WeCheck360 – ir a la página de inicio

El EU AI Act desde el 2 de agosto de 2026: qué se aplica ahora a su sitio web. Una checklist para pymes.

Actualización: julio de 2026 · Lectura: aprox. 6 minutos · No constituye asesoramiento legal

El 2 de agosto de 2026 termina el periodo de gracia. A partir de ese día se aplican las obligaciones de transparencia del artículo 50 del EU AI Act, y las autoridades de vigilancia pueden sancionar las infracciones con multas. Hasta ahora, la normativa de IA era, para la mayoría de las pequeñas y medianas empresas, un asunto de grandes corporaciones y fabricantes de IA. Eso cambia ahora, y en un lugar en el que muchos piensan en último término: su propio sitio web.

Quien tenga allí un chatbot de IA, muestre imágenes generadas por IA o publique textos salidos de un generador debería repasar los siguientes puntos antes de la fecha límite. Lleva alrededor de media hora.

Qué pasa el 2 de agosto de 2026

El EU AI Act (Reglamento (UE) 2024/1689) está en vigor desde agosto de 2024, pero entra en aplicación por fases. Las prohibiciones de determinadas prácticas de IA se aplican desde febrero de 2025, las reglas para los grandes modelos de IA de uso general desde agosto de 2025. El 2 de agosto de 2026 llega la parte que afecta directamente a los operadores de sitios web: las obligaciones de transparencia del artículo 50. Ese mismo día, las autoridades de vigilancia nacionales comienzan su trabajo. Los requisitos para los sistemas de alto riesgo del anexo III, previstos originalmente también para esa fecha, se han aplazado mediante el Digital Omnibus al 2 de diciembre de 2027 (el anexo I al 2 de agosto de 2028); las obligaciones de transparencia del artículo 50 no se ven afectadas.

Para un sitio web de empresa normal, la parte relevante es el artículo 50. Regula cuándo hay que informar a los visitantes sobre el uso de IA.

Obligación 1: el chatbot debe darse a conocer

Si en su sitio web un sistema de IA interactúa directamente con personas, estas deben saber que se comunican con una IA (art. 50, apdo. 1). A más tardar en la primera interacción, de forma claramente reconocible. Un aviso perdido en las condiciones generales o en el aviso legal no basta.

El reglamento prevé una excepción cuando el uso de IA resulta evidente de todos modos para un usuario razonablemente informado. Nosotros no confiaríamos en eso. Si un tribunal considerará su chatbot "evidentemente IA" no es algo que quiera averiguar. Una frase en la ventana del chat ("Está chateando con nuestro asistente de IA") no cuesta nada y zanja la cuestión.

Obligación 2: los contenidos de IA. Aquí se cuentan muchas tonterías.

En la red circula la afirmación de que desde agosto habrá que etiquetar cada imagen de IA y cada texto de IA. Eso no es lo que dice el reglamento. El artículo 50 distingue con claridad entre proveedores, es decir, los fabricantes de las herramientas de IA, y responsables del despliegue, es decir, empresas como la suya que utilizan esas herramientas.

El tan citado marcado legible por máquina de los contenidos generados por IA (art. 50, apdo. 2) es una obligación de los proveedores. Afecta a los fabricantes de los generadores de imágenes y textos, no a sus clientes.

Como responsable del despliegue, debe informar en dos casos (art. 50, apdo. 4). Primero, las ultrafalsificaciones (deepfakes): contenidos de imagen, audio o vídeo generados o manipulados por IA que representan de forma engañosamente realista a personas, lugares o acontecimientos reales. Segundo, los textos generados por IA que informan al público sobre asuntos de interés público. Para los textos existe, no obstante, una excepción que marca la diferencia para la mayoría de las empresas: si una persona ha revisado editorialmente el contenido y una persona física o jurídica asume la responsabilidad editorial, la obligación de etiquetado decae.

En la práctica: el artículo de blog asistido por IA que su equipo de marketing ha revisado no genera ninguna obligación de etiquetado. La foto de IA engañosamente real de una persona real, sí. La ilustración de IA genérica de la cabecera, entre medias, no entra en ninguna obligación del responsable del despliegue.

