Tu chatbot de atención al cliente incumple la ley desde el 2 de agosto. Y no porque hayas hecho algo mal, sino porque probablemente no sabes que el artículo 50 del AI Act ya te obliga.
Desde el 2 de agosto de 2026, cualquier autónomo o pyme que use un chatbot, genere imágenes con IA o publique textos de interés público producidos por sistemas automatizados tiene obligaciones legales concretas de transparencia. No hace falta desarrollar IA. No hace falta ser una empresa tecnológica. Basta con usar una herramienta de un tercero —ChatGPT, Midjourney, ElevenLabs, Adobe Firefly— para que el Reglamento (UE) 2024/1689 te alcance de lleno.
Esta guía desarrolla de forma exhaustiva las obligaciones del artículo 50, las excepciones, las sanciones y un plan de acción realista para llegar a agosto con todo en orden. Está basada en el texto del AI Act y en el borrador de Directrices de la Comisión Europea que se encontraba en consulta pública a la fecha de publicación. Descarga el documento completo en PDF al final del artículo.
Lo que el artículo 50 regula, y lo que no
El artículo 50 del AI Act no es la parte del Reglamento que habla de sistemas de alto riesgo, ni la que impone auditorías exhaustivas. Es, técnicamente, el capítulo de transparencia. Su lógica es sencilla y casi intuitiva: nadie debería ser engañado pensando que habla con una persona cuando en realidad habla con una máquina, ni debería creer que una imagen o un vídeo es real cuando ha sido creado artificialmente.
El artículo no exige que las pymes contraten auditores externos ni que construyan sistemas de gobernanza complejos. Exige, fundamentalmente, tres cosas: avisar, marcar y documentar. El problema —y aquí está la trampa práctica para autónomos y pequeños negocios— es que esas tres cosas tienen requisitos técnicos y temporales muy concretos que no siempre resultan evidentes.
Hay cuatro obligaciones diferenciadas en el artículo 50. Cada una se dirige a un tipo de sistema o de contenido diferente. Y lo que conviene entender desde el principio es que un mismo sistema puede activar varias de ellas a la vez: un chatbot que además genera imágenes está sujeto simultáneamente al apartado primero y al segundo del artículo.
Conviene también aclarar qué queda fuera. El uso puramente personal y no profesional no activa el artículo 50. Tampoco lo hace la investigación científica pura sin puesta en servicio, ni el software de código abierto que no realice ninguna de las funciones que el artículo describe. Sin embargo —y esto es un matiz que el borrador de Directrices subraya expresamente— la exclusión de "actividad personal" no ampara a quien genera un deep fake de un político y lo comparte en redes sociales con impacto público, aunque no tenga ánimo de lucro. El criterio relevante no es si se gana dinero, sino si hay impacto público.
Proveedor o desplegador: la distinción que lo cambia todo
Antes de analizar cada obligación, es imprescindible identificar el rol que se ocupa en la cadena de IA. El AI Act distingue dos figuras principales, y la confusión entre ambas es una de las razones por las que muchas pymes asumen erróneamente que el Reglamento no les afecta.
El proveedor es quien desarrolla o encarga el desarrollo de un sistema de IA y lo pone en el mercado bajo su nombre o marca. El desplegador es quien usa ese sistema bajo su propia responsabilidad y decide cómo y para qué se utiliza. Una clínica que contrata un chatbot de terceros para atender a sus pacientes es desplegadora. Una agencia de marketing que usa Midjourney para crear imágenes para sus clientes es desplegadora. Un medio digital que publica artículos redactados con asistencia de IA es desplegador.
La consecuencia práctica es directa: si usas una herramienta de IA de un tercero para tu negocio, eres tú —como desplegador— el responsable de que los avisos se muestren correctamente, de que el contenido esté etiquetado y de que las personas expuestas estén informadas. No puedes delegar esa responsabilidad al proveedor de la herramienta alegando que "la IA es de otro". El proveedor tiene sus propias obligaciones, pero las tuyas son también propias e independientes.
Una misma empresa puede ser proveedora en un proyecto —si desarrolla y vende una solución de IA a terceros— y desplegadora en otro —cuando usa internamente una herramienta ajena—. Por eso conviene completar una ficha por cada sistema de IA en uso, no una sola ficha global para toda la empresa.
La primera obligación: cuando tu IA habla con personas
El apartado primero del artículo 50 afecta a cualquier sistema de IA que interactúe directamente con personas físicas: chatbots de atención al cliente, asistentes de voz, robots conversacionales, avatares virtuales. La obligación es que esas personas sepan, antes o en el momento de iniciar la interacción, que no están hablando con un humano.
El aviso debe darse antes o al inicio de la primera interacción. Esto es literal. No vale ponerlo en los términos y condiciones. No vale enterrarlo en un enlace de la página de privacidad. El borrador de Directrices es claro al respecto: si hay duda sobre si el aviso es suficientemente prominente, probablemente no lo es.
¿Qué formatos son válidos? Los más habituales son banners de texto al inicio de la sesión, mensajes iniciales del chatbot que se identifica explícitamente como IA, iconos o indicadores visuales persistentes durante toda la conversación, y mensajes de voz al inicio de llamadas automáticas. Lo que explícitamente no vale es mencionar solo términos como "asistente" o "tecnología LLM" sin aclarar que no se trata de una persona.
Hay matices adicionales que merecen atención. Si el público puede incluir menores, el aviso debe usar lenguaje y formato adaptados a su edad. Si puede incluir personas con discapacidad, debe asegurarse un formato accesible. Para conversaciones largas o emocionalmente sensibles —asistencia en salud, soporte emocional, asesoramiento psicológico— conviene incluir recordatorios periódicos del carácter artificial del sistema, no solo al inicio.
Los agentes de IA autónomos —sistemas que actúan solos para completar tareas como navegar por internet, enviar correos o gestionar calendarios— también están cubiertos por esta obligación. Deben identificarse como IA en toda interacción con personas. El borrador de Directrices añade que si el proveedor no puede anticipar cuándo habrá una persona al otro lado, el agente debe identificarse siempre por defecto.
Existe una excepción: la llamada "interacción evidente", que se aplica cuando es absolutamente obvio para cualquier persona razonablemente informada que está interactuando con una IA. Pero esta excepción es más estrecha de lo que parece. Exige un análisis caso a caso que tenga en cuenta la composición de la audiencia, incluyendo la posible presencia de menores, personas mayores o personas con menor alfabetización digital. Una herramienta de asistencia de código accesible solo para desarrolladores profesionales puede acogerse a esta excepción. Un chatbot de atención al cliente de un e-commerce de acceso público, no.
La segunda obligación: marcar lo que la IA genera o modifica
Si se usa IA para generar o modificar imágenes, audios, vídeos o textos de forma sustancial, el contenido resultante debe estar marcado técnicamente para que pueda identificarse como generado o manipulado por IA. Esta es quizá la obligación técnicamente más exigente, y la que más sorprende a las pymes cuando la descubren.
El borrador de Directrices establece que esta obligación tiene dos partes acumulativas, ambas obligatorias: el marcado en formato legible por máquina, y la existencia de un sistema de detección disponible para el público que permita identificar ese marcado y producir un resultado comprensible para personas.
El estándar de referencia para el marcado legible por máquina es el C2PA (Coalition for Content Provenance and Authenticity), un protocolo técnico internacional impulsado por Adobe, Microsoft y Google. Herramientas como Adobe Firefly, DALL-E 3 o Bing Image Creator ya incorporan soporte C2PA de forma nativa, lo que significa que parte del marcado puede gestionarse automáticamente si se usan esas herramientas. Conviene preguntar al proveedor de cada herramienta si ya incluye soporte C2PA y documentar la respuesta en la ficha del sistema.
El marcado debe ser efectivo, interoperable —funcionar con herramientas de terceros, no solo con la del proveedor original—, robusto —resistir manipulaciones razonables— y fiable. En el estado actual de la tecnología, puede ser necesario combinar varias técnicas: por ejemplo, metadatos C2PA más un watermark perceptible.
Ahora bien, ¿qué ocurre si no existe herramienta de detección disponible para un formato concreto? No para todos los tipos de contenido existe aún una solución de detección pública e interoperable. En ese caso, la guía propone aplicar el principio de mejor esfuerzo: documentar qué técnica se ha aplicado, por qué se considera la más robusta disponible, y revisar periódicamente si aparecen nuevas soluciones. Las autoridades de control —en España, la AESIA— valorarán la buena fe y el esfuerzo documental.
¿Cuándo no aplica esta obligación? Las correcciones ortográficas y gramaticales menores no están cubiertas. Tampoco los ajustes técnicos de formato, compresión o reducción de ruido, ni los pequeños recortes o correcciones de color sin alterar el significado. La línea divisoria es si la IA altera sustancialmente el contenido original o su significado semántico. Lo que sí está incluido, aunque a veces sorprenda: traducciones con alteración sustancial, resúmenes que modifican el significado original, añadir o eliminar objetos en imágenes, clonar voces, crear imágenes o vídeos desde cero.
La tercera obligación: informar cuando la IA analiza emociones o biometría
Si el sistema analiza expresiones faciales para inferir si una persona está contenta, triste o estresada, o si clasifica características biométricas como edad, género o etnia, las personas analizadas deben saberlo en el lugar y momento en que son expuestas al sistema.
No es suficiente con incluir esta información en la política de privacidad. Debe informarse en el punto de uso: un cartel visible, un pop-up, un mensaje previo al acceso al servicio. Y conviene guardar evidencia fotográfica o captura de pantalla del aviso como prueba de cumplimiento.
Esta obligación se aplica a todo sistema de reconocimiento de emociones o de categorización biométrica, independientemente de que sea o no considerado de alto riesgo según la clasificación general del AI Act. No hay umbral de riesgo que la excluya.
Hay además una capa adicional de obligaciones que esta actividad activa en paralelo: el RGPD. Los datos biométricos y los relativos a estados emocionales de personas identificables son datos de categoría especial según el artículo 9 del Reglamento General de Protección de Datos. Esto exige base jurídica específica, información en la política de privacidad y, en muchos casos, una Evaluación de Impacto sobre la Protección de Datos (DPIA). El cumplimiento del artículo 50 del AI Act no sustituye al cumplimiento del RGPD; ambos corren en paralelo.
La cuarta obligación: deep fakes y textos de interés público
El apartado cuarto del artículo 50 se divide en dos partes con lógicas distintas aunque relacionadas.
La primera parte cubre los deep fakes: imágenes, audios o vídeos generados o manipulados por IA que se asemejan a algo real —personas, lugares, objetos, eventos— y que podrían llevar a pensar que son auténticos. Si se publican este tipo de contenidos en el contexto de una actividad profesional, deben etiquetarse de forma clara y perceptible, sin que la persona necesite usar herramientas técnicas para detectarlo. La etiqueta debe estar presente desde el inicio del contenido, no al final, y debe ser visible a simple vista.
Hay una modulación importante para obras artísticas o satíricas: la etiqueta sigue siendo obligatoria, pero puede aplicarse de forma que no arruine la experiencia —en los créditos, en la descripción, en el pie de imagen—. El borrador de Directrices confirma expresamente que la obligación no desaparece por tratarse de una obra artística o de sátira política.
La segunda parte del apartado cuarto cubre los textos de interés público generados o modificados con IA. Si se publican textos con el objetivo de informar al público sobre asuntos de interés general —política, salud, economía, medio ambiente, cultura con impacto social—, debe revelarse que han sido generados por IA, salvo que se cumplan acumulativamente dos condiciones.
La primera condición es que el texto haya sido revisado por una persona con la competencia adecuada y se haya ejercido un control editorial sustancial. Esto no significa releer el texto o corregir un par de errores ortográficos. Significa verificación de hechos, evaluación crítica y reformulación de secciones si es necesario. La segunda condición es que una persona física o jurídica asuma públicamente y de forma verificable la responsabilidad editorial de la publicación, con su identidad disponible en un lugar fácilmente accesible.
Si "revisión humana" equivale a pulsar el botón de publicar, la excepción no aplica. Y si aplica la excepción, conviene documentarla con la Plantilla E que la guía incluye, porque en caso de inspección será necesario acreditarla.
Las sanciones: por qué el 2 de agosto no es una fecha simbólica
El incumplimiento de las obligaciones del artículo 50 puede dar lugar a sanciones administrativas de hasta 15.000.000 euros o el 3% de la facturación mundial anual —aplicándose la cifra mayor— para empresas, autónomos y pymes. Para personas físicas el límite se reduce a 750.000 euros. Las instituciones, organismos y agencias de la UE tienen un régimen sancionador específico y separado.
Hay un factor mitigante relevante: si la empresa está adherida a un código de conducta aprobado por la Oficina de IA de la UE como adecuado para el cumplimiento del artículo 50, esa adhesión y su cumplimiento efectivo se considera un elemento que puede reducir la sanción en el procedimiento administrativo.
En España, la autoridad competente para supervisar el cumplimiento del AI Act es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), adscrita al Ministerio para la Transformación Digital y de la Función Pública. Es el organismo ante el que se tramitarán las inspecciones, ante el que pueden presentarse consultas preventivas y ante el que se tramitarán los expedientes sancionadores.
Conviene recordar, ante estos números, que la existencia de documentación ordenada y actualizada es el argumento más sólido para demostrar buena fe y diligencia, incluso si el cumplimiento técnico es imperfecto en algún punto. Las autoridades de control no buscan empresas con sistemas perfectos; buscan empresas que hayan tomado el cumplimiento en serio.
Retroactividad y contenidos anteriores al 2 de agosto
Una pregunta que genera mucha confusión práctica: ¿qué pasa con el contenido generado con IA antes del 2 de agosto de 2026?
La respuesta es clara: no es necesario marcarlo retroactivamente. Los contenidos producidos antes de la fecha de aplicación no requieren ser revisados ni etiquetados con carácter retroactivo. Sin embargo —y aquí está el matiz que el borrador de Directrices subraya expresamente— si esos contenidos se vuelven a distribuir activamente después del 2 de agosto, la obligación de marcado aplica desde ese momento de redistribución activa. El criterio relevante no es la fecha de generación, sino la fecha de distribución activa.
Esto tiene implicaciones prácticas para cualquier empresa que tenga un archivo de imágenes, vídeos o textos generados con IA que continúa usando en sus comunicaciones o redes sociales. Si esos materiales se siguen publicando, compartiendo o enviando después del 2 de agosto, activarán la obligación de marcado desde ese momento.
Un plan de acción realista para llegar en orden
La guía propone un itinerario concreto para quienes parten desde cero y necesitan llegar al 2 de agosto con las obligaciones cubiertas. No es un plan pensado para grandes corporaciones; está diseñado para la realidad operativa de autónomos y pymes.
En el primer día, el objetivo es inventariar todos los sistemas de IA en uso e identificar el rol —proveedor o desplegador— en relación con cada uno. Esto genera claridad inmediata sobre qué obligaciones aplican y cuáles no.
En la primera semana, deben redactarse y activarse los avisos para los sistemas interactivos, crear fichas individuales para cada sistema de IA y elegir el método de marcado técnico. También conviene identificar a una persona interna que asuma la responsabilidad de gestión del cumplimiento.
En el primer mes, deben implementarse la solución de marcado y detección para los contenidos generados, instalar los avisos para sistemas biométricos o de emociones si los hay, establecer el flujo editorial o el sistema de etiquetado de contenidos, y completar una formación básica para el equipo.
A partir de ahí, el cumplimiento es una actividad continua, no un proyecto con fecha de fin. La guía propone revisiones trimestrales que incluyan auditoría interna simple, revisión de excepciones aplicadas, prueba del marcado técnico y actualización de la documentación.
Las plantillas como herramienta de evidencia
Uno de los elementos más útiles de la guía son las seis plantillas incluidas para documentar el cumplimiento: la ficha de inventario del sistema de IA, el aviso para chatbots y asistentes de voz, el registro de marcado técnico de contenido generado, el registro de etiquetado de deep fakes, la plantilla para documentar la excepción editorial en textos de interés público, y el registro de incidencias de cumplimiento.
Estas plantillas no son burocracia por sí mismas. Son la evidencia que necesitaría presentar ante la AESIA en caso de inspección. Una empresa que tenga estas fichas cumplimentadas, actualizadas y archivadas —en una carpeta física o digital denominada "Cumplimiento AI Act Art. 50"— puede demostrar que ha adoptado una postura activa frente al Reglamento, lo que tiene valor mitigante incluso si algún elemento técnico resulta imperfecto.
Lo que el borrador de Directrices añade y que todavía puede cambiar
El borrador de Directrices de la Comisión Europea —en consulta pública a la fecha de esta guía— aclara varios aspectos que el texto del Reglamento dejaba abiertos. Los más relevantes para pymes son los siguientes.
Sobre los agentes de IA autónomos: están cubiertos por los apartados primero y segundo del artículo 50. Deben identificarse como IA en cualquier interacción probable con personas. Si el proveedor no puede anticipar cuándo habrá una persona al otro lado, el agente debe identificarse siempre por defecto.
Sobre la excepción de "interacción evidente": requiere análisis caso a caso considerando la audiencia objetivo, la presencia de grupos vulnerables y el nivel de alfabetización digital del público. No puede invocarse de forma genérica.
Sobre la excepción editorial para textos de interés público: las dos condiciones —revisión editorial sustancial e identificación pública del responsable editorial— son acumulativas. No basta con cumplir una de ellas.
Sobre la retroactividad del marcado: confirmada la regla de que el criterio es la fecha de distribución activa, no la de generación.
Es importante recordar que estas son directrices en borrador. Pueden modificarse antes de su adopción definitiva. Se recomienda revisar la versión final cuando se publique, y actualizar los procedimientos internos si hay cambios relevantes.
Conclusiones: lo que debe hacer un jurista o empresario después de leer esto
- Inventariar todos los sistemas de IA en uso antes del 2 de agosto de 2026 e identificar el rol —proveedor o desplegador— en relación con cada uno.
- Activar avisos visibles al inicio de toda interacción con sistemas conversacionales: un mensaje claro, prominente y en el momento correcto, no enterrado en términos y condiciones.
- Implementar marcado técnico legible por máquina —C2PA o equivalente— para todo el contenido generado o modificado sustancialmente por IA, y verificar que existe una solución de detección disponible.
- Colocar avisos en el punto de uso para cualquier sistema que detecte emociones o clasifique características biométricas, y revisar en paralelo las obligaciones bajo el RGPD.
- Etiquetar de forma perceptible todo deep fake publicado en el contexto de actividad profesional, incluidos los de naturaleza artística o satírica.
- Documentar en la Plantilla E cualquier excepción editorial que se aplique a textos de interés público, acreditando las dos condiciones acumulativas.
- Crear y mantener una carpeta de cumplimiento con las fichas, capturas y registros que permita responder ante la AESIA en caso de inspección.
- Consultar con un profesional jurídico especializado en los casos de uso sensible: sistemas de salud, entornos con menores, biometría o alto impacto económico o reputacional.
La guía completa en PDF —con checklists, plantillas rellenables y calendario de revisiones— está disponible para descarga directa: Descargar Guía Art. 50 AI Act (PDF).
Artículos relacionados
Próximamente más análisis relacionados.