La Comisión Europea ha publicado el primer borrador del Código de Prácticas sobre marcado y etiquetado de contenido generado por IA, una de las piezas regulatorias que completan el AI Act y que afecta directamente a las plataformas de datos y a los equipos que despliegan sistemas de IA generativa. El documento es preparatorio y se finalizará en junio, alineado con el plazo de aplicación plena de las obligaciones del AI Act el 2 de agosto.
El Código desarrolla dos obligaciones diferenciadas. La primera afecta a proveedores de modelos generativos: el contenido producido por IA debe llevar una marca técnica legible por máquinas (watermarking, metadatos firmados criptográficamente, fingerprinting) que permita identificar de forma fiable su origen sintético. Esta marca debe ser robusta frente a transformaciones habituales (recompresión, recorte, conversión de formato) y estar disponible para detección posterior por terceros.
La segunda obligación recae en los usuarios profesionales que despliegan sistemas generativos. Cuando publiquen deepfakes o textos generados por IA sobre asuntos de interés público, deben incluir una etiqueta visible y comprensible que los identifique como tales. La definición de «interés público» es deliberadamente amplia y cubre desde noticias y opinión política hasta comunicaciones corporativas que puedan afectar a empleados, clientes o inversores.
El borrador admite que el reto técnico de marcar contenido es real, especialmente en texto plano donde las técnicas de watermarking siguen siendo experimentales y rompibles. La Comisión propone un enfoque por capas: combinar watermarking probabilístico con metadatos firmados (C2PA o equivalente) y declaración explícita en la interfaz de generación. Para imagen y vídeo, las técnicas son más maduras y la obligación es más estricta.
El plazo de implementación queda en seis meses tras la finalización del Código, lo que sitúa la aplicación práctica en torno a diciembre de 2026. Para los equipos europeos que están desplegando modelos open source (Llama, Mistral, GPT-OSS) en infraestructura propia, la pregunta operativa es quién asume la responsabilidad del marcado cuando el modelo se hostea internamente y el contenido se distribuye a usuarios finales. La respuesta probable: ambos, proveedor y usuario, en función del rol declarado.
Más en Dataprix: Análisis de herramientas de gobernanza de datos y compliance.
Fuente: Comisión Europea.