Obligación 3: reconocimiento de emociones y categorización biométrica

Quien utilice sistemas de reconocimiento de emociones o de categorización biométrica debe informar a las personas afectadas (art. 50, apdo. 3). En los sitios web de empresa es poco frecuente. Se vuelve relevante con herramientas que analizan datos de webcam o voces, por ejemplo en algunas aplicaciones de videoentrevistas de selección o de análisis.

Qué se arriesga en caso de infracción

Las infracciones del artículo 50 pueden costar hasta 15 millones de euros o el 3 % de la facturación anual mundial, según cuál sea el importe más alto (art. 99). Para situarlo: los requerimientos relacionados con el RGPD de los últimos años giraban en su mayoría en torno a unos cientos de euros por caso. Con qué dureza actuarán realmente las autoridades frente a las pymes, hoy no lo sabe nadie. Que desde el 2 de agosto podrán hacerlo, es seguro.

Paralelamente, el RGPD sigue aplicándose sin cambios. Un chatbot de IA que trata datos personales sigue necesitando una base jurídica, un contrato de encargo de tratamiento con el proveedor de la herramienta y una mención en la política de privacidad. El AI Act se suma, no sustituye nada.

La checklist: en 30 minutos sabrá dónde está

  1. Crear el inventario de IA del sitio web. ¿Qué funciones de IA están integradas? Chatbot, widget de recomendaciones, búsqueda con IA, traducción automática, imágenes o textos generados por IA. Las herramientas compradas a terceros también cuentan.
  2. Comprobar el aviso del chatbot. ¿Su widget de chat dice claramente al usuario, en la primera interacción, que habla con una IA?
  3. Repasar las imágenes de IA. ¿Alguna muestra personas, lugares o acontecimientos reales de forma engañosamente realista? Entonces hay que etiquetarla. Las ilustraciones de IA genéricas pueden quedarse como están.
  4. Clasificar los textos de IA. ¿Publica textos de IA sobre asuntos de interés público? Entonces asegure una revisión editorial o etiquételos.
  5. Actualizar la política de privacidad. ¿Figura en ella el uso de IA? ¿Existen contratos de encargo de tratamiento con los proveedores de IA?
  6. Aclarar responsabilidades. Alguien en la empresa debería vigilar el uso de IA y la situación legal. El despliegue del AI Act continúa hasta 2027.
  7. Revisar de forma periódica, no una sola vez. Los sitios web cambian. Un nuevo plugin o una landing de campaña puede incorporar nuevos servicios de IA o rastreadores sin que nadie lo note.

Siendo honestos: el punto 1 es la trampa. Lo que su sitio web carga realmente no se ve desde fuera.

Saber dónde está su sitio web. Antes del 2 de agosto.

El escaneo teaser gratuito de WeCheck360 comprueba su sitio web en pocos minutos sobre el RGPD y el EU AI Act a la vez: servicios de IA detectados, seguimiento, consentimiento de cookies, obligaciones de transparencia. Verá de inmediato su puntuación y el número de hallazgos. Solo URL y correo electrónico, sin suscripción.

Comprobar mi web gratis ahora

Preguntas frecuentes

¿El AI Act se aplica también a las pequeñas empresas?

Sí. Las obligaciones de transparencia del artículo 50 no prevén ninguna excepción por tamaño de empresa. Lo decisivo es si se utiliza un sistema de IA afectado, no el número de empleados.

¿Tengo que etiquetar los textos de ChatGPT en mi sitio web?

En la mayoría de los casos, no. Mientras una persona revise los textos editorialmente y su empresa asuma la responsabilidad de la publicación, se aplica la excepción del art. 50, apdo. 4. Solo se vuelve delicado cuando se publican sin revisión textos de IA sobre asuntos de interés público.

¿No basta con mi banner de cookies?

No. El consentimiento de cookies (RGPD/ePrivacy) y la transparencia sobre la IA (AI Act) son dos frentes distintos. Un banner de cookies no dice nada sobre el hecho de que su chat funcione con IA.

¿Cómo sé qué servicios de IA carga mi sitio web?

A menudo no se sabe, y ese es el verdadero problema. Muchos sitios web cargan servicios de IA y de seguimiento mediante scripts de terceros sin que el operador lo sepa. Un escaneo automatizado hace visible lo que realmente se carga.

Actualización: julio de 2026. Este artículo ha sido revisado editorialmente y no constituye asesoramiento legal. Para su caso concreto, diríjase a un despacho especializado o a su delegado de protección de datos.

Fuentes: