La inteligencia artificial generativa ha transformado la forma en que se crean textos, imágenes, vídeos y audios. Sin embargo, una de las dudas más frecuentes es si la normativa europea obliga a identificar todos los contenidos creados con IA. La respuesta es clara: no existe una obligación general de etiquetar cualquier contenido generado mediante inteligencia artificial.
El Reglamento (UE) 2024/1689, conocido como AI Act, adopta un enfoque basado en el riesgo. En lugar de exigir el etiquetado universal de todos los contenidos generados por IA, establece obligaciones de transparencia únicamente para determinados supuestos en los que existe un mayor riesgo de engaño o de afectar al interés público.
El artículo 50 del AI Act: las obligaciones de transparencia
El artículo 50 del AI Act regula los casos en los que los proveedores y los responsables del despliegue de determinados sistemas de IA deben informar a los usuarios o al público de que están interactuando con inteligencia artificial o de que un contenido ha sido generado o manipulado mediante esta tecnología.
En materia de contenidos generados por IA, destacan dos supuestos.
1. Deepfakes: imágenes, audio y vídeo manipulados
Uno de los principales objetivos del AI Act es combatir la difusión de contenidos audiovisuales que puedan inducir a error.
Cuando un sistema de inteligencia artificial genera o manipula una imagen, un audio o un vídeo de forma que parezca auténtico y pueda hacer creer que una persona realizó acciones o pronunció declaraciones que nunca ocurrieron, dicho contenido constituye un deepfake.
En estos casos, el responsable de difundir el contenido debe informar de forma clara y distinguible de que ha sido generado o manipulado mediante inteligencia artificial.
Esta obligación busca proteger a los ciudadanos frente a la desinformación, la suplantación de identidad y otros usos engañosos de la IA.
No obstante, el Reglamento contempla determinadas excepciones, especialmente cuando el contenido forma parte de una obra artística, satírica o de ficción y el contexto permite comprender claramente su naturaleza, o cuando la utilización responde a fines autorizados por la legislación.
2. Textos generados por IA sobre asuntos de interés público
El AI Act también establece obligaciones específicas para determinados contenidos escritos.
Cuando un texto generado o manipulado mediante inteligencia artificial se publique con la finalidad de informar al público sobre asuntos de interés público, deberá indicarse que ha sido generado o modificado mediante IA.
Sin embargo, esta obligación desaparece cuando concurren dos circunstancias:
- El contenido ha sido revisado por una persona física antes de su publicación
- Una persona física o jurídica asume la responsabilidad editorial del contenido publicado.
Esta excepción pretende evitar imponer cargas innecesarias a medios de comunicación, administraciones y organizaciones que utilizan herramientas de IA únicamente como apoyo al trabajo de redacción, manteniendo siempre un control humano efectivo.
¿Es obligatorio etiquetar cualquier contenido generado con IA?
No. El AI Act no obliga a etiquetar todos los textos, imágenes, vídeos o audios creados mediante inteligencia artificial.
Por ejemplo, no existe una obligación general de indicar que han sido elaborados con IA:
- Artículos de blog.
- Publicaciones en redes sociales.
- Presentaciones corporativas.
- Informes internos.
- Ilustraciones de carácter creativo.
- Campañas de marketing.
Estos contenidos solo deberán identificarse cuando encajen en alguno de los supuestos específicos previstos por el artículo 50 del Reglamento.
La responsabilidad también alcanza a los proveedores de IA
Además de las obligaciones dirigidas a quienes utilizan estos sistemas, el AI Act exige a los proveedores de modelos de IA de propósito general que incorporen soluciones técnicas que permitan identificar los contenidos generados artificialmente.
Estas medidas pueden consistir en metadatos, marcas digitales (watermarks) u otros mecanismos que faciliten la detección del origen artificial del contenido sin afectar a su usabilidad.
El objetivo es favorecer la trazabilidad de los contenidos y facilitar el cumplimiento de las obligaciones de transparencia por parte de quienes los difunden.
Transparencia, pero sin etiquetado universal
Durante la elaboración del AI Act se debatió la posibilidad de imponer un etiquetado obligatorio para todo contenido generado mediante inteligencia artificial. Finalmente, el legislador europeo optó por una regulación basada en el riesgo.
Esta decisión busca equilibrar dos intereses: fomentar la innovación y el uso legítimo de la inteligencia artificial, evitando al mismo tiempo que determinados contenidos puedan inducir a error o perjudicar el derecho de los ciudadanos a recibir información veraz.
En consecuencia, la normativa europea no exige identificar cualquier contenido creado con IA, sino únicamente aquellos supuestos en los que el riesgo de confusión o de manipulación justifica una obligación específica de transparencia.
El AI Act establece un marco de transparencia selectivo, no una obligación general de etiquetado.
Actualmente, el etiquetado es obligatorio, principalmente, en dos situaciones:
- Cuando se difunden deepfakes generados o manipulados mediante inteligencia artificial.
- Cuando se publican textos generados por IA para informar al público sobre asuntos de interés público, salvo que exista una revisión humana efectiva y una responsabilidad editorial claramente asumida.
Fuera de estos supuestos, identificar que un contenido ha sido generado con inteligencia artificial constituye, en la mayoría de los casos, una decisión voluntaria o una exigencia derivada de políticas internas, códigos éticos o normas sectoriales, pero no una obligación general impuesta por el AI Act.
La protección de datos y la seguridad: dos pilares imprescindibles en la era de la IA
La adopción de herramientas de inteligencia artificial no solo plantea obligaciones de transparencia como las previstas en el AI Act. También supone nuevos retos en materia de protección de datos personales y seguridad de la información.
Muchas soluciones de IA procesan grandes volúmenes de información, que en ocasiones pueden incluir datos personales, información confidencial o secretos empresariales. Un uso inadecuado de estas herramientas, la ausencia de controles de acceso o una configuración deficiente pueden incrementar el riesgo de brechas de seguridad, accesos no autorizados o filtraciones de información.
Por ello, las organizaciones deben integrar la inteligencia artificial dentro de su estrategia de gobierno del dato y de gestión de la seguridad, garantizando el cumplimiento de la normativa de protección de datos y adoptando medidas técnicas y organizativas adecuadas para minimizar los riesgos asociados al uso de estas tecnologías.
Refuerza la seguridad de tu organización frente a los riesgos de la IA
Implementar un Sistema de Gestión de Seguridad de la Información conforme a la ISO/IEC 27001 o cumplir con el Esquema Nacional de Seguridad (ENS) permite a las organizaciones establecer controles para proteger la información, gestionar los riesgos derivados de la inteligencia artificial y reducir la probabilidad de sufrir incidentes o filtraciones de datos.
Estas certificaciones ayudan a definir políticas de seguridad, controlar los accesos, gestionar proveedores tecnológicos, evaluar riesgos y responder eficazmente ante posibles incidentes, fortaleciendo la confianza de clientes, empleados y colaboradores.
¿Quieres mejorar la seguridad de tu empresa y prepararte para los nuevos desafíos que plantea la inteligencia artificial? Nuestro equipo puede ayudarte a implantar la ISO/IEC 27001, adecuarte al Esquema Nacional de Seguridad (ENS) y diseñar una estrategia de ciberseguridad adaptada a las necesidades de tu organización. Llámanos y empieza hoy a proteger tu negocio: (+34) 963 122 868