Volver al blog

Análisis · Cumplimiento normativo IA

EU AI Act Art. 50: qué deben implementar las AAPP antes de agosto 2026

Publicado mayo 2026·12 min de lectura·EU AI Act · Compliance · AAPP

El Reglamento (UE) 2024/1689 (EU AI Act) publicado en el DOUE el 12 de julio de 2024 establece el primer marco normativo integral del mundo sobre inteligencia artificial. Su artículo 50 impone obligaciones de transparencia para contenidos generados o manipulados artificialmente. Su aplicación efectiva en las Administraciones Públicas es a partir del 2 de agosto de 2026, lo que deja un margen estrecho para implementación. Este artículo desglosa las obligaciones concretas, propone un roadmap operativo y describe un patrón técnico replicable.

1. Contexto normativo: el Reglamento UE 2024/1689

El EU AI Act sigue una arquitectura de regulación basada en riesgos. Distingue cuatro categorías: (i) usos prohibidos (art. 5); (ii) sistemas de alto riesgo con obligaciones exhaustivas (anexo III); (iii) sistemas con riesgo limitado sometidos a obligaciones de transparencia (entre ellos los contemplados en el art. 50); y (iv) sistemas de riesgo mínimo sin obligaciones específicas. La aplicabilidad es escalonada: las prohibiciones del art. 5 son aplicables desde el 2 de febrero de 2025; las normas sobre modelos de propósito general (GPAI) desde el 2 de agosto de 2025; las obligaciones generales —incluido el art. 50— desde el 2 de agosto de 2026; y las relativas a sistemas de alto riesgo desde el 2 de agosto de 2027.

Para las Administraciones Públicas españolas, el cómputo relevante es agosto de 2026: en esa fecha deben tener implementadas las obligaciones de transparencia cuando utilicen sistemas de IA que generen o manipulen contenido para personas físicas, sea en atención ciudadana, redacción asistida, generación de imágenes para campañas, o cualquier otro caso de uso.

2. ¿A quién aplica el Art. 50 cuando hablamos de AAPP?

El art. 50 distingue dos roles principales:

  • Proveedores (art. 50.1 y 50.2): quien desarrolla y pone en el mercado un sistema de IA. Para las AAPP, esto incluye los casos en que la administración desarrolla un sistema interno o lo proporciona a terceros.
  • Responsables del despliegue (art. 50.3 y 50.4): quien utiliza un sistema de IA bajo su responsabilidad para una finalidad. Las AAPP que despliegan sistemas de IA para sus funciones públicas son responsables del despliegue.

En la práctica, una entidad local que utiliza un chatbot de un tercero para atención ciudadana es responsable del despliegue; si además ha personalizado el modelo o lo ofrece a otras entidades, puede asumir también el rol de proveedor. La cualificación correcta determina qué obligaciones del art. 50 le son exigibles.

3. Las cuatro obligaciones concretas del Art. 50

3.1. Información a personas físicas sobre interacción con un sistema de IA (art. 50.1)

Cuando una persona física interactúa con un sistema de IA (típicamente, un chatbot o asistente), el proveedor debe garantizar que la persona sea informada de que está interactuando con un sistema de IA, salvo que resulte evidente desde la perspectiva de una persona razonablemente informada (por ejemplo, un asistente claramente identificado con icono robotizado y nombre de la administración). La información debe darse en términos claros y comprensibles.

Para una AAPP que despliega un asistente de atención ciudadana, esto significa un aviso explícito al inicio de la conversación: «Hola, soy el asistente virtual del Ayuntamiento de _____. Estoy basado en inteligencia artificial. Mi función es orientarte; para trámites con efectos jurídicos, te derivaré a personal humano.»

3.2. Marcado de contenido sintético generado por IA (art. 50.2)

Los proveedores de sistemas de IA generativa deben garantizar que los outputs (audio, imagen, vídeo o texto sintético) estén marcados de forma técnicamente identificable como artificiales y, según el tipo de contenido, también interoperable. Esto opera a nivel de fichero: metadatos, watermarks, o identificadores criptográficos. La obligación recae principalmente en quien desarrolla el sistema, pero las AAPP que personalizan o redistribuyen modelos pueden asumirla derivadamente.

3.3. Detección y etiquetado de deepfakes (art. 50.4)

Los responsables del despliegue de sistemas que generen o manipulen imagen, audio o vídeo constituyendo deepfakes deben declarar que el contenido ha sido generado o manipulado artificialmente. Aplican excepciones para usos legales (investigación, satira evidente, arte). Para campañas institucionales o material divulgativo de una administración que use IA generativa para producir contenido visual, el etiquetado es exigible.

3.4. Etiquetado de texto generado por IA en contenido público de carácter informativo (art. 50.4 in fine)

Cuando un responsable del despliegue utiliza sistemas que generen o manipulen texto publicado para informar al público sobre asuntos de interés general, debe declarar que el texto ha sido generado o manipulado artificialmente, salvo (a) que la publicación haya sido sometida a un proceso de revisión humana o control editorial y exista persona física o jurídica que asuma la responsabilidad editorial del contenido, o (b) que el uso esté autorizado por ley para detectar, prevenir, investigar o perseguir delitos.

Para las AAPP, esto afecta especialmente a publicaciones institucionales redactadas con asistencia de IA (informes divulgativos, notas de prensa, contenido web informativo): si hay revisión humana documentada con responsabilidad editorial, no es exigible el etiquetado; si la publicación es directa sin revisión, sí lo es.

4. Calendario efectivo y consecuencias del incumplimiento

El art. 50 es aplicable desde el 2 de agosto de 2026. A partir de esa fecha, el incumplimiento de las obligaciones de transparencia puede comportar sanciones administrativas de hasta 15 millones de euros o el 3% del volumen de negocios anual mundial (el que resulte mayor), conforme al artículo 99.4 del Reglamento. Para AAPP, las autoridades competentes nacionales determinarán las sanciones aplicables conforme al derecho nacional.

En España, la autoridad competente designada provisionalmente es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023. Su régimen sancionador específico está pendiente de desarrollo en el momento de redactar este análisis.

5. Roadmap operativo para una AAPP

Una administración que quiera estar lista en agosto de 2026 debería abordar los siguientes hitos:

5.1. Inventario de sistemas IA en uso (mes 1)

Identificar todos los sistemas de IA o de IA generativa utilizados en la entidad: chatbots, asistentes a la redacción, herramientas de análisis documental, sistemas de recomendación. Para cada uno, documentar: (a) proveedor, (b) finalidad, (c) tipo de output, (d) categoría de personas afectadas. Esto es además exigible como parte del cumplimiento de RGPD (art. 30 RAT).

5.2. Clasificación por riesgo y obligaciones aplicables (mes 2)

Para cada sistema del inventario, verificar si entra en categoría de prohibido (art. 5), alto riesgo (anexo III), o riesgo limitado con obligaciones de transparencia (art. 50). Documentar la clasificación motivada por escrito —es la base de la defensa frente a futuras inspecciones de AESIA.

5.3. Implementación de capa de transparencia (meses 2-4)

Para sistemas afectados por el art. 50:

  • Añadir avisos explícitos al inicio de cualquier conversación de asistente IA con personas físicas.
  • Cuando se publique texto generado por IA sin revisión humana documentada, etiquetar el contenido como tal.
  • Cuando se generen imágenes o audio sintético, añadir metadatos técnicos identificadores (C2PA, watermark) o, como mínimo, etiqueta visible en el output publicado.
  • Definir un proceso de revisión editorial humana documentada para contenidos que se quieran eximir del etiquetado.

5.4. Procedimiento interno de cumplimiento (mes 4-5)

Aprobar mediante resolución administrativa una instrucción interna que regule el uso de IA generativa en la entidad, identificando responsables, sistemas autorizados, procedimientos de revisión y registro de incidencias. Coordinar con el delegado de protección de datos (RGPD).

5.5. Auditoría inicial y registro (mes 5-6)

Realizar una auditoría interna que verifique que cada sistema de IA está marcado, documentado, comunicado a las personas afectadas y conforme con la instrucción interna. Conservar evidencias.

6. Patrón técnico de implementación

A nivel técnico, una capa de cumplimiento Art. 50 para una aplicación que utilice IA generativa se compone típicamente de cinco elementos:

  • Disclosure layer: aviso al usuario de que está interactuando con IA, mostrado de forma persistente o al inicio de cada conversación.
  • Output marking layer: cada output generado por IA pasa por una función que añade un metadato técnico identificador antes de su persistencia o publicación.
  • Watermark layer (para imagen/audio/vídeo): añadir un marcado interoperable conforme al estado del arte (por ejemplo, C2PA Content Credentials).
  • Audit log: registro inmutable de cada output generado con timestamp, modelo usado, prompt, output resultante, marca técnica aplicada.
  • Editorial workflow: cuando se quiera eximir un texto del etiquetado del art. 50.4, registro de revisión humana con identificación de la persona responsable.

En la práctica, una implementación de referencia con TypeScript + Web Crypto API + API del modelo puede colocar la disclosure layer en el frontend, el marcado técnico como utilidad invocada en el API route del modelo, la verificación de integridad como función accesoria de auditoría, y la persistencia opcional del audit trail en la base de datos del operador (relacional o documental, según contexto).

7. Conclusiones

El art. 50 del EU AI Act es la obligación de cumplimiento más inminente para las AAPP españolas en materia de IA: aplicable en agosto de 2026. Su contenido es razonablemente acotable (cuatro obligaciones, una autoridad competente designada, un régimen sancionador concreto) y técnicamente implementable con stacks habituales del sector.

La preparación temprana —inventario, clasificación, capa técnica, procedimiento interno, auditoría— es la diferencia entre el cumplimiento normativo proactivo y la respuesta reactiva a una inspección. Para entidades locales con uso creciente de IA generativa, anticipar el plazo de agosto de 2026 con margen suficiente es el camino menos costoso y más defensivo.

Este artículo es un análisis técnico-normativo. No constituye asesoramiento jurídico individualizado. Para aplicación a un caso concreto se recomienda consulta con asesor jurídico especializado en derecho público y protección de datos.

Referencias internas

Material complementario.

El caso técnico documentado se encuentra en /proyectos. El módulo de cumplimiento técnico, con licencia MIT, en /codigo (archivo eu-ai-act-watermark.ts).