¿Me afecta el AI Act si uso ChatGPT en mi empresa?
¿Tus empleados usan ChatGPT o Copilot en el trabajo? El AI Act ya te afecta. Comprueba en 2 minutos qué obligaciones tienes antes de 2026.
¿Me afecta el AI Act si uso ChatGPT en mi empresa?
Respuesta corta: sí, te afecta. Y probablemente ya estés incumpliendo una obligación que está en vigor desde febrero de 2025.
Si en tu empresa alguien usa ChatGPT, Copilot, Claude, Gemini o cualquier otra herramienta de IA generativa para su trabajo — aunque sea de vez en cuando, aunque sea "solo para emails" o "para buscar información" — el EU AI Act (Reglamento UE 2024/1689) te considera un "responsable del despliegue" (deployer) de un sistema de IA. Y eso viene con obligaciones reales.
Esta guía explica cuáles son, cuándo ChatGPT pasa de "riesgo limitado" a "alto riesgo", qué datos no debes meter nunca, qué diferencia hay entre la versión consumer y las Enterprise y qué hacer hoy para no llegar a agosto de 2026 incumpliendo.
Lo que ya deberías estar haciendo (y probablemente no haces)
El Artículo 4 del AI Act sobre alfabetización en materia de IA entró en vigor el 2 de febrero de 2025. No el 2 de agosto de 2026 — ya está activo ahora mismo.
¿Qué dice? Que debes garantizar que todas las personas que usan sistemas de IA en tu organización tengan un nivel suficiente de conocimiento sobre cómo funcionan, cuáles son sus limitaciones y qué riesgos tienen.
En la práctica, esto significa que si tus empleados usan ChatGPT y no les has dado ninguna formación sobre qué es, cómo funciona, qué datos pueden y no pueden meter y qué limitaciones tiene, estás en incumplimiento del AI Act desde hace más de un año.
La buena noticia: esto se resuelve con una formación de 6-10 horas adaptada al rol. FUNDAE cubre el 100% del coste para PYMEs. Documenta la lista de asistentes, contenidos y fecha — es lo primero que pediría un inspector.
ChatGPT en tu empresa: ¿qué nivel de riesgo tiene?
El AI Act clasifica los sistemas de IA en cuatro niveles: inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. ChatGPT y el resto de IA generativa caen en riesgo limitado según el Artículo 50.
Tus obligaciones principales como deployer cuando el sistema es de riesgo limitado:
- Si generas contenido publicable con IA (posts, artículos, emails de marketing, descripciones de producto): debes informar de que ese contenido ha sido generado o manipulado por IA. Basta con una indicación clara, no necesitas un cartel enorme.
- Si usas un chatbot con IA para atender a clientes: el usuario debe saber que está hablando con una máquina, no con una persona.
- Si publicas deepfakes (imagen, audio o vídeo manipulados con IA que pueden parecer reales): tienes que etiquetarlos como tal.
Estas obligaciones de transparencia entran en vigor el 2 de agosto de 2026.
Cuándo ChatGPT pasa a ser alto riesgo
Aquí es donde muchas PYMEs se confunden. ChatGPT en sí no es alto riesgo. Pero el uso que le des puede serlo.
El Artículo 25.1.c del Reglamento dice que si tomas un sistema de IA de propósito general (GPAI: ChatGPT, Claude, Gemini, Mistral) y lo integras en un producto o flujo cuya finalidad es un uso de alto riesgo del Anexo III, te conviertes en provider del sistema de alto riesgo resultante.
Estos son los usos típicos que disparan alto riesgo:
| Uso de ChatGPT | Por qué es alto riesgo |
|---|---|
| Filtrar o puntuar CVs | Anexo III dominio 4 — empleo |
| Evaluar el desempeño de empleados | Anexo III dominio 4 — empleo |
| Tomar decisiones sobre concesión de crédito a clientes | Anexo III dominio 5 — servicios esenciales |
| Determinar el acceso a un curso o evaluar estudiantes | Anexo III dominio 3 — educación |
| Priorizar pacientes en una clínica | Anexo III dominio 5 — servicios esenciales |
| Apoyo al diagnóstico médico | Alto riesgo + Reglamento MDR |
No importa que sea ChatGPT y no un software especializado: lo que importa es la finalidad. Si la finalidad entra en el Anexo III, entras en el bloque pleno de obligaciones del Art. 26 (deployer) y además te conviertes en provider del nuevo sistema integrado.
