AI Act art. 50: cómo etiquetar contenido generado por IA

·

El art. 50 del AI Act no regula una única obligación de "decir que es IA": agrupa cuatro obligaciones de transparencia distintas, con destinatarios, formatos y excepciones diferentes. Esta guía se centra en la implementación técnica —metadatos, watermarking, flags de API, banners— no en la obligación legal en sí, que ya cubre Summum Consultoría.

Qué exige realmente el artículo 50 (los cuatro supuestos)

Verificado sobre el texto vigente del Reglamento (EUR-Lex) y sobre artificialintelligenceact.eu, el art. 50 distingue cuatro situaciones que rara vez se explican juntas:

  1. Interacción directa con personas (art. 50.1): el proveedor de un sistema de IA destinado a interactuar con personas físicas debe garantizar que sepan que están tratando con IA, salvo que resulte evidente para una persona razonablemente informada, atenta y perspicaz.
  2. Contenido sintético generado por IA (art. 50.2): el proveedor de un sistema que genera audio, imagen, vídeo o texto sintético debe marcar las salidas en un formato legible por máquina y hacerlas detectables como generadas o manipuladas artificialmente.
  3. Deepfakes (art. 50.4, primer párrafo): el implementador (deployer) de un sistema que genera o manipula imagen, audio o vídeo que se asemeje a personas, objetos, lugares o eventos reales debe divulgar que el contenido ha sido generado o manipulado artificialmente.
  4. Texto de interés público (art. 50.4, segundo párrafo): el implementador que publica texto generado o manipulado por IA para informar al público sobre asuntos de interés público debe divulgar que el texto se ha generado o manipulado artificialmente.

A estas se añade una quinta obligación, distinta de las anteriores: el implementador de un sistema de reconocimiento de emociones o categorización biométrica debe informar a las personas físicas expuestas al sistema, sin perjuicio de aplicar el RGPD y el resto de normativa de protección de datos.

Aviso de interacción con un sistema de IA: cómo implementarlo bien

El supuesto 50.1 es el más fácil de cumplir mal por exceso de confianza en lo "obvio". Un chatbot con nombre propio y avatar humano no cumple por sí solo: la información debe darse de forma clara y en el momento de la primera interacción, no enterrada en el aviso legal o en las condiciones de uso.

Implementación técnica recomendada:

Marcado de contenido sintético: qué significa "legible por máquina"

El art. 50.2 es la obligación más exigente técnicamente y la que menos se está implementando en la práctica. "Legible por máquina y detectable" no equivale a una marca de agua visible en una esquina de la imagen: exige una solución que otro sistema pueda leer e interpretar automáticamente, no solo una persona.

Las tres familias de técnicas que cubren el requisito, combinables entre sí:

Metadatos estructurados

Incrustar en el fichero (EXIF, XMP, o el estándar abierto C2PA de procedencia de contenido) el origen sintético, el modelo usado y, cuando sea posible, una firma criptográfica que verifique que el metadato no se ha manipulado.

Watermarking en la señal

Para audio, imagen y vídeo, incrustar una marca en el propio contenido (patrón en frecuencias, perturbación imperceptible en píxeles) que sobreviva a compresión o reencodado razonable. El Reglamento exige una solución "efectiva, interoperable, robusta y fiable en la medida en que sea técnicamente viable" —no exige perfección, pero sí robustez documentada.

Flags a nivel de API

Cuando el contenido se sirve vía API (imagen generada, voz sintetizada, texto de un modelo integrado en un producto), el flag de origen debe viajar en la respuesta para que la aplicación consumidora lo propague, no quedar solo en un log interno. Quedan exentas las ediciones asistidas que no alteran sustancialmente la entrada y las alteraciones menores sin impacto social —pero la carga de justificar la excepción recae en quien la invoca.

Deepfakes: audio, imagen y vídeo manipulados

El art. 50.4 traslada la obligación al implementador (deployer), no al proveedor del modelo: quien despliega un sistema que produce o manipula imagen, audio o vídeo que se asemeje a personas, objetos, lugares o eventos reales, de forma que pudiera hacer creer falsamente que son auténticos, debe divulgar que el contenido es artificial.

El Reglamento matiza dos casos:

Texto generado por IA sobre asuntos de interés público

El segundo párrafo del art. 50.4 cubre un supuesto distinto: texto (no imagen ni audio) generado o manipulado por IA y publicado con el propósito de informar al público sobre asuntos de interés público. Aquí la divulgación también corresponde al implementador que publica, no al proveedor del modelo de lenguaje.

La excepción relevante para medios y redacciones: cuando el contenido ha sido sometido a un proceso de revisión editorial humana y una persona física o entidad asume la responsabilidad editorial de la publicación, la obligación de divulgación no se aplica igual. Esto no elimina la trazabilidad interna recomendable —qué se generó, quién revisó, qué se cambió— aunque no se publique al lector.

Reconocimiento de emociones y categorización biométrica

Distinto de los supuestos anteriores, el implementador de un sistema de reconocimiento de emociones o de categorización biométrica debe informar a las personas físicas expuestas al sistema de que están siendo sometidas a ese tratamiento, y debe hacerlo cumpliendo el RGPD, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680 cuando resulte aplicable. Es el punto donde el art. 50 se entrelaza de forma más directa con la protección de datos: informar no basta si además falta base legítima o hay datos biométricos tratados sin garantías.

Excepciones que sí importan a nivel técnico

Tres matices que cambian el diseño de la solución y conviene documentar caso por caso:

Calendario: por qué el 2 de agosto de 2026 es la fecha que cuenta

El art. 50 no figura entre los bloques de aplicación anticipada del art. 113 (2 de febrero de 2025 para el Capítulo I y las prohibiciones del Capítulo II; 2 de agosto de 2025 para gobernanza y modelos de propósito general). Al estar en el Capítulo IV, le corresponde la fecha de aplicación general del Reglamento: 2 de agosto de 2026. El artículo 113 fijaba originalmente esa misma fecha para la mayor parte de las obligaciones de alto riesgo del Anexo III, pero el Digital Omnibus (acuerdo de 7-may-2026, aprobado por el Parlamento Europeo el 16-jun-2026 y el Consejo el 29-jun-2026, pendiente de publicación en el DOUE) las aplaza al 2 de diciembre de 2027 — el art. 50 no se ve afectado por ese aplazamiento. Verificado en vivo sobre el texto del art. 113 el 17 de julio de 2026: a día de hoy quedan menos de tres semanas para esa fecha.

La Oficina de IA de la Comisión Europea tiene mandato para facilitar códigos de prácticas sobre detección y etiquetado de contenido artificial —referencia técnica a seguir porque puede concretar qué formatos de marcado se consideran conformes. En España, la autoridad de referencia es la AESIA (Agencia Española de Supervisión de Inteligencia Artificial).

Arquitectura técnica mínima para cumplir el artículo 50

Un sistema generativo de producción necesita, como mínimo, estos cinco componentes para sostener una auditoría del art. 50:

  1. Marcado en origen: cada salida sintética lleva metadato y/o watermark antes de salir del sistema, no como paso opcional posterior.
  2. Propagación del flag: el indicador de origen sintético viaja con el contenido a través de APIs, CDNs y exportaciones, no se pierde en el primer salto.
  3. Registro de excepciones: cuando se invoca inviabilidad técnica o alteración menor, queda documentado el motivo, no solo la ausencia de marca.
  4. Aviso de interacción: configurado a nivel de producto, verificado en pruebas de aceptación, no delegado al prompt del modelo.
  5. Prueba de robustez: el watermark o metadato se valida frente a recompresión, recorte y reencodado habituales antes de considerarse conforme.

Qué pasa con los modelos de propósito general (GPAI) que integras

Quien integra un modelo de propósito general de terceros en un agente o copiloto no queda al margen del art. 50: si el sistema resultante genera contenido sintético o interactúa con personas, las obligaciones de marcado y aviso recaen sobre quien pone en el mercado ese sistema integrado, con independencia de las obligaciones del proveedor del modelo base. Esta capa de integradores se trata con más detalle en la guía de obligaciones técnicas del AI Act para agentes de IA.

Preguntas frecuentes

¿Basta con un aviso en la política de privacidad de que usamos IA?

No para el art. 50.1: la información debe darse de forma clara y en el momento de la primera interacción o exposición, no solo estar disponible en un documento aparte que el usuario no consulta.

¿Un logo o marca de agua visible en la esquina de una imagen cumple el art. 50.2?

Solo parcialmente. Cumple la parte de "detectable" para una persona, pero el Reglamento exige además un formato legible por máquina —metadato o watermark en la señal— que sobreviva a la manipulación habitual del fichero.

¿Quién tiene que divulgar un deepfake, el que entrena el modelo o el que lo usa?

La obligación de divulgar el deepfake recae en el implementador (deployer) que despliega o publica el contenido, no en el proveedor del modelo generativo subyacente, aunque este último sigue obligado al marcado técnico del art. 50.2 si genera el contenido.

¿Esto ya es exigible o hay que esperar al 2 de agosto de 2026?

El art. 50 aplica desde la fecha de aplicación general del Reglamento, el 2 de agosto de 2026, salvo verificación posterior contra el texto oficial. Conviene tener la arquitectura técnica lista antes, no empezar a diseñarla esa misma semana.

Summum IA puede acompañar la implementación técnica del AI Act —marcado de contenido, arquitectura de metadatos, pruebas de robustez— y la auditoría ofensiva de modelos y agentes para validar que el marcado resiste intentos reales de manipulación. La calificación legal definitiva del supuesto aplicable debe validarse contra el texto vigente antes de publicación.