Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

Obligaciones de transparencia en Inteligencia Artificial: guía práctica sobre la aplicación del artículo 50 del IA Act
Obligaciones de transparencia en Inteligencia Artificial: guía práctica sobre la aplicación del artículo 50 del IA Act

Este artículo analiza las obligaciones de transparencia establecidas en el artículo 50 del Reglamento (UE) 2024/1689 a partir del borrador de directrices de la Comisión Europea que concreta su aplicación práctica, y aporta criterios operativos para: comprender el alcance y los sujetos obligados por las cuatro categorías de obligaciones de transparencia; identificar los riesgos regulatorios, reputacionales y de negocio derivados de su incumplimiento; evaluar el impacto del Código de Buenas Prácticas sobre contenidos generados por IA como estándar de mercado; y reconocer las implicaciones prácticas que las organizaciones deben anticipar antes del 2 de agosto de 2026.

Introducción

La Unión Europea ha dado un paso decisivo en la regulación de la Inteligencia Artificial (en lo sucesivo, “IA”) con la publicación de las Directrices de la Comisión Europea sobre las obligaciones de transparencia para determinados sistemas de IA, en virtud del Artículo 50 del Reglamento (UE) 2024/1689 (en lo sucesivo, “AI Act”). Estas directrices, publicadas en fase de borrador para consulta de las partes interesadas, representan la primera interpretación oficial con ejemplos prácticos de las obligaciones de transparencia y constituyen una referencia ineludible tanto para la Oficina Europea de IA como para las autoridades nacionales de vigilancia del mercado. Al tratarse de directrices no vinculantes cuyo contenido podría modificarse antes de su adopción definitiva, la interpretación autorizada del AI Act corresponde en última instancia al Tribunal de Justicia de la Unión Europea.

En concreto, estas directrices serán aplicables a partir del 2 de agosto de 2026, afectando a una amplia variedad de sistemas de IA, desde chatbots y asistentes de voz hasta generadores de contenido sintético y sistemas de reconocimiento de emociones. Su alcance es significativamente más amplio que el de los sistemas clasificados como “de alto riesgo”: según los datos del Compliance Checker de la Comisión, las obligaciones de transparencia constituyen el segundo factor más frecuente de incumplimiento, afectando a aproximadamente el 33 % de las organizaciones consultadas. Para muchas empresas, el artículo 50 será, en la práctica, su principal reto regulatorio en materia de IA.

Esta aproximación exige conectar las directrices con los principios del Reglamento General de Protección de Datos (en lo sucesivo, “RGPD”), con las obligaciones del Reglamento de Servicios Digitales (en lo sucesivo, “DSA”), con el marco de gobernanza de datos y con las medidas contractuales y técnicas que deben exigirse a proveedores de herramientas basadas en modelos de IA. Desde una perspectiva de negocio, el cumplimiento del artículo 50 no es un mero ejercicio formal de etiquetado, sino un programa transversal que involucra a los equipos jurídico, de producto, de experiencia de usuario, de ingeniería y de comunicación.

¿Qué regula el artículo 50 del AI Act y por qué es relevante?

El artículo 50 del AI Act establece un conjunto de obligaciones de transparencia cuya finalidad es garantizar que la interacción con sistemas de IA no se produzca de forma inadvertida para los interesados. Como precisan los considerandos 132 a 136 del Reglamento, el propósito de estas obligaciones es reducir los riesgos de suplantación de identidad, engaño, desinformación, manipulación a gran escala y fraude, así como mitigar los posibles efectos adversos sobre los procesos democráticos y la confianza social provocados por contenidos generados o manipulados por IA.

En virtud de este precepto, las organizaciones que desarrollan o despliegan estos sistemas deben garantizar que los usuarios disponen de información clara, accesible y suficiente para identificar cuándo están interactuando con un sistema de IA, cuándo están siendo objeto de técnicas como el reconocimiento biométrico o la categorización por inferencia de emociones, y cuándo el contenido que consumen, ya sea texto, imagen, audio o vídeo, ha sido generado o manipulado artificialmente, así como para comprender las implicaciones que de ello se derivan. Informar a las personas sobre el origen artificial de la interacción y del contenido les permitirá adoptar decisiones informadas, calibrar su confianza en el contenido y contribuir a salvaguardar la integridad del ecosistema informativo.

En particular, las directrices estructuran las obligaciones de transparencia en cuatro categorías diferenciadas, cada una con un ámbito de aplicación y unos sujetos obligados específicos:

  • sistemas de IA interactivos: cuando la IA interactúa directamente con personas (por ejemplo, chatbots), la obligación recae en el proveedor, que debe asegurarse de que se informa claramente al usuario.
  • sistemas que generan o manipulan contenido sintético (artículo 50.2): corresponde al proveedor garantizar que los contenidos (imagen, vídeo, audio o texto) puedan identificarse como artificiales. Esta obligación comprende dos elementos que deben cumplirse conjuntamente: el marcado legible por máquina y la disponibilidad de medios de detección; el cumplimiento de solo uno de ellos no resulta suficiente. Las soluciones técnicas deben ser eficaces, interoperables, sólidas y fiables, en la medida en que sea técnicamente viable, teniendo en cuenta el estado de la técnica generalmente reconocido. Esta obligación no se aplica cuando los sistemas desempeñen una función de apoyo a la edición estándar, no alteren sustancialmente los datos de entrada o su semántica, o estén autorizados por ley para la persecución de delitos.
  • sistemas de reconocimiento de emociones y categorización biométrica (artículo 50.3): la obligación informativa recae sobre los responsables del despliegue, que deben informar a las personas físicas expuestas al funcionamiento de estos sistemas y tratar sus datos personales conforme a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y a la Directiva (UE) 2016/680, según corresponda. Esta obligación no se aplica cuando dichos sistemas estén autorizados por ley para detectar, prevenir e investigar delitos.
  • deep fakes (ultrasuplantaciones) y contenidos informativos de interés público: los responsables del despliegue deben revelar el origen artificial del contenido.

Es importante subrayar que estas cuatro obligaciones pueden aplicarse de manera acumulativa al resultado de un mismo sistema de IA, comprometiendo potencialmente la responsabilidad de distintos actores (proveedores o responsables del despliegue) de forma simultánea. Una organización que no utilice IA de alto riesgo puede, no obstante, tener obligaciones significativas en virtud del artículo 50: por ejemplo, porque desarrolle un chatbot de atención al cliente, implemente una herramienta de IA que genere contenidos informativos para su publicación o utilice un sistema que produzca imágenes deepfake.

Las directrices delimitan los actores responsables del cumplimiento de las obligaciones de transparencia, distinguiendo entre dos figuras clave: el proveedor y el responsable del despliegue.

Los proveedores son personas físicas o jurídicas, autoridades públicas, agencias u otros organismos que desarrollan sistemas de IA, o los hacen desarrollar, y los introducen en el mercado de la Unión o los ponen en servicio bajo su propio nombre o marca comercial, con independencia de si están establecidos dentro o fuera de la Unión. Por su parte, los responsables del despliegue son quienes utilizan sistemas de IA bajo su autoridad, salvo que dicho uso se realice en el marco de una actividad personal no profesional.

Un mismo sujeto obligado puede ostentar simultáneamente ambas condiciones.

No obstante, los actores cuyo papel se limita a la difusión o transmisión de contenido generado por IA creado por terceros, incluidas las plataformas en línea, no se consideran responsables del despliegue en el sentido del AI Act, si bien se les alienta a preservar el marcado y etiquetado del contenido.

Asimismo, las directrices aclaran que los proveedores de modelos de IA de uso general (GPAI) establecidos fuera de la Unión también están sujetos al AI Act si los resultados de su sistema de IA se utilizan en la Unión. Desde una perspectiva de cadena de valor, esto genera una responsabilidad compartida que exige una coordinación contractual y técnica entre proveedores de modelos fundacionales, proveedores de sistemas y responsables del despliegue.

Las directrices introducen un criterio basado en si resulta evidente, para una persona razonablemente informada, que está interactuando con un sistema de IA. En caso de que esta circunstancia no resulte evidente, el sistema queda sujeto a las obligaciones de transparencia del artículo 50.

