Cumplimiento del Reglamento de IA de la UE si utilizas la API de OpenAI

# Cumplimiento del Reglamento de IA de la UE si utilizas la API de OpenAI

Llamas a la API de OpenAI. GPT genera texto en tu producto. Tus usuarios ven el resultado. No has entrenado un modelo. No has construido un sistema de IA desde cero. Solo realizas llamadas a la API.

Sigues teniendo obligaciones bajo el Reglamento de IA de la UE. Aquí se explica cuáles son y cómo gestionarlas.

Tu función en virtud del Reglamento

Eres un responsable del despliegue. OpenAI es el proveedor del modelo de IA de uso general. Tú lo despliegas dentro de tu producto bajo tu marca y tu autoridad. El Reglamento de IA de la UE asigna obligaciones tanto a los proveedores como a los responsables del despliegue, y las tuyas no desaparecen porque el modelo pertenezca a otra persona.

Esto se aplica igualmente si utilizas Claude de Anthropic, Gemini de Google, Mistral, Cohere o cualquier otro modelo de IA de terceros a través de una API.

Qué te aplica

Transparencia del Artículo 50 (obligatoria para casi todos los SaaS que utilizan IA)

Si tu producto realiza alguna de estas funciones, debes informar a los usuarios:

Chatbot o IA conversacional (Artículo 50(1)): Los usuarios deben saber que están interactuando con IA antes de que comience la conversación. Un aviso visible en la interfaz del chat o encima de ella. No en tus Condiciones de Servicio. No en un artículo de ayuda. En la interfaz de usuario, en el punto de interacción.

Texto, imágenes, audio o vídeo generados por IA (Artículo 50(2)): El resultado debe estar marcado como generado por IA en un formato legible por máquina. Añade data-ai-generated="true" al elemento contenedor. Si tu producto genera imágenes o vídeo, los metadatos C2PA son el estándar emergente.

Deepfakes (Artículo 50(4)): Si tu producto crea o modifica imágenes o vídeos en los que aparecen personas reales, el contenido debe incluir una divulgación visible y legible por máquina.

Reconocimiento de emociones o categorización biométrica (Artículo 50(3)): Si tu producto analiza expresiones faciales, tono de voz o categoriza a los usuarios mediante datos biométricos, debes informar a los usuarios antes de que comience el tratamiento y obtener su reconocimiento.

La mayoría de los productos SaaS que utilizan la API de OpenAI se encuadran en la categoría 1 (chatbot) o en la categoría 2 (contenido generado) o en ambas. Implementar estas divulgaciones lleva horas, no semanas.

Verificación de alto riesgo del Anexo III (depende de tu caso de uso)

La llamada a la API en sí misma no es de alto riesgo. Lo que importa es lo que tu producto hace con el resultado. Si tu SaaS utiliza GPT para:

Si tu caso de uso figura en esta lista, tienes obligaciones como responsable del despliegue de un sistema de IA de alto riesgo. Esto implica supervisión humana, registro, monitorización, notificación de incidentes y, potencialmente, una evaluación del impacto en los derechos fundamentales.

Si tu producto utiliza GPT para la generación de contenido, resumen, traducción o atención al cliente, donde el resultado no impulsa decisiones autónomas sobre los derechos de las personas, probablemente no te encuentres en el ámbito de alto riesgo. La transparencia del Artículo 50 es tu obligación principal.

Conservación de registros

El Artículo 26(6) exige a los responsables del despliegue de sistemas de IA de alto riesgo que conserven los registros generados por el sistema durante al menos 6 meses. Incluso si no eres de alto riesgo, conservar registros de tus interacciones con IA es una buena práctica. Cuando un regulador o un cliente empresarial pregunte cómo funcionan tus funciones de IA, necesitas tener la documentación preparada.

Qué gestiona OpenAI frente a qué gestionas tú

OpenAI, como proveedor del modelo, gestiona:

Tú, como responsable del despliegue, gestionas:

Que OpenAI publique sus fichas de modelo y la documentación del sistema no satisface tus obligaciones como responsable del despliegue. Necesitas tu propia documentación de cumplimiento específica sobre cómo utilizas el modelo en tu producto.

Lista de verificación de implementación

  1. Audita tus funciones de IA. Elabora una lista de cada lugar donde tu producto llama a la API de OpenAI. Anota cuál es la entrada, cuál es el resultado y cómo lo ven los usuarios.
  2. Añade las divulgaciones del Artículo 50. Para cada función de IA, añade el aviso de transparencia apropiado a tu interfaz de usuario. Aviso de chatbot para las funciones conversacionales. Etiquetas de generado por IA para el contenido de salida. Este es un trabajo de copiar y pegar.
  3. Realiza la verificación del Anexo III. Para cada función de IA, comprueba si el caso de uso aparece en el Anexo III. Si es así, tienes obligaciones adicionales como responsable del despliegue. Si no es así, habrás terminado después de la transparencia.
  4. Documenta todo. Redacta un resumen de una página sobre tus funciones de IA, tu justificación de clasificación y las divulgaciones que has implementado. Esto es lo que entregas a los clientes empresariales y a los reguladores.
  5. Establece una monitorización. Decide cómo detectarás y responderás a los incidentes de IA. Para la mayoría de los SaaS, esto implica registrar las interacciones con IA y disponer de un proceso para notificar los problemas graves.

El plazo

2 de agosto de 2026. Las obligaciones de transparencia del Artículo 50 y las obligaciones de los responsables del despliegue de sistemas de alto riesgo serán ejecutables en esta fecha. Tienes 60 días.

El trabajo de implementación para un SaaS típico que utiliza la API de OpenAI es reducido. Las divulgaciones de transparencia llevan un día. La clasificación lleva una hora. La documentación lleva una tarde. Hacerlo ahora no tiene casi ningún coste. Hacerlo después de que comience la aplicación cuesta a tu cartera de ventas cada semana que lo retrases.

Recursos

Lista de verificación de cumplimiento de código abierto con el código de divulgación del Artículo 50 y el clasificador del Anexo III: github.com/GatisOzols/eu-ai-act-checklist

Auditoría del Reglamento de IA de la UE de alcance fijo para SaaS, 997 EUR, 5 días hábiles: disclos.eu/audit

Last updated: 2026-06-04