Artículo 50 de la Ley de IA de la UE: obligaciones de transparencia para los sistemas de riesgo limitado
Artículo 50 de la Ley de IA de la UE: divulgación de chatbots, marcado de contenido sintético, reglas sobre ultrasuplantaciones y avisos de reconocimiento de emociones. Se aplica desde el 2 de agosto de 2026.
El Artículo 50 del Reglamento (UE) 2024/1689 es el nivel de transparencia del Reglamento para los sistemas de IA de riesgo limitado: chatbots, generadores de contenido sintético, despliegues de reconocimiento de emociones y ultrasuplantaciones. No impone la pila completa de cumplimiento de alto riesgo. Lo que sí impone es un conjunto de deberes de divulgación tajantes que se aplican desde el 2 de agosto de 2026 a una amplia gama de productos de IA cotidianos.
Si opera un chatbot de cara al cliente, genera imágenes o vídeos de IA a gran escala o despliega cualquier sistema que infiera emociones o produzca contenido al estilo de las ultrasuplantaciones, el Artículo 50 es su obligación principal. Incumplirlo acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial con arreglo al Artículo 99, apartado 4 —el mismo techo que el incumplimiento de la mayoría de las obligaciones de alto riesgo—.
Esta guía recorre cada apartado del Artículo 50 en orden, identifica quién debe qué y traduce el texto legal en pasos prácticos.
Qué es —y qué no es— el Artículo 50
El Artículo 50 se sitúa en el Capítulo IV del Reglamento, que rige la transparencia de determinados sistemas de IA. Los cuatro niveles de riesgo del Reglamento son: riesgo inadmisible (prohibido, Artículo 5), alto riesgo (Artículos 6 a 27 y 43 a 49), riesgo limitado o de transparencia (Artículo 50) y riesgo mínimo (sin obligaciones obligatorias). El Artículo 50 es todo el régimen de transparencia de riesgo limitado en una sola disposición.
Es importante no confundirlo con dos obligaciones adyacentes que parecen similares:
- El Artículo 13 (transparencia e información a los responsables del despliegue de sistemas de alto riesgo) exige a los proveedores de IA de alto riesgo facilitar a los responsables del despliegue información sobre el sistema: su finalidad, métricas de rendimiento, limitaciones y cómo interpretar su resultado. Ese es un deber de información de cara al responsable del despliegue para el nivel de alto riesgo, no el Artículo 50.
- Las obligaciones de los modelos GPAI (Capítulo V, Artículos 53 y 55) exigen a los proveedores de modelos de IA de uso general mantener documentación técnica, publicar resúmenes de los datos de entrenamiento y —para los modelos con riesgo sistémico— realizar pruebas adversarias y notificar incidentes. Esos son deberes a nivel de modelo para una categoría transversal separada.
El Artículo 50, apartado 2, sí se aplica a los proveedores de sistemas de IA que resultan ser sistemas de IA de uso general (es decir, productos desplegados que generan contenido sintético), pero ese es un deber de transparencia sobre el resultado, no las obligaciones de los modelos GPAI del Capítulo V. Mantenga estas vías separadas.
Artículo 50, apartado 1: divulgación de chatbots — quién debe avisar a los usuarios de que hablan con una IA
A quién se dirige: a los proveedores de sistemas de IA destinados a interactuar directamente con personas físicas.
La obligación es esta: diseñar el sistema de modo que los usuarios sepan que están interactuando con una IA. El deber recae en el proveedor —la entidad que introduce el sistema en el mercado o lo pone en servicio con su propio nombre—. Es un requisito de diseño, no un aviso puntual. El proveedor debe integrar la divulgación en la experiencia de usuario de modo que se active en el momento de la primera interacción o antes de ella.
Se aplican dos salvedades. En primer lugar, no se exige divulgación si resulta evidente para una persona razonablemente atenta, por el contexto o las circunstancias, que está interactuando con una IA. Una herramienta de autocompletado de texto a código integrada dentro de un IDE de desarrolladores, donde todos los usuarios han instalado conscientemente un asistente de codificación con IA, probablemente cumple esto. Un widget de chat de soporte en un sitio minorista de consumo no lo hace: muchos usuarios supondrán que están contactando con un agente humano.
En segundo lugar, los sistemas autorizados por ley para detectar, prevenir, investigar o enjuiciar delitos están exentos del requisito de divulgación. Esta es una excepción estrecha para los contextos de garantía del cumplimiento del Derecho y de seguridad pública; no se extiende a la detección de fraude en entornos comerciales.
Ejemplo práctico — chatbot de soporte: Una empresa de SaaS de 60 personas despliega un chatbot de IA de un tercero en su portal de ayuda. La empresa es el responsable del despliegue; el proveedor del chatbot es el proveedor. El proveedor debe diseñar el widget de modo que el mensaje de apertura —o una etiqueta persistente visible desde el primer intercambio— lo identifique como una IA. Un crédito en el pie de página que diga «asistente de IA» visible solo después de desplazarse hacia abajo no satisface de forma fiable el requisito. El proveedor construye el flujo de divulgación conforme; el responsable del despliegue no debe desactivarlo.
Artículo 50, apartado 2: marcado de contenido sintético — marcas de agua, etiquetas legibles por máquina e interoperabilidad
A quién se dirige: a los proveedores de sistemas de IA (incluidos los sistemas de IA de uso general) que generan audio, imagen, vídeo o texto sintéticos.
Esta es la disposición técnicamente más exigente del Artículo 50. Los proveedores deben garantizar que los resultados estén marcados en un formato legible por máquina y sean detectables como generados o manipulados artificialmente. El marcado debe ser efectivo, interoperable, sólido y fiable, en la medida en que sea técnicamente factible.
«Interoperable» importa. El Reglamento contempla que las herramientas de detección de distintos proveedores deben poder leer el marcado, lo que significa que los esquemas de marca de agua propietarios que solo sus propias herramientas pueden detectar no satisfarán el requisito. La Oficina de IA tiene encomendada, con arreglo al Artículo 50, apartado 7, la tarea de facilitar códigos de buenas prácticas sobre las normas técnicas de detección y etiquetado. Hasta que esos códigos se finalicen, los proveedores deben aplicar enfoques de marca de agua estándar (p. ej., manifiestos criptográficos C2PA, marcas de agua perceptuales para imágenes) y documentar su elección.
Dos excepciones limitan el alcance del Artículo 50, apartado 2:
- Función de asistencia / edición estándar: si el sistema de IA desempeña una función de asistencia para operaciones de edición estándar —corrección ortográfica, corrección básica de imágenes, gradación de color, autocompletado— y no altera sustancialmente el contenido de entrada, la obligación de marcado no se aplica. Una herramienta de corrección gramatical que arregla una coma no la activa. Una IA que reescribe un párrafo, genera un rostro o sintetiza una voz, sí.
- Autorización para la garantía del cumplimiento del Derecho: se aplica la misma salvedad por delito que en el Artículo 50, apartado 1.
Ejemplo práctico — generador de imágenes con IA: Una empresa emergente europea vende un producto por suscripción que permite a los equipos de marketing generar fotografía de productos. Toda imagen que produce debe llevar una marca legible por máquina (p. ej., un manifiesto C2PA) antes de salir del producto. Si la empresa emergente también exporta un complemento de Photoshop que ajusta el brillo y el contraste de fotos subidas por el usuario sin alterarlas sustancialmente, ese complemento está probablemente exento. Si el complemento puede generar un fondo de producto enteramente sintético, ese resultado necesita la marca.
Nota: el lenguaje legal dice que el marcado debe ser legible por máquina y el resultado detectable como generado artificialmente «en la medida en que sea técnicamente factible». Este es un deber cualificado, no absoluto, pero la carga recae en el proveedor de demostrar que una técnica de marcado conforme no era técnicamente factible, no de suponer que la excepción se aplica por defecto.
Artículo 50, apartado 3: sistemas de reconocimiento de emociones y de categorización biométrica
A quién se dirige: a los responsables del despliegue de sistemas de reconocimiento de emociones o de sistemas de categorización biométrica.
El Artículo 50, apartado 3, traslada la obligación del proveedor al responsable del despliegue. Cuando despliega un sistema que infiere estados emocionales (enfado, angustia, implicación, satisfacción) o que categoriza a las personas sobre la base de datos biométricos (género percibido, edad, etnia), debe informar a las personas físicas expuestas a ese sistema. También debe cumplir el Reglamento (UE) 2016/679 (RGPD) —un recordatorio de que los requisitos del RGPD sobre consentimiento, análisis de interés legítimo y minimización de datos se aplican en paralelo—.
Se aplica la misma salvedad por garantía del cumplimiento del Derecho. Un cuerpo policial legalmente autorizado a utilizar el reconocimiento de emociones en un contexto de interrogatorio (con sujeción al Derecho nacional aplicable) está exento del requisito de aviso del Artículo 50, apartado 3.
«Expuestas a» es más amplio que «que utilizan». Si una tienda minorista despliega un sistema de IA que analiza las expresiones faciales de los compradores para medir su respuesta emocional ante los expositores de productos, toda persona que pasa ante la cámara —sea o no cliente, haya consentido o no— está expuesta. El responsable del despliegue debe informarla. En la práctica, esto requerirá señalización visible en el punto de entrada, siguiendo la misma lógica que los avisos de videovigilancia del RGPD.
Ejemplo práctico — herramienta de sentimiento de RR. HH.: Una empresa de 200 personas despliega una herramienta de un tercero que analiza las expresiones de los empleados en las videollamadas durante las reuniones de evaluación del rendimiento para producir puntuaciones de implicación. La empresa es el responsable del despliegue. Antes de utilizar la herramienta, debe informar a los empleados de que durante la llamada está operando un sistema de reconocimiento de emociones. El aviso debe darse antes o en el momento de la primera exposición, no enterrado en una actualización anual del aviso de privacidad.
Artículo 50, apartado 4: divulgación de ultrasuplantaciones y texto generado por IA para información pública
A quién se dirige: a los responsables del despliegue que generan o manipulan contenido que constituye una ultrasuplantación, y a los responsables del despliegue que generan texto de IA para su publicación al público sobre asuntos de interés público.
El Artículo 50, apartado 4, se divide en dos deberes distintos.
Divulgación de ultrasuplantaciones. Un responsable del despliegue que genera o manipula contenido de imagen, audio o vídeo que constituye una ultrasuplantación —contenido realista generado o alterado por IA que representa a personas, lugares o sucesos reales o ficticios— debe divulgar con claridad que el contenido se ha generado o manipulado artificialmente. La divulgación debe ser visible o audible en el punto de consumo.
Se aplica una excepción para las obras artísticas, creativas, satíricas o de ficción. Cuando el contenido es claramente creativo —un vídeo de parodia claramente etiquetado, una novela visual estilizada, un personaje con voz de IA explícitamente ficticio—, el requisito limita cómo debe divulgarse (de una manera adecuada al contexto creativo), en lugar de eliminar por completo la divulgación. La excepción no es una exención general del sector creativo. Un anuncio comercial que representa de forma realista el respaldo de una celebridad mediante tecnología de ultrasuplantación no es obra artística en este sentido, y debe llevar la divulgación.
Texto de interés público generado por IA. Un responsable del despliegue que genera texto publicado para informar al público sobre asuntos de interés público —artículos de noticias, comentario político, análisis de mercado distribuido al público— debe divulgar que el texto se generó con IA. La excepción aquí es relevante: no se exige divulgación cuando el texto generado por IA se ha sometido a revisión editorial humana y cuando una persona física ostenta la responsabilidad editorial del contenido publicado. Un periodista que solicita a una IA un borrador, lo edita después sustancialmente y lo publica bajo su firma con supervisión editorial no está obligado a divulgar la intervención de la IA. Un sistema que autopublica resúmenes de noticias generados por IA sin revisión humana, sí.
Esta distinción importa para las empresas de comunicación, los boletines de cumplimiento, las divulgaciones de relaciones con inversores y las comunicaciones del sector público. Si un editor humano revisa y asume la responsabilidad, no es obligatoria ninguna divulgación. Si la cadena de producción está automatizada, la divulgación lo es.
Artículo 50, apartado 5: momento y accesibilidad de las divulgaciones
Toda la información exigida con arreglo al Artículo 50, apartados 1 a 4, debe facilitarse de manera clara y distinguible a más tardar en el momento de la primera interacción o primera exposición. El aviso retroactivo —informar a los usuarios después de que la sesión termine, o divulgar el contenido de ultrasuplantación solo en una nota a pie de página una semana después de la publicación— no satisface el requisito.
Las divulgaciones también deben cumplir los requisitos de accesibilidad. Para los responsables del despliegue que atienden a usuarios con discapacidad, los mecanismos de divulgación deben ser accesibles conforme a las normas de accesibilidad aplicables (p. ej., WCAG 2.1 para las interfaces web). Una divulgación transmitida únicamente mediante texto en pantalla falla para los usuarios que dependen de interfaces de audio; una divulgación solo en una señal sonora falla para los usuarios sordos.
El criterio de «manera clara y distinguible» significa que la divulgación debe ser lo bastante destacada como para que un usuario típico la advierta durante la interacción normal. Exigir a los usuarios que hagan clic en una pestaña de divulgación legal, o colocar una etiqueta de IA en texto de 8 puntos en una esquina de la interfaz, difícilmente satisfará esto.
Cómo se relaciona el Artículo 50 con el nivel de alto riesgo
Dado que muchos sistemas cubiertos por el Artículo 50 también inciden en ámbitos enumerados en el Anexo III, conviene aclarar la interacción. Los sistemas de categorización biométrica figuran en el punto 1 del Anexo III como IA de alto riesgo, pero solo cuando se utilizan en contextos específicos (empleo, garantía del cumplimiento del Derecho, migración, etc.) y solo cuando no entran en el filtro del Artículo 6, apartado 3. Un sistema de categorización biométrica utilizado en un contexto minorista de medición de emociones puede ser o no de alto riesgo en función de ese análisis.
El punto clave: el Artículo 50 es la línea de base mínima. Si un sistema es a la vez de riesgo limitado con arreglo al Artículo 50 y de alto riesgo con arreglo al Artículo 6, se aplican ambos conjuntos de obligaciones. Los deberes de transparencia del Artículo 50 no desplazan los requisitos de alto riesgo; se acumulan sobre ellos.
A la inversa, muchos sistemas del Artículo 50 no son en absoluto de alto riesgo: un chatbot de IA estándar, una herramienta de imágenes sintéticas para marketing, un generador de texto con IA para borradores internos. Estos sistemas deben las divulgaciones del Artículo 50 y nada más allá de eso (suponiendo que no estén prohibidos con arreglo al Artículo 5).
El plazo de cumplimiento: 2 de agosto de 2026
El Artículo 50 se aplica desde el 2 de agosto de 2026. Esta es la fecha de aplicación general del Reglamento y el Ómnibus Digital no la modifica. El Ómnibus Digital aplazó las obligaciones de alto riesgo del Anexo III —los sistemas autónomos de alto riesgo se aplican ahora desde el 2 de diciembre de 2027; la IA de alto riesgo integrada en productos regulados se aplica desde el 2 de agosto de 2028—. El Artículo 50 no se aplazó. El plazo del 2 de agosto de 2026 es firme.
Eso deja poco más de un año desde la fecha de este artículo. Para un proveedor de chatbots, el trabajo es principalmente de UX y diseño de producto: ¿informa la interfaz de forma fiable a los usuarios en la primera interacción? Para un proveedor de contenido sintético, el trabajo es técnico: ¿qué enfoque de marca de agua o de marcado de procedencia aplicará y pueden detectarlo las herramientas externas? Para una empresa que despliega el reconocimiento de emociones o la categorización biométrica en cualquier forma, el trabajo implica el análisis del RGPD y el diseño de señalización/avisos en paralelo.
Errores habituales de aplicación
Suponer que se cumple el «contexto evidente». Muchos equipos suponen que sus usuarios saben que hablan con una IA porque el producto se comercializa como un producto de IA. El criterio del Artículo 50, apartado 1, es lo que advertiría una «persona razonablemente atenta» en las circunstancias, no lo que un usuario avanzado bien informado ya sabe. Si hay alguna posibilidad realista de que un usuario pueda creer que está contactando con un humano, se exige la divulgación.
Integrar la divulgación solo en las condiciones del servicio. Una referencia a la IA en las condiciones del servicio o en una política de privacidad no satisface el requisito del Artículo 50, apartado 1, ni del apartado 4. La divulgación debe hacerse en el momento de la primera interacción o antes, en el propio canal de interacción.
Tratar la excepción creativa del apartado 4 como una exención completa. El contenido de ultrasuplantación utilizado en publicidad, demostraciones de producto o comunicaciones corporativas no es «claramente satírico o ficticio» simplemente porque lo haya producido un equipo creativo. Los tribunales y las autoridades examinarán si un espectador razonable entendería el contenido como ficción generada por IA. En caso de duda, divulgue.
Marcar solo algunos resultados. Un generador de imágenes con IA que aplica manifiestos C2PA a los resultados de su interfaz web pero los elimina en la respuesta de la API no cumple. La obligación de marcado sigue al resultado, con independencia del canal de distribución.
No actualizar los flujos de notificación tras cambios en el sistema. Un chatbot que añade funciones de análisis de emociones después del lanzamiento activa nuevas obligaciones del Artículo 50, apartado 3, para el responsable del despliegue. Las revisiones de cumplimiento deben abarcar las actualizaciones del sistema, no solo el despliegue inicial.
Sanciones por incumplimiento
El Artículo 99, apartado 4, fija la multa por incumplimiento de las obligaciones del Artículo 50 en 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Para las empresas y las empresas emergentes, el Artículo 99, apartado 6, dispone que las multas se limitan al menor de los dos importes, el porcentaje o el techo de cantidad fija —una protección de proporcionalidad, pero no una exención—.
Las multas las imponen las autoridades nacionales de vigilancia del mercado (o, para los GPAI sistémicos, la Oficina de IA). Los Estados miembros también deben permitir la ejecución privada y las acciones de representación en algunos contextos. La exposición reputacional —que una autoridad haga público que el chatbot de una empresa engañó a los usuarios sobre su condición de IA— puede importar tanto como la propia multa.
Cómo ayuda Confir con el Artículo 50
Cuando registra un sistema de IA en Confir, la evaluación AIRC (Clasificación de Riesgos) ejecuta una lista de comprobación de desencadenantes de transparencia que señala las obligaciones del Artículo 50 en función de cómo describe el sistema. Si el sistema interactúa con personas físicas, genera contenido sintético o realiza reconocimiento de emociones o categorización biométrica, Confir asigna los deberes del Artículo 50 y registra las obligaciones de divulgación en el expediente de cumplimiento del sistema.
La evaluación AITO (Transparencia y Supervisión Humana) recoge las obligaciones concretas del Artículo 50, apartados 1 a 4, que se aplican, con orientación sobre qué aspecto tiene una divulgación conforme para cada tipo de obligación. El resultado es un registro documentado que un equipo de cumplimiento o un auditor externo puede inspeccionar: las obligaciones de transparencia, cómo se cumplen y cuándo.
Ambos módulos forman parte del motor determinista y basado en reglas de Confir. La misma descripción del sistema produce las mismas obligaciones del Artículo 50 cada vez: auditable, reproducible, sin conjeturas.
Las obligaciones del Artículo 50 de un vistazo
| Apartado | Obligación | Quién la debe | Salvedades |
|---|---|---|---|
| Art. 50, apdo. 1 | Informar a los usuarios de que interactúan con una IA | Proveedor | Contexto evidente; autorización para la garantía del cumplimiento del Derecho |
| Art. 50, apdo. 2 | Marcado legible por máquina del contenido sintético | Proveedor | Asistencia/edición estándar sin alteración sustancial; garantía del cumplimiento del Derecho |
| Art. 50, apdo. 3 | Informar a las personas expuestas al reconocimiento de emociones o a la categorización biométrica | Responsable del despliegue | Autorización para la garantía del cumplimiento del Derecho |
| Art. 50, apdo. 4, letra a) | Divulgar el contenido de ultrasuplantación como generado/manipulado por IA | Responsable del despliegue | Obra creativa/satírica (la manera de divulgar puede adaptarse) |
| Art. 50, apdo. 4, letra b) | Divulgar el texto generado por IA publicado sobre asuntos de interés público | Responsable del despliegue | Revisión editorial humana con responsabilidad editorial |
| Art. 50, apdo. 5 | Todas las divulgaciones en la primera interacción; de manera clara, distinguible y accesible | Ambos | — |
Qué hacer antes de agosto de 2026
Empiece por su inventario de sistemas de IA. Enumere todos los sistemas que su organización proporciona o despliega que podrían entrar en cualquier apartado del Artículo 50: chatbots y agentes virtuales, herramientas de generación de imagen/vídeo/audio, generadores de contenido de marketing o de comunicaciones, cualquier sistema que analice expresiones faciales o tono de voz, cualquier contenido generado para su publicación al público. Para cada uno, identifique si usted es el proveedor o el responsable del despliegue, porque las obligaciones difieren.
Para los proveedores de chatbots y agentes virtuales: audite la interfaz de usuario para una divulgación de IA clara y en la primera interacción. Pruébela con usuarios que no tengan conocimiento previo de su producto.
Para los proveedores de contenido sintético: seleccione una norma de marcado y aplíquela en todos los canales de salida. Documente el enfoque técnico y sus limitaciones. Vigile el trabajo de la Oficina de IA sobre los códigos de buenas prácticas con arreglo al Artículo 50, apartado 7.
Para los responsables del despliegue que utilizan el reconocimiento de emociones o la categorización biométrica: realice un análisis de la base lícita del RGPD junto con el diseño del aviso del Artículo 50, apartado 3. Son procesos paralelos, no secuenciales.
Para los responsables del despliegue que generan ultrasuplantaciones o texto de IA de interés público: revise toda cadena de publicación automatizada y determine dónde existe revisión editorial humana y dónde no. Allí donde no exista, integre la divulgación.
El plazo de agosto de 2026 para el Artículo 50 es fijo. Es el único plazo de transparencia que el Ómnibus Digital no tocó.
Guías relacionadas
- guía de cumplimiento de la Ley de IA de la UE
- guía de cumplimiento para pymes en materia de GPAI
- soluciones de software de cumplimiento del Artículo 50
- herramientas de gestión de riesgos del Artículo 50
- metodología de evaluación del riesgo de transparencia
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →