Hay una conversación que tengo cada semana; con pequeñas variaciones, pero siempre el mismo fondo.

Alguien me escribe para contarme que acaba de instalar un chatbot en su web, o que lleva meses usando IA para generar descripciones de producto, o que tiene un asistente virtual respondiendo consultas de clientes mientras duerme. Y en algún punto de la conversación sale la pregunta que lo resume todo: «¿Esto es legal?» «¿Tengo que hacer algo?».

La respuesta corta es: sí, tienes que hacer algo. Pero no es tan complicado como parece.

El Reglamento (UE) 2024/1689, al que todo el mundo llama AI Act, lleva en vigor desde agosto de 2024 y su aplicación se está desplegando por fases. Si tienes una web en WordPress y usas herramientas de inteligencia artificial (aunque no las hayas desarrollado tú, aunque sean de terceros, aunque «solo» sea un chatbot de atención al cliente), ya estás dentro de su ámbito de aplicación.

Esta guía práctica te ayudará a entender a qué te obliga la ley, cómo adaptarlo a tu WordPress paso a paso y qué documentación debes tener lista para cumplir sin fricción, evitar sanciones y generar el nivel de transparencia que merecen tus usuarios.

  1. El AI Act no es solo para quienes desarrollan tecnología
  2. El mapa de riesgos: clasifica tus herramientas antes de actuar
  3. Los cuatro niveles de riesgo
  4. Tu inventario de IA: el documento que no puedes no tener
  5. Los tres escenarios más comunes en WordPress y cómo resolverlos
  6. La documentación que tienes que tener lista
  7. La diligencia debida con tus proveedores: las preguntas que tienes que hacer
  8. El aviso de transparencia para tu chatbot: cópialo y adáptalo
  9. Lo que tienes que revisar en tu WordPress esta semana
  10. Una última cosa: cumplir el AI Act y el RGPD son la misma conversación
  11. Un resumen final para los perezosos

El AI Act no es solo para quienes desarrollan tecnología

Este es el malentendido más frecuente y el que más caro puede salir.

Mucha gente asume que el AI Act va dirigido a OpenAI, Google, Anthropic y compañía. A los que construyen los modelos. Y sí, ellos tienen sus propias obligaciones. Pero el reglamento también regula a quien usa esos sistemas. Y aquí es donde entras tú.

El AI Act distingue dos figuras principales:

El proveedor (provider): quien desarrolla y pone en el mercado un sistema de IA. OpenAI con ChatGPT, por ejemplo. Tidio con su chatbot. Jasper con su generador de textos.

El desplegador (deployer): quien usa ese sistema en su propio contexto profesional para ofrecer productos o servicios a usuarios finales. Tú, cuando instalas ese chatbot en tu WordPress para atender a tus clientes.

Como deployer, asumes obligaciones propias. No sirve el escudo de «la herramienta es de otro». El reglamento te hace responsable de cómo usas esa tecnología, de la información que das a tus usuarios y de cómo supervisas sus resultados.

Las sanciones que contempla el AI Act son severas. Las infracciones por sistemas prohibidos pueden alcanzar los 35 millones de euros o el 7 % de la facturación anual global, mientras que el incumplimiento de obligaciones como la transparencia puede costar hasta 15 millones de euros o el 3 % de la facturación. Incluso una fracción de estas multas sería devastadora para cualquier PYME o autónomo.

La parte positiva es que más del 90 % de los usos habituales en negocios digitales y tiendas online entran en las categorías de riesgo mínimo o limitado. Y en estos niveles, cumplir la ley es perfectamente asumible si sabes qué pasos dar.

El mapa de riesgos: clasifica tus herramientas antes de actuar

El AI Act organiza los sistemas de IA en cuatro niveles de riesgo. De ese nivel depende qué obligaciones tienes. Por eso lo primero que necesitas hacer es un mapa de todas las herramientas de IA que tienes activas en tu negocio.

No des por sentado que lo tienes todo controlado. Las webs suelen acumular más IA de la que creemos: plugins de recomendación de contenido, automatizaciones de ofertas, sistemas de puntuación de leads en el CRM, filtros de spam en comentarios o generadores de texto para SEO. Toca hacer la lista completa.

Los cuatro niveles de riesgo

Riesgo inaceptable: prohibición total

Estos sistemas no se pueden usar bajo ningún concepto. El artículo 5 del reglamento los prohíbe taxativamente. Hablamos de manipulación subliminal que cause daños, sistemas de puntuación social (social scoring), o tecnologías que exploten vulnerabilidades de grupos específicos (como menores o personas con discapacidad). Si tienes algún plugin experimental que roce esto, desactívalo hoy mismo.

Riesgo alto: conformidad completa obligatoria

Son los sistemas que pueden impactar significativamente en los derechos fundamentales o en decisiones críticas sobre la vida de las personas. El Anexo III incluye sistemas de IA aplicados a la educación, la gestión de recursos humanos (por ejemplo, un plugin en tu WordPress que filtre o clasifique currículums de candidatos automáticamente), el acceso a servicios esenciales o la evaluación de solvencia crediticia.

Para un e-commerce estándar o una web corporativa, esto queda lejos. Sin embargo, si utilizas algoritmos complejos para decidir de forma automatizada qué condiciones comerciales específicas o restricciones aplicas a un cliente según su perfil de riesgo, podrías rozar esta categoría. Si es tu caso, necesitas asesoramiento legal a medida; esto no se resuelve con un ajuste en el menú de WordPress.com.

Riesgo limitado: transparencia obligatoria

Aquí se encuadra la inmensa mayoría de las herramientas que usamos en marketing digital: chatbots de atención al cliente, asistentes conversacionales, generadores de texto o imagen y recomendadores de contenido basados en perfiles.

El artículo 52 establece para ellos obligaciones muy concretas y viables:

  • Informar al usuario de que está interactuando con una IA.
  • Hacerlo de forma clara, comprensible y antes de la primera interacción.
  • Si el sistema genera textos, imágenes o audios que puedan confundirse con obras humanas, indicar visiblemente su origen automatizado.
  • Ofrecer una vía directa para que el usuario pueda solicitar la intervención de una persona real si lo necesita.

Riesgo mínimo: buenas prácticas y documentación

Filtros de spam, correctores gramaticales, herramientas de análisis de datos que no toman decisiones sobre personas, IA de entretenimiento… Para estos sistemas, el reglamento no establece obligaciones formales. Pero documenta igualmente. Por coherencia, por profesionalidad y porque si algún día tienes que demostrar que revisaste tu situación, ese registro es esencial.

Tu inventario de IA: el documento que no puedes no tener

Antes de tocar un solo ajuste en tu WordPress, necesitas crear este registro. Llámalo como quieras: inventario de herramientas de IA, registro de sistemas automatizados, ficha de compliance de IA. El nombre da igual. Lo importante es que exista y que esté actualizado.

El principio de responsabilidad proactiva (que ya conoces del RGPD) también aplica aquí. No basta con cumplir; tienes que poder demostrar que cumples. Y eso requiere documentación.

Para cada herramienta de IA que uses en tu negocio, anota lo siguiente:

CampoQué registrar
Nombre de la herramientaTidio, ChatGPT, Jasper, Algolia Recommend…
Proveedor y país de origenOpenAI Inc. (EE.UU.), por ejemplo
Función principalAtención al cliente, generación de descripciones, recomendación de productos…
Datos personales que trataNombre, correo electrónico, historial de navegación, contenido de conversaciones…
Clasificación AI ActRiesgo mínimo / limitado / alto / inaceptable
Medidas de transparencia aplicadasAviso implementado, botón de intervención humana activo…
Supervisión humanaCómo y quién revisa las salidas del sistema
DPA firmado con el proveedorSí / No / En proceso
Fecha de inclusión en el registro
Responsable internoTu nombre

Guarda este registro en un lugar accesible: una carpeta en Google Drive, una base de datos en Notion, un Excel. Lo que uses habitualmente. El formato no importa; importa que esté y que lo actualices cada vez que añades o quitas una herramienta.

Los tres escenarios más comunes en WordPress y cómo resolverlos

Ahora vamos a lo concreto. Estos son los casos que aparecen una y otra vez en las webs WordPress de pequeños negocios y profesionales digitales, y lo que necesitas hacer en cada uno.

Escenario 1: Tienes un chatbot de atención al cliente

Es probablemente el caso más extendido. Tidio, Crisp, Intercom, LiveChat con IA integrada, o directamente una integración con GPT a través de algún plugin. El usuario llega a tu web y en algún momento aparece un bot que le pregunta en qué puede ayudarle.

Tu clasificación: Riesgo limitado. Artículo 52.

Lo que tienes que hacer:

Lo primero es que el usuario sepa desde el primer momento que está hablando con una IA, no con una persona. Esto no es opcional ni negociable. El aviso tiene que aparecer antes de que empiece la conversación, de forma visible, con un lenguaje claro. No vale un asterisco pequeño ni un texto en gris difícil de leer.

Un ejemplo de aviso que cumple:

«Estás hablando con un asistente virtual basado en inteligencia artificial. Puede responder a preguntas frecuentes y ayudarte con tu consulta. Si prefieres hablar con una persona, puedes solicitarlo escribiendo «quiero hablar con una persona» o utilizando nuestro formulario de contacto directo».

Lo segundo es que esa vía de derivación a una persona real funcione de verdad. No sirve poner el botón si luego el usuario rebota en el vacío. Si no tienes capacidad de atención humana en tiempo real, especifica el horario y el canal: «Nuestro equipo te responderá por correo electrónico en un plazo máximo de 24 horas laborables».

Lo tercero: documenta qué porcentaje de conversaciones supervisa alguien de tu equipo. No tiene que ser el 100 %. Pero tiene que haber supervisión real, no solo teórica.

En WordPress.com: la mayoría de plugins de chatbot tienen configuración para personalizar el mensaje de bienvenida. Ahí va el aviso. Si usas Tidio, está en la sección de mensajes iniciales del flujo. Si tienes una integración más personalizada, añade el texto antes del primer mensaje del bot.

Escenario 2: Usas IA para generar o asistir contenido que publicas

Descripciones de producto con Jasper o Copy.ai, entradas del blog con asistencia de ChatGPT, imágenes generadas con Midjourney o DALL-E para ilustrar tus contenidos, fichas de servicios redactadas total o parcialmente con IA.

Cómo lo clasificas: Riesgo mínimo en la mayoría de casos. Riesgo limitado si el contenido podría confundirse con obra humana en contextos donde eso importa.

Lo que tienes que hacer:

Para contenido generado por IA que publicas en tu web o envías a tus clientes, el AI Act no exige en todos los casos un aviso explícito. Pero hay matices importantes.

Si publicas contenido que el usuario podría razonablemente asumir que es de autoría humana (un artículo de opinión firmado con tu nombre, una valoración de producto presentada como tu experiencia personal, un correo de seguimiento redactado como si lo hubieras escrito tú) y en realidad es íntegramente generado por IA sin revisión ni edición significativa tuya, estás en terreno resbaladizo. No solo desde el punto de vista del AI Act, sino también del RGPD y de la normativa de competencia desleal.

La postura más limpia, legal y reputacionalmente sostenible: usa la IA como herramienta de asistencia, revisa y edita lo que genera, y añádele tu criterio, tu voz y tu perspectiva. El resultado será mejor y no tendrás problema alguno.

Para imágenes generadas por IA que uses en contextos donde podría confundirse con fotografía real o con contenido que implica personas reales, sí aplica la obligación de indicar que es contenido generado por IA.

En WordPress.com: si vendes infoproductos o publicas contenido donde la autoría es parte del valor que ofreces, considera incluir una nota breve en tu política de privacidad o en una política de IA específica explicando qué papel juegan las herramientas automatizadas en tu proceso de creación.

Escenario 3: Tienes un sistema de recomendación o personalización en tu tienda

Plugins de WooCommerce que muestran productos relacionados basados en el comportamiento previo del usuario, sistemas que personalizan las ofertas según el historial de compra, herramientas de segmentación que ajustan qué ven distintos usuarios en función de su perfil.

Tu clasificación: Generalmente riesgo limitado, aunque depende de qué variables usa el sistema para personalizar.

Lo que tienes que hacer:

Aquí el cruce con el RGPD es total. Cualquier sistema de personalización que use datos de comportamiento del usuario necesita base legal para ese tratamiento de datos (típicamente consentimiento o interés legítimo debidamente evaluado) y tiene que estar reflejado en tu política de privacidad.

Desde el punto de vista específico del AI Act, si el sistema toma decisiones automatizadas que afectan significativamente al usuario (por ejemplo, mostrarle precios distintos a distintas personas basándose en su perfil) necesitas informarle de que eso ocurre y darle la posibilidad de solicitar revisión humana.

Para sistemas de recomendación estándar tipo «otros usuarios también compraron», las obligaciones son menores pero la documentación en tu inventario de IA sigue siendo necesaria.

En WordPress.com: revisa la política de privacidad. Si usas plugins de personalización o recomendación, tiene que estar explicitado qué datos usa el sistema, con qué finalidad y qué decisiones automatizadas se toman con ellos.

La documentación que tienes que tener lista

Además del inventario de herramientas, hay dos documentos que el AI Act te pide que tengas operativos si usas sistemas de riesgo limitado o alto.

La política de inteligencia artificial

No es un documento obligatorio por nombre en el reglamento, pero sí lo es por contenido. Necesitas un lugar en tu web donde expliques, en lenguaje comprensible para tus usuarios, cómo usas la IA en tu negocio.

Lo mínimo que tiene que incluir:

  • Qué herramientas de IA usas y para qué.
  • Qué tipo de datos tratan esas herramientas.
  • Qué decisiones automatizadas se toman y cuáles no.
  • Cómo puede el usuario solicitar intervención humana.
  • Quién es el responsable y cómo contactarle.

Puedes integrar esto en tu política de privacidad como una sección específica o crear una página separada. La segunda opción tiene la ventaja de que es más fácil de actualizar y de que puedes enlazarla directamente desde los avisos de transparencia de tus chatbots y herramientas.

La ficha de documentación interna por herramienta

Esto no va a tu web, va a tu carpeta de compliance. Para cada herramienta de riesgo limitado o alto, mantén una ficha actualizada con:

  • Proveedor, modelo de IA que usa, versión.
  • Clasificación según el AI Act.
  • Finalidad concreta dentro de tu negocio.
  • Datos personales que trata y base legal del tratamiento.
  • Medidas de transparencia implementadas: qué aviso tienes activo y dónde.
  • Sistema de supervisión humana: quién, con qué frecuencia, qué revisa.
  • DPA firmado con el proveedor si trata datos personales.
  • Fecha de la última revisión.

Dedica diez minutos al mes a revisar si algo ha cambiado. Si el proveedor actualiza el modelo que usa, si cambias la configuración del chatbot, si añades una nueva funcionalidad de personalización. Actualiza la ficha. Con eso estás cubierto ante cualquier auditoría.

La diligencia debida con tus proveedores: las preguntas que tienes que hacer

El hecho de que tú no hayas desarrollado la herramienta no te exime de responsabilidad como deployer. Pero sí puedes protegerte documentando que hiciste las preguntas correctas a tus proveedores.

Cuando contratas o renuevas cualquier servicio de IA, pregunta por escrito:

«¿Cómo está clasificada esta herramienta según el Reglamento (UE) 2024/1689? ¿En qué categoría de riesgo?».

«Si es de alto riesgo, ¿disponen de documentación técnica y declaración de conformidad? ¿Está registrado en las bases de datos de la UE?».

«¿Quién asume la condición de provider y quién de deployer en la relación entre nosotros?».

«¿Firmamos un DPA si la herramienta trata datos personales de mis usuarios?».

«¿Qué documentación pueden facilitarme para mi registro de compliance?».

Un proveedor serio tiene respuestas a estas preguntas. Si no las tiene, o tarda semanas en responder con evasivas, eso te dice algo importante sobre cómo está gestionando su propio cumplimiento. Y tú, como deployer, eres el que queda expuesto si algo sale mal.

El aviso de transparencia para tu chatbot: cópialo y adáptalo

Aquí tienes un modelo de aviso que cumple con el artículo 52 del AI Act. Colócalo como mensaje inicial del chatbot, antes de cualquier interacción, o como banner fijo en la ventana del chat.

