Actualización normativa · 14 de julio de 2026Las prohibiciones y la alfabetización en IA siguen vigentes desde febrero de 2025. La reforma aprobada en junio de 2026 fija nuevos plazos para las obligaciones específicas de alto riesgo: 2 de diciembre de 2027 para sistemas del Anexo III y 2 de agosto de 2028 para determinados sistemas integrados en productos.

Cuando hablamos del AI Act solemos pensar en sistemas hechos a medida: el modelo de scoring del banco, la herramienta de selección de recursos humanos. Pero hay otra categoría que afecta prácticamente a todas las empresas, porque casi todas la usan. Son los modelos de IA de propósito general, los GPAI.

ChatGPT, Gemini, Claude, Copilot. Modelos que no se diseñaron para una tarea concreta, sino para muchas. Y el reglamento les dedica un capítulo propio, con obligaciones específicas.

Quién tiene las obligaciones de los GPAI

Aquí hay una buena noticia para tu empresa. La mayoría de las obligaciones de los GPAI recaen sobre quien desarrolla el modelo, no sobre quien lo usa. OpenAI, Google, Anthropic o Microsoft son quienes deben cumplir con la transparencia técnica, la documentación, y, en el caso de los modelos más potentes, las evaluaciones de riesgo sistémico.

Así que si tu empresa simplemente usa ChatGPT para redactar correos o resumir documentos, no heredas esas obligaciones de proveedor. Respira.

Dónde sí te afecta a ti

Ahora bien, "no heredas las obligaciones del proveedor" no significa "haz lo que quieras". Hay dos situaciones donde el uso de GPAI te coloca obligaciones propias.

La primera es cuando integras un modelo GPAI dentro de un sistema propio que sí es de alto riesgo. En ese caso, tú te conviertes en proveedor de ese sistema completo, y asumes las obligaciones correspondientes, aunque el motor sea de un tercero.

La segunda es el llamado shadow AI: el uso de estos modelos por parte de empleados, sin conocimiento ni control de la empresa, para tareas que sí implican decisiones sobre personas o datos sensibles. Ahí la responsabilidad no desaparece porque nadie lo autorizara. Al contrario, suele agravarse, porque no hay ni supervisión ni documentación.

El riesgo real que casi nadie vigila

La mayoría de las empresas no tiene ni idea de cuántos empleados usan IA generativa a diario ni para qué. Y ese desconocimiento es, en sí mismo, un problema de gobernanza. No puedes gestionar un riesgo que no sabes que existe.

Por dónde empezar

Pregunta, sin ánimo de perseguir a nadie, qué herramientas de IA generativa usa tu equipo en el trabajo diario. La respuesta suele sorprender. A partir de ahí, una política sencilla de uso responsable ya reduce buena parte del riesgo.

¿Sabes cuántos de tus empleados usan IA generativa a diario, y para qué?

Fuentes oficiales y actualización

Contenido informativo. No sustituye asesoramiento jurídico adaptado al caso concreto.

Convierte el contenido en un plan para tu empresa

Revisamos sistemas, usos, responsables y evidencias para priorizar lo que realmente necesita atención.

Solicitar diagnóstico inicial

Francisco Rodríguez Mendoza

Consultor en gobernanza de IA, AI Act y gestión de riesgos. PMP® e ingeniero de telecomunicaciones.

Ver perfil profesional →