La ley de inteligencia artificial ya obliga a los ecommerce a etiquetar las imágenes generadas o modificadas por IA. Fotos de producto retocadas, banners creados con Midjourney, modelos virtuales generados con IA... si los usas en tu tienda sin etiquetarlos, estás incumpliendo el Reglamento de IA europeo ahora mismo. Esta guía te explica qué exige la normativa y cómo cumplir sin complicaciones.
El Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689), conocido como AI Act o RIA, es la primera ley integral del mundo sobre inteligencia artificial. Entró en vigor en agosto de 2024 y su aplicación es escalonada: algunas obligaciones ya están en vigor, y la plena efectividad llega el 2 de agosto de 2026.
Pero no confundas "aplicación escalonada" con "puedo esperar". Las obligaciones de transparencia del Artículo 50 (que incluyen el etiquetado de contenido generado por IA) ya están en vigor. Y ahí es donde la mayoría de los ecommerce tienen un problema sin saberlo.
La AESIA (Agencia Española de Supervisión de la IA) ya ha abierto 23 investigaciones preliminares. La AEPD ha incrementado en un 340% las investigaciones relacionadas con IA respecto al año anterior. El sector del comercio electrónico lleva acumulado un 330% más en sanciones relacionadas con normativa digital en el último año.
Porque el ecommerce ha adoptado la IA más rápido que casi cualquier otro sector, y lo ha hecho sin pensar demasiado en las implicaciones legales. Hoy, una proporción significativa de las imágenes que aparecen en tiendas online han pasado por alguna herramienta de IA generativa: modelos de moda virtuales que parecen personas reales, fotografías de lifestyle con personajes generados por IA, imágenes de producto donde el contexto humano es completamente artificial...
Cuando esas imágenes podrían hacerse pasar por fotografías auténticas de personas reales, entran en el ámbito del deepfake según el RIA, y tienen que estar etiquetadas. Y hoy, casi ninguna lo está.
Antes de saber qué obligaciones tienes, necesitas saber qué sistemas de IA estás usando. Muchos ecommerce usan IA sin ser del todo conscientes de ello. Esta es la realidad habitual:
| Herramienta | Uso habitual en ecommerce | ¿Genera o modifica imágenes? |
|---|---|---|
| Midjourney, DALL-E, Firefly (para crear personas o escenas realistas) | Modelos de moda virtuales, lifestyle con personas IA | Sí, si el resultado podría confundirse con una foto real (deepfake) |
| Modelos de moda virtuales con IA (Botika, Ablo) | Mostrar prendas sobre personas generadas por IA | Sí (deepfake: persona sintética que parece real) |
| Herramientas de alteración de rostros o cuerpos con IA | Modificar la apariencia de una persona real en foto | Sí (deepfake: manipulación de imagen de persona real) |
| Midjourney, DALL-E, Firefly (para objetos o abstracto) | Fotos de producto sin personas, banners abstractos | No (no es un deepfake) |
| Canva AI, Adobe Generative Fill (retoque de fondo, objetos) | Eliminar fondo, añadir elementos no humanos | No (no es un deepfake) |
| Herramientas de upscaling de imagen con IA | Mejorar resolución de fotos de producto | No (no es un deepfake) |
| Chatbots de atención al cliente con IA | Soporte, FAQs, recomendaciones | No, pero requiere aviso al usuario (Art. 50.1) |
| Motor de recomendaciones de productos | "También te puede gustar" | No, pero requiere transparencia |
| Precios dinámicos o personalizados | Ajuste de precios en tiempo real | No, pero requiere transparencia si personaliza por usuario |
| Detección de fraude con IA | Bloqueo automático de transacciones sospechosas | No, pero puede ser riesgo alto |
La clave está en si la imagen representa a una persona (real o sintética) de forma que pueda ser confundida con una fotografía auténtica. Una foto de un producto solo, un banner tipográfico o un fondo generado por IA no son deepfakes. Un modelo virtual que parece una persona real llevando tus prendas, sí lo es.
El AI Act organiza los sistemas de IA en cuatro niveles. La mayoría de los ecommerce operan en los niveles de riesgo limitado y riesgo mínimo, pero esto no significa que no tengan obligaciones: significa que sus obligaciones son principalmente de transparencia.
Sistemas completamente prohibidos en la UE. En ecommerce, los casos más relevantes son usar IA para manipular psicológicamente al usuario (técnicas subliminales para forzar una compra), explotar vulnerabilidades de grupos como menores o personas mayores, o reconocimiento facial en espacios públicos sin consentimiento. Si tu herramienta hace algo así, hay que eliminarla de inmediato.
En ecommerce afecta principalmente a quienes ofrecen financiación o pago a plazos con scoring de crédito basado en IA, o sistemas de detección de fraude que toman decisiones automáticas que bloquean o penalizan a usuarios. Estos requieren documentación técnica, supervisión humana, registros de actividad y evaluaciones de impacto.
Aquí está la mayoría del ecommerce. Incluye chatbots, motores de recomendación, precios personalizados y, muy importante, todo el contenido visual generado o modificado por IA. Las obligaciones de transparencia del Art. 50 del RIA aplican a este nivel y están ya en vigor.
Filtros de spam, buscadores del catálogo sin perfilado, correctores ortográficos. Sin obligaciones formales.
Este es el punto que más afecta a los ecommerce en este momento, y el que más se está ignorando.
El Artículo 50 del Reglamento de IA establece varias obligaciones de transparencia. El apartado que más impacta directamente a los ecommerce como desplegadores de IA es el apartado 4: obliga a informar cuando se publica contenido que constituye un deepfake, es decir, imágenes, vídeo o audio generados o manipulados por IA que representan a personas, lugares o eventos de forma que parecen auténticos pero no lo son.
La obligación no aplica a todo el contenido generado o editado con IA, sino específicamente a aquel que pueda inducir a engaño sobre la autenticidad de lo que se representa. El criterio central es si el contenido podría hacerse pasar por una fotografía o grabación real.
En el contexto de una tienda online, los casos más habituales son los siguientes.
Modelos de moda virtuales generados con IA. Si usas herramientas como Botika o Ablo para mostrar tus prendas sobre personas sintéticas que parecen personas reales, esas imágenes son deepfakes a efectos del RIA. El consumidor está viendo una "persona" que no existe, con una apariencia diseñada para parecer una fotografía auténtica.
Imágenes de personas generadas con IA en contexto de producto. Si usas Midjourney, DALL-E u otras herramientas para crear fotografías de lifestyle donde aparecen personas usando o interactuando con tu producto, y esas personas podrían confundirse con personas reales en una situación real, son deepfakes.
Alteración de la apariencia de una persona real. Si modificas con IA el rostro, el cuerpo o la apariencia de una persona real en una imagen (por ejemplo, rejuvenecer a un modelo o cambiar sus rasgos con Generative Fill), esa imagen manipulada es un deepfake.
Igualmente importante es saber qué queda fuera de esta obligación. Una foto de producto solo, sin personas, generada o retocada con IA no es un deepfake. Un banner tipográfico creado con IA tampoco. Un fondo generado con IA detrás de un producto real tampoco. Eliminar el fondo de una foto con IA o mejorar la resolución con upscaling tampoco.
La línea es la representación engañosa de personas: si no hay ninguna persona (real o sintética hiperrealista) en la imagen, la obligación del Art. 50.4 no se activa.
El RIA contempla el uso de mecanismos técnicos de marcado (watermarking) para identificar el contenido deepfake, especialmente en formato de metadatos. Esto significa que la obligación no se cumple solo con poner un pequeño texto en algún rincón de la página: el propio archivo de imagen debe poder identificarse como generado o manipulado por IA a través de sus metadatos, siguiendo estándares como C2PA (Coalition for Content Provenance and Authenticity).
Aquí está el verdadero obstáculo. Si tienes cientos o miles de imágenes en tu tienda (algunas aportadas por proveedores, otras por agencias, otras creadas internamente), no tienes manera manual de saber cuáles contienen personas generadas o alteradas con IA. Y sin saberlo, no puedes etiquetar.
Este es exactamente el problema que resuelve AI Sentinel de Lawwwing.
Más allá del etiquetado de imágenes, el AI Act impone otras obligaciones que un ecommerce debe conocer:
1- Transparencia en chatbots. Si tienes un asistente virtual o chatbot de atención al cliente basado en IA, debes informar al usuario de que está hablando con una IA, no con una persona. Esta obligación está vigente desde febrero de 2025. Un simple aviso visible al inicio de la conversación basta, pero debe ser claro e inequívoco.
2- Transparencia en recomendaciones y precios personalizados. Si tu tienda muestra recomendaciones de producto personalizadas mediante IA o aplica precios diferentes según el perfil del usuario, debes informar de ello. El usuario tiene derecho a saber cuándo una decisión que le afecta ha sido tomada o influenciada por un sistema automatizado.
3- Política de privacidad actualizada. Tu política de privacidad debe reflejar todos los sistemas de IA que traten datos personales: qué datos usan, con qué finalidad, si hay decisiones automatizadas y cómo puede el usuario ejercer sus derechos frente a ellas.
4- Alfabetización en IA (AI Literacy). El Artículo 4 del RIA obliga a garantizar que los empleados que trabajan con sistemas de IA tienen los conocimientos mínimos para usarlos de forma segura y responsable. Esta obligación ya está en vigor desde febrero de 2025.
6- Revisión de contratos con proveedores. Si usas herramientas de IA de terceros (plataformas de email marketing con IA, herramientas de anuncios inteligentes, plugins de Shopify con IA...), debes revisar los contratos para verificar que el proveedor cumple con el RIA. Como operador, tienes responsabilidades propias que no desaparecen por haber contratado la herramienta a un tercero.
| Fecha | Qué entra en vigor | ¿Ya está activo? |
|---|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento UE 2024/1689 | ✅ |
| 2 febrero 2025 | Prohibiciones (riesgo inaceptable) + AI Literacy (Art. 4) + Obligaciones de transparencia del Art. 50 (etiquetado de imágenes IA) | ✅ Ya aplica |
| 2 agosto 2025 | Obligaciones para modelos de IA de propósito general (GPAI) | ✅ |
| 2 agosto 2026 | Plena aplicación para sistemas de IA de alto riesgo (Anexo III) | ⏳ En 77 días |
| Dic 2027 (posible) | Posible prórroga para algunos sistemas de alto riesgo vía Digital Omnibus (pendiente de aprobación) | ❓ No confirmado |
| Tipo de infracción | Sanción máxima |
|---|---|
| Sistemas de IA prohibidos (riesgo inaceptable) | 35 M€ o el 7% de la facturación global anual |
| Incumplimiento de requisitos para sistemas de alto riesgo | 15 M€ o el 3% de la facturación |
| Incumplimiento de obligaciones de transparencia (Art. 50) | 7,5 M€ o el 1% de la facturación |
Las sanciones por incumplimiento del Art. 50 (las que afectan al etiquetado de imágenes IA) pueden llegar a 7,5 millones de euros o el 1% de la facturación global. Para una tienda mediana con 2 millones de euros de facturación, eso son hasta 20.000 euros de multa por no haber etiquetado sus imágenes.
Y estas sanciones se acumulan con las del RGPD. Si el sistema de IA además trata datos personales (como el perfilado para mostrar esas imágenes), puedes recibir multas de ambas normativas por el mismo incidente.
Obligaciones de transparencia y etiquetado (Art. 50), ya vigentes
Privacidad y protección de datos
Equipo y cultura de cumplimiento
Para sistemas de alto riesgo (si aplica: scoring de crédito, detección de fraude)
Identificar qué imágenes de tu tienda son deepfakes a efectos del RIA es más difícil de lo que parece. Las imágenes llegan de proveedores, de agencias, de diseñadores freelance, de bancos de imágenes... y cada vez más de herramientas de IA generativa que el propio equipo usa en el día a día. Saber cuáles contienen personas sintéticas o rostros alterados con IA, y distinguirlas de las que simplemente tienen el fondo retocado o la resolución mejorada, no es algo que pueda hacerse manualmente a escala.
AI Sentinel de Lawwwing resuelve exactamente eso.
AI Sentinel escanea todas las imágenes de tu web y analiza, imagen por imagen, si contienen personas generadas o manipuladas por IA que pudieran constituir un deepfake a efectos del Artículo 50.4 del RIA. El resultado es un informe claro: qué imágenes requieren etiquetado, cuáles no, y cómo proceder para documentar el cumplimiento.
Con esa información, puedes actuar: etiquetar únicamente lo que la ley exige etiquetar y dejar de preocuparte por el resto.
En el sector de la moda, la belleza y el lifestyle, el uso de modelos virtuales generados con IA se ha disparado. Son más baratos que una sesión fotográfica, están disponibles al instante y pueden adaptarse a cualquier prenda o estilo. Pero representan exactamente el tipo de contenido que el legislador europeo quiere que sea identificado como artificial: personas que parecen reales pero no lo son, en situaciones diseñadas para parecer fotografías auténticas.
La obligación del Art. 50.4 existe precisamente para que el consumidor sepa cuándo lo que está viendo es una representación artificial. En ecommerce, donde la imagen condiciona directamente la decisión de compra y la expectativa sobre el producto, esa transparencia tiene además implicaciones en los derechos del consumidor.
Si ya usas Lawwwing para el cumplimiento del RGPD, las cookies y los textos legales de tu tienda, AI Sentinel se integra en ese mismo ecosistema. Un solo panel para gestionar el cumplimiento legal completo de tu ecommerce: privacidad, cookies, consentimiento y ahora también el etiquetado de contenido IA.
Compatible con WordPress, WooCommerce, Shopify, PrestaShop, Magento, Wix y todas las plataformas en las que Lawwwing ya funciona.
¿Quieres saber cuántas imágenes de tu web incumplen ya el Art. 50 del AI Act?
Escanea tu tienda con AI Sentinel
La obligación del Art. 50.4 del RIA para los desplegadores (que es lo que son los ecommerce) aplica específicamente a los deepfakes: contenido generado o manipulado por IA que representa a personas, lugares o eventos de forma que parece auténtico pero no lo es. No aplica a todo el contenido IA, sino al que puede inducir a engaño sobre su autenticidad.
En la práctica: una foto de producto generada con IA sin personas no es un deepfake. Un modelo virtual generado con IA que parece una persona real llevando tus prendas, sí lo es. Eliminar el fondo de una foto con IA no es un deepfake. Alterar el rostro de una persona real en una imagen con IA, sí lo es.
Eres responsable del contenido que publicas en tu tienda. Si no puedes acreditar que una imagen no ha sido generada o modificada con IA, el riesgo es tuyo. Por eso la auditoría automatizada de AI Sentinel es tan relevante: te permite saber con certeza qué imágenes de tu catálogo requieren etiquetado, independientemente de su origen.
El RIA contempla tanto avisos visibles al usuario como mecanismos técnicos de marcado (watermarking en metadatos). Para el cumplimiento básico, un aviso claro y visible junto a la imagen o en la ficha de producto es el primer paso. Para el cumplimiento completo, la Comisión Europea está desarrollando estándares técnicos basados en iniciativas como C2PA que exigirán marcado en los propios metadatos del archivo. AI Sentinel te ayuda a identificar qué imágenes necesitan ese tratamiento.
Sí. El AI Act aplica a cualquier empresa que despliegue sistemas de IA o publique contenido IA dirigido a usuarios en la UE, independientemente de su tamaño. Las multas sí tienen un cálculo proporcional para pymes (se aplica el menor entre la cuantía fija y el porcentaje de facturación), pero las obligaciones son las mismas. Una tienda pequeña con imágenes generadas por IA sin etiquetar incumple igual que una gran multinacional.
Ya está vigente. Las obligaciones de transparencia del Artículo 50, incluyendo el etiquetado de contenido generado o modificado significativamente por IA, entrarán en vigor el 2 de agosto de 2026. No es una fecha futura. Si tienes imágenes de IA sin etiquetar en tu tienda, no incumplas.
Son normativas complementarias que aplican a la vez. El RGPD regula cómo se tratan los datos personales de tus clientes (consentimiento, finalidad, derechos de acceso...). El AI Act / RIA regula cómo se usan y se comunican los sistemas de inteligencia artificial (clasificación de riesgo, transparencia, documentación, etiquetado de contenido). Puedes cumplir perfectamente el RGPD y aun así incumplir el RIA por no etiquetar tus imágenes de IA, y viceversa. Las multas de ambos se pueden acumular.
AI Sentinel es la herramienta de Lawwwing que escanea todas las imágenes de tu web para detectar cuáles han sido generadas o modificadas significativamente por inteligencia artificial. Te devuelve un informe imagen por imagen para que puedas identificar cuáles requieren etiquetado conforme al Art. 50 del Reglamento de IA. Es la forma más rápida y fiable de hacer el inventario de contenido IA de tu tienda online sin revisarlo manualmente.
El debate sobre inteligencia artificial en ecommerce suele girar en torno a los chatbots o los algoritmos de recomendación. Pero hay una obligación mucho más inmediata, mucho más concreta y mucho más ignorada: el etiquetado de las imágenes que constituyen deepfakes.
Entra en vigor el 2 de agosto de 2026. Afecta a cualquier tienda que use modelos virtuales, personas generadas con IA o imágenes donde la apariencia de personas reales ha sido alterada con IA generativa. Y el incumplimiento tiene sanciones reales.
El primer paso es saber qué imágenes de tu tienda son deepfakes a efectos del RIA. AI Sentinel de Lawwwing hace esa detección por ti, de forma automática, para que puedas actuar con información real y no con suposiciones.
El cumplimiento empieza por saber qué tienes.
Analiza tu web con AI Sentinel
Artículo actualizado en mayo de 2026. La información se revisa periódicamente para reflejar los cambios normativos del Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689, AI Act).
