El EU AI Act y el consentimiento de cookies en 2026: Cómo el perfilado, los sistemas de recomendación y la publicidad dirigida se sitúan en el nuevo marco regulatorio
El EU AI Act (Regulation 2024/1689) entró en vigor en agosto de 2024, con sus disposiciones introducidas progresivamente a lo largo de un despliegue plurianual. Las normas sobre prácticas prohibidas entraron en vigor en febrero de 2025, las obligaciones de IA de propósito general en agosto de 2025, y la mayor parte de las obligaciones de los sistemas de alto riesgo entran en vigor durante 2026 y hasta 2027. Al comienzo de 2026, el AI Act ya no es una preocupación futura — es una regulación operativa que se superpone al GDPR para cualquier sistema que utilice IA para perfilar, puntuar o clasificar a usuarios de la UE. Para los editores que gestionan sistemas de recomendación, los anunciantes que gestionan motores de personalización y los proveedores de ad-tech que realizan puntuación automatizada de audiencias, el AI Act añade una nueva dimensión de cumplimiento que el GDPR por sí solo nunca ha cubierto: no solo si el usuario ha dado su consentimiento al tratamiento de datos, sino si el propio sistema de IA cumple con los requisitos de diseño, transparencia, supervisión y responsabilidad de la Ley. Esta guía recorre la estructura del AI Act, cómo se interseca con las normas de consentimiento de cookies y perfilado del GDPR, qué requieren realmente las obligaciones de 2026 y cómo deberían pensar los editores y anunciantes sobre la superficie de cumplimiento combinada GDPR-más-AI-Act.
La estructura del AI Act en 2026
El AI Act es la primera regulación horizontal integral del mundo sobre inteligencia artificial. Su arquitectura por niveles de riesgo es la clave para entender qué obligaciones se aplican a qué sistemas.
Los niveles de riesgo
La Ley clasifica los sistemas de IA en cuatro niveles en función del riesgo que representan:
- Sistemas prohibidos — prácticas que están totalmente prohibidas, incluidas las técnicas subliminales manipuladoras, la explotación de vulnerabilidades, la puntuación social por parte de autoridades públicas y ciertas formas de categorización biométrica y reconocimiento de emociones
- Sistemas de alto riesgo — sistemas utilizados en contextos específicos de alto riesgo, sujetos a la mayoría de las obligaciones sustantivas de la Ley, incluidas la gestión de riesgos, la gobernanza de datos, la transparencia, la supervisión humana y los requisitos de precisión
- Sistemas de riesgo limitado — sistemas con obligaciones específicas de transparencia, incluidos la mayoría de los recomendadores de contenido impulsados por IA y los chatbots que interactúan directamente con los usuarios
- Sistemas de riesgo mínimo — todo lo demás, sujeto únicamente a códigos de conducta voluntarios generales
Dónde se sitúan la publicidad y los sistemas de recomendación
La mayoría de la IA orientada a la publicidad — puntuación de audiencias, optimización de pujas programáticas, recomendadores de contenido, motores de personalización — se sitúa en el nivel de riesgo limitado en lugar del nivel de alto riesgo. Esto suena como un alivio, pero el nivel de riesgo limitado aún conlleva obligaciones de transparencia significativas, y varios casos límite empujan sistemas específicos a niveles más altos. Fundamentalmente, las normas de prácticas prohibidas pueden alcanzar a los sistemas publicitarios si se adentran en territorio de manipulación o explotación, y el EDPB ha señalado su voluntad de interpretar estas disposiciones ampliamente.
La progresión
El calendario de 2026 es importante: las obligaciones de alto riesgo para los nuevos sistemas entran en vigor en agosto de 2026, las obligaciones para los sistemas ya en el mercado entran en vigor en 2027, y las obligaciones de los proveedores de IA de propósito general ya están en vigor. Los editores y anunciantes deberían mapear su inventario de IA frente a este calendario para saber qué obligaciones se aplican cuándo.
Cómo el AI Act se superpone al GDPR
El AI Act no reemplaza al GDPR. Se sitúa por encima de él. Un sistema que procesa datos personales para producir resultados impulsados por IA debe satisfacer ambos regímenes, y las obligaciones son acumulativas en lugar de alternativas.
La capa del GDPR
El GDPR continúa rigiendo la licitud del tratamiento de datos personales. El consentimiento para el perfilado publicitario, la base jurídica para la medición, el conjunto de derechos de los interesados, las obligaciones de transferencia transfronteriza — todo ello continúa aplicándose sin cambios.
La capa del AI Act
Por encima del GDPR, el AI Act añade obligaciones específicamente sobre el propio sistema de IA: cómo fue entrenado, qué datos entraron en el entrenamiento, cómo se documentan sus resultados, qué mecanismos de supervisión existen, qué transparencia recibe el usuario. Estas obligaciones se vinculan al sistema de IA independientemente de si el tratamiento de datos subyacente está basado en el consentimiento, en un contrato o en otra base jurídica.
La implicación práctica
Un editor que gestiona un recomendador de contenido sobre datos personales necesita tanto una base jurídica válida del GDPR para el tratamiento de datos como una divulgación de transparencia conforme con el AI Act. Ninguna de las dos por sí sola es suficiente. La superficie de cumplimiento es ahora genuinamente bidimensional, y la cadena de documentación debe cubrir ambos ejes.
Prácticas prohibidas y publicidad
La lista de prácticas prohibidas de la Ley es corta pero de gran alcance, y varias entradas tienen implicaciones para el diseño publicitario.
Técnicas manipuladoras
La Ley prohíbe los sistemas de IA que despliegan técnicas subliminales, prácticas manipuladoras o explotan las vulnerabilidades de grupos específicos de maneras que probablemente causen daños significativos. La mayoría del diseño publicitario no se acerca a esta línea — pero la publicidad que apunta a vulnerabilidades identificadas (dificultades financieras, estados de salud mental, patrones de adicción) mediante perfilado impulsado por IA podría cruzarla. El EDPB lo ha señalado en sus primeras orientaciones.
Categorización biométrica
La Ley prohíbe la categorización biométrica que infiere atributos sensibles como la raza, la opinión política, la pertenencia a sindicatos, las creencias religiosas, la vida sexual o la orientación sexual. Los segmentos de audiencia construidos a partir de datos biométricos que infieren estos atributos se encuentran ahora en territorio prohibido.
Reconocimiento de emociones en contextos específicos
El reconocimiento de emociones está prohibido en contextos laborales y educativos. Los casos de uso de detección de emociones en publicidad fuera de esos contextos pueden seguir siendo permisibles, pero se enfrentan a un mayor escrutinio.
Obligaciones de transparencia de riesgo limitado
Aquí es donde se concentra la mayor parte del trabajo de cumplimiento del AI Act para editores y anunciantes en 2026.
La divulgación del sistema de recomendación
Los recomendadores de contenido que personalizan lo que ven los usuarios — ya sea en la página de inicio de un editor, en un feed dentro de la aplicación o en una colocación de anuncio programático — caen dentro del nivel de riesgo limitado. Los usuarios deben ser informados de que están interactuando con un sistema de IA, y el sistema debe estar diseñado de modo que la naturaleza de IA de la interacción sea clara.
La divulgación del chatbot
Cualquier sistema de IA que interactúe directamente con los usuarios en forma conversacional debe divulgar su naturaleza de IA. Los editores y anunciantes que gestionan interfaces de chat de IA — para atención al cliente, descubrimiento de contenido o cualquier otro propósito — necesitan satisfacer esta base.
La divulgación de contenido sintético
Las imágenes, el audio, el vídeo y el contenido de texto generados por IA deben ser marcados como tales. Los editores que usan visuales o textos generados por IA en contenido editorial, creatividades publicitarias o imágenes de productos necesitan aplicar las obligaciones de marcado. Las directrices de implementación de 2026 han aclarado las especificaciones técnicas para el marcado, incluidos los estándares de marca de agua para el contenido visual.
La superficie de consentimiento combinada en 2026
El CMP y el aviso de privacidad ahora deben trabajar para ambos regímenes. El CMP de editor de 2026 es significativamente más elaborado que su predecesor de 2024.
Fines de consentimiento granulares
El CMP expone fines de consentimiento que distinguen entre la publicidad general, el perfilado para publicidad, la toma de decisiones automatizada y la personalización de recomendaciones. Cada uno se corresponde con un límite específico del AI Act y el GDPR, y cada uno requiere su propio consentimiento afirmativo.
Divulgaciones del sistema de IA
El aviso de privacidad o un documento de divulgación de IA adjunto describe los sistemas de IA en uso, sus fines, las categorías de datos de entrada, la lógica amplia de los resultados y los mecanismos de supervisión humana existentes. Esto es más que la divulgación de toma de decisiones automatizada del Artículo 22 del GDPR — es una historia de transparencia de IA más completa.
El derecho de oposición
El derecho del GDPR a oponerse al perfilado continúa aplicándose, y el AI Act añade otros derechos de usuario en torno a la personalización de recomendadores impulsada por IA. Los usuarios pueden optar por no recibir la personalización de recomendaciones sin perder el acceso al servicio subyacente, y la baja debe ser al menos tan fácil como el alta.
