A Estrutura do AI Act en 2026

O AI Act é o primeiro regulamento horizontal integral da intelixencia artificial no mundo. A súa arquitectura por niveis de risco é a clave para entender que obrigas se aplican a que sistemas.

Os Niveis de Risco

A Lei clasifica os sistemas de IA en catro niveis segundo o risco que representan:

• Sistemas prohibidos — prácticas que están completamente prohibidas, incluíndo técnicas subliminais manipuladoras, explotación de vulnerabilidades, puntuación social por parte de autoridades públicas e certas formas de categorización biométrica e recoñecemento de emocións
• Sistemas de alto risco — sistemas utilizados en contextos de altas apostas específicados, suxeitos á maioría das obrigas substantivas da Lei, incluíndo xestión de riscos, gobernanza de datos, transparencia, supervisión humana e requisitos de precisión
• Sistemas de risco limitado — sistemas con obrigas de transparencia específicas, incluíndo a maioría dos recomendadores de contido baseados en IA e chatbots que interactúan directamente con usuarios
• Sistemas de risco mínimo — todo o demais, suxeito só a códigos de conduta voluntarios xerais

Onde Se Sitúan a Publicidade e os Sistemas de Recomendación

A maioría da IA orientada á publicidade — puntuación de audiencias, optimización de ofertas programáticas, recomendadores de contido, motores de personalización — sitúase no nivel de risco limitado en lugar do nivel de alto risco. Isto soa como un alivio, pero o nivel de risco limitado aínda leva obrigas de transparencia significativas, e varios casos límite empuxan sistemas específicos a niveis superiores. De xeito crítico, as normas de prácticas prohibidas poden chegar aos sistemas publicitarios se cruzan ao territorio da manipulación ou explotación, e o EDPB sinalou a súa disposición a interpretar estas disposicións de forma ampla.

A Implantación por Fases

O calendario de 2026 é importante: as obrigas de alto risco para novos sistemas entran en vigor en agosto de 2026, as obrigas de alto risco para sistemas xa no mercado entran en vigor en 2027, e as obrigas dos provedores de IA de propósito xeral xa están en vigor. Os editores e anunciantes deberían mapear o seu inventario de IA con respecto a este calendario para saber que obrigas se aplican cando.

Como o AI Act Se Superpón ao GDPR

O AI Act non substitúe o GDPR. Sitúase enriba del. Un sistema que procesa datos persoais para producir saídas baseadas en IA ten que satisfacer ambos os dous réximes, e as obrigas son aditivas en lugar de alternativas.

A Capa do GDPR

O GDPR continúa gobernando a licitude do procesamento de datos persoais. O consentimento para a elaboración de perfís publicitarios, a base xurídica para a medición, o conxunto de dereitos dos interesados, as obrigas de transferencia transfronteiriza — todo isto continúa aplicándose sen cambios.

A Capa do AI Act

Por riba do GDPR, o AI Act engade obrigas específicamente sobre o propio sistema de IA: como foi adestrado, que datos entraron no adestramento, como están documentadas as súas saídas, que mecanismos de supervisión existen, que transparencia recibe o usuario. Estas obrigas son inherentes ao sistema de IA independentemente de se o procesamento de datos subxacente está baseado en consentimento, en contrato ou noutras bases xurídicas.

A Implicación Práctica

Un editor que xestiona un recomendador de contido sobre datos persoais necesita tanto unha base xurídica GDPR válida para o procesamento de datos como unha divulgación de transparencia conforme baixo o AI Act. Calquera dos dous por si só é insuficiente. A superficie de cumprimento é agora verdadeiramente bidimensional, e a cadea de documentación ten que cubrir ambos os dous eixos.

Prácticas Prohibidas e Publicidade

A lista de prácticas prohibidas da Lei é curta pero importante, e varias entradas teñen implicacións para o deseño publicitario.

Técnicas Manipuladoras

A Lei prohibe os sistemas de IA que despreguen técnicas subliminais, prácticas manipuladoras ou exploten vulnerabilidades de grupos específicos de formas probables de causar un dano significativo. A maioría do deseño publicitario non se aproxima a esta liña — pero a publicidade que dirixe vulnerabilidades identificadas (angustia financeira, estados de saúde mental, patróns de adicción) mediante a elaboración de perfís baseada en IA podería cruzala. O EDPB marcou isto na orientación temperá.

Categorización Biométrica

A Lei prohibe a categorización biométrica que infere atributos sensibles como a raza, opinión política, afiliación sindical, crenza relixiosa, vida sexual ou orientación sexual. Os segmentos de audiencia construídos a partir de datos biométricos que inferan estes atributos están agora en territorio prohibido.

Recoñecemento de Emocións en Contextos Específicos

O recoñecemento de emocións está prohibido en contextos laborais e educativos. Os casos de uso de detección de emocións publicitarias fóra deses contextos poden aínda ser permisibles pero enfróntanse a un escrutinio máis elevado.

Obrigas de Transparencia de Risco Limitado

Aquí é onde se sitúa a maioría do traballo de cumprimento do AI Act dos editores e anunciantes en 2026.

A Divulgación do Sistema de Recomendación

Os recomendadores de contido que personalizan o que os usuarios ven — sexa na páxina de inicio dun editor, nun fluxo dentro da aplicación ou nunha colocación de anuncio programático — caen baixo o nivel de risco limitado. Os usuarios deben ser informados de que están interactuando cun sistema de IA, e o sistema debe deseñarse para que a natureza de IA da interacción sexa clara.

A Divulgación do Chatbot

Calquera sistema de IA que interactúe directamente con usuarios en forma conversacional debe divulgar a súa natureza de IA. Os editores e anunciantes que xestionan interfaces de chat de IA — para soporte ao cliente, descubrimento de contido ou calquera outro propósito — necesitan satisfacer esta liña de base.

A Divulgación de Contido Sintético

As imaxes, o audio, o vídeo e o contido de texto xerados por IA deben marcarse como tales. Os editores que usen visuais ou texto xerados por IA en contido editorial, creación publicitaria ou imaxes de produtos necesitan aplicar as obrigas de marcación. A orientación de implementación de 2026 aclarou as especificacións técnicas para a marcación, incluíndo os estándares de marca de auga para o contido visual.

A Superficie de Consentimento Combinada en 2026

A CMP e o aviso de privacidade agora teñen que traballar para ambos os dous réximes. A CMP do editor de 2026 é significativamente máis elaborada que a súa predecesora de 2024.

Finalidades de Consentimento Granulares

A CMP expón finalidades de consentimento que distinguen entre publicidade xeral, elaboración de perfís para publicidade, toma de decisións automatizada e personalización de recomendadores. Cada unha mapea a un límite específico do AI Act e do GDPR, e cada unha require o seu propio consentimento afirmativo.

Divulgacións do Sistema de IA

O aviso de privacidade ou un documento de divulgación de IA complementario describe os sistemas de IA en uso, os seus propósitos, as categorías de datos de entrada, a lóxica ampla das saídas e os mecanismos de supervisión humana en vigor. Isto é máis que a divulgación de decisión automatizada do Artigo 22 do GDPR — é unha historia de transparencia de IA máis completa.

O Dereito a Obxectar

O dereito do GDPR a obxectar á elaboración de perfís continúa aplicándose, e o AI Act engade máis dereitos de usuario en torno á personalización de recomendadores baseada en IA. Os usuarios poden optar por non recibir a personalización de recomendadores sen perder o acceso ao servizo subxacente, e a exclusión ten que ser polo menos tan sinxela como a inclusión.

Patróns Operativos que Funcionan en 2026

Os editores e anunciantes que executan programas maduros de 2026 están converxindo en uns poucos patróns operativos.

