Resumen
La Ley de IA de la Unión Europea entrará en vigor a partir del 2 de agosto de 2026, fecha a partir de la cual se aplicarán plenamente las obligaciones de indicación y etiquetado del contenido generado por IA, así como algunas obligaciones de transparencia. La Comisión Europea publicó el 10 de junio de 2026 unas normas de aplicación relativas a la identificación y el etiquetado de los contenidos generados por IA, que sirven de guía práctica para que las empresas puedan trasladar sus obligaciones legales al funcionamiento real de sus productos y servicios.
Este artículo no constituye asesoramiento jurídico, sino material informativo para la verificación del cumplimiento normativo. Su aplicación real puede variar en función de la estructura del servicio, la ubicación de los usuarios, la forma de suministro del modelo, las funciones contractuales y la interpretación de las autoridades reguladoras locales.
Fechas clave y aspectos de aplicación
| Elemento | Contenido principal | Aspectos que deben comprobar las empresas |
|---|---|---|
| 10 de junio de 2026 | La Comisión Europea publica las normas de aplicación sobre el etiquetado y la identificación de contenidos generados por IA | Revisar si la interfaz de usuario del producto, los metadatos, las marcas de agua y los métodos de notificación pública se ajustan a las normas de aplicación |
| 2 de agosto de 2026 | Entrada en vigor de las obligaciones de transparencia previstas en la Ley de IA | Preparar políticas de etiquetado y registros para texto, imágenes, audio y vídeo |
| 2 de agosto de 2026 | Se establece como la fecha en la que entrarán plenamente en vigor las competencias de ejecución respecto a los proveedores de modelos de IA general (GPAI) | Revisión de la documentación técnica, la política de derechos de autor, el resumen de los datos de entrenamiento y el sistema de gestión de riesgos |
| Aplicación continua | También puede ser aplicable a operadores extraterritoriales vinculados al mercado de la UE o a usuarios de la UE | Aunque se trate de sociedades de Corea o EE. UU., se debe revisar el ámbito de aplicación en función de si prestan servicios en la UE |
Glosario
Contenido generado por IA
Se refiere al texto, las imágenes, el audio, el vídeo o cualquier combinación de estos elementos creados por un sistema de IA. Las obligaciones de transparencia de la Ley de IA (AI Act) son especialmente relevantes en el caso de contenidos que parezcan haber sido creados por personas reales o que puedan inducir a error, haciendo creer que se trata de personas, hechos o declaraciones reales.
Etiquetado de IA generativa
El etiquetado de IA generativa es el procedimiento mediante el cual se indica a los usuarios o destinatarios si el contenido ha sido generado o manipulado por IA. Desde un punto de vista práctico, es más seguro dividir el método de indicación en los dos niveles siguientes.
- Indicaciones visibles para las personas: textos en pantalla, iconos, subtítulos, cuadros descriptivos, avisos en las publicaciones, etc.
- Indicaciones legibles por máquinas: metadatos, información sobre la procedencia del contenido, marcas de agua, información de autenticación y procedencia del contenido, etc.
Modelo GPAI
GPAI es el acrónimo de «general-purpose AI» (IA de propósito general) y hace referencia a los modelos de IA de propósito general que pueden utilizarse ampliamente en diversas tareas secundarias y servicios de aplicación. Entre ellos se pueden incluir los modelos de lenguaje a gran escala, los modelos multimodales y los modelos de generación de imágenes. El nivel de obligación difiere entre las empresas que simplemente utilizan funciones de IA y aquellas que ofrecen modelos GPAI propiamente dichos.
Cambios en la obligación de etiquetado de la IA generativa a partir de agosto de 2026
El sistema de transparencia de la Ley de IA (AI Act) tiene como objetivo permitir que los usuarios sepan si están interactuando con la IA o si el contenido al que acceden ha sido generado o manipulado por la IA. La claridad de la indicación es especialmente importante cuando el contenido creado por IA está relacionado con información de interés público, noticias, elecciones, salud, finanzas, seguridad o decisiones jurídicas.
Lista de verificación para el etiquetado por tipo de medio
| Tipo de contenido | Método de indicación práctico | Aspectos a tener en cuenta |
|---|---|---|
| Texto | Aviso en la parte superior o inferior de la publicación, nota del editor, explicación del método de generación en los términos de servicio o la sección de ayuda | En el caso de textos destinados a proporcionar información sobre asuntos de interés público, debe indicarse claramente si han sido revisados por personas y quién es el responsable de la edición |
| Imagen | Aviso alrededor de la imagen, metadatos del archivo descargado, marca de agua o información sobre la fuente | Establecer políticas que distingan entre la simple edición y las imágenes sintéticas que distorsionan considerablemente la realidad |
| Audio | Avisos de voz antes y después de la reproducción, campo de descripción, metadatos del archivo | Evaluar por separado la posibilidad de confusión en el caso de voces sintéticas que suenen como las de personas reales |
| Vídeo | Subtítulos en pantalla, cuadro descriptivo, avisos al inicio y al final, metadatos y marcas de agua | Se requieren criterios de transparencia más estrictos para los «deepfakes», la reproducción de declaraciones políticas o sociales y los vídeos con personajes sintetizados |
| Contenido multimodal | Indicaciones combinadas adaptadas a cada tipo de contenido: texto, imagen, audio y vídeo | Se debe comprobar si basta con una sola indicación o si persiste la posibilidad de confusión en cada medio |
Relación entre el código de conducta voluntario y las obligaciones legales
El código de conducta de la Comisión Europea es una herramienta práctica que detalla cómo pueden las empresas cumplir con sus obligaciones legales. Aunque se denomine «código de conducta voluntario», no debe subestimarse su importancia.
Significado de la firma del código de conducta
- El código de conducta no sustituye a la propia Ley de IA.
- A las empresas firmantes les resultará más fácil demostrar ante las autoridades reguladoras que cuentan con un sistema de cumplimiento.
- Las empresas que no lo firmen tampoco quedarán exentas de las obligaciones legales de la Ley de IA.
- El código de conducta puede servir como documento de referencia para explicar los criterios de cumplimiento en la comunicación con las autoridades supervisoras y la Oficina de IA.
Aspectos que deben reflejarse en la documentación interna de las empresas
- Definición y alcance del contenido generado por IA
- Criterios de etiquetado por tipo de contenido
- Excepciones en las que se puede omitir el etiquetado y sus procedimientos de autorización
- Métodos técnicos de etiquetado, como metadatos y marcas de agua
- Procedimientos para verificar que el etiquetado se mantenga al publicar en plataformas externas
- Procedimientos para gestionar las denuncias de los usuarios y corregir errores en el etiquetado
- Plazo de conservación de los registros y departamento responsable
Clasificación de funciones relacionadas con la GPAI: proveedor, distribuidor y operador de ajuste fino
Lo primero que hay que hacer al evaluar las obligaciones en materia de GPAI es clasificar la función que se desempeña. Una misma empresa puede ser un simple usuario en un producto y un proveedor de modelos en otro.
| Función | Significado general | Principales responsabilidades |
|---|---|---|
| Proveedor de modelos GPAI | Entidad que desarrolla modelos GPAI o los comercializa en el mercado de la UE bajo su propio nombre | Documentación técnica, información para subproveedores, política de derechos de autor, resumen de los datos de entrenamiento |
| Proveedor de sistemas de IA | Entidad que comercializa o presta servicios de sistemas de IA que realizan funciones específicas | Clasificación de riesgo del sistema de IA, transparencia, instrucciones para el usuario, evaluación de la conformidad |
| Distribuidor | Entidad que suministra o distribuye sistemas o modelos de IA en la cadena de suministro | Comunicación de la información del producto, verificación de posibles modificaciones, conservación de la documentación de la cadena de suministro |
| Entidad implementadora o empresa usuaria | Entidad que utiliza un sistema de IA con fines profesionales | Notificación a los usuarios, responsabilidad sobre los resultados, controles internos, supervisión humana |
| Operador de ajuste fino | Entidad que, mediante el entrenamiento y ajuste adicionales de un modelo existente, lo ofrece para un fin específico o bajo una marca concreta | Puede incurrir en obligaciones propias de un proveedor o subproveedor en función del nivel de modificación |
Preguntas que el operador de ajuste fino debe tener especialmente en cuenta
- ¿Se trata de un uso interno simple o se ofrece a clientes externos?
- ¿Se han modificado sustancialmente las funciones, los riesgos o los fines de uso del modelo original?
- ¿Se ofrece el modelo o el servicio bajo su propia marca?
- ¿Se mantienen la documentación y las restricciones recibidas del proveedor del modelo original?
- ¿Existe un registro de revisión del origen de los datos de ajuste fino, los derechos, los datos personales y los derechos de autor?
Lista de verificación de obligaciones de los proveedores de GPAI
Los proveedores de modelos GPAI pueden estar sujetos a obligaciones de documentación y transparencia más estrictas que los operadores de aplicaciones de IA generales. Los siguientes puntos constituyen una lista práctica de aspectos que deben revisarse con prioridad en torno a agosto de 2026.
1. Documentación técnica
- Funciones generales y limitaciones del modelo
- Información general sobre el entrenamiento, la validación y las pruebas
- Arquitectura del modelo y decisiones clave de diseño
- Información necesaria para que los subproveedores puedan integrarlo de forma segura
- Historial de actualizaciones y gestión de versiones del modelo
2. Información para subproveedores
Cuando se ofrezcan modelos GPAI en forma de API, OpenWeights, licencias o servicios en la nube, se deberá proporcionar información suficiente para que los proveedores secundarios puedan diseñar y evaluar sus propios sistemas de IA. Esto puede incluir límites de rendimiento, usos prohibidos, medidas de seguridad recomendadas, riesgos conocidos e instrucciones de integración, entre otros.
3. Política de derechos de autor
La Ley de IA exige a los proveedores de GPAI que dispongan de políticas relacionadas con los derechos de autor. Las empresas deben documentar, como mínimo, lo siguiente:
- Política de recopilación y uso de datos de entrenamiento
- Procedimientos para el tratamiento de contenidos protegidos por derechos de autor
- Procedimientos para la identificación de señales de exclusión voluntaria o de restricción de uso por parte de los titulares de los derechos
- Métodos de verificación del origen de los conjuntos de datos y de las licencias
- Procedimientos de recepción y respuesta ante notificaciones de infracción
4. Resumen de los datos de entrenamiento
Los proveedores de GPAI deben proporcionar un resumen suficientemente detallado del contenido utilizado para el entrenamiento. Esto no equivale a exigir la divulgación de todos los datos originales, pero debe permitir comprender qué tipo de datos se han utilizado y en qué medida.
5. Evaluación de los riesgos del sistema
Algunos modelos de GPAI potentes pueden clasificarse como modelos que presentan riesgos para el sistema. En tal caso, las empresas deben considerar las siguientes obligaciones reforzadas:
- Evaluación del modelo y pruebas adversas
- Identificación, análisis y mitigación de los riesgos del sistema
- Procedimientos de seguimiento y notificación de incidentes graves
- Medidas de protección de la ciberseguridad
- Seguimiento tras el lanzamiento y mejora continua
Verificación del ámbito de aplicación de la UE para empresas de Corea y EE. UU.
La Ley de IA de la UE no es una normativa que se aplique únicamente a las empresas de la UE. Las empresas de fuera de la UE también deben evaluar su posible sujeción a la normativa si ofrecen sistemas de IA o modelos de GPAI en el mercado de la UE, prestan servicios a usuarios dentro de la UE o si los resultados de sus sistemas de IA se utilizan en la UE.
Preguntas de verificación para empresas no comunitarias
- ¿Pueden los usuarios de la UE registrarse, realizar pagos o utilizar el servicio?
- ¿El idioma del servicio, los precios, la atención al cliente y el marketing están orientados al mercado de la UE?
- ¿Utilizan los clientes de la API o los clientes B2B dicho modelo en la UE?
- ¿Afectan los resultados generados por la IA a los consumidores, trabajadores, ciudadanos o votantes de la UE?
- ¿Se suministra a través de una sociedad, un representante, un distribuidor o un socio de servicios en la nube de la UE?
- Aunque las condiciones del servicio excluyan explícitamente a los usuarios de la UE, ¿se controla realmente el acceso y el uso?
Plan de ejecución interno que debe prepararse antes de agosto de 2026
Equipos de producto y tecnología
- Diseñar componentes de la interfaz de usuario que permitan etiquetar de forma predeterminada los resultados generados por la IA generativa
- Realizar pruebas de conservación de metadatos en archivos de imagen, audio y vídeo
- Comprobar que las marcas de agua y la información sobre la procedencia del contenido se mantengan tras la compresión y la nueva subida
- Implementar la lógica de distinción entre los resultados generados por la IA y el contenido editado por humanos
Equipo jurídico y de políticas
- Redactar un memorándum sobre el ámbito de aplicación de la Ley de IA y la clasificación de funciones
- Revisar si se han firmado las normas de aplicación y las estrategias de cumplimiento
- Actualizar la política de derechos de autor, la política de uso de datos y los procedimientos de respuesta a las denuncias
- Incorporar cláusulas sobre las funciones y responsabilidades de la IA en los contratos con clientes y socios de la UE
Equipo de seguridad y riesgos
- Elaboración de escenarios de uso indebido de los modelos.
- Evaluación de riesgos relacionados con identidades sintéticas, fraude, desinformación e información electoral y de interés público.
- Designación de la línea de notificación de incidentes y de los responsables.
- Establecimiento de un sistema de conservación de registros, derechos de acceso y seguimiento de auditorías.
Dirección
- Confirmar el presupuesto y la organización responsable antes de agosto de 2026
- Establecer prioridades para las gamas de productos de alto riesgo y las relacionadas con la IA general (GPAI)
- Aprobar los materiales explicativos para responder a consultas de organismos reguladores, auditorías de clientes y preguntas de inversores
Lista de autodiagnóstico rápido
| Pregunta | Sí | No | Próximas medidas |
|---|---|---|---|
| ¿Pueden los usuarios de la UE acceder al servicio? | Revisar el ámbito de aplicación de la UE | ||
| ¿Se indica que los contenidos de texto, imagen, audio y vídeo han sido generados por IA? | Diseñar la interfaz de usuario y los metadatos para la indicación | ||
| ¿Se gestionan por separado los textos generados por IA relacionados con asuntos de interés público? | Registro de la responsabilidad de revisión y edición por parte de personas | ||
| ¿Se ofrece el modelo GPAI bajo la propia marca? | Revisión de las obligaciones del proveedor de GPAI | ||
| ¿Se ofrecen modelos de ajuste fino a clientes externos? | Reclasificación y documentación de funciones | ||
| ¿Están documentados los datos de entrenamiento y la política de derechos de autor? | Establecimiento de un sistema de revisión de datos y derechos | ||
| ¿Existen procedimientos de evaluación de riesgos del sistema y de notificación de incidentes? | Implantación de un sistema de gestión de riesgos |
Malentendidos frecuentes en la práctica
Malentendido 1: Las normas de conducta son voluntarias, por lo que pueden ignorarse
Aunque las normas de conducta tienen carácter voluntario, las obligaciones legales de la Ley de IA (AI Act) existen por separado. Las normas de conducta pueden servir como punto de referencia para mostrar cómo cumplir dichas obligaciones.
Malentendido 2: basta con que la etiqueta aparezca una sola vez en pantalla
La etiqueta puede desaparecer durante el proceso de descarga, compartición, volver a subir o edición del contenido. Lo más seguro es diseñar etiquetas que sean visibles para las personas y legibles para las máquinas.
Equívoco 3: Las empresas de Corea o Estados Unidos no están sujetas a la Ley de IA de la UE
Si un servicio está vinculado al mercado de la UE o a usuarios de la UE, la ley puede aplicarse incluso a empresas con sede fuera de la UE. En particular, en el caso de las API, el SaaS, las tiendas de aplicaciones, los modelos de código abierto y las estructuras de distribución en la nube, es necesario verificar la ubicación real de uso.
Equívoco n.º 4: El ajuste fino (fine-tuning) siempre se limita a un mero uso
Si se proporcionan los resultados del ajuste fino a terceros o se ofrecen como un servicio bajo la propia marca, se puede incurrir en una mayor responsabilidad, dependiendo del grado de modificación y de la forma de prestación.
Conclusión
En la fase de aplicación de la Ley de IA de la UE, prevista para agosto de 2026, lo primero que deben hacer las empresas es aclarar el sistema de etiquetado del contenido generado por IA y la clasificación de las funciones de la GPAI. El etiquetado no consiste simplemente en insertar una frase, sino que es un sistema operativo que combina la interfaz de usuario, los metadatos, las marcas de agua, la responsabilidad editorial y la conservación de registros. Las empresas que ofrezcan o distribuyan modelos GPAI tras haberlos ajustado deben revisar su documentación técnica, su política de derechos de autor, el resumen de los datos de entrenamiento y la evaluación de riesgos del sistema antes de agosto de 2026.