La diferencia entre los dos roles y cuándo cruzas la línea está detallada en la guía sobre provider vs deployer del AI Act.
ChatGPT consumer vs Enterprise: qué cambia y qué no
Muchas empresas creen que contratando ChatGPT Enterprise (o Claude for Business, Copilot M365, Gemini for Workspace) están cubiertas. Cubren parte del riesgo, no todo.
| Aspecto | Consumer (cuenta personal) | Enterprise / Business |
|---|---|---|
| Tus datos se usan para entrenar el modelo | Sí, por defecto | No, por defecto |
| Hay Data Processing Addendum (RGPD) | No | Sí |
| Hay SLA y obligaciones contractuales | No | Sí |
| Controles de retención y borrado | Limitados | Sí, configurables |
| Logs de auditoría para administradores | No | Sí |
| ¿Te exime del AI Act? | No | No |
| ¿Te exime del RGPD? | No (tratamiento ilegal posible) | No (lo facilita, no lo cumple por ti) |
Lo que cambia: la versión Enterprise mitiga el riesgo RGPD y te da herramientas técnicas de control. Lo que no cambia: las obligaciones del AI Act (alfabetización del Art. 4, transparencia del Art. 50, política interna, supervisión humana si el uso es de alto riesgo) son tuyas como deployer, y nadie las cumple por ti.
Si tu empresa tiene cualquier nivel de actividad con datos personales o información confidencial, migrar de cuentas personales a una versión Enterprise es el primer paso operativo razonable. Pero es solo el primer paso.
Qué datos no debes meter nunca en una IA generativa
Esto es lo que más se incumple en la práctica. La lista de lo que nunca debe ir a una IA generativa pública (consumer):
- Datos personales de clientes o empleados: nombres, DNI, emails, teléfonos, direcciones, datos bancarios. Es RGPD del libro y multas inmediatas.
- Datos de salud, religión, orientación sexual, ideología política: categorías especiales del Art. 9 RGPD. Tratamiento prácticamente vetado fuera de bases muy específicas.
- Datos de menores.
- Información confidencial cubierta por NDA o contratos con clientes.
- Secretos comerciales o información que da ventaja competitiva (fórmulas, listas de clientes, márgenes).
- Código fuente propietario crítico.
- Datos financieros internos no publicados (cuentas, previsiones, M&A en curso).
- Contraseñas, credenciales, tokens API, llaves privadas.
La regla práctica: si no lo publicarías en LinkedIn, no lo metas en ChatGPT consumer. Si necesitas trabajar con esos datos con IA, hazlo desde una versión Enterprise con DPA firmado y bajo una política interna que lo regule.
El problema del "shadow AI"
Hay algo que muchas PYMEs no ven: el uso no controlado de IA por parte de los empleados. Un empleado que usa ChatGPT por su cuenta para redactar informes, resumir reuniones grabadas, analizar datos de clientes o traducir contratos está introduciendo información de la empresa en un sistema de IA externo sin que la empresa lo sepa.
Esto plantea tres problemas:
- Protección de datos. Si el empleado mete datos personales en ChatGPT consumer, estás incumpliendo el RGPD.
- Compliance del AI Act. Estás usando un sistema de IA en tu actividad profesional sin gobernanza, sin política interna, sin formación documentada y sin supervisión.
- Riesgo de fuga de información. Lo que entra en ChatGPT consumer puede acabar en datos de entrenamiento. La empresa pierde el control de su propia información.
La solución no es prohibir ChatGPT —es regularlo internamente—. Necesitas una política de uso de IA que defina qué herramientas están aprobadas, qué datos se pueden introducir y cuáles no, quién supervisa y qué pasa si alguien se salta las normas.
Las 5 cosas que debes hacer ahora
1. Forma a tu equipo (Art. 4). Una formación de 6-10 horas sobre qué es la IA, cómo funcionan los modelos generativos, qué limitaciones tienen (alucinaciones, sesgos, falta de verificación) y qué datos no deben introducirse nunca. Ya deberías haberlo hecho — el Art. 4 está en vigor desde febrero de 2025.
