ChatGPT en la empresa: ¿le afecta el AI Act?

ChatGPT, Copilot, Gemini, Claude, Mistral - estas herramientas se han convertido en reflejos profesionales para millones de empleados europeos. Redactar correos, resumir documentos, generar contenido de marketing, atención al cliente automatizada... La IA generativa se ha colado en los flujos de trabajo empresariales más rápido de lo que la regulación puede seguir. Pero el AI Act (Reglamento UE 2024/1689) existe, y muy probablemente le afecta más directamente de lo que cree.

El malentendido más frecuente: "No he desarrollado ChatGPT, así que no soy proveedor, así que el AI Act no me afecta realmente." Es incorrecto. El reglamento distingue dos roles principales, y uno de ellos - el desplegador - afecta precisamente a las empresas que usan estas herramientas.

Proveedor vs desplegador: ¿dónde se sitúa usted?

El Artículo 3 del AI Act define dos categorías distintas:

• El proveedor: la entidad que desarrolla y comercializa el sistema de IA. OpenAI para ChatGPT, Microsoft para Copilot, Google para Gemini. Ellos soportan las obligaciones más pesadas - documentación técnica, marcado CE, registro en la base de datos de la UE.
• El desplegador: la entidad que utiliza un sistema de IA en el marco de una actividad profesional. Eso es usted, desde el momento en que integra ChatGPT en sus procesos, despliega un chatbot de Copilot en su web, o automatiza tareas con un LLM.

Como desplegador, no necesita redactar 80 páginas de documentación técnica. Pero tiene obligaciones reales, concretas y exigibles a partir de agosto de 2026.

El Artículo 50: la regla que afecta a todos

Esta es la disposición menos conocida y sin embargo más universal del AI Act. El Artículo 50 impone obligaciones de transparencia a todos los sistemas de IA que interactúan con personas o generan contenido - independientemente del nivel de riesgo, independientemente del tamaño de la empresa.

Obligación 1 - Informar a los usuarios de que hablan con una IA

Si despliega un chatbot impulsado por ChatGPT, Copilot o cualquier otro LLM en su web, aplicación o internamente para sus empleados, debe informar claramente a las personas de que están interactuando con un sistema de IA (Artículo 50§1). Decir "respondido por nuestro equipo" cuando en realidad es GPT-4 es una violación directa.

Obligación 2 - Etiquetar deepfakes y contenidos manipulados

Cualquier vídeo, imagen o contenido de audio generado o manipulado por IA para parecerse a una persona real existente debe identificarse claramente como contenido sintético (Artículo 50§4). Esto se aplica a vídeos de marketing con avatares de IA, voces sintéticas que imitan voces existentes y fotos generadas por IA que representen a personas identificables.

Obligación 3 - Marcado legible por máquina (a partir de noviembre de 2026)

El Artículo 50§2 exige que los contenidos generados por IA estén marcados en un formato legible por máquina. Esta obligación recae principalmente en los proveedores de modelos generativos. Pero como desplegador, deberá asegurarse de que las herramientas que utiliza implementen estos mecanismos. La fecha adoptada por el Parlamento Europeo en el Digital Omnibus es el 2 de noviembre de 2026 para los sistemas ya en el mercado.

Cuándo ChatGPT se convierte en alto riesgo en su organización

Su uso de ChatGPT o un LLM puede pasar al alto riesgo (Anexo III) si lo utiliza para:

• Filtrar candidaturas o evaluar empleados: cualquier sistema que influya en decisiones de contratación, promoción o despido (Anexo III, sección 4)
• Evaluar la solvencia o el riesgo crediticio: cualquier scoring financiero automatizado (Anexo III, sección 5)
• Orientar decisiones de acceso a servicios públicos: si su IA influye en decisiones sobre prestaciones sociales o servicios esenciales
• Generar perfiles de riesgo sobre personas: en un contexto de seguros, seguridad o gestión de riesgos que involucre personas físicas

La regla práctica: no es la herramienta la que determina el nivel de riesgo - es lo que hace con ella. ChatGPT para escribir un boletín es riesgo limitado. ChatGPT integrado en una herramienta de calificación del desempeño de los empleados es alto riesgo.

