Ultima revision
11 de julio de 2026
Fuente
AI Office EU
La Comisión Europea ha hecho algo bastante poco frecuente en materia de IA: ha dicho que una herramienta voluntaria sirve de verdad para algo concreto. Su opinión publicada el 8 de julio de 2026 concluye que el Código de Buenas Prácticas sobre transparencia del contenido generado por IA cubre adecuadamente las obligaciones de los artículos 50(2), 50(4) y 50(5) del AI Act. Un día después, el AI Board adoptó su propia evaluación de adecuación. Traducido del dialecto bruselense al castellano útil: si desarrollas o despliegas sistemas generativos en la UE, este código pasa a ser la referencia operativa paneuropea para cumplir con las obligaciones de etiquetado y transparencia sobre deepfakes y cierto contenido sintético.
Ahora viene la letra pequeña, que aquí es lo interesante. La adhesión al código no constituye prueba concluyente de cumplimiento. La Comisión lo dice de forma expresa. Es una ayuda seria, no una bula papal. Si tu producto falla, si tus avisos son opacos, si tus usuarios no distinguen un contenido sintético de uno auténtico cuando la ley exige que sí puedan hacerlo, firmar el código no te salvará de una investigación de vigilancia de mercado. Ni del ridículo regulatorio, que a veces duele más.
La noticia importa más de lo que parece. No porque Bruselas haya descubierto de repente la utilidad del soft law, sino porque el AI Act está entrando en su fase menos teórica: la de convertir obligaciones abstractas en decisiones de producto, interfaces, logs, contratos, políticas de despliegue y evidencia documental. Ahí es donde las empresas suelen pasar del entusiasmo por la “innovación responsable” al sudor frío.
El movimiento también revela algo más incómodo. La UE sabe que los artículos de transparencia del AI Act, por sí solos, no bastan para alinear prácticas técnicas en un mercado fragmentado. Necesitaba un instrumento común que aterrizara el mandato legal sin esperar a que cada autoridad nacional improvisara su propia doctrina. El código intenta cubrir precisamente ese hueco.
Los hechos verificables son estos. El 8 de julio de 2026, la Comisión concluyó que el Código de Buenas Prácticas sobre transparencia del contenido generado por IA cubre adecuadamente las obligaciones previstas en los artículos 50(2), 50(4) y 50(5) del AI Act y facilita su implementación efectiva. El 9 de julio de 2026, el AI Board adoptó su Adequacy Assessment del mismo código. La invitación a adherirse se dirige tanto a proveedores como a deployers de sistemas de IA generativa, incluidos los proveedores de GPAI y los desplegadores de sistemas que generan deepfakes y determinados textos.
Hay tres detalles en esa formulación que no conviene dejar pasar.
Primero, la Comisión habla de adequately covers. No dice “equivale a cumplimiento”, no dice “presume conformidad” y no dice “cumplimiento automático”. Dice que cubre adecuadamente y facilita la implementación. Para una empresa seria, esto es útil. Para el departamento de marketing que quiere vender “AI Act compliant by design” con un PDF firmado, menos.
Segundo, el código se presenta como instrumento adecuado a escala de la UE “independientemente del lugar de establecimiento, operación o autoridad competente de vigilancia de mercado”. Eso importa porque reduce el riesgo de interpretaciones divergentes en 27 jurisdicciones. No lo elimina. Pero sí da una base común que, en la práctica, puede convertirse en el estándar de facto que miren reguladores, clientes y auditores internos.
Tercero, el AI Office anuncia que considerará facilitar actualizaciones formales al menos cada dos años, por ejemplo en función de la aparición de estándares o de desarrollos tecnológicos relevantes. Cada dos años en IA generativa suena casi entrañablemente optimista. En este mercado, dos años equivalen a varias generaciones tecnológicas, nuevos modelos multimodales, nuevas técnicas de síntesis y varias rondas de “esto nadie lo vio venir”. Aun así, ese compromiso de revisión periódica es clave: reconoce que el problema no es estático.
Si vas a leer una sola parte de este artículo con bolígrafo en la mano, que sea esta. La discusión sobre el código solo tiene sentido si aterrizamos las obligaciones legales que pretende operacionalizar.
El artículo 50 del AI Act se ocupa de ciertas obligaciones de transparencia aplicables a sistemas de IA que interactúan con personas o generan contenido sintético. Los apartados que la Comisión menciona son, precisamente, los más delicados para generative AI porque rozan producto, UX, moderación y riesgo reputacional.
Este apartado impone a los proveedores de sistemas de IA que generan contenidos sintéticos de audio, imagen, vídeo o texto la obligación de garantizar que las salidas estén marcadas en un formato legible por máquina y detectables como generadas o manipuladas artificialmente. La idea jurídica es sencilla: si fabricas contenido sintético, no puedes dejarlo circular como si hubiera brotado de la naturaleza.
Lo complicado llega cuando pasas de la ley al producto. ¿Qué significa “marcada” en un entorno multimodal? ¿Basta con metadatos? ¿Qué pasa si plataformas de terceros los eliminan? ¿Cómo resuelves la tensión entre detectabilidad técnica y facilidad de uso? ¿Qué haces con outputs generados vía API que luego un cliente integra en otro flujo, lo recorta, lo remezcla o lo convierte a otro formato? El artículo no te da todas esas respuestas. Por eso el código importa.
Este es el apartado que más titulares genera, y con razón. Exige que los deployers de sistemas de IA que generen o manipulen contenido de imagen, audio o vídeo que constituya un deepfake revelen que el contenido ha sido generado o manipulado artificialmente. No es una obligación meramente estética. Está orientada a proteger a terceros y al ecosistema informativo frente a contenidos capaces de simular autenticidad de forma engañosa.
La norma prevé matices, incluido el encaje con la libertad de expresión y usos legítimos en contextos artísticos, satíricos o claramente evidentes, así como con actividades de detección, prevención, investigación o persecución de delitos cuando proceda. Pero el principio operativo para empresas sigue siendo incómodo y claro: si produces o publicas deepfakes, tienes que decírselo al usuario de forma efectiva.
La palabra “effective” aquí pesa más que diez presentaciones corporativas. Un aviso perdido en el pie de página, un tooltip que desaparece o una cláusula enterrada en términos de uso no son exactamente una obra maestra de la transparencia.
Este apartado añade una obligación específica para deployers de sistemas de IA que generen o manipulen texto publicado con el fin de informar al público sobre asuntos de interés público. Deben revelar que el texto ha sido generado o manipulado artificialmente, salvo en supuestos limitados, por ejemplo cuando haya revisión humana y control editorial suficiente y una persona física o jurídica asuma responsabilidad por la publicación.
Aquí la UE entra en un terreno políticamente sensible: noticias, contenidos informativos, explicadores, publicaciones institucionales, comunicados y, en general, texto que puede influir en la percepción pública de hechos relevantes. No es casualidad. Bruselas sabe que el vídeo deepfake impresiona, pero el texto sintético escala mucho más rápido, cuesta menos y se cuela con facilidad en canales donde nadie mira metadatos.
Y aquí aparece una de las paradojas más interesantes de 2026: el legislador europeo fue muy visible con los deepfakes audiovisuales, pero ha tenido que recordar que el texto también puede ser una máquina de confusión masiva. No hace falta una voz clonada de un presidente si puedes inundar la red con miles de piezas “informativas” plausibles, reescritas y listas para posicionar.
Porque el AI Act legisla obligaciones; no diseña interfaces, pipelines ni patrones de evidencia. Y porque entre “debe ser detectable” y “aquí tienes cómo demostrarlo ante una autoridad” hay un abismo administrativo muy europeo y muy real.
El valor de un código voluntario no está en inventar obligaciones nuevas. Está en traducir un mandato jurídico en medidas concretas que puedan repetirse a escala. Ese tipo de instrumento ya lo hemos visto en privacidad, ciberseguridad y finanzas: no sustituye la ley, pero reduce la indeterminación. A veces también reduce el margen para fingir que uno no entendía lo que se esperaba de él.
La Comisión y el AI Board, al calificar el código como instrumento adecuado para toda la UE, están mandando una señal clara a tres audiencias distintas.
A las empresas les dicen: no esperéis a que cada autoridad nacional publique su propia guía, porque ya tenéis una base común. A los supervisores les dicen: aquí tenéis un punto de referencia para evaluar prácticas. Y al mercado le dicen algo aún más interesante: si no te adhieres, tendrás que explicar por qué tu enfoque alternativo ofrece un nivel equivalente o mejor.
No es una obligación de firma. Jurídicamente, sigue siendo voluntario. Operativamente, la voluntariedad puede resultar bastante relativa cuando clientes, socios y consejos de administración empiecen a preguntar si la empresa ha adoptado el instrumento que Bruselas acaba de avalar.
Uno de los errores recurrentes en la conversación sobre AI Act es tratar como si fueran lo mismo al proveedor del sistema y al deployer que lo usa. No lo son. El código, según la nota del AI Office, se dirige a ambos, y eso ya anticipa que la cadena de cumplimiento será compartida y, en algunos casos, conflictiva.
Para un proveedor de IA generativa, la obligación del artículo 50(2) abre varias preguntas técnicas y contractuales. Necesitas mecanismos para marcar outputs de forma legible por máquina y detectable. Eso puede implicar metadatos persistentes, señales embebidas, documentación técnica para clientes API, limitaciones conocidas del método y controles para distintos formatos de salida.
Pero el verdadero problema no es insertar la marca. Es demostrar su robustez razonable en entornos donde terceros transforman el contenido. Un proveedor prudente en 2026 no debería limitarse a decir “nuestro sistema añade metadatos”. Debería poder documentar, al menos, cinco cosas: qué método usa; en qué formatos funciona; cuándo puede perderse la marca; qué instrucciones da al cliente para preservarla; y qué logging conserva para acreditar que el output salió correctamente marcado.
Aquí es donde la comparación con el GDPR resulta útil. Igual que el artículo 25 sobre protección de datos desde el diseño obligó a convertir principios vagos en decisiones arquitectónicas, el AI Act empuja ahora hacia una “transparencia by design” que ya no puede resolverse con una frase amable en el onboarding.
Para el deployer, los artículos 50(4) y 50(5) pegan donde más duele: el punto de exposición pública. Si generas deepfakes o texto de interés público y lo publicas, la obligación de revelar no desaparece porque el modelo subyacente sea de un tercero. Tampoco desaparece porque el usuario “ya debería saberlo”. La ley no se conforma con suposiciones sociológicas.
Eso afecta a medios, plataformas, departamentos de comunicación, campañas políticas, equipos de marketing, fintechs que generan contenido explicativo, aseguradoras con asistentes que redactan textos para clientes y administraciones que automatizan borradores informativos. A todos les toca revisar interfaces, avisos, políticas editoriales y criterios de revisión humana.
La excepción vinculada a supervisión editorial humana no es un cheque en blanco. Si vas a invocarla para texto sobre asuntos de interés público, prepárate para demostrar control real, no simple revisión cosmética. ¿Quién revisó? ¿Con qué criterios? ¿Qué facultad tenía para corregir o bloquear? ¿Queda traza? Si no puedes responder, tu “human in the loop” probablemente era un adorno presupuestario.
La Comisión lo deja dicho con una claridad que merece ser subrayada: adherirse al código no constituye prueba concluyente de cumplimiento. Eso tiene varias implicaciones prácticas.
La primera es jurídica. En una investigación de vigilancia de mercado, la autoridad no evaluará solo si firmaste el código, sino si aplicaste de forma efectiva los compromisos y si esas medidas bastaron en el caso concreto. Si un deepfake circula sin aviso visible o si un texto sintético de interés público se publica sin revelación adecuada, el regulador mirará la realidad operativa, no el gesto declarativo.
La segunda es probatoria. La firma puede ayudarte como indicio de diligencia, pero no sustituye a la evidencia. Igual que en DORA no basta con tener una policy si no puedes probar testing, clasificación y gestión de terceros conforme a los artículos y RTS aplicables, aquí tampoco bastará con una adhesión corporativa sin rastro técnico y documental.
La tercera es comercial. En 2026 veremos a más de un proveedor vender la adhesión al código como si fuera una certificación oficial. Conviene pinchar ese globo antes de que despegue. No estamos ante un sello de conformidad del AI Act, ni ante una presunción legal cerrada, ni ante una exención supervisora. Estamos ante un instrumento de cumplimiento reconocido por la Comisión como adecuado. Es valioso. No es mágico.
El AI Act todavía se discute a menudo en términos abstractos: riesgos, principios, confianza, gobernanza. Bien. Pero cuando la supervisión madura, todo aterriza en una pregunta muy vieja y muy eficaz: enséñame la evidencia.
Si eres proveedor o deployer y decides apoyarte en este código, tu trabajo en 2026 no consiste solo en adoptar medidas. Consiste en poder demostrar, de forma consistente, que esas medidas existen, se aplican, se revisan y generan resultados verificables.
Eso exige al menos cuatro capas de evidencia.
La primera es documental: políticas internas, especificaciones de producto, criterios de clasificación de contenidos, procedimientos editoriales, contratos con clientes o proveedores, y decisiones de governance donde se asignen responsabilidades concretas.
La segunda es técnica: configuración de sistemas de marcado, registros de activación de avisos, pruebas de persistencia de señales, resultados de QA en diferentes formatos de salida, y logs que muestren cómo el sistema aplicó la transparencia exigida.
La tercera es operativa: formación a equipos de producto y contenido, circuitos de escalado, gestión de incidencias cuando el etiquetado falla, control de cambios y revisiones periódicas. Si tu empresa cambia de proveedor de modelo o introduce una nueva funcionalidad de síntesis, ese cambio debería disparar una revisión del cumplimiento. Si no ocurre, tienes un problema de gobernanza, no de IA.
La cuarta es externa: términos de uso, avisos al usuario, documentación API, notas para integradores y mecanismos para que terceros entiendan qué deben preservar o revelar. Gran parte del riesgo se desplaza a la interfaz entre tu sistema y el ecosistema donde se reutiliza el contenido. Ahí es donde suelen perderse las marcas, los disclaimers y, de paso, la paciencia del compliance officer.
Si publicas contenido para informar al público sobre asuntos de interés público, el artículo 50(5) te afecta bastante más de lo que muchas organizaciones quieren admitir. Y no solo a medios de comunicación en sentido clásico.
Piensa en una gran empresa cotizada que publica explicadores sobre resultados, sostenibilidad o riesgos de producto. Piensa en una administración pública que utiliza IA para redactar borradores informativos. Piensa en una plataforma que automatiza resúmenes de actualidad. Piensa en una fintech que genera contenido educativo sobre productos de inversión. Si el texto se dirige al público y versa sobre asuntos con relevancia pública, la obligación de revelar IA puede entrar en juego.
La tentación será buscar refugio en la excepción de revisión editorial humana. A veces procederá. Otras veces será un ejercicio de autoengaño. Un flujo donde un editor valida cientos de piezas en minutos no suena exactamente a control editorial sustantivo. Y si el texto lo publica una marca, no un medio, el regulador puede mirar con especial atención si el proceso estaba diseñado para informar o para inundar.
Aquí el código puede servir como disciplina útil. Obliga a hacer preguntas que muchas organizaciones han preferido esquivar mientras la IA generativa era un juguete de productividad. ¿Qué piezas requieren etiqueta visible? ¿Qué formatos preservan mejor la trazabilidad? ¿Cuándo basta con una revelación contextual y cuándo hace falta una indicación persistente? ¿Quién decide si un tema es de interés público? No son cuestiones semánticas; son decisiones de riesgo.
Para banca, seguros, gestoras, fintech y proveedores tecnológicos del sector financiero europeo, la noticia parece lateral. No lo es. El sector financiero lleva años acostumbrado a convivir con capas de cumplimiento superpuestas, y la IA generativa está añadiendo una más precisamente en las funciones donde la presión por automatizar es mayor: atención al cliente, generación de documentación, apoyo a asesores, marketing, prevención de fraude, operaciones y comunicación corporativa.
Si una entidad usa IA para producir contenido que llega al público, el artículo 50 puede tocar tanto a la función de comunicación como a negocio, legal y compliance. Si además la entidad reutiliza servicios de terceros, entra en juego un patrón conocido para cualquier lector de DORA: dependencia de proveedor, asignación contractual de responsabilidades, evidencia de control y supervisión continua. No es DORA, pero la lógica de gobierno de terceros suena sospechosamente familiar.
Hay un ángulo adicional para España y el resto de la UE: la convergencia entre AI Act, protección del consumidor y supervisión sectorial. Un banco que publique textos sintéticos sobre productos complejos, riesgos de inversión o condiciones comerciales no solo debería pensar en el artículo 50(5). También en normas de información precontractual, prácticas comerciales desleales y responsabilidad por comunicaciones engañosas. La etiqueta “generado con IA” no cura un mensaje incorrecto, incompleto o sesgado. Ni ante el supervisor financiero ni ante un juez.
Lo mismo vale para seguros. Si una aseguradora despliega avatares o audio sintético para explicar coberturas, exclusiones o siniestros, la obligación de transparencia del AI Act convive con deberes sectoriales de claridad y buena fe. Y si el contenido acaba pareciendo más fiable de lo que es por su forma de presentación, el riesgo reputacional se multiplica.
Una de las debilidades estructurales de cualquier régimen de etiquetado de contenido sintético es que el contenido rara vez permanece donde se creó. Se descarga, se recomprime, se recorta, se republica, se traduce, se incrusta, se convierte en captura de pantalla y se sube a otra plataforma. Todo eso puede cargarse metadatos, señales o avisos contextuales.
La Comisión no resuelve esa fragilidad con una opinión. Tampoco podía. Pero el problema está ahí, y es serio. Si la estrategia de cumplimiento de un proveedor se basa exclusivamente en marcas legibles por máquina que desaparecen al primer repost, el control sirve más para una demo que para un ecosistema real.
Por eso las empresas deberían evitar un enfoque monocanal. La transparencia robusta en 2026 exige combinar capas: marcas técnicas en origen, avisos visibles cuando el contexto lo exige, documentación para integradores, y controles contractuales cuando el contenido se redistribuye a través de terceros. No será perfecto. Pero es mejor que confiar en que internet, por una vez, preserve cuidadosamente tus metadatos.
Las plataformas también tienen aquí una responsabilidad práctica, aunque la noticia se centre en proveedores y deployers. Si sus flujos de publicación eliminan sistemáticamente trazas de origen o no permiten avisos persistentes, pueden convertirse en una trituradora de cumplimiento. Esa tensión entre diseño de plataforma y obligaciones regulatorias irá a más este año.
Lo ocurrido esta semana enseña cómo piensa Bruselas cuando una regulación ambiciosa choca con tecnologías que cambian demasiado deprisa. Primero aprueba obligaciones amplias en una norma dura. Después necesita códigos, orientaciones, estándares y evaluaciones de adecuación para que el mercado no se quede paralizado esperando claridad absoluta. Es una estrategia comprensible. También tiene costes.
El principal coste es que el cumplimiento se vuelve híbrido. Ya no basta con leer el reglamento; hay que seguir opiniones de la Comisión, evaluaciones del AI Board, futuros estándares armonizados, guías del AI Office y prácticas de vigilancia de mercado. Para grandes proveedores esto es gestionable. Para startups, pymes y equipos jurídicos pequeños, menos.
La ventaja es otra: la UE gana capacidad de ajuste sin reabrir el texto legal cada seis meses. El compromiso del AI Office de facilitar actualizaciones formales del código al menos cada dos años encaja con esa lógica. No resolverá todos los vacíos, pero permite evolucionar el instrumento sin tener que rehacer el edificio normativo.
La pregunta de fondo es si este modelo producirá suficiente seguridad jurídica o más bien una compliance economy permanente, donde cada empresa deba interpretar un mosaico de normas, guías y compromisos voluntarios. La respuesta honesta es: ambas cosas. Habrá más claridad operativa que hace seis meses, y también más trabajo para quien quiera hacerlo bien.
No hace falta dramatizar, pero tampoco mirar hacia otro lado. Si tu organización desarrolla, integra o despliega sistemas de IA generativa, esta opinión de la Comisión obliga a revisar decisiones concretas este mismo año.
Primero, identifica en qué parte de la cadena actúas: proveedor, deployer o ambas. Parece obvio, pero muchas empresas se describen como “plataforma” para no contestar la pregunta incómoda sobre quién responde por qué.
Segundo, mapea los casos de uso que entren en el perímetro de los artículos 50(2), 50(4) y 50(5): generación de audio, imagen, vídeo, texto sintético, deepfakes, contenidos informativos públicos, resúmenes automatizados, avatares, asistentes con salidas publicables y flujos API donde el cliente reutiliza outputs de cara al público.
Tercero, compara tus controles actuales con los compromisos del código. Si decides no adherirte, perfecto; pero entonces necesitas un marco alternativo igual de sólido y documentado. “Lo estamos evaluando” fue una frase útil en 2024. En 2026 empieza a sonar a evasiva.
Cuarto, revisa contratos y documentación externa. Si eres proveedor, tu cliente debe saber qué preserva la transparencia y qué la rompe. Si eres deployer, no puedes asumir que el proveedor resolverá por ti una obligación que recae en tu acto de publicación o despliegue.
Quinto, prepara evidencia. Porque esta historia no va solo de transparencia al usuario. Va de estar listo cuando un supervisor, un cliente institucional o un auditor interno te pregunte cómo lo estás haciendo exactamente.
Y sexto, evita el error más común: tratar la transparencia como un problema de UX que se arregla al final. No. Es una decisión de arquitectura, proceso y responsabilidad legal desde el inicio del caso de uso.
La opinión de la Comisión sobre este código voluntario es relevante precisamente porque no promete más de lo que puede dar. No crea inmunidad, no sustituye al AI Act y no convierte el cumplimiento en una casilla fácil de marcar. Hace algo más modesto y más útil: establece una referencia común para obligaciones que, hasta ahora, muchas empresas seguían tratando como notas al pie.
Eso cambia la conversación. A partir de este julio, quien opere IA generativa en la UE ya no podrá decir con demasiada credibilidad que no tenía una guía práctica reconocida a nivel europeo para abordar la transparencia de contenido generado por IA. Podrá discutir detalles técnicos, alcance, costes o límites. Lo que se ha terminado es la coartada de la indefinición total.
La ironía final es muy europea: el instrumento es voluntario, pero ignorarlo puede salir bastante caro. No por capricho regulatorio, sino porque la transparencia sobre contenido sintético ha dejado de ser una cuestión reputacional difusa. Ahora es una obligación operativa con artículos concretos detrás, una opinión formal de la Comisión delante y, previsiblemente, supervisión real después.
Si tu empresa genera contenido sintético y todavía no sabe cómo demostrar transparencia de punta a punta, la pregunta ya no es si el código te interesa. La pregunta es cuánto tiempo más quieres seguir confiando en disclaimers bonitos y metadatos frágiles.
Guía de referencia
Todo sobre Reglamento de IA (AI Act): artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en AI Act: clasificación de riesgo de tus sistemas de IA y obligaciones por nivel.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment AI Act.
El Reglamento de IA de la UE clasifica los sistemas por nivel de riesgo: inaceptable (prohibido), alto riesgo (sujeto a obligaciones estrictas), riesgo limitado (transparencia) y riesgo mínimo.
Gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividad, transparencia, supervisión humana y robustez/ciberseguridad, además de evaluación de conformidad.
El Reglamento entró en vigor en 2024 con una aplicación escalonada: las prohibiciones aplican antes y las obligaciones de alto riesgo se aplican de forma progresiva en los años siguientes.