2. Haz un inventario. Pregunta a tu equipo: ¿quién usa IA? ¿para qué? ¿qué herramientas? ¿con qué cuenta (personal o corporativa)? Vas a descubrir usos que no conocías. Apúntalos todos.
3. Crea una política interna de uso de IA. 4-8 páginas claras que definan qué herramientas están aprobadas, para qué casos de uso, qué datos están prohibidos, quién es responsable y cómo se reporta un incidente.
4. Migra a versiones Enterprise donde haya tratamiento de datos personales o información confidencial. ChatGPT Enterprise, Claude for Business, Copilot M365, Gemini for Workspace. El sobrecoste es pequeño comparado con el riesgo RGPD.
5. Implementa avisos de transparencia. Si generas contenido con IA que se publica, o si tienes un chatbot, prepara los avisos necesarios para agosto de 2026.
Y si en algún momento detectas que estás usando ChatGPT para puntuar candidatos, evaluar empleados o tomar decisiones que afectan significativamente a personas, frena: estás en alto riesgo y necesitas el bloque completo del Art. 26 o convertirte en provider conforme al Art. 25.
Casos reales que vemos en PYMEs españolas
"Nuestro equipo de RRHH usa ChatGPT para hacer una primera criba de CVs." Esto es alto riesgo (Anexo III dominio 4). Hay que parar el flujo o reconducirlo con supervisión humana documentada, política específica y, si se sistematiza, con tratamiento de provider conforme al Art. 25. Detalles en la guía sobre AI Act y filtrado de CVs.
"El comercial usa ChatGPT para preparar propuestas y pega información de clientes." Riesgo RGPD inmediato. Solución: cuenta Enterprise + política que prohíba pegar datos identificativos + plantillas anónimas para la preparación.
"El de marketing usa ChatGPT para generar todos los posts de redes sociales." Riesgo limitado: transparencia. Desde agosto de 2026 hay que indicar que el contenido ha sido generado por IA (mínimo, una nota al pie o en la bio del perfil).
"El comité de dirección usa ChatGPT para resumir las actas y las decisiones internas." Riesgo: fuga de información estratégica si se usa la versión consumer. Solución: versión Enterprise + política de qué documentos se pueden subir.
¿Qué multas me pueden caer?
Por incumplir las obligaciones de transparencia del Artículo 50 o las obligaciones de deployer del Artículo 26: hasta 15 millones de euros o el 3% de tu facturación global anual. Para PYMEs las sanciones son proporcionales, pero un 3% de facturación sigue siendo un golpe serio.
Por incumplir el Artículo 4 (alfabetización en IA): técnicamente también estás expuesto. Cuando las autoridades empiecen a inspeccionar, lo primero que van a preguntar es si has formado a tu equipo.
Y si por el uso indebido de ChatGPT termina habiendo tratamiento ilegal de datos personales, la sanción del AI Act se acumula con la del RGPD (hasta 20 M€ o el 4% de facturación). Un solo incidente puede generar dos expedientes paralelos. Más sobre el régimen sancionador en la guía de multas del AI Act.
Saca a la luz el shadow AI de tu empresa
El uso real de IA generativa en una PYME es casi siempre mayor del que la dirección imagina. La mitad ocurre en cuentas personales, sin política y con datos que no deberían salir.
Lo importante
Usar ChatGPT en tu empresa no te coloca automáticamente en infracción, pero te coloca dentro del AI Act. Lo que decide si estás en regla o no son cinco cosas: tener formación documentada del equipo (Art. 4), tener una política interna de uso, usar versiones Enterprise donde hay datos sensibles, no haber cruzado la línea de alto riesgo sin saberlo (Art. 25) y tener listos los avisos de transparencia para agosto de 2026.
La diferencia entre una PYME en regla y una expuesta no es el dinero invertido — es la documentación preparada con tiempo. El plan operativo del AI Act para PYMEs españolas detalla las cinco fases para llegar al 2 de agosto con todo listo. Fuente oficial: Artículo 50 del AI Act en artificialintelligenceact.eu.
Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación.