Sign in Subscribe
Regulación

ChatGPT y la DSA europea: por qué OpenAI puede quedar bajo las reglas más exigentes de la UE

Javier Monzón

4 min read
ChatGPT y la DSA europea: por qué OpenAI puede quedar bajo las reglas más exigentes de la UE

Hay noticias que parecen puramente regulatorias y, sin embargo, dicen mucho más sobre hacia dónde va la tecnología. La de hoy es una de esas.

La Comisión Europea ha confirmado que está evaluando si ChatGPT debe encajar dentro del perímetro más exigente de la Digital Services Act (DSA) tras la publicación, por parte de OpenAI, de cifras de uso que superan de sobra el umbral de 45 millones de usuarios mensuales en la UE. Y aquí está la clave: no estamos hablando de una multa ni de una sanción ya decidida, sino de algo más estratégico. Europa está empezando a tratar a los asistentes de IA como infraestructuras informacionales con impacto sistémico.

Dicho de otro modo: ChatGPT ya no se mira solo como un chatbot. Se mira como un servicio que intermedia acceso a información, respuestas, recomendaciones y, cada vez más, búsqueda. Y eso cambia bastante el terreno de juego.

Qué ha pasado exactamente con ChatGPT y la DSA

Lo confirmado, a 10 de abril de 2026, es esto: la Comisión ha dicho que está analizando la información publicada por OpenAI porque ChatGPT supera el umbral de 45 millones que activa la posible designación como servicio de muy gran tamaño bajo la DSA aunque la evaluación se está haciendo caso por caso y todavía no hay una designación formal cerrada anunciada por Bruselas.

Hay además un matiz técnico importante. OpenAI no ha publicado esa cifra para “ChatGPT” en abstracto, sino específicamente para ChatGPT search, su capa de búsqueda, con unos 120,4 millones de usuarios activos mensuales de media en la Unión Europea para el semestre cerrado el 30 de septiembre de 2025. Eso importa porque la DSA distingue entre categorías de servicios, y la discusión jurídica real no es solo el tamaño de OpenAI, sino cómo encaja exactamente ese producto dentro del marco regulatorio europeo.

Por qué importa de verdad

La DSA reserva su nivel más exigente para plataformas y motores de búsqueda con más de 45 millones de usuarios mensuales en la UE. Una vez designado un servicio, dispone de cuatro meses para cumplir con esas obligaciones reforzadas. En este punto, la Comisión pasa a tener un papel supervisor directo mucho más intenso.

Eso significa que, si ChatGPT termina entrando de lleno en ese perímetro, la conversación europea sobre IA dejará de girar solo alrededor del modelo y pasará a centrarse mucho más en el servicio: cómo presenta información, qué riesgos sistémicos genera, qué mecanismos de supervisión incorpora y hasta qué punto sus decisiones son auditables.

A mí me parece especialmente relevante porque confirma una tendencia que ya veníamos viendo. En Tecnoic expliqué hace unos días que el EU AI Act aprieta sobre la transparencia, documentación y gobernanza de los modelos de propósito general; y también comenté que la DSA forma parte del núcleo regulatorio con el que Europa quiere ordenar el mercado digital. Lo interesante ahora es ver ambos planos converger: el AI Act mira sobre todo al modelo y su cadena de valor; la DSA mira al comportamiento del servicio cuando ya está delante del usuario.

Qué obligaciones activaría la DSA si hay designación

La Comisión Europea resume bastante bien qué implica estar en la categoría de VLOP o VLOSE. No se trata solo de tener un punto de contacto o unas condiciones de uso claras. Lo importante son las obligaciones de nivel sistémico: identificar y evaluar riesgos, aplicar medidas de mitigación, establecer una función interna de cumplimiento, someterse a auditorías independientes periódicas y facilitar acceso a datos a autoridades y a determinados investigadores acreditados.

También hay una consecuencia práctica que muchas veces se olvida: la Comisión gana capacidad real de investigación y sanción. Puede requerir información, pedir acceso a datos y algoritmos, abrir procedimientos formales y, en caso de incumplimiento acreditado, imponer multas de hasta el 6% de la facturación global anual.

Para un servicio como ChatGPT, eso no se traduce automáticamente en un producto peor ni en una “censura” de manual, pero sí en más trazabilidad, más presión documental y más necesidad de justificar cómo se gestionan riesgos como desinformación, seguridad, protección de menores o impactos sobre derechos fundamentales.

Lo que esta noticia dice sobre el mercado de la IA

Europa ya no está aceptando que los asistentes de IA se presenten como una categoría aparte, casi excepcional, al margen de las reglas que se aplican a otros servicios digitales masivos.

Durante un tiempo, la narrativa dominante fue que la IA generativa era un terreno nuevo, todavía difícil de encajar en las cajas legales existentes. Pero el movimiento regulatorio actual apunta a otra dirección: si un servicio de IA funciona, en la práctica, como una puerta de acceso a información, recomendaciones y búsqueda para decenas de millones de europeos, Bruselas tenderá a regularlo también por ese impacto operativo, no solo por su arquitectura técnica.

Y eso tiene implicaciones competitivas. Las grandes compañías podrán absorber mejor el coste de cumplimiento, auditoría, reporting y relación con reguladores. Para startups europeas o actores medianos, el mensaje es doble: por un lado, la regulación puede generar confianza y reglas de juego más claras; por otro, subir el listón del compliance también favorece a quien ya tiene músculo legal, financiero y operativo.

Impacto en España y en Europa

En España esta cuestión puede parecer lejana, pero no lo es. Cada vez más usuarios, medios, empresas y equipos técnicos utilizan ChatGPT no solo para redactar o resumir, sino para buscar, comparar, validar ideas y tomar decisiones rápidas. Si esa capa de acceso a la información entra en el radar más duro de la DSA, lo que cambie en cumplimiento, transparencia o gestión de riesgos nos afectará también aquí, aunque el debate formal se esté librando en Bruselas.

Además, esta noticia encaja de lleno con una pregunta de fondo que Europa lleva tiempo planteándose: cómo evitar convertirse en un mero mercado de consumo para servicios digitales creados fuera, sin capacidad de condicionar sus reglas. La DSA, la DMA y el AI Act responden, cada una a su manera, a esa misma ambición: soberanía regulatoria y capacidad de intervención real.

En conclusión

Todavía no estamos ante una designación definitiva anunciada por la Comisión, y conviene no vender como hecho cerrado lo que hoy sigue en fase de evaluación. Pero incluso así, la noticia ya es importante.

No porque “Europa vaya contra ChatGPT”, sino porque confirma que el ciclo de inmunidad regulatoria de la IA generativa se está terminando. Cuando un sistema alcanza escala masiva y empieza a mediar cómo millones de personas acceden a la información, deja de ser solo una innovación. Se convierte también en una pieza de infraestructura digital, y la política pública entra de lleno en la ecuación.

La pregunta interesante ya no es si habrá regulación. Esa fase la hemos superado. La pregunta es otra: ¿conseguirá Europa exigir más transparencia y responsabilidad sin convertir el cumplimiento en una barrera que solo puedan pagar los gigantes?