AI Act y ChatGPT en la empresa: qué obligaciones tienes en 2026

El malentendido del 45%: '¿esto nos aplica a nosotros?'

Una encuesta sectorial publicada en marzo de 2026 reveló que el 45% de las PYMEs españolas que pagan ChatGPT Plus, Copilot u otra herramienta similar desconocen que el AI Act les aplica. La explicación: asumen que como no han desarrollado la IA, son ajenas a la norma.

La realidad: el AI Act distingue entre proveedor (provider, quien fabrica el sistema) y deployer (quien lo despliega para su negocio). El 95% de las PYMEs son deployers, y las obligaciones de deployer son independientes de las del proveedor. Lo que OpenAI cumpla por su lado no te exime de cumplir tus obligaciones.

Las obligaciones del deployer aplicables al uso de ChatGPT son cuatro: formación del personal (Art. 4), transparencia cuando el output IA llega a terceros (Art. 50), política interna y control sobre los datos introducidos (RGPD + recomendaciones AESIA).

Qué datos NO debes introducir en ChatGPT (versiones individuales)

Las versiones individuales de ChatGPT (Plus, Free) y Claude (Pro) NO ofrecen por defecto garantías de no-entrenamiento con tus datos. OpenAI sí ofrece un toggle para desactivar el entrenamiento, pero la opt-out hay que activarla manualmente. Sin esa opción y en versiones empresariales no contratadas, los datos pueden ser usados para mejorar el modelo.

Datos prohibidos por defecto en versión individual: datos personales de clientes (nombres, DNI, dirección, salud, finanzas), datos confidenciales del cliente cubiertos por contrato o secreto profesional, propiedad intelectual de la empresa, código propietario con licencia restringida, datos financieros de la propia empresa, datos de empleados.

Para uso con estos datos, se requiere versión empresarial (Team/Enterprise) con DPA firmado, opt-out de entrenamiento por defecto, log de auditoría y control de retención.

Qué obligaciones GPAI heredas como deployer

Desde el 2 de agosto de 2025 están en aplicación las obligaciones para modelos de IA de propósito general (GPAI). Las obligaciones del proveedor (OpenAI, Anthropic, Google, Mistral) incluyen documentación técnica, política de uso aceptable y cumplimiento de derechos de autor en el entrenamiento.

Como deployer, NO heredas todas las obligaciones del proveedor. Sí heredas la responsabilidad de cómo usas el sistema: cumplir con la política de uso aceptable del proveedor, no usar el sistema para prácticas prohibidas del Art. 5, formar al equipo (Art. 4), transparencia con terceros cuando aplica (Art. 50).

Una incidencia común: tu PYME usa ChatGPT para una práctica prohibida (por ejemplo, scoring social de empleados) y OpenAI te bloquea la cuenta por violación de su política de uso aceptable. Eso es además una infracción del AI Act que la AESIA puede investigar de oficio.

Política interna mínima: qué debe incluir

Una política interna de uso de IA generativa para PYMEs cumple con AI Act y RGPD si incluye los siguientes elementos básicos.

• Herramientas autorizadas con nombre comercial y versión (ChatGPT Team, Copilot Business, etc.).
• Tipos de datos prohibidos por defecto (personales, confidenciales del cliente, financieros, IP).
• Procedimiento para datos especiales (cuándo se puede excepcionar y con qué autorización).
• Outputs que requieren revisión humana antes de publicarse (clientes, propuestas comerciales, contratos).
• Responsable interno IA designado y vía de consulta.
• Procedimiento ante incidente (leak, alucinación que llega a cliente, error con impacto legal).
• Sanción interna por incumplimiento (amonestación, formación obligatoria, separación).
• Revisión anual y procedimiento de actualización con nuevas herramientas.

Cuándo conviene migrar a versión empresarial

Si tu PYME usa ChatGPT Plus en más de 5 puestos o procesa datos de clientes con alguna regularidad, conviene migrar a ChatGPT Team o Enterprise. Coste típico 2026: 25-30 USD por usuario y mes (Team) frente a 20 USD individual. La diferencia incluye DPA RGPD, no-entrenamiento por defecto, log de auditoría, gestión centralizada de usuarios.

Para Microsoft Copilot, la versión Business (M365 Copilot) ya incluye las garantías empresariales si la organización tiene contrato Microsoft 365 Business. Para Claude, la versión Team o Enterprise (Anthropic) ofrece las mismas garantías.

Migrar a versión empresarial NO sustituye la política interna ni la formación. Son obligaciones acumulativas.

Cómo demostrar cumplimiento ante una inspección

Una inspección AESIA sobre uso de IA generativa puede pedir: contrato y versión de la herramienta (DPA firmado), política interna firmada y comunicada al equipo, registro de formación, capturas de avisos al cliente si la IA conversa con externos, evidencia de revisión humana de outputs publicados.

Tener todo esto en un único dossier accesible reduce la duración de la inspección y la probabilidad de hallazgos formales. Plataformas como AI Comply automatizan la generación del dossier completo a partir del inventario inicial.