¿Me afecta el AI Act si uso ChatGPT en mi empresa?

Respuesta corta: sí, te afecta. Y probablemente ya estés incumpliendo una obligación que está en vigor desde febrero de 2025.

Si en tu empresa alguien usa ChatGPT, Copilot, Claude, Gemini o cualquier otra herramienta de IA generativa para su trabajo — aunque sea de vez en cuando, aunque sea "solo para emails" o "para buscar información" — el EU AI Act (Reglamento UE 2024/1689) te considera un "responsable del despliegue" de un sistema de IA. Y eso viene con obligaciones.

Vamos a ver cuáles son, sin rodeos.

Lo que ya deberías estar haciendo (y probablemente no haces)

El Artículo 4 del AI Act sobre alfabetización en materia de IA entró en vigor el 2 de febrero de 2025. No el 2 de agosto de 2026 — ya está activo ahora mismo.

¿Qué dice? Que debes garantizar que todas las personas que usan sistemas de IA en tu organización tengan un nivel suficiente de conocimiento sobre cómo funcionan, cuáles son sus limitaciones, y qué riesgos tienen.

En la práctica, esto significa que si tus empleados usan ChatGPT y no les has dado ninguna formación sobre qué es, cómo funciona, qué datos pueden y no pueden meter, y qué limitaciones tiene, estás en incumplimiento del AI Act desde hace más de un año.

La buena noticia: esto se resuelve con una formación básica de 8-10 horas. Y FUNDAE cubre el 100% del coste para PYMEs.

ChatGPT en tu empresa: ¿qué nivel de riesgo tiene?

El AI Act clasifica los sistemas de IA en cuatro niveles: inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. ChatGPT y el resto de herramientas de IA generativa caen en riesgo limitado según el Artículo 50 del reglamento.

¿Qué significa esto? Que tus obligaciones principales son de transparencia:

Si usas IA generativa para crear contenido que se publica (posts en redes sociales, artículos, emails de marketing, descripciones de productos), debes informar de que ese contenido ha sido generado o manipulado por IA. No necesitas poner un cartel enorme — basta con una indicación clara.

Si usas un chatbot con IA para atender a clientes, el usuario debe saber que está hablando con una máquina, no con una persona.

Estas obligaciones de transparencia entran en vigor el 2 de agosto de 2026.

Cuándo ChatGPT pasa a ser alto riesgo

Aquí es donde muchas PYMEs se confunden. ChatGPT en sí no es alto riesgo. Pero el uso que le des puede serlo.

Si usas ChatGPT (o cualquier IA) para ayudar a filtrar CVs o evaluar candidatos, estás usando IA en un contexto de selección de personal, que el Anexo III del AI Act clasifica como alto riesgo. No importa que sea ChatGPT y no un software especializado de RRHH — lo que importa es la finalidad.

Lo mismo aplica si usas IA para evaluar el rendimiento de empleados, tomar decisiones sobre créditos o financiación a clientes, o generar informes que se usan para tomar decisiones que afectan significativamente a personas.

En estos casos, las obligaciones son mucho más estrictas: supervisión humana, documentación técnica, evaluación de conformidad, y registro.

El problema del "shadow AI"

Hay algo que muchas PYMEs no ven: el uso no controlado de IA por parte de los empleados. Un empleado que usa ChatGPT por su cuenta para redactar informes, resumir reuniones o analizar datos de clientes está introduciendo información de la empresa en un sistema de IA externo.

Esto plantea dos problemas. Primero, de protección de datos: si el empleado mete datos personales de clientes en ChatGPT, puedes estar incumpliendo el RGPD. Segundo, de compliance del AI Act: estás usando un sistema de IA en tu actividad profesional sin ningún tipo de gobernanza ni control.

La solución no es prohibir ChatGPT — es regularlo internamente. Necesitas una política de uso de IA que defina qué herramientas están aprobadas, qué datos se pueden introducir y cuáles no, quién supervisa, y qué pasa si alguien se salta las normas.

Las 4 cosas que debes hacer ahora

1. Forma a tu equipo. Una formación básica sobre qué es la IA, cómo funciona ChatGPT, qué limitaciones tiene (alucinaciones, sesgos, falta de verificación), y qué datos no deben introducirse nunca (datos personales de clientes, información confidencial, datos financieros). Ya deberías haberlo hecho — el Artículo 4 está en vigor.

2. Crea una política interna de uso de IA. No necesita ser un documento de 50 páginas. 2-3 páginas claras que definan qué herramientas están aprobadas, para qué se pueden usar, qué datos están prohibidos, y quién es responsable.

3. Haz un inventario. Pregunta a tu equipo: ¿quién usa IA? ¿para qué? ¿qué herramientas? Vas a descubrir usos que no conocías. Apúntalos todos.

4. Implementa avisos de transparencia. Si generas contenido con IA que se publica, o si tienes un chatbot, prepara los avisos necesarios para agosto de 2026.

¿Qué multas me pueden caer?

Por incumplir las obligaciones de transparencia del Artículo 50 o las obligaciones de desplegador del Artículo 26: hasta 15 millones de euros o el 3% de tu facturación global anual. Para PYMEs las sanciones son proporcionales, pero un 3% de facturación sigue siendo un golpe serio.

Por incumplir el Artículo 4 (alfabetización en IA): técnicamente también estás expuesto, aunque la aplicación de este artículo aún no tiene un régimen sancionador claro en España. Pero eso no significa que puedas ignorarlo — cuando las autoridades empiecen a inspeccionar, lo primero que van a preguntar es si has formado a tu equipo.

Comprueba tu situación en 2 minutos

Si después de leer esto no estás seguro de todas las obligaciones que te aplican, hemos creado un test gratuito que analiza las herramientas de IA que usa tu empresa y te da un plan de acción personalizado.

→ Comprobar si mi empresa cumple

Sin registro. Sin tarjeta. 10 preguntas sencillas.

---

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación.