Reglamento de IA
¿Usas ChatGPT u otras IA en tu negocio? Tus obligaciones legales explicadas
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Respuesta directa: sí, usar ChatGPT u otra IA en tu negocio ya tiene consecuencias legales, aunque sea la versión gratuita y solo la uses para escribir textos. Te aplican dos normas a la vez: el RGPD, en cuanto metes en la IA algún dato personal de un cliente o de tu equipo, y el nuevo Reglamento europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689), que ya obliga desde el 2 de febrero de 2025 a formar a quien usa IA en su trabajo. Esta guía, revisada por última vez el 16 de julio de 2026, explica qué es exigible hoy, qué cambia el 2 de agosto de 2026 y cómo ponerte en regla sin complicarte.
Este artículo es información general. No sustituye el asesoramiento de un abogado ni el análisis concreto de tu negocio: úsalo como mapa, no como dictamen jurídico.
Sumario
- ¿Usar ChatGPT ya te hace responsable de algo?
- ¿Qué te exige el RGPD si metes datos en una IA?
- ¿Qué añade el nuevo Reglamento europeo de IA?
- ¿Qué es obligatorio ya, hoy mismo?
- ¿Qué cambia el 2 de agosto de 2026?
- ¿Usas la IA para decidir sobre personas? Esto es distinto
- ¿Quién vigila esto en España, y qué pasa si no cumples?
- Checklist: pon tu uso de IA en regla en 15 minutos
- Preguntas frecuentes
- Fuentes oficiales
¿Usar ChatGPT ya te hace responsable de algo?
Sí. No hace falta que hayas «contratado» nada ni que uses un plan de pago: en el momento en que tú o alguien de tu equipo escribe una pregunta en ChatGPT, Copilot, Gemini o cualquier otra IA para el trabajo, esa herramienta ya forma parte de tu negocio a efectos legales.
Dos preguntas separan lo que te toca hacer:
- ¿Metes datos personales en la IA? Nombres, emails, historiales de clientes, currículums, datos de tu equipo. Si la respuesta es sí, entra en juego el RGPD (apartado siguiente).
- ¿Cómo usas la IA? Escribir un borrador de email no es lo mismo que usarla para decidir a quién contratas o a quién le das un préstamo. El nuevo Reglamento europeo de IA gradúa las obligaciones según el riesgo del uso, no según la herramienta.
La mayoría de negocios pequeños —un restaurante que usa IA para escribir el menú, una peluquería que redacta publicaciones para redes— están en el escalón más ligero de ambas normas. Pero «ligero» no es «cero»: hay una obligación que ya es exigible para todos, sea cual sea el tamaño del negocio, y la explicamos en el apartado 4.
¿Qué te exige el RGPD si metes datos en una IA?
El Reglamento (UE) 2016/679 (RGPD) no menciona la inteligencia artificial, pero se aplica igual: una IA que procesa datos personales es, para la ley, un tratamiento de datos como cualquier otro. La AEPD lo explica en su guía «Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial»: antes de meter datos personales en una IA, tienes que tener un motivo legal para usarlos, informar de forma adecuada y aplicar medidas de seguridad razonables, igual que harías con cualquier otro programa.
En la práctica, para un negocio pequeño esto se traduce en tres reglas sencillas:
- No metas en la IA más datos de los necesarios. Si le pides a ChatGPT que te ayude a redactar la respuesta a un cliente, no hace falta pegar el email completo con su nombre, teléfono y dirección: puedes resumir la situación sin los datos que la identifiquen.
- Comprueba si la herramienta guarda lo que escribes y, si puedes elegir, desactiva el historial o el uso de tus conversaciones para entrenar el modelo. Muchas herramientas de IA lo permiten en los ajustes de privacidad.
- Si la herramienta trata datos personales de tus clientes o tu equipo por tu cuenta, es un encargado del tratamiento (art. 28 RGPD), igual que tu hosting o tu gestoría. Comprueba si el proveedor de la IA ofrece un acuerdo de tratamiento de datos: si lo tiene y lo aceptas, formalizas la relación; si no existe o no lo puedes revisar, es una señal para tener cuidado con lo que le compartes. Puedes ver cómo funciona este contrato en nuestra guía sobre el contrato de encargado del tratamiento.
Ninguna respuesta generada por una IA debería convertirse en parte de un documento, un contrato o una comunicación a un cliente sin que una persona la revise antes. No es solo prudencia: si algo sale mal, la responsable ante la AEPD sigue siendo tu empresa, nunca la IA.
¿Qué añade el nuevo Reglamento europeo de IA?
El Reglamento (UE) 2024/1689, conocido como Reglamento de Inteligencia Artificial o «AI Act», es una norma distinta del RGPD: no regula solo los datos personales, sino el uso de la inteligencia artificial en general, con obligaciones que dependen del riesgo de cada uso. Se publicó el 12 de julio de 2024 en el Diario Oficial de la Unión Europea y entró en vigor el 1 de agosto de 2024, pero sus obligaciones no llegan todas a la vez: se aplican en fechas escalonadas hasta 2027.
Para un negocio que usa IA como apoyo (escribir textos, resumir información, generar imágenes) las obligaciones son ligeras. Se vuelven más exigentes solo si usas la IA para tomar decisiones que afectan directamente a una persona, como veremos en el apartado 6.
¿Qué es obligatorio ya, hoy mismo?
Desde el 2 de febrero de 2025 son exigibles dos bloques del Reglamento de IA:
- Prohibiciones absolutas (art. 5). Ciertos usos de la IA están prohibidos en toda la Unión Europea: manipular a las personas de forma que no puedan darse cuenta, puntuar socialmente a las personas, o usar reconocimiento de emociones en el trabajo o en centros educativos (salvo excepciones médicas o de seguridad tasadas). Son prácticas que casi ningún negocio pequeño usa, pero conviene saber que existen y que están prohibidas desde esa fecha.
- Alfabetización en IA (art. 4). Esta es la que sí te afecta, sin excepción de tamaño: si alguien de tu equipo usa una herramienta de IA para trabajar, tiene que saber lo básico sobre ella —para qué sirve, qué puede fallar (una IA puede inventarse datos, lo que se llama «alucinación») y qué no debe hacer con ella, como meter información confidencial de un cliente. No hace falta un curso: una explicación clara de 10 minutos y las reglas de este artículo ya cubren lo mínimo exigido.
Este segundo punto ya es ley en vigor, no una recomendación futura. Es también el primer documento que genera Tranquilia en el módulo de IA: el registro de sistemas de IA que usas, con la política de uso y la formación de tu equipo ya redactadas.
¿Qué cambia el 2 de agosto de 2026?
El 2 de agosto de 2026 es la fecha en la que el Reglamento de IA despliega la mayor parte de sus obligaciones, incluida una que afecta directamente a muchos negocios: la obligación de transparencia del artículo 50. A partir de esa fecha, si tienes un chatbot o un asistente de voz que habla o escribe directamente con tus clientes, tienes que decirles que están hablando con una inteligencia artificial, de forma clara y desde el principio. Una frase visible como «Este chat usa inteligencia artificial» ya es suficiente. Lo mismo se aplica si generas imágenes, audio o vídeo con IA y los publicas de forma que puedan confundirse con contenido real: hay que marcarlos como generados por IA.
Antes de esa fecha, el 2 de agosto de 2025 ya entraron en vigor las normas de gobernanza y las obligaciones para quienes fabrican los modelos de IA más grandes (como OpenAI, Google o Anthropic). Esto no te exige nada directamente a ti como usuario de la herramienta, pero explica por qué estas empresas te piden cada vez más información sobre cómo tratan tus datos y publican más documentación sobre sus modelos.
Una última fecha, el 2 de agosto de 2027, afecta solo a fabricantes de productos regulados (por ejemplo, dispositivos médicos o vehículos) que incorporan IA de alto riesgo: no es relevante para un negocio de servicios o comercio.
¿Usas la IA para decidir sobre personas? Esto es distinto
El Reglamento de IA reserva su nivel de exigencia más alto para los llamados usos de riesgo alto, listados de forma cerrada en su Anexo III. Los que más se dan en una pyme son:
- Seleccionar currículums o descartar candidatos de forma automática.
- Evaluar el rendimiento de tu equipo con ayuda de una IA, si el resultado tiene consecuencias reales (ascensos, despidos, turnos).
- Decidir automáticamente sobre una persona sin intervención humana: conceder o denegar un servicio, un descuento o un crédito.
Si tu negocio hace algo de esto, no basta con la alfabetización en IA del apartado 4: necesitas acompañamiento específico antes de seguir usando ese sistema, porque el Reglamento exige medidas reforzadas (documentación técnica, supervisión humana efectiva, gestión de riesgos). Además, si una IA toma una decisión totalmente automática sobre una persona sin que nadie la revise, esa persona tiene derecho a pedir que un ser humano la revise (art. 22 RGPD). Habla con tu gestoría antes de automatizar este tipo de decisiones: es la única parte de este artículo donde «hazlo tú mismo» no es el consejo correcto.
¿Quién vigila esto en España, y qué pasa si no cumples?
En España conviven dos autoridades con papeles distintos. La AEPD (Agencia Española de Protección de Datos) sigue siendo quien vigila que tratas los datos personales correctamente, uses o no IA. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, es la autoridad designada en España para supervisar el cumplimiento del Reglamento de IA en sí (art. 70 del Reglamento).
El propio Reglamento de IA fija los máximos de sanción a nivel europeo, en tres niveles según la gravedad del incumplimiento (art. 99): hasta 35 millones de euros o el 7 % de la facturación mundial anual para los usos prohibidos del art. 5; hasta 15 millones o el 3 % para el resto de obligaciones (incluida la transparencia del art. 50 y los usos de alto riesgo); y hasta 7,5 millones o el 1 % por dar información falsa o engañosa a la autoridad. En los tres casos se aplica la cifra más alta de las dos, con una excepción a tu favor: para pymes y startups, la ley usa la cifra más baja de las dos, no la más alta, como criterio de proporcionalidad.
España está terminando de encajar este reglamento en su propio marco legal: el Gobierno aprobó el 26 de mayo de 2026 el proyecto de Ley Orgánica para el buen uso y gobernanza de la IA, que sigue en tramitación parlamentaria y puede cambiar por enmiendas antes de aprobarse. El régimen sancionador español definitivo, por tanto, todavía no está cerrado.
En la práctica, esas cifras europeas son el techo legal, no lo habitual: como con el RGPD, la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado. El caso concreto más conocido hasta la fecha no es español: la autoridad de protección de datos de Italia (Garante per la protezione dei dati personali) sancionó a OpenAI con 15 millones de euros el 20 de diciembre de 2024, no por el Reglamento de IA —que todavía no estaba en aplicación—, sino por infracciones del RGPD: no notificar una brecha de seguridad de marzo de 2023, tratar datos personales para entrenar ChatGPT sin una base legal adecuada, falta de transparencia hacia los usuarios y ausencia de verificación de edad. Es un caso real y público, no una amenaza: sirve para entender qué es lo que de verdad revisan las autoridades, no para asustar a un negocio que solo usa ChatGPT para escribir un email.
Checklist: pon tu uso de IA en regla en 15 minutos
- [ ] Apunta cada herramienta de IA que usas en el negocio: ChatGPT, Copilot, un generador de imágenes, un traductor automático, una cámara con reconocimiento. Es el primer paso de tu registro de sistemas de IA.
- [ ] No metas en la IA más datos personales de los necesarios: resume la situación sin nombres completos, NIF ni historiales si no hace falta.
- [ ] Explícale a tu equipo, en 10 minutos, qué puede fallar con la IA (alucinaciones, filtración de datos) y qué no debe meterse nunca en ella. Ya es obligatorio desde febrero de 2025 (art. 4 del Reglamento de IA).
- [ ] Si un cliente habla con un chatbot tuyo, añade una frase visible como «Este chat usa inteligencia artificial».
- [ ] Nunca copies una respuesta de una IA directamente a un contrato o una comunicación a un cliente sin que una persona la revise antes.
- [ ] Comprueba si la herramienta ofrece un acuerdo de tratamiento de datos y fórmalo si metes datos personales en ella.
- [ ] Si usas IA para decidir sobre personas (selección de personal, evaluación de rendimiento, crédito), para y consulta con tu gestoría antes de seguir.
- [ ] Anota la fecha de esta revisión y repásala cada vez que empieces a usar una IA nueva.
Con estos ocho puntos tienes la base mínima defendible. No sustituye un análisis a medida si tu negocio usa IA de forma intensiva o para decisiones automatizadas sobre personas.
Preguntas frecuentes
¿Necesito pedir permiso a mis clientes para usar ChatGPT?
No, en general. Lo que necesitas es un motivo legal para tratar sus datos si los metes en la herramienta, e informarles de tus tratamientos de datos como ya haces con cualquier otro programa que uses (art. 13 RGPD). No hace falta un permiso específico solo por usar IA, salvo que ese uso concreto lo exija (por ejemplo, un consentimiento para un tratamiento de categoría especial).
¿Puedo pegar el email de un cliente en ChatGPT para que me ayude a redactar la respuesta?
Mejor evita pegar el email completo con datos que lo identifiquen. Resume la situación sin nombre, teléfono ni datos de contacto: «un cliente pregunta por el plazo de entrega de su pedido» funciona igual de bien para que la IA te ayude, y minimizas los datos que le compartes.
¿La versión gratuita de ChatGPT tiene las mismas obligaciones que la de pago?
Sí. El Reglamento de IA y el RGPD no distinguen entre plan gratuito y de pago: lo que importa es qué datos metes y para qué usas la herramienta, no cuánto pagas por ella.
Mi negocio es muy pequeño, ¿de verdad me afecta esto?
Sí, aunque seas autónomo sin empleados. La obligación de alfabetización en IA (art. 4) se aplica a cualquiera que use IA para trabajar, tenga o no equipo. Lo que cambia con el tamaño del negocio es la proporcionalidad de una eventual sanción, no si la obligación existe.
¿Ya me pueden multar por usar IA sin haber hecho nada de esto?
Las obligaciones en vigor hoy son las del art. 4 (formación) y las prohibiciones del art. 5. El resto del Reglamento, incluida la transparencia con clientes, llega el 2 de agosto de 2026. En la práctica, un negocio pequeño que se organiza y corrige cuando detecta que le falta algo no es el escenario habitual de una sanción.
¿Esto sustituye lo que ya me pide el RGPD?
No, se suma. Si usas IA con datos personales, te siguen aplicando todas las obligaciones del RGPD que ya tuvieras (registro de tratamientos, cláusulas informativas, plazo de 72 horas ante una brecha) más las del Reglamento de IA.
Fuentes oficiales
- Reglamento (UE) 2024/1689, de 13 de junio de 2024 — texto consolidado, EUR-Lex
- EUR-Lex — Resumen: normas para una inteligencia artificial fiable en la Unión Europea
- Reglamento (UE) 2016/679 (RGPD) — texto consolidado, EUR-Lex
- AEPD — Guía «Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial»
- AEPD — Infografía «Tratamientos que incluyen Inteligencia Artificial (IA)»
- AEPD — Orientaciones sobre IA agéntica desde la perspectiva de la protección de datos
- AESIA — Agencia Española de Supervisión de la Inteligencia Artificial
- La Moncloa — El Gobierno aprueba el proyecto de Ley Orgánica para el buen uso y gobernanza de la IA (26 de mayo de 2026)
- Garante per la protezione dei dati personali (Italia) — Comunicado sobre la sanción a OpenAI por ChatGPT (20 de diciembre de 2024)
¿Quieres tener listo tu registro de sistemas de IA, con la política de uso y la formación de tu equipo ya redactadas? El nivel gratuito de Tranquilia cubre hasta 2 empresas, con todas las funciones, sin límite de tiempo y sin tarjeta. Pruébalo gratis o consulta los precios si necesitas más empresas.
Si además tratas datos personales con tu herramienta de IA, revisa también nuestra guía sobre el contrato de encargado del tratamiento.
Contenido elaborado con apoyo de inteligencia artificial y verificado contra fuentes oficiales (EUR-Lex, AEPD, AESIA, La Moncloa, Garante privacy Italia) por Tranquilia by GRAC SA. No constituye una certificación oficial ni un dictamen jurídico. Consulta con tu gestoría o un profesional del derecho para tu caso concreto.
Revisión: Tranquilia by GRAC SA — redacción asistida por IA con verificación de fuentes primarias
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.