, importador u otro tercero) en tres situaciones desencadenantes.

Los tres desencadenantes del artículo 25(1) en términos claros

1. Artículo 25(1)(a) — reetiquetado. Estampas tu propio nombre o marca en un sistema de IA de alto riesgo que ya está en el mercado (marca blanca o re-etiquetado).
2. Artículo 25(1)(b) — modificación sustancial. Realizas una modificación sustancial en un sistema de IA de alto riesgo de manera que sigue siendo de alto riesgo.
3. Artículo 25(1)(c) — cambio de finalidad. Modificas la finalidad prevista de un sistema de IA —incluido un sistema GPAI— de tal forma que pasa a ser de alto riesgo conforme al artículo 6.

Cualquiera de estos traslada toda la pila de obligaciones del proveedor a tu empresa.

Ejemplo práctico: envolver la API en un producto de alto riesgo

Supón que construyes un producto de contratación sobre la API de OpenAI que clasifica y criba a los candidatos a un puesto. No has entrenado el modelo, pero has dado a un sistema GPAI una finalidad prevista que es de alto riesgo conforme al anexo III. En virtud del artículo 25(1)(c), ahora se te trata como el proveedor de ese sistema de IA de alto riesgo. Eso significa los deberes del proveedor del artículo 16: un sistema de gestión de riesgos (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11), supervisión humana incorporada al diseño (artículo 14), evaluación de la conformidad (artículo 43) y registro en la base de datos de la UE (artículo 49). El hecho de que el modelo proceda de un tercero no te libera: el papel se movió con el uso.

---

Clasifica por uso: de la redacción interna a la puntuación de solvencia

El nivel de riesgo lo determina lo que hace el sistema y el contexto en el que opera. Se evalúa por caso de uso, no por organización: una misma empresa puede ocupar varios niveles a la vez. Para la lógica de decisión completa, consulta cómo se clasifica el uso de LLM.

Riesgo mínimo y limitado: el caso habitual

Usar la API para redactar, hacer lluvia de ideas o resumir internamente para el personal suele ser de riesgo mínimo. Sin evaluación de la conformidad, sin registro, pero el deber de alfabetización en IA del artículo 4 sigue aplicándose tanto a proveedores como a responsables del despliegue, de modo que el personal que opera el sistema debe entenderlo a un nivel adecuado a su función.

Cualquier cosa que interactúe con personas en lenguaje natural —un chatbot de cara al público— entra en el terreno de la transparencia de riesgo limitado del artículo 50. Y generar contenido sintético (texto, imagen, audio, vídeo) activa los deberes de marcado de contenido del artículo 50, que se tratan en la siguiente sección.

Los desencadenantes de alto riesgo del anexo III que la mayoría de los equipos pasan por alto

Dos desencadenantes de alto riesgo atrapan a quienes construyen sobre la API con más frecuencia:

• Empleo — anexo III, punto 4. Usar la API para contratar, seleccionar o cribar a candidatos a un puesto hace que el sistema sea de alto riesgo.
• Solvencia — anexo III, punto 5(b). Usar la API para evaluar la solvencia o la calificación crediticia de personas físicas (acceso a servicios privados esenciales) es de alto riesgo.

Cualquiera de los dos trae toda la pila de obligaciones y, vía artículo 25, muy probablemente te convierte también en el proveedor de ese sistema, además de en su responsable del despliegue.

---

Transparencia del artículo 50: qué debes comunicar a los usuarios

La mayoría de las obligaciones de transparencia del artículo 50 no se ven alteradas por el calendario de la reforma de 2026. El detalle del marcado de contenido se alinea con la fecha del 2 de diciembre de 2026. Para el desglose completo, consulta los deberes de transparencia del artículo 50.

Aviso del chatbot — artículo 50(1)

El artículo 50(1) exige que los sistemas de IA destinados a interactuar directamente con personas físicas informen a esas personas de que están interactuando con un sistema de IA, salvo que resulte evidente para un usuario razonablemente bien informado. La implicación práctica es rotunda: un chatbot de cara al cliente construido sobre la API necesita un aviso claro de «estás hablando con una IA», sea cual sea tu nivel general de riesgo. Una clasificación de riesgo mínimo en otra parte no exime al chatbot.

Marcado de contenido sintético — artículo 50(2) y (4)

El artículo 50(2) exige que los proveedores de sistemas que generan audio, imagen, vídeo o texto sintéticos marquen las salidas en un formato legible por máquina como generadas o manipuladas artificialmente. El artículo 50(4) exige que los responsables del despliegue de contenido de ultrafalsificación —y los responsables del despliegue de texto publicado para informar al público sobre asuntos de interés público— revelen que el contenido se ha generado o manipulado artificialmente.

Ten en cuenta el calendario: el paquete de reforma añadió un nuevo plazo del 2 de diciembre de 2026 (una prohibición de CSAM / «nudificadores» más el detalle del marcado de contenido). Es una fecha de calendario fija: el enfoque de «parar el reloj», supeditado a las normas, fue rechazado, de modo que no está vinculado a la disponibilidad de normas armonizadas.

---

Tabla de decisión: tu uso, tu papel, tu nivel de riesgo

La tabla de abajo se lee de izquierda a derecha: elige el uso, encuentra tu papel, lee el nivel y, luego, las obligaciones. La nota al pie es la idea central de esta página.

Cómo leer la tabla

La misma API, cinco conjuntos de obligaciones distintos

La misma API de OpenAI aparece en todas las filas. El nivel se mueve con el uso, nunca con el proveedor. Por eso una respuesta a escala de toda la organización («¿estamos cubiertos o no?») es la pregunta equivocada: clasificas cada caso de uso por sus propios hechos.

---

Plazos, sanciones y la salvedad de la reforma de 2026

Qué está ya en vigor frente a qué está en movimiento

• Las prácticas prohibidas del artículo 5 se aplican desde el 2 de febrero de 2025.
• Las obligaciones de la GPAI (artículos 51 a 55) se aplican desde el 2 de agosto de 2025: son de OpenAI, no tuyas.
• El alto riesgo del anexo III es la parte en movimiento. El Digital Omnibus alcanzó un acuerdo político provisional los días 6 y 7 de mayo de 2026, con el texto del COREPER confirmado en torno al 13 de mayo de 2026, en el que se acuerda aplazar el alto riesgo autónomo del anexo III (artículo 6(2)) del 2 de agosto de 2026 al 2 de diciembre de 2027, y los sistemas integrados en producto del anexo I (artículo 6(1)) del 2 de agosto de 2027 al 2 de agosto de 2028.

La salvedad crítica: a fecha de junio de 2026, este aplazamiento está acordado, aún no es ley. Todavía necesita una votación del Pleno del Parlamento Europeo, la adopción formal por el Consejo y la publicación en el Diario Oficial. Hasta entonces, la ley tal como se promulgó sigue diciendo 2 de agosto de 2026 para el alto riesgo del anexo III. Las nuevas fechas son fechas de calendario fijas: la propuesta de «parar el reloj», supeditada a las normas, fue rechazada, de modo que el retraso no está vinculado a la disponibilidad de normas armonizadas.

Exposición a sanciones por nivel de obligación

---

Qué hacer a continuación: inventariar, clasificar y asignar papeles

Un flujo de trabajo inicial en cuatro pasos

1. Inventaría. Mapea cada punto en el que la API de OpenAI toca tu producto y tus operaciones: herramientas internas, funcionalidades de cara al cliente y cualquier decisión automatizada.
2. Clasifica. Evalúa cada caso de uso por nivel frente al artículo 6 y el anexo III. No des por supuesto un único nivel a escala de toda la organización.
3. Asigna papeles. Por caso de uso, confirma dónde eres responsable del despliegue y dónde el artículo 25 te empuja a la condición de proveedor.
4. Implanta controles. Aplica los avisos del artículo 50 a los usos interactivos y sintéticos, y toda la pila del capítulo III a cualquier uso de alto riesgo.

Dónde la clasificación determinista elimina las conjeturas

Para un ejemplo práctico adyacente que usa el mismo motor, consulta clasificar ChatGPT por uso.

---

Cómo ayuda Confir

Añade la API de OpenAI a tu registro de IA y el módulo de inventario y clasificación de IA de Confir pregunta cómo la usas, no solo cómo se llama. Respondes preguntas estructuradas de recogida de datos —papel, caso de uso, tipos de datos, población de usuarios— y el motor deriva tu nivel de riesgo y el alcance de las obligaciones: primero una comprobación de prácticas prohibidas del artículo 5, luego la delimitación del artículo 6 / anexo III y, después, la prueba de papel del artículo 25. Cuando eres responsable del despliegue, muestra los deberes de los artículos 26 y 50; cuando el uso es de alto riesgo, hace aflorar toda la pila del capítulo III y el flujo de trabajo de la EIDF del artículo 27.

El motor de síntesis es determinista y basado en reglas: la misma recogida de datos produce el mismo resultado, la misma lógica cada vez, sin inferencia de modelos, sin alucinaciones. Cada clasificación nombra la regla que se activó en lenguaje claro, de modo que cualquier revisor puede comprobar exactamente por qué tu caso de uso aterrizó donde lo hizo.

---

Preguntas frecuentes

¿Necesito cumplir el Reglamento de IA si solo uso la API de OpenAI?

Depende de tu papel y de tu caso de uso, no de la API en sí. Normalmente eres responsable del despliegue, y puedes pasar a ser proveedor en virtud del artículo 25. La redacción interna suele ser de riesgo mínimo, un chatbot público activa la transparencia del artículo 50, y cribar candidatos a un puesto o puntuar solvencia es de alto riesgo conforme al anexo III, con toda la pila de obligaciones.

¿Usar la API de OpenAI me convierte en proveedor de GPAI?

No. OpenAI es el proveedor del modelo de IA de uso general y soporta las obligaciones del capítulo V (artículos 51 a 55). Llamar a su API no te transfiere la condición de proveedor de GPAI. Tus obligaciones provienen de cómo despliegas el modelo y de si tu caso de uso concreto se clasifica como de riesgo limitado o alto conforme al reglamento.

¿Cuándo pasa un responsable del despliegue a ser proveedor conforme al Reglamento de IA de la UE?

El artículo 25(1) trata a un responsable del despliegue como proveedor en tres casos: estampas tu nombre o marca en un sistema de alto riesgo, modificas sustancialmente un sistema de alto riesgo de modo que sigue siendo de alto riesgo, o cambias la finalidad prevista de un sistema de modo que pasa a ser de alto riesgo. Cualquier desencadenante traslada toda la pila de obligaciones del proveedor a ti.

¿Un chatbot construido sobre la API de OpenAI necesita el aviso del Reglamento de IA?

Sí. El artículo 50(1) exige que los sistemas de IA que interactúan directamente con personas les informen de que están hablando con una IA, salvo que resulte evidente para un usuario razonablemente informado. Un chatbot de cara al cliente construido sobre la API necesita un aviso claro de IA, con independencia de que el sistema en su conjunto sea por lo demás de riesgo mínimo o limitado.

¿Usar la API de OpenAI para cribar candidatos a un puesto es de alto riesgo?

Sí. La contratación, la selección y el cribado de candidatos entran en la categoría de empleo del anexo III, punto 4, lo que hace que el sistema sea de alto riesgo. Eso trae toda la pila de obligaciones: gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, deberes del responsable del despliegue del artículo 26 y una evaluación de impacto relativa a los derechos fundamentales conforme al artículo 27 cuando proceda.

¿Cuáles son las multas del Reglamento de IA por errar en el cumplimiento al usar la API de OpenAI?

Las multas escalan con el incumplimiento: hasta 35.000.000 € o el 7 % del volumen de negocios mundial por prácticas prohibidas (artículo 99(3)); hasta 15.000.000 € o el 3 % por la mayoría de los incumplimientos de obligaciones del proveedor y del responsable del despliegue (artículo 99(4)); y hasta 7.500.000 € o el 1 % por facilitar a las autoridades información incorrecta o engañosa (artículo 99(5)). Las pymes obtienen límites proporcionados conforme al artículo 99(6).

¿Cuándo se aplican las obligaciones de alto riesgo del Reglamento de IA a los sistemas basados en API?

Tal como se promulgó, las obligaciones de alto riesgo del anexo III se aplican desde el 2 de agosto de 2026. El Digital Omnibus acordó los días 6 y 7 de mayo de 2026 aplazarlas al 2 de diciembre de 2027, pero a fecha de junio de 2026 ese aplazamiento aún no es ley: todavía necesita una votación del Parlamento, la adopción por el Consejo y la publicación en el Diario Oficial, de modo que la fecha legal sigue vigente por ahora.

---

Guías relacionadas

• la API de OpenAI conforme al Reglamento de IA
• los papeles de proveedor frente a responsable del despliegue
• las obligaciones de la GPAI
• cómo se clasifica el uso de LLM
• los deberes de transparencia del artículo 50
• clasificar ChatGPT por uso