Qué debe hacer antes de agosto de 2026

1. Inventariar todos sus usos de IA generativa: ChatGPT, Copilot, Gemini, Claude, herramientas integradas en su CRM o RRHH... Listar todo, con el caso de uso exacto para cada herramienta.
2. Clasificar cada uso por nivel de riesgo: uso editorial estándar = riesgo limitado (solo Artículo 50). Uso que influye en decisiones sobre personas = verificar el Anexo III.
3. Auditar sus interfaces orientadas al cliente: ¿tiene un chatbot de IA en producción? ¿Informa claramente a los usuarios de que hablan con una IA? Si no, es una infracción que hay que corregir ahora.
4. Actualizar sus avisos legales y condiciones de uso: si usa IA para procesar datos de clientes o producir contenido dirigido a ellos, debe mencionarse.
5. Revisar sus contratos SaaS: ¿la herramienta que utiliza es ella misma conforme al AI Act? Pregunte a su proveedor. Su respuesta condiciona su propia exposición.

El diagnóstico gratuito de AiActo le guía a través de esta clasificación en menos de 3 minutos - y le indica con precisión si sus usos de IA generativa le exponen solo al Artículo 50 o a obligaciones adicionales de alto riesgo.

Preguntas frecuentes

Mi empresa usa ChatGPT solo internamente - ¿sigo estando afectado?

Sí, si ese uso interno afecta a empleados. El Artículo 50 exige informar a las personas que interactúan con una IA, incluidos sus propios empleados. Y si ChatGPT se usa para evaluar rendimiento u orientar decisiones de RRHH, pasa al alto riesgo con las obligaciones del Artículo 26.

OpenAI es estadounidense - ¿se aplica el AI Act a ellos?

Sí. El AI Act se aplica a cualquier sistema de IA cuyos resultados se utilicen en la Unión Europea, independientemente del país de establecimiento del proveedor. OpenAI debe cumplir las obligaciones GPAI para el uso europeo de ChatGPT. Por eso las obligaciones de documentación y transparencia se aplican a ellos desde agosto de 2025.

¿Qué diferencia hay entre ChatGPT gratuito y ChatGPT Enterprise?

Desde la perspectiva del AI Act, lo que importa es su uso, no la versión. ChatGPT Enterprise ofrece garantías contractuales adicionales sobre la confidencialidad de los datos - relevante para el RGPD - pero sus obligaciones AI Act como desplegador son las mismas independientemente de la versión utilizada.

¿El contenido generado por IA debe etiquetarse siempre?

No sistemáticamente. La obligación de divulgación afecta principalmente a los deepfakes y contenidos manipulados (Artículo 50§4), y a las interacciones directas con chatbots de IA (Artículo 50§1). Un texto de marketing redactado con ayuda de ChatGPT y revisado por un humano no está automáticamente sujeto a una obligación de mención.

¿Qué arriesgo si no pongo en conformidad mi chatbot antes de agosto de 2026?

Las infracciones del Artículo 50 pueden sancionarse con multas de hasta 7,5 millones de euros o el 1 % de la facturación mundial anual. Estas sanciones se aplican tanto a proveedores como a desplegadores. Las autoridades nacionales - en España, la AESIA - dispondrán de poderes de control y sanción a partir de agosto de 2026.

La IA generativa entró en las empresas por la puerta de atrás - una suscripción a ChatGPT aquí, una extensión de Copilot allá. El AI Act obliga ahora a mirar directamente lo que estos usos implican desde el punto de vista regulatorio. La buena noticia: las obligaciones para un uso estándar son manejables. Una mención clara en su chatbot, una actualización de sus condiciones de uso, un inventario de sus herramientas. No es insuperable - siempre que actúe antes del plazo. Consulte el calendario del AI Act en AiActo para planificar sus próximos pasos.