Patrones operativos que funcionan en 2026
Los editores y anunciantes que gestionan programas maduros de 2026 están convergiendo en algunos patrones operativos.
El inventario de IA
Mantenga un inventario en vivo de cada sistema de IA en uso en toda la pila del editor o anunciante: el sistema, su nivel de riesgo en virtud de la Ley, los datos personales que procesa, su base jurídica en virtud del GDPR, las divulgaciones de transparencia aplicadas a él y la supervisión humana vigente. Este es el artefacto de cumplimiento fundamental y es lo que los reguladores pedirán ver primero.
El aviso de privacidad combinado
Un único aviso de privacidad y transparencia de IA combinado — en portugués, alemán, francés o en cualquier idioma que sea apropiado para la audiencia — que aborda tanto las obligaciones del GDPR como las del AI Act en una narrativa coherente. Intentar mantener dos divulgaciones separadas invita a contradicciones y confusión del lector.
La auditoría de IA del proveedor
Para cada proveedor de publicidad o análisis que procesa resultados impulsados por IA en nombre del editor, el contrato debe abordar la asignación de obligaciones del AI Act, el acceso a la documentación técnica y la notificación de incidentes. Los acuerdos estándar de tratamiento de datos de 2023 no abordan el AI Act y deben actualizarse.
Sanciones y postura de aplicación
El AI Act introduce un régimen de sanciones escalonado con multas administrativas que pueden superar los máximos del GDPR.
Los niveles de sanción
- Hasta EUR 35 millones o el 7 por ciento de la facturación anual global por infracciones de prácticas prohibidas
- Hasta EUR 15 millones o el 3 por ciento para la mayoría de las demás infracciones sustantivas
- Hasta EUR 7,5 millones o el 1 por ciento por suministrar información incorrecta
La arquitectura de aplicación
Cada Estado miembro designa autoridades nacionales competentes para la aplicación del AI Act, y la Oficina Europea de IA coordina la supervisión de los modelos de IA de propósito general. La aplicación contra editores y anunciantes se ejecutará principalmente a través de las autoridades nacionales, a menudo en estrecha coordinación con las autoridades de protección de datos existentes. Se esperan las primeras acciones de aplicación significativas del AI Act durante 2026 a medida que las obligaciones de alto riesgo entren plenamente en vigor.
Lista de verificación de auditoría para publicidad impulsada por IA en 2026
- Inventario en vivo de cada sistema de IA en la pila con clasificación del nivel de riesgo
- Base jurídica del GDPR documentada para cada sistema de IA que procesa datos personales
- Divulgaciones de transparencia del AI Act aplicadas a cada sistema de riesgo limitado, incluida la personalización de recomendaciones y los chatbots
- Marcado de contenido sintético aplicado a creatividades, imágenes, audio y vídeo generados por IA
- Aviso de privacidad y transparencia de IA combinado en el idioma local relevante
- El CMP expone el perfilado, la toma de decisiones automatizada y la personalización de recomendaciones como fines con consentimiento separado
- Los segmentos de audiencia se revisan frente a la lista de categorización biométrica prohibida
- Contratos de proveedores actualizados para abordar la asignación de obligaciones del AI Act
- Mecanismos de supervisión humana documentados para cualquier sistema que se acerque al límite de alto riesgo
- El flujo de trabajo de derechos de los interesados y usuarios del AI Act puede responder a solicitudes de baja, explicación y revisión humana dentro de los períodos de respuesta aplicables
Las perspectivas para 2026
El AI Act no reemplaza al GDPR — se superpone a él, y la superficie combinada es significativamente más elaborada que cualquiera de los regímenes por sí solos. Para los editores y anunciantes que gestionan personalización, perfilado, sistemas de recomendación o contenido generativo impulsados por IA, 2026 es el año en que la arquitectura de cumplimiento debe madurar más allá de una postura GDPR pura. Los que tratan el AI Act como una preocupación futura encontrarán que el futuro llega más rápido de lo esperado, con autoridades nacionales emitiendo sus primeras acciones de aplicación durante 2026 y hasta 2027. Los que construyan el cumplimiento combinado desde el principio encontrarán que la arquitectura compensa: las obligaciones de transparencia del AI Act, bien implementadas, también fortalecen la historia de consentimiento y confianza del GDPR, y la disciplina operativa de mantener un inventario de IA en vivo resulta útil mucho más allá del cumplimiento regulatorio.