O Inventario de IA

Manter un inventario en directo de cada sistema de IA en uso en toda a pila do editor ou anunciante: o sistema, o seu nivel de risco baixo a Lei, os datos persoais que procesa, a súa base xurídica baixo o GDPR, as divulgacións de transparencia aplicadas a el e a supervisión humana en vigor. Este é o artefacto de cumprimento fundamental e é o que os reguladores pedirán ver primeiro.

O Aviso de Privacidade Combinado

Un único aviso de privacidade e transparencia de IA combinado — portugués, alemán, francés ou calquera lingua que sexa apropiada para a audiencia — que aborda tanto as obrigas do GDPR como as do AI Act nunha narrativa coherente. Intentar manter dúas divulgacións separadas invita a contradicións e confusión do lector.

A Auditoría de IA do Provedor

Para cada provedor de publicidade ou análise que procese saídas baseadas en IA en nome do editor, o contrato debe abordar a asignación de obrigas do AI Act, o acceso á documentación técnica e a notificación de incidentes. Os acordos de procesamento de datos estándar de 2023 non abordan o AI Act e necesitan ser actualizados.

Sancións e Postura de Execución

O AI Act introduce un réxime de sancións escalonadas con multas administrativas que poden superar os máximos do GDPR.

Os Niveis de Sancións

• Ata EUR 35 millóns ou 7 por cento do volume de negocio anual global por infracción de prácticas prohibidas
• Ata EUR 15 millóns ou 3 por cento para a maioría das demais infraccións substantivas
• Ata EUR 7,5 millóns ou 1 por cento por subministrar información incorrecta

A Arquitectura de Execución

Cada Estado membro designa autoridades nacionais competentes para a execución do AI Act, e a Oficina Europea de IA coordina a supervisión dos modelos de IA de propósito xeral. A execución contra os editores e anunciantes executarase principalmente a través das autoridades nacionais, a miúdo en estreita coordinación coas autoridades de protección de datos existentes. Agárdanse as primeiras accións significativas de execución do AI Act ao longo de 2026 á medida que as obrigas de alto risco entren completamente en vigor.

Lista de Verificación de Auditoría para a Publicidade Baseada en IA en 2026

• Inventario en directo de cada sistema de IA na pila con clasificación por nivel de risco
• Base xurídica do GDPR documentada para cada sistema de IA que procesa datos persoais
• Divulgacións de transparencia do AI Act aplicadas a cada sistema de risco limitado, incluíndo a personalización de recomendadores e os chatbots
• Marcación de contido sintético aplicada a creatividades, imaxes, audio e vídeo xerados por IA
• Aviso de privacidade e transparencia de IA combinado no idioma local pertinente
• A CMP expón a elaboración de perfís, a toma de decisións automatizada e a personalización de recomendadores como finalidades con consentimento separado
• Os segmentos de audiencia están revisados con respecto á lista de categorización biométrica prohibida
• Contratos con provedores actualizados para abordar a asignación de obrigas do AI Act
• Mecanismos de supervisión humana documentados para calquera sistema que se aproxime ao límite de alto risco
• O fluxo de traballo de dereitos dos interesados e usuarios do AI Act pode responder ás solicitudes de exclusión, explicación e revisión humana dentro das ventás de resposta aplicables

A Perspectiva de 2026

O AI Act non substitúe o GDPR — apílase enriba del, e a superficie combinada é significativamente máis elaborada que calquera dos réximes por si só. Para os editores e anunciantes que xestionan personalización, elaboración de perfís, sistemas de recomendación ou contido xerativo baseado en IA, 2026 é o ano no que a arquitectura de cumprimento ten que madurar máis aló dunha postura puramente GDPR. Os que traten o AI Act como unha preocupación futura atoparán que o futuro chega máis rápido do esperado, con autoridades nacionais emitindo as súas primeiras accións de execución ao longo de 2026 e ata 2027. Os que constrúan un cumprimento combinado desde o principio atoparán que a arquitectura compensa: as obrigas de transparencia do AI Act, ben implementadas, tamén reforzar a historia de consentimento e confianza do GDPR, e a disciplina operativa de manter un inventario de IA en directo resulta útil moi máis aló do cumprimento normativo.