¿Qué es un "deployer" y por qué te afecta?
El Reglamento distingue entre proveedores, que desarrollan o comercializan sistemas de IA, y deployers (responsables del despliegue), que los usan bajo su propia autoridad dentro de una actividad profesional. La inmensa mayoría de las pymes y autónomos que usan herramientas como ChatGPT, Copilot, Gemini o un chatbot de terceros son deployers, no proveedores.
Ser deployer no depende del tamaño de la empresa ni del sector. Si tu equipo usa una herramienta de IA para redactar textos, clasificar currículums, generar imágenes o atender consultas de clientes, tu empresa tiene obligaciones propias bajo el Reglamento, aunque no hayas construido ni entrenado ningún modelo.
El 2 de agosto de 2026: la fecha que no se ha movido
El 2 de agosto de 2026 es la fecha en la que se activan dos bloques de obligaciones que aplican a cualquier deployer, con independencia del nivel de riesgo del sistema que use. El primero es el artículo 4, sobre alfabetización en IA: a partir de esa fecha, las autoridades de mercado de cada país pueden supervisar y sancionar su incumplimiento. El segundo es el artículo 50, sobre transparencia, es decir, la obligación de informar cuando una persona interactúa con un chatbot o recibe contenido generado por IA.
Dentro del artículo 50, la sub-obligación de marcar técnicamente (watermarking) el contenido sintético tiene un periodo de gracia hasta diciembre de 2026, pero el resto de deberes de transparencia, como avisar del chatbot o etiquetar el contenido, se exige desde el 2 de agosto.
Qué aplazó el Digital Omnibus (y qué no)
En junio de 2026, el paquete conocido como Digital Omnibus retrasó los plazos de las obligaciones de alto riesgo: los sistemas del anexo III, por ejemplo herramientas de selección de personal o de scoring crediticio, pasan a diciembre de 2027, y los productos regulados del anexo I pasan a agosto de 2028.
Ese aplazamiento no toca ni el artículo 4 ni el artículo 50. Si tu empresa usa un chatbot, genera contenido con IA o simplemente tiene personal operando estas herramientas, las obligaciones de agosto de 2026 siguen en pie exactamente igual que antes del Omnibus. Es un error frecuente pensar que el aplazamiento cubre toda la norma, cuando en realidad solo cubre la parte de alto riesgo.
¿No sabes qué riesgo tiene tu empresa?
Antes de seguir, comprueba en 2 minutos si tu empresa usa un sistema de riesgo prohibido, alto, limitado o mínimo, y qué obligaciones concretas te aplican.
Las tres piezas de documentación que debes tener
Independientemente del tamaño de tu empresa, hay tres documentos que un inspector, un cliente corporativo o tu propio seguro de responsabilidad civil pueden pedirte a partir de agosto de 2026.
- Registro de sistemas de IA: inventario de qué sistemas usas, para qué, con qué proveedor y con qué nivel de riesgo.
- Política de uso de IA: normas internas sobre qué puede y qué no puede hacer tu equipo con estas herramientas.
- Avisos de transparencia del artículo 50: los textos que muestras a las personas que hablan con tu chatbot o reciben contenido generado por IA.
Puedes generar los tres documentos, junto con la clasificación de riesgo de cada sistema, en la plataforma de GDPR.Direct. Generar mi documentación del Reglamento de IA →
Qué pasa si no cumples: las sanciones
| Obligación | Sanción máxima | Qué evidencia se pide |
|---|---|---|
| Artículo 50 (transparencia) | Hasta 15 millones de euros o el 3% de la facturación mundial anual, lo que sea mayor | Avisos de chatbot, etiquetas de contenido generado, registro documental |
| Artículo 4 (alfabetización) | No tiene una multa específica en el artículo 99, pero está sujeto a supervisión | Evidencia de formación del personal; usable en procedimientos de protección de datos o de responsabilidad civil |
En la práctica, el riesgo económico directo más alto viene del artículo 50, pero el artículo 4 no es papel mojado: una autoridad de protección de datos o un juez pueden usar la falta de alfabetización en IA como prueba de negligencia en otro procedimiento, aunque no exista una multa dedicada.