Adáptalo a tu marca, a tu tono, al tipo de negocio que tienes. Pero mantén los tres elementos esenciales: identificación clara de que es IA, vía real de acceso a una persona, enlace a más información.

Aviso de inteligencia artificial

Estás interactuando con un asistente virtual basado en inteligencia artificial. Este sistema puede responder automáticamente a tus preguntas, pero sus respuestas no sustituyen el criterio humano en casos complejos.

Si en cualquier momento prefieres hablar con una persona de nuestro equipo, puedes solicitarlo escribiendo «quiero hablar con una persona» o contactando con nosotros directamente en [correo electrónico o teléfono].

Más información sobre cómo usamos la inteligencia artificial en nuestra política de IA.

Lo que tienes que revisar en tu WordPress esta semana

Sin rodeos. Esta es la lista de acciones concretas, ordenada por urgencia.

Haz el inventario. Lista todas las herramientas de IA activas en tu web y en tu negocio. Todas. Las que instalaste tú, las que vienen incluidas en plugins que usas, las que usa tu equipo aunque no estén integradas directamente en la web.

Clasifica cada una según los niveles de riesgo del AI Act. Si tienes dudas sobre alguna, ve a la documentación del proveedor o consúltame directamente.

Comprueba si tienes sistemas de riesgo inaceptable. Si los tienes, los bajas. Punto.

Para cada herramienta de riesgo limitado, implementa el aviso de transparencia en el punto de contacto con el usuario (antes de la primera interacción en el chatbot, junto al contenido generado cuando aplique) y asegúrate de que hay una vía real de intervención humana.

Actualiza tu política de privacidad o crea una política de IA específica donde expliques qué herramientas usas, para qué y cómo afecta a los datos de tus usuarios.

Firma o revisa el DPA con cada proveedor que trate datos personales de tus usuarios.

Crea la carpeta de compliance de IA con el inventario y las fichas de documentación interna.

Pon en el calendario una revisión trimestral. Las herramientas cambian, los modelos se actualizan, tu negocio evoluciona. Lo que clasifiques hoy puede cambiar mañana.

Una última cosa: cumplir el AI Act y el RGPD son la misma conversación

Si llevas tiempo trabajando la legalidad de tu web, ya sabrás que el RGPD y el AI Act no son mundos separados. Se superponen constantemente.

Cualquier herramienta de IA que trate datos personales de tus usuarios está al mismo tiempo dentro del AI Act y dentro del RGPD. Necesitas base legal para ese tratamiento, tienes que reflejarlo en el registro de actividades de tratamiento, y si los datos salen de la UE (cosa habitual con proveedores estadounidenses como OpenAI o Google) necesitas tener en orden las garantías de transferencia internacional: SCC firmadas, DPA actualizado, cláusulas adecuadas.

No lo trates como dos procesos distintos que hacer en paralelo. Es una sola revisión legal de tu web con dos marcos normativos que se aplican simultáneamente. Y en muchos casos, si ya tienes el RGPD bien trabajado, adaptar al AI Act requiere menos esfuerzo del que parece.

Un resumen final para los perezosos

Si has llegado hasta aquí por encima y necesitas lo esencial en tres minutos:

Sí, el AI Act te afecta aunque no hayas desarrollado la IA. Te afecta como deployer, que es quien la usa.

Lo primero: haz el inventario de herramientas y clasifícalas por nivel de riesgo.

El 92 % de los casos en pequeños negocios son riesgo mínimo o limitado. Para riesgo limitado (chatbots, generadores), tu obligación principal es transparencia: aviso claro antes de la interacción y vía de acceso a una persona real.

Documéntalo todo. Inventario, fichas de herramientas, DPA firmados, revisiones periódicas. La responsabilidad proactiva no es opcional.

Actualiza tu política de privacidad o crea una política de IA que explique cómo usas estas herramientas.

Haz las preguntas correctas a tus proveedores y guarda sus respuestas.

Si tienes sistemas de alto riesgo o cualquier duda sobre la clasificación de alguna herramienta, consulta antes de seguir adelante.

¿Tienes dudas sobre cómo clasificar alguna de las herramientas que usas en tu web? ¿O sobre qué aviso poner exactamente y dónde? Déjamelo en los comentarios.