¿Qué obliga el artículo 50 del EU AI Act a los agentes de voz desde el 2 de agosto de 2026?

El artículo 50 del Reglamento UE 2024/1689 exige que el usuario sea informado de que habla con una IA en el primer contacto. En llamadas de voz, la obviedad no se presume, por lo que la primera frase del agente debe comunicar de forma clara que quien habla es un sistema automático.

¿Quién supervisa el cumplimiento del EU AI Act en España y cuáles son las multas?

La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), operativa desde marzo de 2025, es el supervisor. Incumplir las obligaciones de transparencia del artículo 50 puede acarrear sanciones de hasta 15 millones de euros o el 3 % del volumen de negocio mundial.

¿Pueden los agentes de voz IA hacer llamadas en frío B2C en España?

No. Las llamadas en frío B2C son inviables por la Circular AEPD 1/2023 (opt-in obligatorio), el cotejo preceptivo con la Lista Robinson y la Orden TDF/149/2025, que prohíbe llamadas comerciales desde numeración móvil. El único saliente seguro es la confirmación de citas de clientes existentes.

¿Qué exige la AEPD sobre la transcripción y grabación de voz con IA?

La AEPD exige consentimiento específico y registrado por grabación, garantizar los derechos de los interesados aunque intervengan varias voces, documentar dónde se tratan los datos y qué subencargados intervienen, y disponer de base jurídica documentada, DPIA en escenarios de alto riesgo y protocolo de brechas.

¿La voz grabada es un dato personal bajo el RGPD?

Sí. La AEPD y el Tribunal Supremo reconocen la voz como dato personal cuando identifica a la persona. Solo se convierte en categoría especial (art. 9 RGPD) cuando se usa para identificación biométrica uno-a-muchos. La grabación para control de calidad es un dato personal ordinario que requiere base jurídica adecuada.

¿Qué diferencia hay entre el disclosure del AI Act por ingeniería y por cláusula contractual?

Una cláusula contractual solo promete que el agente avisará; si el modelo omite la frase en alguna llamada, la infracción ya se ha producido. El disclosure por ingeniería cablea la línea de apertura en el flujo del sistema, garantizando que se pronuncia en cada llamada independientemente del comportamiento del modelo.

Cumplimiento EU AI Act voz IA: desde el 2 de agosto de 2026 el art. 50 obliga al aviso IA en cada llamada. Multas hasta 15 M€. Guía práctica para España — LeadUp.

EU AI Act y la atención telefónica con IA en España: qué cambia el 2 de agosto de 2026

Desde el 2 de agosto de 2026 se aplican plenamente las obligaciones de transparencia del artículo 50 del EU AI Act (Reglamento UE 2024/1689): si un agente de voz con IA atiende tus llamadas, la persona debe saber que habla con una IA en el primer contacto. En el canal de voz esa «obviedad» no se presume, así que el aviso de apertura pasa a ser obligatorio y lo supervisa en España la AESIA. No es letra pequeña: es la condición para operar.

A continuación tienes el mapa completo —qué obliga el art. 50, quién vigila y cuánto cuesta fallar, por qué el canal entrante es vía libre y el frío B2C es inviable, qué exige la AEPD y qué debe incluir un pack de cumplimiento serio— para que elijas proveedor con criterio jurídico, no por la demo más vistosa.

¿Qué te obliga el artículo 50 del AI Act desde el 2 de agosto de 2026?

El artículo 50 del Reglamento UE 2024/1689 impone obligaciones de transparencia a los sistemas de IA que interactúan directamente con personas físicas. Desde el 2 de agosto de 2026 esas obligaciones se aplican plenamente: el usuario debe ser informado de que está interactuando con una IA en el primer contacto.

La clave para la telefonía está en el matiz del propio artículo. La obligación de informar decae solo cuando resulte «evidente» para una persona razonablemente atenta que está ante una IA. En una pantalla, un chatbot puede parecer obvio. En una llamada de voz no se presume esa obviedad: una voz sintética de calidad suena humana, y precisamente por eso el disclosure de apertura es obligatorio. No basta con que «se note un poco»; hay que decirlo.

En la práctica, esto significa que la primera frase del agente tiene que comunicar de forma clara, comprensible y al inicio que quien habla es un sistema automático. Nuestro guion de apertura determinista lo resuelve con una línea fija:

«Está usted hablando con un asistente virtual de [tu negocio]…»

Esa frase no es decorativa. Es la pieza que convierte el art. 50 en algo cumplido y demostrable. Y, como verás más abajo, la diferencia entre que ese disclosure esté garantizado por ingeniería o quede recogido como una cláusula en un contrato es la diferencia entre estar protegido y esperar tener suerte.

¿Quién supervisa en España y cuánto cuesta fallar?

El supervisor es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), creada por el Real Decreto 729/2023, con sede en A Coruña y operativa desde marzo de 2025. Su potestad sancionadora, anclada en el artículo 99 del Reglamento, está vigente desde el 2 de agosto de 2025.

A mediados de 2026 todavía no hay sanciones públicas bajo el AI Act, y la primera oleada se espera entre la segunda mitad de 2026 y 2027. Esto no es una invitación a relajarse: significa que estás en la ventana en la que se construye el criterio sancionador. Quien tenga el cumplimiento documentado cuando lleguen las primeras inspecciones jugará en otra liga.

Las cuantías replican los máximos del Reglamento, y conviene no confundir las franjas:

Hasta 35 M€ o el 7 % del volumen de negocio mundial por infringir las prácticas prohibidas del artículo 5. Esta es la franja más alta y no es donde cae un fallo de transparencia.
Hasta 15 M€ o el 3 % por otras infracciones sustanciales. Esta es la franja donde encaja un incumplimiento de las obligaciones de transparencia del artículo 50 —es decir, no avisar de que se habla con una IA.
Hasta 7,5 M€ o el 1 % por suministrar información incorrecta a las autoridades.

El artículo 99.6 prevé una reducción proporcional para pymes y startups, de modo que la cifra concreta no será siempre el techo. Pero el orden de magnitud es claro: un disclosure que falla no es un detalle estético, es una infracción que se mide en millones o en puntos porcentuales de facturación.

A esto se suma la capa nacional. El 26 de mayo de 2026 el Consejo de Ministros aprobó en segunda vuelta el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA y lo remitió al Congreso, donde en junio de 2026 está en tramitación parlamentaria. El texto designa a la AESIA como punto de contacto único, crea una ventanilla única de reclamaciones y prohíbe los deepfakes sexuales sin consentimiento. La dirección del marco es inequívoca: más supervisión, no menos.

¿Por qué el canal entrante es vía libre y el frío B2C es inviable?

Aquí está la decisión estratégica que la mayoría de proveedores no te explica con honestidad: no todas las llamadas con IA son iguales ante la ley española.

El canal entrante (inbound) es plenamente viable. Cuando el cliente te llama a ti, no aplica el artículo 66.1.b de la Ley General de Telecomunicaciones (Ley 11/2022), no hay que cotejar la Lista Robinson y no rige la prohibición de numeración para llamadas comerciales. El agente de voz que atiende reservas, confirma horarios o resuelve dudas opera en terreno limpio, siempre con el disclosure del art. 50 y el tratamiento de datos en regla.

El frío B2C —llamar a desconocidos para vender— es inviable. No es una opinión de riesgo: es lo que dicen las normas vigentes.

La Circular AEPD 1/2023, que desarrolla el art. 66.1.b de la LGT, establece un régimen de opt-in. El interés legítimo solo cabe para clientes activos o recientes (con interacción en los últimos 12 meses), sobre productos «análogos», con opt-out fácil y cotejo de listas.
El cotejo con la Lista Robinson y la Lista de Stop Publicidad es obligatorio como máximo 24 horas antes de la campaña. No hacerlo ya se ha sancionado: en el caso PS/00084/2024 la AEPD impuso 5.000 € a una empresa por llamar a un usuario inscrito en la Lista Robinson —la primera multa de este tipo en España.
La Orden TDF/149/2025 (BOE-A-2025-2870) prohíbe desde el 7 de junio de 2025 las llamadas comerciales y de atención al cliente desde numeración móvil. La numeración válida para saliente es la geográfica y los rangos 800/900; el prefijo 400 para comerciales llega en octubre de 2026. Las sanciones alcanzan los 2.000.000 € (art. 107.19 LGT, infracción grave).
El consentimiento caduca a los 24 meses si no se renueva (art. 62.1 TRLGDCU), y los contratos cerrados mediante una llamada no solicitada son nulos. El horario permitido de llamadas comerciales es de 09:00 a 21:00 en días laborables (art. 96 TRLGDCU).

La conclusión práctica es directa. El único saliente seguro es la confirmación de citas de clientes existentes, porque se apoya en la ejecución de un contrato (art. 6.1.b RGPD; en el ámbito sanitario, art. 9.2.h). El frío B2C lo descartamos: no lo hacemos. Un proveedor que te ofrezca campañas de llamadas en frío con IA te está vendiendo una sanción con cuenta atrás.

¿Qué dice la AEPD sobre IA agéntica y transcripción de voz?

La Agencia Española de Protección de Datos ha publicado en 2026 dos referencias que cualquier despliegue de voz con IA debe cumplir.

En su guía de IA agéntica (febrero de 2026), la AEPD advierte de que integrar un agente puede cambiar la naturaleza del tratamiento y exige por tanto un nuevo análisis de riesgos. Propone una «Regla de 2»: no combinar simultáneamente acceso a datos sensibles, acciones autónomas no controladas y ausencia de monitorización. Insiste además en la minimización de datos, la compartimentación de la memoria del agente y la participación del Delegado de Protección de Datos (DPO).

En su documento sobre transcripción de voz con IA (20 de abril de 2026), la AEPD concreta cuatro exigencias:

Consentimiento específico y registrado por grabación. No vale un disclaimer general ni casillas premarcadas.
Derechos de los interesados garantizados aunque en la grabación intervengan varias voces.
Documentar dónde se tratan los datos y qué subencargados intervienen, con atención especial a los LLM ubicados fuera del Espacio Económico Europeo.
Base jurídica documentada, DPIA en escenarios de alto riesgo, plazos de conservación por escrito y protocolo de brechas.

Traducido a tu día a día: el cumplimiento no es un PDF que se firma una vez. Es una arquitectura de tratamiento que hay que diseñar antes de la primera llamada.

¿La voz es un dato personal? ¿Y con qué base se puede grabar?

Sí. La AEPD y el Tribunal Supremo reconocen la voz como dato personal cuando identifica a la persona. Esto reparte responsabilidades con claridad: el proveedor del agente es encargado del tratamiento y el cliente —la clínica, el restaurante, la escuela— es el responsable. Entre ambos debe existir un encargo de tratamiento conforme al art. 28 del RGPD. Sin ese contrato, el tratamiento cojea desde el primer minuto.

Conviene deshacer un mito frecuente sobre biometría. La voz solo es categoría especial de datos (art. 9 RGPD) cuando se usa para identificación biométrica «uno-a-muchos». La grabación simple para control de calidad es un dato personal «normal»: necesita una base jurídica adecuada, pero no el consentimiento reforzado del art. 9. Distinguir ambos casos evita tanto el exceso de fricción innecesaria como el déficit de protección donde sí hace falta.

Para la confirmación de citas de clientes existentes, la base jurídica natural es la ejecución del contrato (art. 6.1.b), y en el sector salud el art. 9.2.h. Para la grabación, la base se documenta y el consentimiento se recoge por grabación, tal y como exige la AEPD. Todo esto cabe en un flujo de consentimiento bien diseñado, no en una nota a pie de página.

¿Qué incluye un pack de cumplimiento serio?

El cumplimiento no es lo que firmas al final; es lo que el sistema hace en cada llamada. Nuestro pack —parte vendible de la oferta, no un anexo— incluye:

Guion de disclosure determinista (ES/EN/RU) que pronuncia la línea de apertura en cada llamada, sin depender de que el modelo «recuerde» decirlo.
Encargo de tratamiento (art. 28 RGPD) entre responsable y encargado.
Alojamiento en la UE (Fráncfort), para acotar la transferencia internacional de datos.
Flujo de consentimiento de grabación específico y registrado por llamada, sin casillas premarcadas.
Política de retención con plazos por escrito (30/60/90 días).
DPIA cuando se superan las 1.000 llamadas/mes o se tratan datos de salud o de menores.
Fallback humano obligatorio: la persona siempre puede pasar a un humano.

Cada elemento responde a una exigencia concreta que ya has visto en este artículo. No es burocracia defensiva: es lo que te permite enseñar a un inspector exactamente qué pasa con cada voz que entra en el sistema.

¿Por qué el disclosure por ingeniería te protege y la cláusula no?

Aquí está el filtro que separa a un proveedor serio del resto. El artículo 50 te obliga a informar en cada llamada. La pregunta no es si tu contrato lo menciona, sino cómo se garantiza que ocurre las 18.000 veces al mes que suena el teléfono.

Hay dos formas de «cumplir»:

Por cláusula contractual. El contrato dice que el agente avisará de que es una IA. Si el modelo, por la razón que sea, omite la frase en una de cada cien llamadas, el papel no te protege ante la AESIA: la infracción ya ha ocurrido, llamada a llamada.
Por ingeniería. La línea de apertura es determinista: el sistema la reproduce siempre, al inicio, antes de cualquier otra interacción, porque está cableada en el flujo y no delegada al criterio del modelo. El cumplimiento deja de ser una promesa y pasa a ser una propiedad del sistema.

Esta es exactamente la lógica con la que operamos. Lo demostramos a escala real con Pachamama (Londres), donde el agente gestiona alrededor de 18.000 llamadas al mes: a ese volumen, depender de que el modelo «se acuerde» de avisar no es una opción. El disclosure tiene que estar garantizado por diseño.

Si quieres entender cómo encaja esta arquitectura de extremo a extremo —del primer «hola» a la tarjeta estructurada que llega a tu CRM—, lo desarrollamos en la guía cornerstone: Cómo funciona un agente de voz con IA.

El cumplimiento, bien planteado, no es el freno de tu proyecto de voz con IA. Es tu ventaja competitiva: te deja operar el canal entrante con tranquilidad, hacer la confirmación de citas que sí está permitida y presentarte ante clientes y supervisores con la documentación en la mano mientras otros improvisan.

Tu siguiente paso

¿Tu proveedor te entrega el disclosure del AI Act por ingeniería o como una cláusula? Pide una llamada demo y compruébalo tú mismo: llámanos al +34 [TODO: verificar fuente: número en vivo +34] y deja que un agente de voz con disclosure determinista te atienda en directo.

Cuando rellenes la solicitud, espera la llamada de tu agente IA en los próximos 3 minutos. Es la mejor forma de ver, en una sola conversación, qué significa que el cumplimiento esté cableado en el sistema y no escondido en un anexo.

EU AI Act y agentes de voz en España: guía 2026