Conforme a este enfoque, la obligación de informar surge cuando existe la posibilidad de que una persona perciba la interacción como si se tratara de otro ser humano. Este criterio resulta especialmente relevante en sistemas conversacionales avanzados, como chatbots o asistentes virtuales, diseñados para simular un comportamiento humano. Las directrices establecen que la evaluación de la evidencia se realiza en dos fases: en primer lugar, se evalúa el público destinatario y, en segundo lugar, se examina en qué medida un miembro medio de ese grupo es razonablemente informado, atento y perspicaz. Cuando el sistema esté destinado a interactuar con personas pertenecientes a grupos vulnerables por razón de edad (menores o personas mayores) o discapacidad, las características de estas personas deben tenerse en cuenta en la implementación de las medidas de notificación, debiendo adaptarse la información en formatos accesibles y, en el caso de menores, ser adecuada a su edad y fácilmente comprensible. También se confirma expresamente que los agentes de IA entran en el ámbito de aplicación del artículo 50.1 y que, cuando el proveedor no pueda predecir con certeza si el agente interactuará con un ser humano, deberá diseñarlo para revelar su naturaleza de IA en todas las situaciones.

Por el contrario, cuando la naturaleza automatizada del sistema resulta evidente por sí misma, la obligación de transparencia puede flexibilizarse. Las directrices ofrecen ejemplos concretos de esta excepción: asistentes de codificación de IA disponibles exclusivamente para desarrolladores profesionales, sistemas interactivos de IA destinados únicamente a profesionales sanitarios debidamente formados, o interacciones con personajes no jugadores (NPCs) en videojuegos. No obstante, esta excepción no debe interpretarse de forma extensiva y no resulta aplicable, por ejemplo, a robots de compañía que imiten mascotas reales, sistemas de IA integrados en entornos inmersivos con avatares realistas, o chatbots integrados en plataformas de asistencia en línea.

En consecuencia, las organizaciones deberán analizar caso por caso si sus sistemas podrían generar confusión en el usuario, priorizando la transparencia siempre que exista duda razonable sobre la percepción que el destinatario pueda tener de la interacción.

Las directrices establecen que la información debe presentarse de manera clara, visible y comprensible, evitando formulaciones ambiguas o excesivamente técnicas. No resulta suficiente incluir referencias genéricas en políticas de privacidad o en condiciones contractuales de carácter general. Se requiere una comunicación directa y contextualizada que permita al usuario identificar la intervención de la IA de forma inmediata y sin necesidad de realizar indagaciones adicionales. Las directrices ofrecen ejemplos concretos de técnicas apropiadas: declaraciones textuales al inicio de la interacción (p. ej., soy un asistente de IA), indicaciones sonoras o auditivas, señales visuales o gráficas persistentes (iconos, marcas de agua, marcos de color) y combinaciones multimodales de texto, audio y elementos visuales.

Por el contrario, las directrices identifican expresamente técnicas que, por sí solas, no se consideran adecuadas para cumplir la obligación de transparencia: divulgaciones contenidas únicamente en términos y condiciones, URLs o documentación; marcas legibles por máquina (como metadatos o marcas de agua) que no son perceptibles por los usuarios en el punto de interacción; y señales poco claras o ambiguas.

En concreto, conforme al artículo 50.5 del AI Act (requisito horizontal aplicable a todas las obligaciones de los apartados 1 a 4), la información se considerará clara cuando resulte perceptible y fácil de comprender por la persona interesada, incluidas aquellas con necesidades de accesibilidad. Se considerará distinguible cuando sea fácilmente identificable como separada de otra información y del entorno en el que se presenta el contenido. No se cumplirá con este requisito si la información se incluye únicamente como parte de un manual o se oculta bajo múltiples capas de opciones de menú en una interfaz en línea. Adicionalmente, los proveedores y responsables del despliegue deben cumplir con los requisitos de accesibilidad aplicables, incluyendo los derivados de las Directivas (UE) 2016/2102 y (UE) 2019/882.

Adicionalmente, la obligación de información se activa a más tardar en el momento de la primera interacción o exposición (artículo 50.5 AI Act). Este concepto no se refiere exclusivamente a la primera persona que interactúa con el sistema, sino a cada primera interacción de cualquier persona física con el sistema o con el contenido generado por IA. Asimismo, en el contexto de interacciones sostenidas o en evolución, especialmente en situaciones sensibles o donde exista riesgo de que el usuario forme vínculos emocionales (p. ej., asistentes de compañía o companions), pueden resultar necesarios recordatorios periódicos y divulgaciones adaptadas al contexto.

Especial atención: deepfakes, contenido sintético y la excepción artística

El artículo 50.4 constituye la disposición más analizada del capítulo de transparencia. Las directrices definen el concepto de deepfake, denominado ultrasuplantación en la versión española del Reglamento (artículo 3, apartado 60 del AI Act), como contenido de imagen, audio o vídeo generado o manipulado mediante IA que se asemeja apreciablemente a personas, objetos, lugares, entidades o acontecimientos existentes y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos. Las directrices clarifican que este criterio es objetivo y no requiere intención de engañar por parte del responsable del despliegue. Para que un contenido constituya una ultrasuplantación deben concurrir cuatro elementos: (i) semejanza apreciable, (ii) con personas, objetos, lugares, entidades o acontecimientos existentes, (iii) que resultaría falsamente auténtico, y (iv) para una persona.

Quedan excluidos de la definición los contenidos claramente fantásticos o físicamente imposibles (dragones, humanos volando sin ayuda mecánica), así como los ajustes técnicos que no alteren el contenido sustantivo (normalización de volumen, reducción de ruido). Por el contrario, sí constituyen deepfakes la clonación de voz de presentadores de podcast, los vídeos de políticos pronunciando discursos o las representaciones de celebridades en contextos publicitarios.

La obligación de transparencia se atenúa cuando los deepfakes forman parte de obras manifiestamente artísticas, creativas, satíricas, ficticias o análogas: en tales casos, la divulgación se limita a revelar la existencia del contenido generado o manipulado de una manera adecuada que no obstaculice la exhibición o el disfrute de la obra. No obstante, esta atenuación no exime del respeto a los derechos de terceros, incluidos los derechos de imagen, la propiedad intelectual y la protección de datos. Las directrices precisan que contenidos con finalidad principalmente informativa o comercial no se benefician de esta excepción, debiendo evaluarse caso por caso.

En relación con los textos generados por IA publicados con el fin de informar al público sobre asuntos de interés público (artículo 50.4, párrafo segundo), la obligación de divulgación solo se activa cuando concurren tres condiciones acumulativas: (i) que el texto sea publicado, es decir, accesible a un público indeterminado; (ii) que su finalidad sea informar al público (transmitir conocimientos, opiniones o hechos); y (iii) que verse sobre asuntos de interés público. La obligación admite una excepción cuando concurren dos condiciones adicionales acumulativas: (a) que el texto haya sido sometido a revisión humana sustantiva o control editorial (no meramente formal, ortográfico o de aprobación somera, ni validado por otro sistema de IA); y (b) que una persona física o jurídica asuma la responsabilidad editorial de la publicación de forma visible e identificable. El Código de Buenas Prácticas refuerza este requisito exigiendo un flujo de trabajo editorial documentado con personas responsables identificadas, más allá de la mera afirmación de que ha existido revisión humana. A diferencia de los textos, esta excepción editorial no resulta aplicable a los deepfakes de imagen, audio o vídeo, cuyo etiquetado es obligatorio en todo caso.

Desde una perspectiva de propiedad intelectual, el Código de Buenas Prácticas introduce una consideración comercialmente sensible: si una organización etiqueta un contenido como “generado íntegramente por IA”, terceros podrían interpretar que existe una contribución creativa humana limitada, lo que, bajo los conceptos europeos de derecho de autor, puede afectar a la existencia misma de protección por copyright. Si la protección resulta ausente, el contenido podría ser reutilizado libremente por competidores, plataformas y editores posteriores. Por el contrario, la clasificación como “asistido por IA” preserva un mayor espacio para argumentar la autoría humana y el control editorial.

Las organizaciones deben tener presentes los siguientes hitos regulatorios: el 2 de febrero de 2025 entraron en vigor las prohibiciones relativas a prácticas inaceptables de IA (artículo 5); en junio de 2026 se espera la finalización del Código de Buenas Prácticas sobre contenidos generados por IA; y el 2 de agosto de 2026 se aplicarán plenamente las obligaciones de transparencia del artículo 50 a proveedores y responsables del despliegue. A partir de esta última fecha, todos los sistemas de IA incluidos en el ámbito de aplicación deberán ser conformes, con independencia de cuándo fueron introducidos en el mercado.

El incumplimiento de las obligaciones de transparencia establecidas en el artículo 50 del AI Act conlleva consecuencias económicas significativas. Según las directrices, los proveedores y responsables del despliegue que no observen dichas obligaciones podrán ser sancionados con multas de hasta 15.000.000 de euros o, en el caso de empresas, de hasta el 3 % de su volumen de negocios anual total a nivel mundial correspondiente al ejercicio financiero anterior, aplicándose la cifra que resulte más elevada.

Por su parte, las instituciones, órganos y organismos de la Unión Europea que infrinjan estas obligaciones podrán ser objeto de multas administrativas de hasta 750.000 euros.

Adicionalmente, las directrices contemplan la posibilidad de que los proveedores y responsables del despliegue demuestren el cumplimiento de sus obligaciones mediante la adhesión a un código de prácticas que haya sido evaluado como adecuado por la Oficina de IA. En tales casos, las autoridades de vigilancia del mercado centrarán sus actividades de supervisión en verificar la adhesión efectiva a dicho código, beneficiándose las entidades adheridas de una mayor confianza por parte de la Comisión y de las autoridades competentes.

Paralelamente a las directrices, la Comisión Europea está desarrollando un Código de Buenas Prácticas sobre el marcado y etiquetado de contenidos generados por IA, cuya versión definitiva está prevista para junio de 2026. Aunque formalmente voluntario, el Código ofrecerá a las organizaciones signatarias una presunción de conformidad con las obligaciones del artículo 50, lo que en la práctica genera un efecto gravitatorio significativo: las empresas que lo suscriban e implementen sus medidas se presumirán conformes, mientras que las que opten por vías alternativas deberán justificar cómo sus medidas garantizan un nivel equivalente de cumplimiento, pudiendo estar sujetas a un mayor número de solicitudes de información y acceso por parte de las autoridades.

  • Puntos ciegos en la cadena de valor: una perspectiva de negocio

La práctica asesora revela que el artículo 50 puede ser simultáneamente sobreestimado e infraestimado, dependiendo de la posición de la organización en la cadena de valor. Conviene distinguir tres perfiles de riesgo diferenciados:

- En primer lugar, los proveedores de modelos de IA GPAI tienden a concentrar su atención regulatoria en las obligaciones del artículo 53 del AI Act (documentación técnica, políticas de copyright), asumiendo erróneamente que, si cumplen dichos requisitos, no tienen obligaciones adicionales. Sin embargo, el artículo 50.2 les exige implementar técnicas de marcado (como marcas de agua) a nivel de modelo antes de su introducción en el mercado, con implicaciones técnicas significativas que no deben subestimarse.

- En segundo lugar, los proveedores de sistemas GPAI que integran modelos de terceros (por ejemplo, vía API) sin entrenar ni modificar el modelo base constituyen, en muchos casos, el punto más ciego del mercado. Estas empresas no suelen considerarse proveedores de modelos, por lo que las obligaciones reforzadas del artículo 53 no les resultan directamente aplicables. No obstante, en tanto proveedores de un sistema de IA de uso general, son plenamente responsables en virtud del artículo 50.2 de garantizar que el contenido generado por su sistema esté debidamente marcado.

- En tercer lugar, los responsables del despliegue, desde agencias de marketing hasta despachos de abogados que utilizan herramientas de IA para generar contenido, no soportan la carga técnica del marcado por marca de agua, pero afrontan las obligaciones visibles de etiquetado de deepfakes y textos de interés público conforme al artículo 50.4. Aunque estas obligaciones son técnicamente menos invasivas, comportan un riesgo reputacional elevado que no debe minimizarse. 

El borrador del Código introduce elementos de especial relevancia: una etiqueta normalizada de la UE para contenidos generados por IA, consistente en un símbolo visual “AI” (adaptado como “KI” en alemán o “IA” en francés y español); una taxonomía de dos niveles que distingue entre contenido “generado íntegramente por IA” y contenido “asistido por IA”, con distintos requisitos de divulgación; normas técnicas para herramientas de marcas de agua, metadatos y procedencia; y orientaciones sobre etiquetado específico por formato (etiquetas permanentes para vídeo, etiquetas visibles para imágenes y avisos audibles para audio).

Desde una perspectiva de negocio, el Código traslada las obligaciones técnicas a lo largo de la cadena de valor. Los proveedores de modelos fundacionales deben incorporar el marcado de contenidos por diseño antes de introducir el modelo en el mercado, lo que convierte esta exigencia en una dependencia crítica para los proveedores de sistemas que integran dichos modelos. Además, el Código exige preservar las marcas e impedir su eliminación, incluidas salvaguardas contra la manipulación y restricciones contractuales en las condiciones de uso, así como poner a disposición herramientas de detección gratuitas con indicadores de confianza para usuarios y terceros.

  • Interacción con otras normativas de la Unión

Las obligaciones de transparencia del artículo 50 se aplican sin perjuicio de la normativa europea vigente en materia de protección de consumidores, protección de datos y legislación digital. En particular, la Directiva sobre Prácticas Comerciales Desleales (Directiva 2005/29/CE) exige que los comerciantes no induzcan a error sobre las características principales de un producto o servicio; si un servicio está impulsado por IA (como un chatbot por suscripción o una aplicación de acompañamiento virtual), la funcionalidad de IA puede considerarse una característica esencial que debe comunicarse antes de la contratación. La Directiva 2011/83/UE sobre derechos de los consumidores impone igualmente obligaciones de información precontractual sobre las características principales del servicio. Estas obligaciones de Derecho de consumo se aplican con independencia de que la interacción se considere evidente a efectos del artículo 50.1 AI Act. Asimismo, el DSA incluye obligaciones de transparencia complementarias para plataformas en línea sobre moderación de contenidos, sistemas de recomendación y prácticas publicitarias.

En materia de protección de datos, las directrices subrayan que las soluciones técnicas de marcado y detección deben ser conformes con la legislación de protección de datos de la UE, incluyendo los principios de protección de datos desde el diseño y por defecto (artículo 25 RGPD), minimización de datos, limitación del plazo de conservación, seguridad y confidencialidad. Además, cuando los contenidos deepfake incluyan datos personales de una persona identificable, los responsables del despliegue deberán cumplir también con las obligaciones del RGPD en tanto responsables del tratamiento, incluyendo la identificación de una base jurídica adecuada para el tratamiento, la transparencia frente a los interesados y el respeto a los derechos de imagen y personalidad. En este sentido, la Comisión y el Comité Europeo de Protección de Datos están elaborando directrices conjuntas sobre la interacción entre el AI Act y la normativa de protección de datos de la UE.

  • Implicaciones prácticas para responsables y usuarios corporativos. La conformidad con el artículo 50 exige un enfoque proactivo que trasciende la mera colocación de etiquetas. Las organizaciones deben integrar la transparencia en su estrategia de gobernanza de IA, adoptando un enfoque de compliance by design que considere, al menos, las siguientes actuaciones: (i) realizar un inventario exhaustivo de todos los sistemas de IA utilizados en la organización e identificar cuáles entran en el ámbito del artículo 50; (ii) verificar si resulta aplicable alguna exención o excepción; (iii) exigir contractualmente a los proveedores de IA el cumplimiento de las obligaciones de marcado y detección; (iv) establecer flujos de trabajo editoriales documentados con personas responsables identificadas para contenidos de interés público; y (v) revisar el diseño de las interfaces de usuario para garantizar que la información de transparencia sea clara, contextualizada y accesible.

Asimismo, resulta recomendable establecer comités de IA y flujos de aprobación previos al despliegue de herramientas que generen o manipulen contenido sintético, con revisiones periódicas y criterios de retirada. En el ámbito contractual, las organizaciones deben reforzar sus cláusulas con proveedores tecnológicos para incluir obligaciones específicas sobre marcado de contenidos, preservación de marcas, herramientas de detección, auditorías proporcionales y restricciones sobre usos secundarios.

  • Lista de comprobación operativa (checklist)

A continuación, se propone una lista de verificación que las organizaciones pueden utilizar como punto de partida para evaluar su grado de conformidad con las obligaciones de transparencia del artículo 50:

- Identificar todos los sistemas de IA en uso e inventariar cuáles entran en el ámbito del artículo 50 (interactivos, generativos, biométricos, de emociones).

- Verificar si el sistema queda excluido del ámbito de aplicación (actividad personal no profesional, I+D) o si le resulta aplicable alguna excepción (evidencia de la interacción con IA, autorización legal para persecución de delitos). Nótese que los sistemas de IA de código abierto que entren en el ámbito del artículo 50 sí deben cumplir con las obligaciones de transparencia.

- Para sistemas de reconocimiento de emociones o categorización biométrica: verificar que se informa a todas las personas físicas expuestas y que el tratamiento de datos personales cumple con el RGPD y, en su caso, con la Directiva (UE) 2016/680.

- Evaluar si la naturaleza de IA del sistema resulta evidente para una persona razonablemente informada, atenta y perspicaz, aplicando el test de dos fases de las directrices.

- Para sistemas generativos: comprobar la capacidad técnica de marcado legible por máquina de los resultados sintéticos en todas las modalidades (audio, imagen, vídeo y texto), así como la disponibilidad de herramientas de detección.

- Para deepfakes y textos de interés público: diseñar las divulgaciones visibles desde el inicio del proceso de producción de contenido, incluyendo flujos de trabajo editorial documentados.

- Exigir contractualmente a los proveedores el cumplimiento de las obligaciones de marcado, preservación de marcas y disponibilidad de herramientas de detección, con auditorías proporcionales.

- Evaluar la conformidad con la normativa de protección de datos (RGPD), protección de consumidores y servicios digitales (DSA) de forma integrada con las obligaciones del artículo 50.

-  Seguir la evolución del Código de Buenas Prácticas y valorar la adhesión como vía de presunción de conformidad.

Conclusión

Las directrices de la Comisión Europea sobre las obligaciones de transparencia del artículo 50 del AI Act, actualmente en elaboración y llamadas a convertirse en una guía operativa clave una vez adoptadas, deben entenderse como un marco práctico para organizaciones que desarrollan, integran o despliegan sistemas de IA en el mercado europeo. Desde una perspectiva de cumplimiento, la transparencia no se agota en el etiquetado: exige una revisión integral de procesos, interfaces, contratos y flujos de gobernanza interna, anticipando el impacto regulatorio y reputacional de la IA en toda la organización.

A partir del 2 de agosto de 2026, los sistemas de IA comprendidos en el ámbito del Reglamento deberán cumplir los requisitos de transparencia previstos, sin perjuicio del régimen transitorio aplicable. En particular, los sistemas de alto riesgo ya introducidos en el mercado o puestos en servicio antes de esa fecha quedan sujetos a las nuevas obligaciones solo si, desde entonces, experimentan cambios significativos en su diseño o finalidad prevista. Por su parte, los contenidos generados o manipulados por IA que ya se hubieran puesto a disposición antes del 2 de agosto de 2026 no requieren marcado retroactivo, si bien se alienta su adopción voluntaria cuando sea técnica y operativamente viable. Además, el denominado “Reglamento Ómnibus de IA”, actualmente en tramitación, prevé una medida transitoria específicamente limitada a las obligaciones de marcado y detección del artículo 50.2, concediendo a los proveedores de sistemas generativos ya introducidos un período adicional de adaptación.

Integrar estos criterios en políticas internas, en la selección y contratación de proveedores y en la evaluación caso por caso de usos y finalidades permitirá mitigar riesgos significativos y alinear prácticas con las expectativas regulatorias emergentes. El objetivo no es frenar la innovación, sino encauzarla con salvaguardas realistas que preserven la confianza, la seguridad jurídica y la integridad del ecosistema informativo. Una aproximación escalonada, inventario de sistemas, evaluación de conformidad y, en su caso, adhesión a códigos de buenas prácticas, maximiza el valor empresarial y reduce el coste regulatorio y reputacional.

¿Quieres identificar qué sistemas de IA de tu organización están sujetos a las obligaciones de transparencia del artículo 50 y qué medidas priorizar antes de agosto de 2026?

Si quieres conocer las respuestas a estas y otras preguntas, no dudes en contactar con nosotros.

El presente artículo ha sido elaborado por Naarahi González Ponce, manager de NewLaw, y Andrea Paso Martínez, associate de NewLaw

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio de Regulación Digital, PwC Tax & Legal

Email
Sandra López

Sandra López

Directora de Regulación Digital (New Law), PwC Tax & Legal

Email

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.