El Reglamento de IA para marketing y publicidad digital: qué se regula y qué no
La mayoría de la IA de marketing es de riesgo mínimo. Qué activa el Artículo 50, qué está prohibido (Art. 5) y cómo afecta el RGPD a la publicidad.
La mayor parte de la IA que utiliza un equipo de marketing queda fuera de las obligaciones de alto riesgo de la Ley de IA de la UE. Segmentación de audiencias, generación de textos e imágenes para campañas, optimización de pujas, puntuación de leads, recomendación de productos — son herramientas operativas de riesgo mínimo. El reglamento no impone a ninguna de ellas un conjunto de cumplimiento obligatorio. Lo que sí regula, y con precisión, son tres cosas concretas: la transparencia cuando un cliente interactúa con una máquina o ve contenido sintético (Artículo 50), una línea roja absoluta contra la manipulación (Artículo 5) y la categorización biométrica para segmentar anuncios. Acertar con esas tres líneas es prácticamente todo el trabajo de cumplimiento de marketing.
La mayoría de la IA de marketing es de riesgo mínimo
Conviene empezar aquí, porque la suposición contraria circula mucho y resulta cara.
La Ley de IA de la UE, en virtud del Reglamento (UE) 2024/1689, clasifica los sistemas de IA en cuatro niveles de riesgo. El nivel inferior — riesgo mínimo — no conlleva obligaciones obligatorias. Cubre todo lo que no captura la lista de prácticas prohibidas (Artículo 5), las clasificaciones de alto riesgo (Artículo 6 y Anexo III) o las reglas de transparencia de riesgo limitado (Artículo 50). La inmensa mayoría de la IA de marketing y adtech vive en ese nivel.
Un motor de segmentación que agrupa audiencias por comportamiento de compra es de riesgo mínimo. Un modelo generativo que redacta variantes de asunto de correo o produce creatividades para una campaña es de riesgo mínimo. Un optimizador que reparte el presupuesto entre canales para mejorar el retorno es de riesgo mínimo. Ninguno figura en el Anexo III (la lista de alto riesgo de ocho categorías) y ninguno funciona como componente de seguridad de un producto regulado. Pueden aplicarse códigos de conducta voluntarios (Artículo 95), pero no hay un conjunto de cumplimiento exigible.
La implicación práctica es directa: no trate la Ley de IA como una regulación general de la publicidad. Es específica. La pregunta correcta sobre cada sistema no es «¿usa IA?», sino «¿desencadena el Artículo 50, cruza la línea del Artículo 5 o categoriza datos biométricos?». Para casi toda la pila de marketing, las tres respuestas son no.
Artículo 50: transparencia: lo que realmente se aplica al marketing
El Artículo 50 es el corazón del cumplimiento de marketing, y se aplica a partir del 2 de agosto de 2026. No es una obligación de alto riesgo; es un deber de transparencia de riesgo limitado. Tres de sus apartados afectan directamente a las operaciones de marketing.
Artículo 50, apartado 1 — Divulgación de la interacción con IA. Cuando un usuario interactúa con un sistema de IA — un chatbot de atención, un asistente conversacional en la web, un agente de ventas automatizado — el responsable del despliegue debe informarle de que está tratando con una máquina, salvo que resulte obvio para una persona razonablemente informada. En la práctica: un aviso claro al inicio de la conversación. No basta con esconderlo en la política de privacidad.
Artículo 50, apartado 2 — Marcado de contenido sintético. El proveedor de un sistema de IA generativa debe marcar las salidas — imágenes, audio, vídeo, texto — en un formato legible por máquina, de modo que sean detectables como generadas artificialmente. Esto recae sobre quien construye el modelo generativo, no sobre el equipo de marketing que lo usa, pero condiciona qué herramientas elige y cómo etiqueta sus activos.
Artículo 50, apartado 4 — Divulgación de ultrafalsificaciones. Si una campaña publica una imagen, audio o vídeo que constituye una ultrafalsificación — contenido manipulado por IA que parece auténtico — el responsable del despliegue debe revelar que el contenido ha sido generado o manipulado artificialmente. Esto importa cada vez más al marketing con avatares sintéticos, voces clonadas o portavoces generados por IA.
Todo el Artículo 50, incluido el marcado del apartado 2, se aplica desde el 2 de agosto de 2026. Conviene no confundirlo con el 2 de diciembre de 2026, que es la fecha de transición del Ómnibus Digital para que los sistemas generativos ya en el mercado cumplan el marcado, junto con la prohibición de material CSAM — ambas acordadas, aún no ley. El incumplimiento de un deber del Artículo 50 se sanciona en el tramo de 15 000 000 de euros o el 3 % del volumen de negocios anual mundial, lo que sea mayor (Artículo 99, apartado 4).
La línea roja: manipulación y técnicas subliminales (Artículo 5)
Aquí está la única prohibición absoluta que el marketing debe conocer al detalle.
El Artículo 5, apartado 1, letra a), prohíbe los sistemas de IA que emplean técnicas subliminales que trascienden la consciencia de una persona, o técnicas deliberadamente manipuladoras o engañosas, con el objetivo o el efecto de distorsionar de forma sustancial su comportamiento de un modo que le cause, o sea razonablemente probable que le cause, un perjuicio significativo. La letra b) prohíbe además explotar las vulnerabilidades de una persona o grupo debidas a la edad, la discapacidad o una situación socioeconómica específica con el mismo fin.
La distinción que importa: la persuasión publicitaria lícita — un anuncio convincente, una oferta bien dirigida, un titular que apela a una emoción — no está prohibida. Lo que está prohibido es la manipulación por debajo del umbral de la consciencia o el aprovechamiento dirigido de una vulnerabilidad para distorsionar el comportamiento de forma perjudicial. Un sistema de IA que detecta cuándo un usuario es más vulnerable a una compra impulsiva y dispara dark patterns en ese momento se acerca peligrosamente a esta línea; una campaña estacional normal, no.
Esta prohibición está en vigor desde el 2 de febrero de 2025 y se sanciona en el tramo superior: 35 000 000 de euros o el 7 % del volumen de negocios anual mundial, lo que sea mayor (Artículo 99, apartado 3). Es la única parte del marketing donde la exposición es máxima, y la única donde un sistema queda directamente prohibido, no meramente regulado.
Categorización biométrica para publicidad
Un caso de uso de adtech merece atención aparte: inferir características de las personas a partir de datos biométricos para segmentar anuncios.
La categorización biométrica que deduce o infiere categorías sensibles — raza, opiniones políticas, afiliación sindical, convicciones religiosas, vida u orientación sexual — está prohibida con arreglo al Artículo 5, apartado 1, letra g), salvo excepciones muy estrechas en el ámbito policial. Para el marketing, esto significa: no construya un sistema que clasifique a las personas por categorías protegidas a partir de su cara, voz o rasgos para dirigirles publicidad.
La categorización biométrica fuera de esas categorías sensibles no está prohibida, pero, si se utiliza, dispara el deber de información del Artículo 50, apartado 3: hay que informar a las personas expuestas a un sistema de categorización biométrica. Y todo tratamiento de datos biométricos arrastra el RGPD por encima — los datos biométricos para identificar de forma unívoca a una persona son una categoría especial conforme al RGPD Artículo 9, lo que en la práctica hace inviable la mayoría de la segmentación biométrica de anuncios.
El RGPD se aplica en paralelo, siempre
La Ley de IA no sustituye al RGPD; se suma a él. En marketing, el RGPD suele ser la restricción que más muerde en el día a día.
La personalización y la segmentación que tratan datos personales necesitan una base jurídica con arreglo al RGPD. La elaboración de perfiles está definida en el RGPD Artículo 4, apartado 4. Las decisiones basadas únicamente en tratamiento automatizado con efectos significativos están reguladas por el RGPD Artículo 22. Y un sistema de segmentación a gran escala con tratamiento de alto riesgo puede exigir una evaluación de impacto relativa a la protección de datos conforme al RGPD Artículo 35. Un equipo de marketing que ya gestiona bien el RGPD habrá hecho buena parte del trabajo de gobernanza que la Ley de IA da por supuesto.
Quién es proveedor y quién responsable del despliegue
La mayoría de los equipos de marketing son responsables del despliegue (Artículo 26): usan herramientas de IA que ha construido otra persona. Sus deberes en los casos de riesgo limitado se reducen, sobre todo, a las divulgaciones del Artículo 50 — avisar de la interacción con IA, revelar ultrafalsificaciones — y a no cruzar las prohibiciones del Artículo 5.
Una agencia o una marca pasa a ser proveedor (Artículo 16) si construye su propio sistema de IA o si modifica sustancialmente uno adquirido. Y el Artículo 25 describe el «cambio de función»: si un responsable del despliegue pone un sistema en el mercado bajo su propio nombre, lo modifica de forma sustancial o lo usa para un fin distinto del previsto, puede heredar las obligaciones del proveedor. Para casi todo el marketing que se limita a usar herramientas comerciales tal como vienen, esto no se activa — pero conviene auditarlo antes de personalizar a fondo un modelo.
Tabla: qué obligación se activa en marketing
| Caso de uso de marketing | Nivel | Obligación |
|---|---|---|
| Segmentación de audiencias, puntuación de leads | Mínimo | Ninguna obligatoria |
| Generación de textos/creatividades para campañas | Mínimo (uso) | Marcado del contenido lo hace el proveedor (Art. 50.2) |
| Chatbot / asistente conversacional | Limitado | Divulgar interacción con IA (Art. 50.1) |
| Ultrafalsificaciones, avatares y voces sintéticas | Limitado | Divulgar manipulación artificial (Art. 50.4) |
| Categorización biométrica (no sensible) para anuncios | Limitado | Informar a las personas (Art. 50.3) + RGPD |
| Categorización biométrica de categorías sensibles | Prohibido | Art. 5.1.g) |
| Técnicas subliminales / manipulación perjudicial | Prohibido | Art. 5.1.a) y b) |
Un ejemplo concreto
Tomemos Brújula Digital S.L., una agencia de marketing de Valencia con unos 45 empleados y alrededor de 6 M€ de facturación. Su pila incluye una herramienta generativa para creatividades, un optimizador de pujas, un chatbot de captación en las webs de sus clientes y, en un proyecto piloto, un portavoz de marca generado por IA con voz sintética.
El recorrido de clasificación es nítido. El generativo y el optimizador son de riesgo mínimo: sin obligaciones obligatorias, aunque el marcado de las imágenes generadas corresponde al proveedor del modelo (Artículo 50, apartado 2). El chatbot activa el Artículo 50, apartado 1 — un aviso visible de «estás hablando con un asistente automatizado» basta. El portavoz sintético con voz clonada es una ultrafalsificación: el Artículo 50, apartado 4, obliga a revelar que el contenido está generado por IA. Nada en su pila figura en el Anexo III ni roza la prohibición del Artículo 5, siempre que el optimizador no derive hacia explotar vulnerabilidades. Resultado: cero obligaciones de alto riesgo, tres divulgaciones de transparencia y un punto de vigilancia. Mucho más manejable de lo que temían.
Cómo ayuda Confir a los equipos de marketing
Para una agencia o un departamento de marketing, el reto no es un cumplimiento pesado de alto riesgo — es separar con claridad lo que de verdad se regula de lo que no, y documentar esa decisión por si un cliente o una autoridad la pregunta.
La lógica de clasificación determinista y basada en reglas de Confir recorre cada sistema y saca a la luz los hechos que importan: ¿hay interacción con un usuario (Artículo 50.1)?, ¿se genera contenido sintético o ultrafalsificaciones (Artículo 50.2 y 50.4)?, ¿se categorizan datos biométricos?, ¿roza algún sistema la línea de manipulación del Artículo 5? Produce una justificación de clasificación que un equipo interno o un revisor externo puede seguir e impugnar — las mismas entradas, el mismo resultado, sin inferencia ni alucinación. El Registro de Riesgos mantiene visibles la función (proveedor o responsable del despliegue), el nivel y las divulgaciones pendientes en toda la cartera de herramientas. Sin consultores, sin implantación de varios meses.
Guías relacionadas
- Transparencia del Artículo 50: chatbots y contenido sintético
- Prácticas prohibidas del Artículo 5
- Categorización biométrica
- Proveedor o responsable del despliegue
- El RGPD y la Ley de IA
- Plazos y calendario de la Ley de IA de la UE
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →