The EU's Transparency Code is final

Executive briefing — the week of 15 June 2026.

1. What happened

On 10 June 2026 the European AI Office published the final Code of Practice on Transparency of AI-Generated Content (European Commission). The Code is a voluntary, soft-law instrument, prepared through a multi-stakeholder process facilitated by the AI Office. Its purpose is narrow and practical: to help providers and deployers of generative AI systems meet the transparency obligations of Article 50 of the AI Act, which apply from 2 August 2026 (artificialintelligenceact.eu).

Voluntary does not mean optional in effect. As Bird & Bird and others have noted, the Code is designed to become the de facto compliance benchmark for both providers and deployers ahead of the August application date (Bird & Bird). Adherence is the cleanest available evidence that an organisation has taken reasonable steps to comply; departure from it will need to be justified.

2. What it actually changes

Until last week, Article 50(2) read as a principle: providers of generative AI systems must ensure outputs are marked in a machine-readable format and detectable as artificially generated. The Code converts that principle into a checkable specification.

Marking (Measure 1.1). Providers are directed to combine two machine-readable mechanisms — digitally-signed, time-stamped metadata (sub-measure 1.1.1) and imperceptible watermarking (sub-measure 1.1.2) — with an optional third mechanism of fingerprinting or logging against a registry database (sub-measure 1.1.3) (IPTC technical analysis, 10 Jun 2026). The Code names no vendor and no specification. But IPTC, the news-media standards body, was direct: "while it is not named specifically, the only technology that meets these criteria is C2PA." The signed-metadata requirement, in practice, points to Content Credentials, with CAWG assertions encouraged for richer provenance.

Non-removal (Measure 1.2). Signatories commit to retain, and not intentionally strip, existing metadata markings when content is used as input and transformed by their system — and to prohibit users, via terms and conditions, from removing those markings.

Detection (Commitment 2). Signatories must make a detection system publicly available, free of charge — as a published standard, as software, or as a cloud API — so members of the public can check whether content was generated by their system, even after metadata is stripped. This is the part of the Code that moves transparency from "marking your own output" to "letting anyone verify it."

Interoperability (Measure 3, deadline 2 February 2027). The Code openly acknowledges that no current technical solution meets all four of the AI Act's criteria — effective, reliable, robust, interoperable — and frames its commitments as work towards that goal. Concretely, providers must implement an interoperability solution for their detection mechanisms by 2 February 2027, using a publicly available interoperable standard or a "publicly readable signpost" that tells the public which detection solution to use without running every provider's detector in turn (IPTC).

Labelling (Section 2, deployers). Deployers commit to visually disclose AI-generated markings using a common set of icons supplied by the AI Office, with disclosure rules calibrated by modality — persistent icons for video, fixed icons for images, audible disclaimers for audio — and lighter-touch disclosure for evidently artistic, satirical, or fictional work (Tech Policy Press).

3. Who is affected

Two roles, two obligation sets. Providers — those who develop or place generative AI systems on the market under their own name (foundation-model developers, AI application vendors, organisations that substantially modify a system) — carry the marking and detection obligations. Deployers — any organisation using a generative AI system in a professional capacity — carry the labelling and disclosure obligations. Purely personal, non-professional use is out of scope; there, responsibility sits with the platform (Tech Policy Press). In practice, almost every enterprise touching generative content is one role or the other, and many are both.

4. Implementation requirements

A compliant provider pipeline, read off the Code, needs four things in place: signed Content Credentials on generated outputs; an imperceptible watermark robust to common manipulations; ideally a durable log or fingerprint so provenance survives metadata stripping; and a free, public detection endpoint. By 2 February 2027 that detection must be interoperable — routable without querying every provider individually. Deployers need a disclosure layer: the AI Office icon set, applied per modality at first exposure, with documented internal processes to classify content and exercise human oversight, and the exceptions for creative and satirical work handled deliberately rather than by default.

5. What to do this quarter

Four concrete steps. First, take Measure 1.1 and test it against what your generation pipeline emits today — not what your vendor's datasheet claims. Second, calendar three dates, not one: 2 August 2026 (Article 50 applies), 2 December 2026 (the Digital Omnibus grace period for generative systems already on the market to meet machine-readable marking, per the 7 May 2026 provisional agreement — Consilium, CMS), and 2 February 2027 (interoperable detection). Third, scope the detection endpoint now; it is the layer most teams have not budgeted, and it has the longest lead time. Fourth, if you operate in Spain, read AESIA's published guidance — Spain has Europe's first operational AI supervisor and a sanctions framework reaching €7.5m or 1% of global turnover for transparency breaches, though no Member State had issued an AI Act fine as of March 2026 (White & Case).

6. AIACT50's reading

The Code did not invent a new architecture. It ratified the layered one the industry has been assembling — signed metadata, imperceptible watermarking, a durable record, and public verification — and it did so in functional language that maps cleanly onto a four-layer stack: invisible watermark, C2PA Content Credentials, an anchored log, and an open verification API. The layer the market has under-served is the last one: free, interoperable, public verification, the subject of the barely-discussed 2 February 2027 deadline. That is where the work is, and it is where we build.

One caution we will keep repeating, because the Code itself models it: provenance verifies origin and satisfies Article 50 transparency. It is not moderation, and it is not a deepfake cure. The honest sale is the architecture, not the fear.

Sources: European Commission — Code of Practice announcement · IPTC technical analysis (10 Jun 2026) · Bird & Bird · Tech Policy Press · Consilium (Omnibus, 7 May 2026) · CMS — Digital Omnibus · artificialintelligenceact.eu — Article 50 · White & Case — Spain tracker

If you want to see how these four layers are combined into a single implementation:

Explore AI Act 50 →

Briefing ejecutivo — semana del 15 de junio de 2026.

1. Qué ha pasado

El 10 de junio de 2026 la AI Office europea publicó el Código de Práctica sobre Transparencia del Contenido Generado por IA en su versión final (Comisión Europea). El Código es un instrumento voluntario de soft law, elaborado mediante un proceso multistakeholder facilitado por la AI Office. Su propósito es estrecho y práctico: ayudar a proveedores y deployers de sistemas de IA generativa a cumplir las obligaciones de transparencia del Artículo 50 del AI Act, que se aplican desde el 2 de agosto de 2026 (artificialintelligenceact.eu).

Voluntario no significa opcional en la práctica. Como han señalado Bird & Bird y otros, el Código está diseñado para convertirse en el estándar de cumplimiento de facto tanto para proveedores como para deployers antes de la fecha de aplicación de agosto (Bird & Bird). La adhesión es la evidencia más limpia de que una organización ha tomado medidas razonables para cumplir; apartarse de él habrá que justificarlo.

2. Qué cambia realmente

Hasta la semana pasada, el Artículo 50(2) se leía como un principio: los proveedores de sistemas de IA generativa deben garantizar que los outputs se marquen en formato legible por máquina y sean detectables como generados artificialmente. El Código convierte ese principio en una especificación verificable.

Marcado (Medida 1.1). Se indica a los proveedores combinar dos mecanismos legibles por máquina — metadatos firmados digitalmente y con sello de tiempo (submedida 1.1.1) y watermarking imperceptible (submedida 1.1.2) — con un tercer mecanismo opcional de fingerprinting o registro contra una base de datos (submedida 1.1.3) (análisis técnico IPTC, 10 jun 2026). El Código no nombra ningún proveedor ni especificación. Pero IPTC, el organismo de estándares de medios informativos, fue directo: "aunque no se nombra específicamente, la única tecnología que cumple estos criterios es C2PA". El requisito de metadatos firmados apunta, en la práctica, a las Content Credentials, con aserciones CAWG recomendadas para una procedencia más rica.

No-eliminación (Medida 1.2). Los firmantes se comprometen a conservar, y a no eliminar intencionadamente, las marcas de metadatos existentes cuando el contenido se usa como entrada y es transformado por su sistema — y a prohibir a los usuarios, vía términos y condiciones, retirar esas marcas.

Detección (Compromiso 2). Los firmantes deben poner a disposición pública un sistema de detección, gratuito — como estándar publicado, como software o como API en la nube — para que cualquier persona pueda comprobar si un contenido fue generado por su sistema, incluso después de eliminar los metadatos. Esta es la parte del Código que mueve la transparencia de "marcar tu propio output" a "dejar que cualquiera lo verifique".

Interoperabilidad (Medida 3, plazo 2 de febrero de 2027). El Código reconoce abiertamente que ninguna solución técnica actual cumple los cuatro criterios del AI Act — eficaz, fiable, robusta, interoperable — y enmarca sus compromisos como trabajo hacia ese objetivo. En concreto, los proveedores deben implementar una solución de interoperabilidad para sus mecanismos de detección antes del 2 de febrero de 2027, usando un estándar interoperable públicamente disponible o un "indicador legible públicamente" que diga al público qué solución de detección usar sin tener que ejecutar el detector de cada proveedor uno a uno (IPTC).

Etiquetado (Sección 2, deployers). Los deployers se comprometen a divulgar visualmente las marcas de IA usando un conjunto común de iconos proporcionado por la AI Office, con reglas de divulgación calibradas por modalidad — iconos persistentes para vídeo, iconos fijos para imágenes, avisos audibles para audio — y una divulgación más ligera para obra evidentemente artística, satírica o de ficción (Tech Policy Press).

3. A quién afecta

Dos roles, dos conjuntos de obligaciones. Proveedores — quienes desarrollan o colocan sistemas de IA generativa en el mercado bajo su propio nombre (desarrolladores de foundation models, vendedores de aplicaciones IA, organizaciones que modifican sustancialmente un sistema) — cargan con las obligaciones de marcado y detección. Deployers — cualquier organización que use un sistema de IA generativa en un contexto profesional — cargan con las obligaciones de etiquetado y divulgación. El uso puramente personal y no profesional queda fuera de alcance; ahí la responsabilidad recae en la plataforma (Tech Policy Press). En la práctica, casi toda empresa que toca contenido generativo es uno de los dos roles, y muchas son ambos.

4. Requisitos de implementación

Un pipeline de proveedor conforme, leído del Código, necesita cuatro cosas en su sitio: Content Credentials firmadas en los outputs generados; un watermark imperceptible robusto a las manipulaciones comunes; idealmente un log o fingerprint duradero para que la procedencia sobreviva a la eliminación de metadatos; y un endpoint de detección público y gratuito. Antes del 2 de febrero de 2027 esa detección debe ser interoperable — enrutable sin consultar a cada proveedor por separado. Los deployers necesitan una capa de divulgación: el set de iconos de la AI Office, aplicado por modalidad en la primera exposición, con procesos internos documentados para clasificar el contenido y ejercer supervisión humana, y las excepciones para obra creativa y satírica gestionadas de forma deliberada y no por defecto.

5. Qué hacer este trimestre

Cuatro pasos concretos. Primero, coge la Medida 1.1 y contrástala con lo que tu pipeline de generación emite hoy — no con lo que afirma la ficha técnica de tu proveedor. Segundo, marca tres fechas en el calendario, no una: 2 de agosto de 2026 (se aplica el Artículo 50), 2 de diciembre de 2026 (el periodo de gracia del Digital Omnibus para que los sistemas generativos ya en el mercado cumplan el marcado legible por máquina, según el acuerdo provisional del 7 de mayo de 2026 — Consilium, CMS), y 2 de febrero de 2027 (detección interoperable). Tercero, dimensiona el endpoint de detección ya; es la capa que la mayoría de equipos no han presupuestado, y la de mayor plazo de entrega. Cuarto, si operas en España, lee la guía publicada por AESIA — España tiene el primer supervisor de IA operativo de Europa y un marco sancionador que alcanza los 7,5M€ o el 1% de la facturación global por incumplimientos de transparencia, aunque ningún Estado miembro había emitido una multa del AI Act a fecha de marzo de 2026 (White & Case).

6. La lectura de AIACT50

El Código no inventó una arquitectura nueva. Ratificó la arquitectura por capas que la industria viene ensamblando — metadatos firmados, watermarking imperceptible, un registro duradero y verificación pública — y lo hizo en lenguaje funcional que encaja limpiamente en un stack de cuatro capas: watermark invisible, Content Credentials C2PA, un log anclado y una API de verificación abierta. La capa que el mercado ha desatendido es la última: verificación pública, gratuita e interoperable, el objeto del apenas comentado plazo del 2 de febrero de 2027. Ahí está el trabajo, y ahí es donde construimos.

Una advertencia que seguiremos repitiendo, porque el propio Código la modela: la procedencia verifica el origen y satisface la transparencia del Artículo 50. No es moderación, y no es una cura contra los deepfakes. La venta honesta es la arquitectura, no el miedo.

Fuentes: Comisión Europea — anuncio del Código de Práctica · Análisis técnico IPTC (10 jun 2026) · Bird & Bird · Tech Policy Press · Consilium (Omnibus, 7 may 2026) · CMS — Digital Omnibus · artificialintelligenceact.eu — Artículo 50 · White & Case — tracker España

Si quieres ver cómo se combinan estas cuatro capas en una única implementación:

Explorar AI Act 50 →

The EU's Transparency Code is final. Here is what it actually changes.