EU AI Act y medios sintéticos: obligaciones de divulgación para empresas 2026
El artículo 50 del AI Act obliga desde agosto de 2026 a empresas que usen IA generativa a marcar y divulgar el contenido sintético. Quién debe cumplir, qué se exige y las sanciones.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl artículo 50 del Reglamento (UE) 2024/1689 — el AI Act — establece obligaciones directas de transparencia y marcado para cualquier empresa que utilice IA para generar o manipular imágenes, audio, vídeo o texto que se asemeje a personas o eventos reales. Estas obligaciones son aplicables desde el 2 de agosto de 2026. Afectan tanto a los proveedores de sistemas de IA como a los desplegadores — es decir, a las empresas que usan esos sistemas en sus procesos internos o de cara al cliente.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.
Qué exige el AI Act sobre los medios sintéticos
El AI Act define los "medios sintéticos" de manera amplia: imágenes, audio y vídeo generados o manipulados por IA que se parecen apreciablemente a personas reales, lugares u objetos existentes. Esta definición incluye los deepfakes — manipulaciones que buscan hacer pasar contenido artificial por auténtico — pero también fotografías publicitarias retocadas por IA, locuciones generadas y vídeos corporativos con avatares digitales.
El artículo 50 del AI Act — accesible en texto completo en EUR-Lex — estructura las obligaciones en cinco apartados:
- Art. 50(1): Los sistemas de IA que interactúan con personas (chatbots, asistentes virtuales) deben informar a los usuarios de que están hablando con una IA, salvo que ello sea evidente por el contexto.
- Art. 50(2): Los sistemas de reconocimiento de emociones y categorización biométrica deben informar a las personas expuestas a ellos.
- Art. 50(3): Los proveedores de sistemas que generan imágenes, audio o vídeo sintético que se asemeja a personas o eventos reales deben garantizar que el contenido lleve marcas técnicas legibles por máquina — metadatos o marcas de agua — que permitan su identificación como contenido generado por IA.
- Art. 50(4): Se prevé una excepción para usos legítimos como el arte, la sátira y la parodia, pero incluso en estos casos la divulgación sigue siendo obligatoria cuando exista riesgo significativo de engaño.
- Art. 50(5): Los proveedores de modelos de IA de uso general (GPAI) deben implementar soluciones técnicas que permitan la detección y el marcado del contenido generado por sus modelos.
La obligación central del artículo 50(3) es inequívoca: el contenido de IA que imita la realidad debe llevar una huella técnica identificable antes de su distribución. El incumplimiento puede derivar en sanciones de hasta 15 millones de euros o el 3 % de la facturación global anual (Art. 99 del Reglamento (UE) 2024/1689).
La escala del riesgo es concreta. Nuestra plataforma detecta que el 12 % de los intentos de fraude documental implican medios generados por IA, sobre un corpus de 180.000 documentos verificados mensualmente, con una tasa de detección del 94,8 %. La proliferación de contenido sintético no marcado ya complica la verificación documental y el KYC — un problema que el artículo 50 pretende atajar obligando a los generadores a marcar el contenido en origen. Para una visión más amplia del fraude documental con IA, consulte nuestro análisis sobre detección de fraude documental con IA en 2026.
Quién debe cumplir el artículo 50
El AI Act distingue entre dos categorías de obligados, con responsabilidades distintas:
Proveedores: Entidades que desarrollan o ponen en el mercado sistemas de IA — incluyendo GPAI — que generan contenido sintético. Son responsables de integrar las soluciones técnicas de marcado antes de que el sistema llegue al mercado o sea puesto en servicio en la UE.
Desplegadores: Empresas que utilizan sistemas de IA para generar o distribuir contenido sintético en el contexto de sus actividades profesionales. Son responsables de garantizar que los usuarios finales sean informados cuando el contenido con el que interactúan ha sido generado por IA.
| Actor | Obligación principal | Plazo |
|---|---|---|
| Proveedor de sistema de IA (imágenes/vídeo/audio sintéticos) | Integrar marcas legibles por máquina (metadatos / marcas de agua) en el contenido generado | 2 agosto 2026 |
| Proveedor de GPAI (modelos de uso general) | Implementar soluciones técnicas de detección y marcado | 2 agosto 2025 (Capítulo V) |
| Desplegador (empresa usuaria de IA) | Divulgar al usuario final que el contenido es generado por IA | 2 agosto 2026 |
| Proveedor de chatbot / asistente virtual | Informar al usuario de que interactúa con una IA | 2 agosto 2026 |
| Cualquier entidad que use reconocimiento de emociones | Notificar a las personas expuestas | 2 agosto 2026 |
En la práctica, la frontera entre proveedor y desplegador puede ser difusa. Una agencia de marketing que usa una API de generación de imagen para crear contenido de campaña actúa como desplegadora y asume la obligación de divulgación. Un estudio que construye su propia herramienta de generación de vídeo actúa como proveedor y asume la obligación de marcado técnico.
Las empresas establecidas fuera de la UE que ofrezcan sistemas de IA o contenido sintético a destinatarios en la UE también quedan bajo el ámbito de aplicación del reglamento.
Requisitos técnicos: marcado y estándar C2PA
La obligación de marcado del artículo 50(3) no es simplemente añadir un aviso visible. Exige marcas técnicas legibles por máquina que puedan ser verificadas automáticamente. El estándar de referencia de la industria es C2PA (Coalition for Content Provenance and Authenticity), disponible en c2pa.org.
C2PA define un formato de credenciales de contenido que se incrusta en los metadatos del archivo — en imágenes JPG/PNG, vídeos MP4/MOV, archivos de audio y documentos PDF. Estas credenciales incluyen:
- El origen del contenido (generado por IA, editado por IA, capturado por cámara)
- La identidad del firmante (proveedor del sistema de IA)
- Una cadena de custodia criptográfica que detecta modificaciones posteriores
El estándar C2PA ha sido adoptado por Adobe, Microsoft, Google, Meta y los principales fabricantes de cámaras. Las credenciales son verificables mediante lectores públicos y APIs, lo que permite a sistemas como los de verificación documental identificar automáticamente el contenido marcado.
Para los archivos que no admiten metadatos embebidos, el artículo 50(5) permite el uso de marcas de agua robustas — señales imperceptibles integradas en el contenido audiovisual que persisten tras la compresión y la edición ligera. La Oficina de IA Europea, cuya actividad puede seguirse en el portal de la Estrategia Digital Europea, publicará directrices técnicas específicas antes de la fecha de aplicación.
En España, el marco de la Estrategia Nacional de Inteligencia Artificial (ENIA 2.0) contempla el desarrollo de capacidades técnicas nacionales de verificación de contenido, en coordinación con los requisitos del AI Act.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasSanciones por incumplimiento
El régimen sancionador del AI Act está regulado en el artículo 99 del Reglamento (UE) 2024/1689. Las sanciones por incumplimiento de las obligaciones de transparencia del artículo 50 son:
| Tipo de infracción | Sanción máxima |
|---|---|
| Violación de prácticas prohibidas (Art. 5) | 35 millones EUR o 7 % de la facturación global anual |
| Incumplimiento de otras obligaciones, incluida transparencia (Art. 50) | 15 millones EUR o 3 % de la facturación global anual |
| Información incorrecta a las autoridades | 7,5 millones EUR o 1 % de la facturación global anual |
| Pymes — tope aplicable | El menor entre el tope porcentual y el tope absoluto |
Para las pymes — que representan más del 99 % del tejido empresarial español — el artículo 99(3) establece límites específicos adaptados a su volumen de negocio. Sin embargo, esto no exime del cumplimiento de las obligaciones sustantivas; solo limita el importe máximo de la sanción.
En España, la AEPD (Agencia Española de Protección de Datos) y el Ministerio de Economía han sido designados como autoridades de vigilancia del mercado de IA. La AEPD — cuya actividad puede consultarse en www.aepd.es — coordinará con la Oficina de IA Europea la aplicación del reglamento, particularmente en los aspectos relacionados con datos personales y medios sintéticos que incluyan imágenes de personas identificables.
El SEPBLAC coordinará con las autoridades de supervisión del AI Act en los casos en que el uso de medios sintéticos esté relacionado con blanqueo de capitales, un nexo relevante dado el creciente uso de deepfakes en fraude financiero. Para los marcos de cumplimiento antiblanqueo relacionados, consulte nuestra guía de cumplimiento AMLD6.
Calendario de aplicación del AI Act
El Reglamento (UE) 2024/1689 fue publicado en el Diario Oficial el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024. La aplicación es escalonada:
| Fecha | Obligación |
|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento (UE) 2024/1689 |
| 2 febrero 2025 | Aplicación de las prohibiciones del artículo 5 (prácticas de IA prohibidas) |
| 2 agosto 2025 | Aplicación de las obligaciones para modelos GPAI (Capítulo V), incluido Art. 50(5) |
| 2 agosto 2026 | Aplicación plena: sistemas de IA de alto riesgo (Anexo III) y obligaciones de transparencia/medios sintéticos (Art. 50) |
El plazo hasta agosto de 2026 puede parecer amplio, pero la implementación técnica del marcado C2PA requiere integración con los flujos de producción de contenido, auditoría de todos los sistemas de IA en uso y posibles revisiones contractuales con proveedores externos de IA.
Lista de verificación práctica para empresas
Las empresas que generan o distribuyen contenido con herramientas de IA deben completar los siguientes pasos antes del 2 de agosto de 2026:
1. Inventariar los sistemas de IA que generan contenido sintético. Catalogar todas las herramientas utilizadas para generar imágenes, vídeos, audios o textos que se asemejen a personas o eventos reales. Incluir tanto herramientas internas como APIs de terceros.
2. Clasificar el rol de la empresa. Determinar si actúa como proveedor (desarrolla o pone en el mercado el sistema) o como desplegador (usa el sistema de un tercero). En muchos casos, una empresa puede ser ambas cosas para distintos sistemas.
3. Verificar las capacidades de marcado de los proveedores. Si se usan APIs de terceros (como modelos de generación de imagen o vídeo), confirmar que el proveedor cumplirá con el artículo 50(3)/(5) e implementará marcas C2PA antes de agosto de 2026.
4. Implementar mecanismos de divulgación al usuario final. Para el contenido generado por IA que se publique o comparta, diseñar avisos claros y visibles — y marcas técnicas embebidas — que informen del carácter sintético del contenido.
5. Actualizar contratos y políticas internas. Los contratos con proveedores de IA deben incluir cláusulas de cumplimiento del artículo 50. Las políticas internas de uso de IA deben documentar los procedimientos de marcado y divulgación.
6. Establecer un proceso de verificación del marcado. Implementar controles que confirmen que el contenido generado por IA lleva efectivamente las marcas requeridas antes de su distribución. Considere herramientas de verificación de credenciales C2PA en los flujos de aprobación de contenido.
7. Documentar el cumplimiento. Mantener registros auditables de los sistemas de IA en uso, los proveedores, las evaluaciones de conformidad y los procedimientos de marcado. Estos registros serán solicitados por las autoridades en caso de inspección.
CheckFile ofrece capacidades de verificación documental que detectan contenido generado por IA y verifican la integridad de metadatos. Explore nuestras soluciones de verificación documental para organizaciones que necesitan identificar documentos sintéticos en sus flujos de KYC y cumplimiento. Para más información sobre nuestra infraestructura de seguridad, consulte nuestra seguridad.
Para una visión completa del cumplimiento documental en España y la UE, consulte nuestra guía de conformidad documental.
Preguntas frecuentes
¿Qué son exactamente los "medios sintéticos" bajo el AI Act?
El AI Act no usa el término "medios sintéticos" con una definición legal única, pero el artículo 50(3) cubre las imágenes, audio y vídeo generados o manipulados por IA que se parecen apreciablemente a personas reales, lugares o eventos. Esto incluye deepfakes, avatares digitales generados por IA, voces sintéticas de personas reales, fotografías generadas por modelos de difusión y vídeos con personas virtuales. No incluye contenido claramente artificial como dibujos animados o gráficos abstractos sin parecido con personas reales.
¿Las empresas que solo usan herramientas de IA de terceros tienen obligaciones?
Sí. El artículo 50 del AI Act establece obligaciones tanto para los proveedores (quienes desarrollan los sistemas) como para los desplegadores (quienes los usan en sus actividades). Una empresa que usa una API de generación de imagen para crear campañas publicitarias es desplegadora y debe garantizar que el contenido resultante incluya avisos de divulgación y, en la medida en que el proveedor de la API lo facilite, marcas técnicas. Si el proveedor de IA no cumple con el artículo 50(5), el desplegador debe implementar sus propias soluciones de marcado.
¿La excepción de sátira y parodia exime de todas las obligaciones?
No. El artículo 50(4) reconoce que el arte, la sátira y la parodia son usos legítimos que pueden generar contenido sintético sin necesidad de obtener consentimiento previo. Sin embargo, incluso en estos casos, la divulgación del carácter sintético del contenido sigue siendo obligatoria cuando existe un riesgo significativo de que el público sea engañado. La excepción reduce la restricción sobre el tipo de contenido que puede generarse, pero no elimina la obligación de informar al público.
¿Cómo afecta el AI Act a los documentos de identidad sintéticos?
El AI Act no regula directamente el fraude documental, pero el artículo 50 crea un ecosistema de marcado que, a largo plazo, permitirá identificar qué documentos fueron generados o manipulados por IA. Para las organizaciones que verifican documentos, la ausencia de marcas C2PA en un documento que debería tenerlas puede ser un indicador de alerta. Los sistemas de verificación documental como CheckFile ya incorporan análisis forense para detectar contenido generado por IA, incluso antes de que el ecosistema de marcado esté plenamente desplegado.
¿Cuáles son las próximas orientaciones regulatorias para el artículo 50?
La Oficina de IA Europea publicará directrices técnicas antes del 2 de agosto de 2026 sobre los métodos técnicos aceptables para el marcado de contenido sintético. La AEPD publicará orientaciones específicas para el contexto español, especialmente en los casos en que el contenido sintético incluya datos personales de personas identificables. Se espera también que las autoridades europeas actualicen las directrices sobre el estándar C2PA como implementación preferida del artículo 50(3).
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.