The EU described the architecture of Article 50 compliance

An executive briefing for compliance officers, AI governance leads, and the counsels who advise them — the week of 22 June 2026.

1. What happened

On 10 June 2026 the European AI Office published the Code of Practice on Transparency of AI-Generated Content, the long-awaited implementation support instrument for Article 50 of the EU AI Act (European Commission; IPTC). It arrived after two public drafts — the second published 3 March 2026 — and in parallel with draft Commission guidelines on the Article 50 transparency obligations, which went through a targeted consultation that closed on 3 June 2026.

The Code is a voluntary instrument. It does not create new law; it offers providers and deployers of generative AI a structured way to demonstrate compliance with the marking and disclosure duties in Article 50(2) and 50(4). Its significance is not that it adds obligations but that it specifies, for the first time in an official document, the technical shape a regulator expects those obligations to take.

2. What it actually changes

For two years Article 50 has been clear on the "what" and silent on the "how." Providers must ensure AI-generated output is marked in a machine-readable way and detectable as artificially generated; deployers must disclose deepfakes and AI interaction. The recurring enterprise question was which technical approach would satisfy a supervisor. The Code answers it by describing a layered model: digitally-signed metadata (referred to in legal commentary as sub-measure 1.1.1), imperceptible watermarking placed alongside it (1.1.2), and an optional fingerprinting or logging registry (1.1.3) (ComplianceHub; Bird & Bird).

Two design choices carry most of the meaning. First, the Code is vendor-neutral on its face yet describes criteria — signed, time-stamped, tamper-evident — that, as of today, only the C2PA Content Credentials standard meets (Bird & Bird). In practice it sets a de facto technical floor without picking a winner. Second, it does not treat signed metadata as sufficient on its own: it pairs it with an imperceptible watermark. That pairing is an implicit acknowledgement of a known weakness — metadata is strippable and frequently lost when content is re-encoded or passed through platforms that do not preserve it (truescreen.io). The Code, in other words, describes defence-in-depth rather than a single labelling step.

What does not change is equally important. The Code is not mandatory, and signing it is not the only route to compliance — an organisation can meet Article 50 by other technical means and document them. But once major providers sign, their chosen approach tends to become the market reference, which raises the practical cost of going your own way.

3. Who is affected

Three groups, in descending order of immediacy. Providers of generative AI systems carry the marking obligation under Article 50(2) and are the primary audience for the signatory process. Deployers — enterprises that integrate or use those systems to generate content, including marketing, media, financial-services, and public-sector workflows — carry the disclosure obligations under Article 50(4), including the duty to label deepfakes and to tell users they are interacting with an AI. Downstream platforms and auditors inherit the verification problem: someone has to read and check the marks, and the Code's "detectable" requirement lands on them.

Geography does not narrow the set much. The obligations attach to systems and content placed on the EU market regardless of where the provider sits. In Spain, AESIA — headquartered in A Coruña — is the coordinating national authority, while Spain's own AI governance bill, approved by the Council of Ministers on 26 May 2026, remains in parliamentary process and is not yet in force. EU obligations apply on the EU timetable irrespective of the national bill's progress.

4. Implementation requirements

Four capabilities working together. A marking step that embeds digitally-signed, tamper-evident metadata — the C2PA-shaped layer. An imperceptible watermark applied in parallel, so a provenance signal persists when metadata is stripped. A verification path — a machine-readable way for a downstream party to check both signals and return a clear verdict, the element most current programmes under-build. And documentation and governance: a record of which systems generate what, which obligation attaches to each, and which date applies. The optional logging registry (1.1.3) sits on top for organisations that want a queryable provenance store.

The sequencing matters because instrumenting marking, watermarking, and verification across a real content pipeline is weeks of engineering, not a configuration change. With the obligations applying 2 August, the remaining window is a build window.

5. What to do this quarter

Four moves, in order. First, inventory: list every system that generates or manipulates content and map each to its specific obligation and date — marking (Art 50(2)), disclosure (Art 50(4)), or both. Second, decide the architecture now rather than after a standards debate; the Code has narrowed the choice to a layered, C2PA-shaped model. Third, decide on the signatory question before 22 July 2026, 18:00 CEST — the deadline to submit the form to appear on the initial signatory list published before 2 August (ComplianceHub). Fourth, instrument verification, not just marking, and test it adversarially: sign an output, re-encode and repost it, and confirm what survives.

One caution for board and counsel conversations: do not over-read the Digital Omnibus. The political agreement of 7 May 2026 deferred only the Article 50(2) machine-readable marking obligation, and only for generative systems already on the market before 2 August, to 2 December 2026 (Latham & Watkins; Gibson Dunn). The disclosure obligations remain live on 2 August. "The AI Act was delayed" is the wrong summary to act on.

6. AIACT50's reading

The Code is validating rather than disruptive for the architecture we build. The regulator has now described, in an official instrument, the layered model AIACT50 has shipped from the start: an invisible watermark, C2PA Content Credentials, Base anchoring, and a public verification API. The shift for the market is that "which architecture" is no longer an open debate — it has been narrowed to defence-in-depth, signed-plus-watermarked-plus-verifiable, and the only remaining questions are build and verification.

The piece the industry conversation still under-weights is that last word. The honest message to a compliance lead this quarter is not fear of a deadline; it is that the design problem is solved and the engineering problem is not — and six weeks is enough time only if the decision is made now.

A mark that no downstream party can independently check satisfies the letter of "marked" while missing the substance of "detectable." That is the half of Article 50 worth claiming, and the half worth building.

Sources: European Commission — digital-strategy portal · IPTC · Bird & Bird · artificialintelligenceact.eu — Article 50 · Latham & Watkins · Gibson Dunn · Travers Smith · ComplianceHub · truescreen.io · AESIA.

This briefing was prepared in degraded mode without the weekly Market Monitor; clause-level numbering (1.1.1 / 1.1.2 / 1.1.3) is drawn from secondary legal commentary and should be confirmed against the primary Code text before any clause is quoted in a binding context.

If you want to see how these layers are combined into a single implementation:

Explore AI Act 50 →

Un briefing ejecutivo para responsables de compliance, líderes de gobernanza de IA y los abogados que les asesoran — semana del 22 de junio de 2026.

1. Qué ha pasado

El 10 de junio de 2026 la AI Office europea publicó el Código de Práctica sobre Transparencia del Contenido Generado por IA, el largamente esperado instrumento de apoyo a la implementación del Artículo 50 del EU AI Act (Comisión Europea; IPTC). Llegó tras dos borradores públicos — el segundo publicado el 3 de marzo de 2026 — y en paralelo con un borrador de directrices de la Comisión sobre las obligaciones de transparencia del Artículo 50, que pasó por una consulta dirigida cerrada el 3 de junio de 2026.

El Código es un instrumento voluntario. No crea nueva ley; ofrece a proveedores y deployers de IA generativa una vía estructurada para demostrar el cumplimiento de los deberes de marcado y divulgación del Artículo 50(2) y 50(4). Su relevancia no es que añada obligaciones, sino que especifica, por primera vez en un documento oficial, la forma técnica que un regulador espera que adopten esas obligaciones.

2. Qué cambia realmente

Durante dos años el Artículo 50 ha sido claro en el "qué" y silencioso en el "cómo". Los proveedores deben garantizar que el output generado por IA se marque de forma legible por máquina y sea detectable como generado artificialmente; los deployers deben divulgar deepfakes e interacción con IA. La pregunta recurrente de las empresas era qué enfoque técnico satisfaría a un supervisor. El Código responde describiendo un modelo por capas: metadatos firmados digitalmente (referidos en el comentario jurídico como submedida 1.1.1), watermarking imperceptible junto a ellos (1.1.2), y un registro opcional de fingerprinting o logging (1.1.3) (ComplianceHub; Bird & Bird).

Dos decisiones de diseño concentran casi todo el significado. Primera, el Código es neutral respecto a proveedores en apariencia, pero describe criterios — firmado, con sello de tiempo, a prueba de manipulación — que, a día de hoy, solo cumple el estándar C2PA Content Credentials (Bird & Bird). En la práctica fija un suelo técnico de facto sin nombrar un ganador. Segunda, no trata los metadatos firmados como suficientes por sí solos: los empareja con un watermark imperceptible. Ese emparejamiento es un reconocimiento implícito de una debilidad conocida — los metadatos son eliminables y se pierden con frecuencia cuando el contenido se re-codifica o pasa por plataformas que no los preservan (truescreen.io). El Código, en otras palabras, describe defensa en profundidad y no un único paso de etiquetado.

Lo que no cambia es igual de importante. El Código no es obligatorio, y firmarlo no es la única vía de cumplimiento — una organización puede cumplir el Artículo 50 por otros medios técnicos y documentarlos. Pero una vez que los grandes proveedores firman, su enfoque elegido tiende a convertirse en la referencia del mercado, lo que eleva el coste práctico de ir por tu cuenta.

3. A quién afecta

Tres grupos, en orden descendente de inmediatez. Los proveedores de sistemas de IA generativa cargan con la obligación de marcado del Artículo 50(2) y son el público principal del proceso de firma. Los deployers — empresas que integran o usan esos sistemas para generar contenido, incluyendo flujos de marketing, medios, servicios financieros y sector público — cargan con las obligaciones de divulgación del Artículo 50(4), incluido el deber de etiquetar deepfakes y de avisar a los usuarios de que interactúan con una IA. Las plataformas y auditores aguas abajo heredan el problema de verificación: alguien tiene que leer y comprobar las marcas, y el requisito de "detectable" del Código recae sobre ellos.

La geografía no estrecha mucho el conjunto. Las obligaciones se adhieren a los sistemas y al contenido puestos en el mercado de la UE, con independencia de dónde se site el proveedor. En España, AESIA — con sede en A Coruña — es la autoridad nacional coordinadora, mientras que el propio anteproyecto español de gobernanza de IA, aprobado por el Consejo de Ministros el 26 de mayo de 2026, sigue en trámite parlamentario y aún no está en vigor. Las obligaciones de la UE se aplican en el calendario de la UE al margen del avance de la norma nacional.

4. Requisitos de implementación

Cuatro capacidades trabajando juntas. Un paso de marcado que embeba metadatos firmados digitalmente y a prueba de manipulación — la capa con forma de C2PA. Un watermark imperceptible aplicado en paralelo, para que una señal de procedencia persista cuando se eliminen los metadatos. Una vía de verificación — una forma legible por máquina de que un tercero aguas abajo compruebe ambas señales y devuelva un veredicto claro, el elemento que la mayoría de los programas actuales infra-construyen. Y documentación y gobernanza: un registro de qué sistemas generan qué, qué obligación aplica a cada uno y qué fecha rige. El registro opcional de logging (1.1.3) se sitúa encima para organizaciones que quieran un almacén de procedencia consultable.

La secuencia importa porque instrumentar marcado, watermarking y verificación a lo largo de un pipeline real de contenido es semanas de ingeniería, no un cambio de configuración. Con las obligaciones aplicándose el 2 de agosto, la ventana restante es una ventana de construcción.

5. Qué hacer este trimestre

Cuatro movimientos, en orden. Primero, inventario: lista cada sistema que genera o manipula contenido y mapea cada uno a su obligación y fecha específicas — marcado (Art 50(2)), divulgación (Art 50(4)), o ambas. Segundo, decide la arquitectura ahora en lugar de tras un debate de estándares; el Código ha estrechado la elección a un modelo por capas con forma de C2PA. Tercero, decide la cuestión de la firma antes del 22 de julio de 2026, 18:00 CEST — el plazo para enviar el formulario y aparecer en la lista inicial de firmantes publicada antes del 2 de agosto (ComplianceHub). Cuarto, instrumenta la verificación, no solo el marcado, y pruébala de forma adversarial: firma un output, re-codifícalo y vuélvelo a publicar, y confirma qué sobrevive.

Una advertencia para las conversaciones de consejo y asesoría jurídica: no sobre-interpretes el Digital Omnibus. El acuerdo político del 7 de mayo de 2026 aplazó únicamente la obligación de marcado legible por máquina del Artículo 50(2), y solo para los sistemas generativos ya en el mercado antes del 2 de agosto, hasta el 2 de diciembre de 2026 (Latham & Watkins; Gibson Dunn). Las obligaciones de divulgación siguen vivas el 2 de agosto. "El AI Act se ha retrasado" es el resumen equivocado sobre el que actuar.

6. La lectura de AIACT50

El Código es validador más que disruptivo para la arquitectura que construimos. El regulador ha descrito ahora, en un instrumento oficial, el modelo por capas que AIACT50 ha entregado desde el principio: un watermark invisible, Content Credentials C2PA, anclaje en Base y una API de verificación pública. El cambio para el mercado es que "qué arquitectura" ya no es un debate abierto — se ha estrechado a defensa en profundidad, firmado-más-watermark-más-verificable, y las únicas preguntas que quedan son construcción y verificación.

La pieza que la conversación del sector sigue infravalorando es esa última palabra. El mensaje honesto a un responsable de compliance este trimestre no es miedo a un plazo; es que el problema de diseño está resuelto y el de ingeniería no — y seis semanas son tiempo suficiente solo si la decisión se toma ahora.

Una marca que ningún tercero aguas abajo pueda comprobar de forma independiente satisface la letra de "marcado" pero pierde la sustancia de "detectable". Esa es la mitad del Artículo 50 que merece la pena reclamar, y la mitad que merece la pena construir.

Fuentes: Comisión Europea — portal digital-strategy · IPTC · Bird & Bird · artificialintelligenceact.eu — Artículo 50 · Latham & Watkins · Gibson Dunn · Travers Smith · ComplianceHub · truescreen.io · AESIA.

Este briefing se preparó en modo degradado, sin el Market Monitor semanal; la numeración por cláusulas (1.1.1 / 1.1.2 / 1.1.3) procede de comentario jurídico secundario y debería confirmarse contra el texto primario del Código antes de citar cualquier cláusula en un contexto vinculante.

Si quieres ver cómo se combinan estas capas en una única implementación:

Explorar AI Act 50 →

The EU just described the architecture of Article 50 compliance. Here is what the Code of Practice actually changes.