Código de Prácticas sobre marcado de contenido IA: el nuevo estándar del AI Act
El 10 de junio de 2026, la Comisión Europea publicó el texto final del Código de Prácticas sobre marcado y etiquetado de contenido generado por inteligencia artificial. La fecha no es casual: el instrumento llega exactamente ocho semanas antes de que las obligaciones de transparencia del artículo 50 del Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial, en adelante RIA) pasen a ser plenamente aplicables, el 2 de agosto de 2026. Lo que la Comisión pone sobre la mesa no es una norma jurídicamente vinculante, sino algo más sofisticado y, en cierto modo, más inquietante: un instrumento voluntario que está destinado a convertirse en el patrón de facto con el que se medirá el cumplimiento de obligaciones legales reales.
La tensión entre voluntariedad formal y necesidad práctica vertebra todo el análisis que sigue. Comprender el Código exige antes reconstruir el ecosistema normativo en el que opera, examinar los documentos que lo acompañan y evaluar qué margen queda para interpretaciones alternativas.
La arquitectura normativa del artículo 50 y su peculiar estructura de desarrollo
El artículo 50 RIA establece un régimen de transparencia horizontal aplicable a dos categorías de actores: proveedores y operadores de sistemas de IA generativa. Su lógica interna es asimétrica. Los proveedores soportan una obligación técnica —marcar en formato legible por máquina los resultados generados por sus sistemas— mientras que los operadores asumen una obligación de información orientada al usuario final: revelar la naturaleza artificial de los contenidos que publican o difunden.
El precepto articula cuatro supuestos de aplicación diferenciados. El primero, recogido en el apartado 2, obliga a los proveedores a garantizar que los resultados de los sistemas de IA generativa estén marcados en un formato legible por máquina y sean detectables como generados o manipulados artificialmente. El segundo y tercero, contenidos en el apartado 4, exigen que los operadores informen sobre la naturaleza artificial del contenido cuando se trate de imágenes, audio o vídeo que constituyan una falsificación profunda (deepfake) o cuando el contenido textual, generado o manipulado con IA, se publique con la finalidad de informar al público sobre asuntos de interés general. El apartado 5, de carácter transversal, establece requisitos sobre la forma en que debe proporcionarse esa información, con especial atención a la legibilidad y accesibilidad para el destinatario.
Conviene detenerse en la excepción del artículo 50(4). La obligación de revelar el origen artificial del texto no se aplica cuando la publicación ha sido sometida a un proceso de revisión humana y está sujeta a responsabilidad editorial. Este dispositivo tiene implicaciones sistémicas que el Código de Prácticas ha tenido que abordar con especial cuidado, como se verá más adelante.
Los documentos publicados: descripción e inventario
La publicación del 10 de junio no se limita al texto final del Código. La Comisión ha articulado un conjunto documental completo que conviene enumerar y describir con precisión, dado que cada pieza cumple una función diferente en el ecosistema de cumplimiento.
1. Código de Prácticas final sobre marcado y etiquetado de contenido generado por IA
Documento central. Disponible en: https://digital-strategy.ec.europa.eu/es/news/commission-publishes-code-practice-marking-and-labelling-ai-generated-content
Es el instrumento principal, fruto de siete meses de trabajo colaborativo entre la Oficina de IA y cientos de participantes procedentes de la industria, la academia y la sociedad civil. El texto se estructura en dos secciones que reflejan la dualidad normativa del artículo 50.
La Sección 1 está dirigida a los proveedores de sistemas de IA generativa y se centra en las obligaciones de marcado y detección en virtud del artículo 50(2). El Código adopta un enfoque de doble capa: por un lado, metadatos seguros integrados en el contenido (con referencia explícita a estándares abiertos como C2PA, Coalition for Content Provenance and Authenticity); por otro, marcas de agua (watermarking) resistentes a manipulaciones. El fingerprinting y el registro de trazabilidad (logging) se configuran como medidas opcionales. Se establecen protocolos de detección y verificación, y se impone un requisito de interoperabilidad que busca evitar que cada proveedor implemente soluciones propietarias incompatibles entre sí.
La Sección 2 está dirigida a los operadores (deployers) y aborda el etiquetado de falsificaciones profundas y publicaciones textuales sobre asuntos de interés general bajo el artículo 50(4). El texto incorpora compromisos escalonados: obligación de divulgación visible para el usuario, procedimientos documentados que acrediten la existencia de revisión humana y responsabilidad editorial cuando se invoque la excepción del apartado 4, y mecanismos de gobernanza interna que permitan acreditar el cumplimiento. Una novedad significativa respecto a los borradores anteriores es la eliminación completa de la taxonomía que distinguía entre contenido generado por IA y contenido asistido por IA, simplificación que reduce la carga de cumplimiento pero que abre interrogantes sobre el alcance exacto de las obligaciones en los supuestos intermedios.
El Código incorpora además un icono europeo estandarizado —un símbolo "IA" de diseño específico— destinado a unificar visualmente la señalización de contenidos artificiales. Su adopción reduce costes de cumplimiento y facilita el reconocimiento por parte del usuario, aunque su eficacia depende de la velocidad con que se extienda su uso.
2. Primer borrador del Código de Prácticas (17 de diciembre de 2025)
Disponible en: https://digital-strategy.ec.europa.eu/en/library/first-draft-code-practice-transparency-ai-generated-content
El punto de partida del proceso. Este primer borrador, publicado el 17 de diciembre de 2025, fue el resultado del trabajo inicial de los grupos de expertos independientes designados por la Oficina de IA. Su estructura ya anticipaba la división en dos secciones —proveedores y operadores— y estableció el perímetro de los compromisos. Sin embargo, su mayor complejidad y la carga de cumplimiento más elevada que imponía motivaron reacciones críticas por parte de la industria durante el período de consulta (abierto hasta el 23 de enero de 2026). La taxonomía IA-generado / IA-asistido, finalmente eliminada en el texto definitivo, debutó en este documento con un nivel de granularidad que muchos actores consideraron operativamente inviable.
3. Segundo borrador del Código de Prácticas (5 de marzo de 2026)
Publicado el 5 de marzo de 2026, este segundo borrador integró las observaciones escritas recibidas durante la primera ronda de consultas, así como las aportaciones de las reuniones de los grupos de trabajo celebradas en enero de 2026. La versión es notablemente más compacta y flexible. La Sección 1 introdujo el enfoque de doble capa (metadatos seguros + marcas de agua) como estructura consolidada, eliminando o consolidando varias medidas del primer borrador e incorporando elementos opcionales. La Sección 2 adoptó una orientación más pragmática y orientada a la práctica. La Comisión anunció en este momento que esperaba finalizar el Código a principios de junio de 2026.
4. Directrices sobre las obligaciones de transparencia del artículo 50 (borrador, 8 de mayo de 2026)
Este documento ocupa un espacio diferente en la arquitectura normativa. Mientras el Código de Prácticas ofrece soluciones técnicas y compromisos prácticos de cumplimiento, las Directrices abordan la dimensión jurídica: el alcance exacto de las obligaciones legales, las definiciones relevantes, las excepciones aplicables y las cuestiones horizontales. La Comisión las preparó en paralelo al Código, reconociendo así que existían aspectos interpretativos que el instrumento voluntario no podía ni debía resolver.
Las Directrices se sometieron a consulta pública hasta el 3 de junio de 2026, lo que implica que en la fecha de publicación del Código final su texto definitivo no estaba aún disponible. Esta secuencia cronológica —Código antes que Directrices definitivas— es jurídicamente relevante: los operadores económicos disponen de orientaciones prácticas pero carecen todavía de certeza jurídica plena sobre los contornos exactos de las obligaciones que esas prácticas pretenden satisfacer.
5. Consulta sobre las directrices de transparencia (8 de mayo de 2026)
Disponible en: https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
La convocatoria de consulta pública sobre el borrador de Directrices, abierta hasta el 3 de junio de 2026, representa el mecanismo de participación complementario al proceso que generó el Código. Su interés doctrinal radica en que articula con claridad los interrogantes interpretativos que la Comisión reconoce como no resueltos: el alcance del concepto "asunto de interés general", los límites de la excepción editorial, el régimen aplicable a los sistemas de interacción (chatbots, asistentes virtuales) y la determinación de responsabilidades en cadenas de valor complejas donde el proveedor del modelo, el desarrollador del sistema y el operador final son entidades distintas.
6. Kick-off plenario y lanzamiento del proceso (5 de noviembre de 2025)
Disponible en: https://digital-strategy.ec.europa.eu/en/news/commission-launches-work-code-practice-marking-and-labelling-ai-generated-content
La reunión plenaria de lanzamiento del 5 de noviembre de 2025 marcó el inicio formal del proceso de siete meses. Convocó a los expertos independientes designados por la Oficina de IA —presidentes y vicepresidentes de los grupos de trabajo— e inauguró el método de trabajo colaborativo. Su relevancia documental reside en que fijó el mandato de los grupos y el modelo de gobernanza del proceso: participantes elegibles (industria, academia, sociedad civil), observadores (organizaciones sin cumplir los criterios formales de elegibilidad pero con aportaciones valiosas) y la posición de facilitador de la Comisión.
7. Primera reunión de los grupos de trabajo (17-18 de noviembre de 2025)
La sesión inaugural de los dos grupos de trabajo —WG1 (marcado y detección, para proveedores) y WG2 (etiquetado, para operadores)— concentró a proveedores de sistemas de IA generativa, desarrolladores de técnicas de marcado y detección, asociaciones sectoriales, organizaciones de la sociedad civil, organismos internacionales e instituciones académicas. El informe de la primera reunión del WG1 documentó el debate inicial sobre las técnicas que los proveedores deben implementar en virtud del artículo 50(2), estableciendo el marco conceptual —marcado técnico vs. etiquetado visible— que estructuraría todo el trabajo posterior.
La paradoja del instrumento voluntario con función de benchmark
El aspecto jurídicamente más relevante del Código no es su contenido sino su naturaleza. La Comisión lo califica expresamente de "herramienta voluntaria", lo que lo excluye del concepto de norma jurídicamente vinculante. Ahora bien, el artículo 50 RIA no opera en el vacío: los proveedores y operadores que no se adhieran al Código no quedan exentos de las obligaciones del artículo 50, sino que simplemente deben demostrar el cumplimiento de esas obligaciones por otros medios.
Esta estructura reproduce el patrón ya establecido por el Código de Prácticas de GPAI (General-Purpose AI Code of Practice), publicado por la misma Comisión en 2025, y sigue la lógica de los mecanismos de safe harbour regulatorio: la adhesión al Código genera una presunción de cumplimiento, pero la no adhesión no equivale a incumplimiento automático. Lo que sí genera es incertidumbre probatoria para el operador que deba demostrar ante una autoridad de control —nacional o el propio Consejo de IA— que sus prácticas satisfacen los requisitos del artículo 50 por una vía diferente.
La experiencia comparada con otros instrumentos de este tipo —los códigos del artículo 40 RGPD, los instrumentos de co-regulation bajo la DSA— muestra una dinámica recurrente: los actores con mayores recursos adoptan el código y participan en su redacción, moldeándolo en función de sus capacidades técnicas; los actores más pequeños quedan en una posición de seguidores, obligados a implementar compromisos diseñados por y para los grandes. El Código que nos ocupa no escapa completamente a esta dinámica, aunque la introducción de elementos opcionales y la modulación de la carga de cumplimiento en función del tamaño y recursos del signatory intentan mitigar el problema.
Obligaciones técnicas para proveedores: el enfoque de doble capa
La arquitectura técnica adoptada por la Sección 1 del Código para los proveedores merece un análisis específico, porque sus implicaciones van más allá del cumplimiento del artículo 50 y alcanzan cuestiones estructurales sobre el ecosistema de contenidos digitales.
El enfoque de doble capa combina dos técnicas complementarias. La primera, los metadatos seguros, consiste en incrustar en el contenido información criptográficamente autenticada sobre su origen y proceso de generación. El estándar C2PA —desarrollado por una coalición que incluye a Adobe, Microsoft, BBC, Intel y otras compañías— es la referencia técnica principal. La segunda técnica, las marcas de agua (watermarks), opera a nivel perceptual o imperceptible en el contenido mismo, de modo que la señal de identificación persiste incluso cuando los metadatos externos son eliminados o modificados.
La combinación de ambas técnicas responde a una realidad técnica bien documentada: los metadatos son frágiles. Una simple operación de captura de pantalla, conversión de formato o publicación en plataformas que eliminan metadatos puede destruir la información de procedencia. Las marcas de agua, si son suficientemente robustas, sobreviven a estas transformaciones. Dicho esto, su resistencia no es absoluta: técnicas de edición, compresión agresiva o ataques específicos pueden degradar o eliminar las marcas de agua, especialmente en contenido de texto, donde las soluciones son técnicamente más inmaduras que en imagen o audio.
El Código reconoce expresamente esta limitación en el ámbito del texto. Para los sistemas de IA generativa de texto, donde los equivalentes C2PA no tienen el mismo nivel de madurez que en imagen o vídeo, el texto final acepta soluciones provisionales —marcado Schema.org, metaetiquetas HTML— con plena consciencia de su imperfección. Se trata de una elección pragmática que prioriza la implementabilidad inmediata sobre la solidez técnica ideal, con la expectativa de que los estándares maduren antes de que las obligaciones comiencen a ser objeto de supervisión y sanción efectivas.
El régimen de los operadores y la excepción editorial
La Sección 2 del Código, dirigida a los operadores, plantea el problema interpretativo más delicado de todo el régimen del artículo 50. La obligación de revelar el origen artificial del contenido textual publicado sobre asuntos de interés general no se aplica cuando "la publicación ha sido sometida a un proceso de revisión humana y está sujeta a responsabilidad editorial". Esta excepción tiene potencial para convertirse en la puerta trasera a través de la cual fluya la mayor parte del contenido generado por IA de relevancia pública.
El Código aborda la cuestión con pragmatismo: en lugar de definir con precisión qué constituye "revisión humana" o "responsabilidad editorial" —tarea que corresponde a las Directrices, aún en elaboración—, el texto exige que los operadores que invoquen la excepción establezcan, adapten o mantengan documentación mínima que demuestre que el contenido ha sido sometido a ese proceso. La carga de prueba se desplaza al operador, quien debe poder acreditar la existencia de los procedimientos documentados que dan vida a la excepción.
Este mecanismo es funcionalmente inteligente pero jurídicamente impreciso. No existe, en el texto del Código ni en el artículo 50, una definición operativa de qué nivel de intervención humana es suficiente para que el proceso merezca el calificativo de "revisión". ¿Un editor que lee el texto antes de publicarlo? ¿Un sistema de validación automatizada con supervisión humana final? ¿La mera decisión editorial de publicar sin leer el contenido? La excepción existe, pero sus contornos quedaron deliberadamente indefinidos hasta que las Directrices los precisaran, creando un período de incertidumbre que coincide exactamente con la entrada en vigor de las obligaciones.
La cadena de valor y la distribución contractual de responsabilidades
Una de las cuestiones más relevantes para la práctica es la determinación de qué actor soporta qué obligación cuando entre el proveedor del modelo de IA y el usuario final existe una cadena de intermediarios. El Código, siguiendo la estructura del artículo 50, distingue proveedores y operadores, pero en la realidad del mercado esta dicotomía es insuficiente.
Considérese el supuesto típico: una empresa A desarrolla el modelo de IA generativa; una empresa B construye un sistema de edición de contenidos utilizando la API de A; una empresa C, editora digital, utiliza el sistema de B para generar artículos periodísticos que publica en su plataforma. En este escenario, A tiene la obligación de implementar el marcado técnico en el modelo. B debe garantizar que el marcado se propaga correctamente a través de su sistema. C tiene la obligación de informar al público sobre el origen artificial del contenido, a menos que invoque la excepción editorial.
El Código advierte expresamente que las organizaciones de toda la cadena de valor no deben asumir que las obligaciones de transparencia recaen únicamente sobre el proveedor original o únicamente sobre el operador final. La recomendación práctica es clara: los contratos entre las partes de la cadena deben asignar explícitamente las responsabilidades y las dependencias. Esta es una de las implicaciones más inmediatas del Código para los departamentos jurídicos: revisar los contratos de API, los acuerdos de uso de herramientas de IA generativa y los contratos de provisión de contenidos para incorporar las clausulas de atribución de responsabilidad del artículo 50.
Consecuencias sistémicas y lectura crítica del modelo de gobernanza
El Código de Prácticas final representa el resultado de un proceso de siete meses con centenares de participantes. Es, técnicamente, un logro de coordinación multi-actor. Ahora bien, su análisis crítico exige señalar al menos tres tensiones estructurales que este instrumento no resuelve y que el aplicador del derecho —ya sea autoridad de control, empresa o jurista— deberá gestionar.
La primera tensión es la ya mencionada entre voluntariedad formal y necesidad práctica. El Código es voluntario, pero quien no se adhiere asume el coste de demostrar el cumplimiento del artículo 50 por sus propios medios. En un mercado donde la mayoría de los actores relevantes se habrán adherido, la no adhesión se convierte en una posición difícil de sostener frente a una autoridad de control que dispone del Código como punto de referencia.
La segunda tensión es la asimetría temporal entre el Código y las Directrices. El instrumento práctico está disponible; la claridad jurídica sobre los contornos exactos de las obligaciones, no. Para el periodo inmediatamente posterior al 2 de agosto de 2026, los operadores deberán implementar el Código con pleno conocimiento de que algunos de sus supuestos de aplicación —especialmente la excepción editorial y el concepto de "asunto de interés general"— carecen aún de definición normativa definitiva.
La tercera tensión es de naturaleza técnica y tiene implicaciones jurídicas directas. El marcado técnico de contenidos de texto con suficiente robustez no está técnicamente resuelto al nivel de madurez que sí existe para imagen y vídeo. Esto significa que las obligaciones del artículo 50(2) para proveedores de sistemas de texto serán implementadas con soluciones reconocidamente imperfectas durante al menos los primeros meses de aplicación. La Oficina de IA es consciente de ello, y así lo reconoce el Código, pero esto no elimina la incertidumbre sobre cómo evaluarán esa imperfección las autoridades nacionales de supervisión del AI Act cuando comiencen a ejercer sus competencias.
Implicaciones prácticas para los operadores jurídicos
El tiempo disponible entre la publicación del Código final y la fecha de aplicación del artículo 50 es de menos de dos meses. Para las organizaciones que aún no han iniciado su planificación de cumplimiento, este margen es extraordinariamente estrecho. Las implicaciones prácticas se pueden organizar en tres planos.
En el plano técnico, los proveedores de sistemas de IA generativa deben verificar si sus sistemas son capaces de implementar el marcado C2PA o las marcas de agua robustas que requiere la Sección 1. Quienes utilicen modelos de terceros vía API deben comprobar si el proveedor del modelo implementa ya el marcado técnico y si este se propaga correctamente en sus propios sistemas.
En el plano contractual, todas las organizaciones que participen en cadenas de valor de contenidos generados por IA deben revisar sus contratos para asignar explícitamente las responsabilidades del artículo 50. La asignación contractual no elimina la responsabilidad legal directa —si el operador final incumple, no puede limitarse a señalar al proveedor del modelo—, pero sí crea mecanismos de reclamación y garantías de cumplimiento en la cadena.
En el plano documental, los operadores que pretendan invocar la excepción editorial deben establecer y documentar sus procedimientos de revisión humana antes de la fecha de aplicación. La documentación no es un formalismo burocrático: en un sistema donde la carga de prueba recae sobre quien invoca la excepción, la ausencia de documentación equivale, en la práctica, a la imposibilidad de acreditar la excepción.
Conclusión
El Código de Prácticas final sobre marcado y etiquetado de contenido generado por IA es, simultáneamente, un logro institucional y un instrumento con límites estructurales evidentes. Logro porque sintetiza siete meses de trabajo colaborativo y ofrece a proveedores y operadores un marco práctico antes de que entren en vigor las obligaciones del artículo 50. Limitado porque su naturaleza voluntaria, combinada con la ausencia de Directrices jurídicamente definitivas, crea un terreno de incertidumbre que deberán navegar las autoridades de supervisión y los propios operadores en los meses inmediatos a agosto de 2026.
Lo que resulta más significativo desde una perspectiva doctrinal es el patrón que este instrumento consolida: la Comisión Europea recurre sistemáticamente a los códigos de prácticas —voluntarios en forma, cuasi obligatorios en función— como mecanismo central de implementación del RIA. Este modelo traslada una parte sustancial de la carga regulatoria a los actores privados participantes en el proceso de redacción, genera presunciones de cumplimiento para los adherentes y deja en posición vulnerable a quienes, por recursos, tamaño o simplicidad de modelo de negocio, no participaron en ese proceso. La corrección de ese sesgo estructural es una de las cuestiones abiertas más relevantes del AI Act a medida que su implementación se consolida.
El texto del Código de Prácticas final, los borradores anteriores, las Directrices y la documentación del proceso completo están disponibles en el portal de Estrategia Digital de la Comisión Europea: https://digital-strategy.ec.europa.eu/es/policies/code-practice-ai-generated-content.
Artículos relacionados
Código de Derecho de la Ciberseguridad 2026: 57 normas consolidadas en una sola referencia
El BOE publica la edición actualizada al 5 de junio de 2026 del Código de Derecho de la Ciberseguridad: 1.366 páginas que integran desde el ENS hasta la normativa 5G, la Circular CNMC de 2026 y la legislación penal.
Mythos y la banca: los límites jurídicos del marco de ciberseguridad ante la IA ofensiva
Claude Mythos expone las fracturas estructurales de DORA, NIS2 y el AI Act ante una IA que convierte parches en exploits. El análisis de la respuesta supervisora del BCE.
Despacho Seguro: guía de ciberseguridad con IA para despachos de abogados
Guía completa de ciberseguridad con IA para despachos de abogados: Zero Trust, RGPD, NIS2, AI Act y plan de implementación en 9 capítulos.
La deuda oculta del copyright: ¿Soportará el mercado la IPO de Anthropic?
Anthropic inicia su transición al mercado público con una valoración de 965.000 millones de dólares, arrastrando una deuda de copyright histórica y severas fricciones regulatorias.