Por qué esta vez el AI Act te afecta como profesional del marketing, no como blogger
Si ya leíste lo que el AI Act te obliga a hacer en tu web, sabes que para la mayoría de bloggers y pymes el impacto real es más acotado de lo que dicen los titulares; la excepción editorial del artículo 50 deja fuera gran parte del contenido de texto revisado por humanos, y la distinción proveedor/desplegador limita bastante el alcance para quien solo usa herramientas ajenas. Esa pieza ya lo cubre, así que aquí no vuelvo sobre ello.
El perfil al que va dirigido este artículo es distinto: consultores, gestores de marketing en empresa y agencias que no solo publican contenido sino que gestionan creatividades para clientes, operan campañas con IA generativa y tienen un stack de herramientas que procesan datos de terceros. Para ese perfil hay tres áreas donde las obligaciones son concretas, donde el mercado está cometiendo errores de bulto y donde agosto de 2026 marca el arranque de la capacidad sancionadora de la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Lo que sigue es lo que más se está ignorando y lo que antes va a crear fricción real.
Imágenes generadas con IA sin metadatos C2PA, el doble problema que nadie está resolviendo
El artículo 50 del AI Act obliga a que el contenido sintético (imágenes, vídeo, audio generados con IA) lleve una capa técnica legible por máquina, no solo una etiqueta visual que el usuario pueda leer. El estándar que el reglamento apunta es C2PA, que vincula metadatos de procedencia directamente al archivo.
El problema práctico es doble. Primero, las herramientas que la mayoría de equipos de marketing usa a diario, Midjourney y DALL-E entre ellas, no añaden metadatos C2PA por defecto al exportar. Eso significa que la imagen que generas, descargas y subes a la landing de tu cliente no lleva ninguna capa técnica de procedencia, aunque visualmente añadas un pie de foto que diga "imagen generada con IA". El cumplimiento se queda a medias. Segundo, hay un impacto en visibilidad que va más allá del compliance: Google anunció en I/O 2026 que el panel "Sobre esta imagen" de Google Images va a leer metadatos C2PA y SynthID para mostrar la procedencia del contenido. SynthID ya ha marcado más de 100.000 millones de imágenes y vídeos, y esa señal empieza a ser parte activa de cómo Google procesa el contenido visual.
¿Qué significa esto para un consultor o una agencia que produce creatividades con IA? Que hay dos obligaciones distintas que resolver con flujos distintos. La capa visual (el etiquetado que ve el usuario) es relativamente fácil de añadir con un pie de foto o un overlay. La capa técnica requiere o bien usar herramientas que ya implementen C2PA de origen, o bien un paso de postprocesado que embedda los metadatos antes de subir el archivo. Ninguna de las dos cosas se está haciendo de forma sistemática en casi ningún equipo de marketing que conozco, y agosto pone la presión encima.
El Code of Practice de la Comisión Europea sobre contenido IA generado (publicado el 10 de junio de 2026) aclara además que el texto revisado editorialmente está exento de etiquetado obligatorio, algo que muchos artículos de compliance siguen ignorando. Pero las imágenes no tienen esa excepción editorial: aunque las retoques después de generarlas, la capa técnica sigue siendo exigible.
Google Ads y la IA de Performance Max, quién firma la conformidad cuando el algoritmo crea los anuncios
Desde el 1 de julio de 2026, los términos de servicio de Google Ads permiten explícitamente que la IA de Performance Max genere y optimice creatividades de campaña sin aprobación previa del anunciante para cada variación individual. Esto es eficiente desde el punto de vista de la gestión, y en muchos casos mejora resultados, pero crea un punto ciego regulatorio que casi nadie está mirando de frente.
El artículo 50 del AI Act obliga a etiquetar la publicidad generada con IA. La pregunta que debería estar encima de cada mesa de agencia es quién etiqueta lo que crea Performance Max de forma autónoma. Google conserva la responsabilidad técnica de la generación; el anunciante conserva la responsabilidad legal de la revisión y la conformidad normativa. Dicho de otra manera: si Performance Max genera un anuncio que no cumple con el etiquetado exigido por el AI Act, el responsable ante la AESIA no es Google, eres tú o tu cliente.
Aquí conviene desmontar un error que circula bastante en el sector: Smart Bidding no está clasificado como sistema de alto riesgo según el Anexo III del AI Act. La optimización de pujas es un sistema de toma de decisiones automatizada con impacto económico, pero no entra en las categorías de alto riesgo que el reglamento define (empleo, crédito, acceso a servicios esenciales). Eso no elimina las obligaciones de transparencia del artículo 50, pero sí significa que no necesitas la evaluación de conformidad formal de alto riesgo para tu stack de Ads. Mucha gente está preparando documentación de alto riesgo para su stack de Ads cuando no le corresponde ese nivel de exigencia.
Lo que sí necesitas, en cambio, es tener un proceso de revisión documentado de las creatividades que genera Performance Max antes de que entren en rotación. Es el mecanismo que demuestra que el anunciante ha ejercido la supervisión humana que el reglamento espera del desplegador, y sin ese registro la inspección de la AESIA se convierte en un problema real.
El inventario de herramientas IA que la AESIA puede pedirte desde agosto, y que ninguna agencia tiene hecho
El artículo 4 del AI Act establece la obligación de alfabetización en IA para las organizaciones que despliegan sistemas de inteligencia artificial. En la práctica, para una agencia de marketing o un departamento de marketing de empresa mediana, eso se traduce en documentar qué herramientas IA se usan, para qué tareas concretas y con qué tipo de datos trabajan. La obligación pide documentación proporcional a la escala y al riesgo de los sistemas que usas, sin certificación formal ni auditor externo.
Esta obligación lleva técnicamente en vigor desde febrero de 2025, pero la AESIA no tendrá capacidad sancionadora hasta agosto de 2026, que es cuando arrancan las competencias de supervisión activa. Hasta ahora la mayoría de agencias han operado sin preocuparse de esto, y es comprensible. A partir de agosto, la situación cambia.
Piensa en una agencia típica de marketing digital mediana: usa ChatGPT para clustering de keywords y borradores de contenido, Midjourney para creatividades de redes sociales, Semrush con sus funciones de IA activadas para análisis de competencia y, probablemente, algún CRM con lead scoring automatizado. Ninguna de esas herramientas está documentada en un registro formal que recoja qué datos de clientes procesan. Si la AESIA pide ese inventario mañana, la agencia no tiene nada que presentar.
Basta con un documento interno con tres columnas: qué herramienta, para qué tarea, qué datos toca. Si esos datos incluyen información personal de usuarios finales o de los clientes de los clientes, ahí el RGPD entra en intersección con el AI Act y conviene ser más preciso en el registro. El problema no es la complejidad del documento, es que nadie ha abierto ese Word todavía.
Si gestionas las herramientas de varios clientes, lo prudente es hacer ese inventario por cuenta de cliente, no solo de agencia: las herramientas que depliegas en nombre de un cliente convierten a tu cliente en desplegador con sus propias obligaciones, y a ti en quien le asesora sobre ellas.