El 10 de mayo de 2026, el Comité Europeo de Protección de Datos（EDPB）puso oficialmente en vigor las directrices complementarias del GDPR, exigiendo que todos los sitios web independientes B2B orientados al mercado de la UE（incluidos los sitios web oficiales de proveedores chinos）indiquen claramente en la política de privacidad o en una página independiente de declaración de IA los países de origen geográfico y el período de tiempo de recopilación de los datos utilizados para entrenar contenido de IA generativa. Esta disposición afecta directamente al cumplimiento normativo de los sitios web oficiales de las empresas chinas de comercio exterior y, en particular, constituye un punto sustancial de cumplimiento para las empresas exportadoras que dependen de sitios web independientes en línea para desarrollar negocios B2B, lo que merece una alta atención por parte de los sectores relacionados con el comercio transfronterizo, el marketing digital, los servicios SaaS y el cumplimiento normativo de la cadena de suministro.

Resumen del evento

El Comité Europeo de Protección de Datos（EDPB）implementó oficialmente el 10 de mayo de 2026 las directrices complementarias del GDPR, incorporando expresamente al marco regulatorio la obligación de divulgar el origen geográfico de los datos de entrenamiento del contenido de IA generativa. El alcance de aplicación abarca todos los sitios web B2B que ofrecen bienes o servicios a empresas dentro de la UE, incluidos los sitios web independientes operados por entidades registradas en China. Los requisitos concretos son los siguientes: en la página de ‘Política de privacidad’ o en una página independiente de declaración de IA, se debe indicar de forma clara y legible el país de origen de los datos de entrenamiento en los que se basa el contenido generado por IA（como Estados Unidos, India, China, etc.）y el período de tiempo correspondiente de recopilación de datos（por ejemplo, ‘enero de 2021 a junio de 2024’）. Este requisito no tiene efecto retroactivo, pero las nuevas funciones de IA que se lancen o actualicen desde la fecha de entrada en vigor deberán cumplirlo de inmediato.

Qué subsectores se verán afectados

Empresas de comercio directo

Las empresas chinas exportadoras B2B（como equipos industriales, componentes electrónicos y fabricantes de maquinaria personalizada）suelen llegar a compradores de la UE a través de sitios web independientes propios. Si sus sitios web oficiales utilizan IA para generar descripciones de productos, resúmenes de parámetros técnicos, respuestas de atención al cliente multilingüe y otros contenidos, y no divulgan el origen geográfico de los datos de entrenamiento, podrían ser consideradas por las autoridades regulatorias de Estados miembros como Alemania y Francia como entidades con riesgo de cumplimiento, afectando así la diligencia debida de los compradores y sus procesos de aprobación de pedidos.

Empresas de procesamiento y fabricación

Para las empresas manufactureras que producen para marcas extranjeras（OEM/ODM）, si su sitio web oficial muestra guiones de videos de líneas de producción generados con asistencia de IA, resúmenes de informes ESG, explicaciones de certificaciones de cumplimiento y otros contenidos, también estarán dentro del alcance de aplicación. El impacto se refleja principalmente en las auditorías de cumplimiento de los compradores: algunos grandes compradores de la UE ya han incorporado los requisitos de divulgación de IA del GDPR en los anexos de su «Código de conducta para proveedores», y el incumplimiento podría activar alertas de evaluación del cumplimiento contractual.

Empresas de servicios de cadena de suministro

Los proveedores externos que ofrecen logística transfronteriza, certificación de cumplimiento y servicios de creación de sitios web multilingües tienen en su mayoría como clientes a pequeñas y medianas empresas de comercio exterior. Esta disposición eleva indirectamente sus estándares de entrega de servicios: por ejemplo, los proveedores de creación de sitios web deben verificar si la información sobre el origen de los datos de entrenamiento de la IA de sus clientes es rastreable; las consultoras de cumplimiento deben incorporar el campo de origen geográfico en sus plantillas de autoevaluación del GDPR; y los proveedores de traducción que utilicen posedición asistida por IA（PEMT）también deberán aclarar la ubicación de procedencia de los datos de entrenamiento del modelo subyacente.

En qué deben centrarse las empresas o profesionales relacionados y cómo responder por ahora

Seguir los ejemplos oficiales y las preguntas frecuentes（FAQ）que publique posteriormente el EDPB

Las directrices del EDPB actualmente no aclaran los criterios para determinar el “origen geográfico de los datos de entrenamiento”（por ejemplo: el lugar de registro del desarrollador del modelo, la ubicación del equipo de etiquetado de datos, el país donde se encuentra el servidor de rastreo de datos originales, etc.）. Las empresas deben seguir de forma continua la guía práctica que el sitio web oficial del EDPB publique a partir del segundo trimestre de 2026, para evitar completar información por cuenta propia basándose en interpretaciones no autorizadas.

Distinguir los tipos de funciones de IA del sitio web oficial y revisar primero los módulos de contenido con alta exposición

No es necesario rectificar de manera uniforme todas las aplicaciones de IA. Actualmente, merece más atención aquello con lo que los usuarios interactúan con alta frecuencia y que tiene influencia en la toma de decisiones comerciales, por ejemplo: textos de recomendación de productos generados por IA en la página de inicio, tablas comparativas técnicas generadas por IA en páginas de producto y bibliotecas de respuestas en tiempo real impulsadas por IA en páginas de consulta. Las herramientas de IA utilizadas internamente en el backend（como modelos de predicción de inventario）no están incluidas en este alcance de divulgación.

Revisar las cláusulas de soberanía de datos en los acuerdos actuales de servicios de IA

Si una empresa adquiere servicios SaaS de IA de terceros（como herramientas de generación de textos o síntesis de imágenes）, deberá revisar las cláusulas contractuales relativas al origen de los datos de entrenamiento y solicitar una explicación por escrito al proveedor. Algunos proveedores extranjeros de servicios de IA aún no divulgan de forma proactiva la distribución geográfica de los datos de entrenamiento de sus modelos, por lo que las empresas deben incluirlo como una de las condiciones previas para la admisión de proveedores desde la perspectiva de cumplimiento.

No apresurarse a modificar todo el texto de la política de privacidad; primero establecer registros verificables de trazabilidad de datos

Desde una perspectiva analítica, el enfoque regulatorio está en “si se puede demostrar que la información declarada es verdadera y verificable”, y no simplemente en si la página contiene un campo. En la actualidad, resulta más adecuado que las empresas lo entiendan así: iniciar un inventario interno del uso de contenido de IA, recopilar las herramientas de IA utilizadas por cada módulo, los números de versión, los nombres de los proveedores y la documentación disponible sobre las regiones de origen de los datos de entrenamiento, y formar un archivo básico de trazabilidad para respaldar futuras actualizaciones de páginas.

Opinión editorial / Observación del sector

Observably, esta disposición no es una modificación del texto legal del GDPR, sino una interpretación ampliada por parte del EDPB del “principio de transparencia” basado en los artículos 5、13、14 vigentes, y constituye una medida de perfeccionamiento a nivel de ejecución regulatoria. Se asemeja más a una señal estructural: indica que la UE está extendiendo gradualmente la gobernanza de la IA desde la fase de “responsabilidad algorítmica” hacia la fase de “transparencia de la cadena de suministro de datos”. Actualmente aún no han aparecido casos sancionadores dirigidos específicamente a esta disposición, pero Baviera en Alemania y la Comisión Nacional de Informática y Libertades de Francia（CNIL）ya han incluido por separado el “cumplimiento de divulgación de IA en sitios web B2B” en sus listas prioritarias de aplicación de la ley para 2026. Lo que el sector debe seguir observando es si las autoridades regulatorias de los Estados miembros vincularán esta divulgación con la determinación de sistemas de alto riesgo bajo la «Ley de Inteligencia Artificial de la UE»（AI Act）, así como si los compradores la incorporarán como una nueva dimensión en la calificación ESG de proveedores.

Conclusión: esta disposición marca que el enfoque regulatorio de la UE sobre las aplicaciones de IA se está extendiendo del lado del usuario final（B2C）al lado de las transacciones comerciales（B2B）. Su significado sectorial no radica en una presión sancionadora inmediata, sino en incorporar formalmente los atributos geográficos de los datos a la infraestructura básica de cumplimiento del comercio digital transfronterizo. En la actualidad, conviene entenderlo más bien como un requisito rutinario que debe incorporarse a la lista anual de verificación de cumplimiento, y no como un incidente de crisis repentino. Las empresas deben avanzar en su preparación con los principios de “verificable, rastreable y por escenarios”, evitando reacciones excesivas, pero sin ignorar su tendencia institucional de largo plazo.

Descripción de las fuentes de información：
Fuente principal：«Guidelines 02/2026 on GDPR Transparency Obligations for Generative AI in B2B Contexts», publicado en el sitio web oficial del Comité Europeo de Protección de Datos（EDPB）, con fecha de entrada en vigor el 10 de mayo de 2026.
Aspectos que siguen bajo observación：si el EDPB publicará normas de aplicación vinculantes sobre la definición de “origen geográfico”; y si las autoridades regulatorias de Estados miembros como Alemania y Francia emitirán normas complementarias de aplicación o casos típicos de sanción.