Inteligencia Artificial · Cumplimiento normativo · Derecho digital

La Ley de IA ya sanciona. ¿Sabe tu empresa qué riesgo tiene?

Muchas empresas llevan meses hablando de inteligencia artificial sin preguntarse lo más importante: si el uso que hacen de ella ya es ilegal. El Reglamento Europeo de Inteligencia Artificial entró en vigor en agosto de 2024 y sus obligaciones más críticas llevan activas desde principios de 2025. Las sanciones son reales, ya tienen cifras y aplican también a pymes.

Tiempo de lectura: 8 minutos

Respuesta rápida: El AI Act sanciona con hasta 35 millones de euros o el 7 % de la facturación global a las empresas que usen IA prohibida. Para incumplimientos en sistemas de alto riesgo, la multa llega a 15 millones o el 3 %. No hace falta ser una gran corporación para estar en el punto de mira.

Resumen ejecutivo

  • El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo.
  • Las prácticas prohibidas están vetadas desde febrero de 2025.
  • Los requisitos para IA de alto riesgo son exigibles desde agosto de 2026.
  • Las multas más graves duplican las del RGPD.
  • Las pymes tienen módulos de cumplimiento adaptados, pero no están exentas.
  • España aún no tiene autoridad supervisora definitiva designada, pero la AEPD actúa como referente en IA y protección de datos.

Las cifras exactas que toda empresa debe conocer

El reglamento establece tres tramos de sanción:

Infracción Multa máxima
Uso de IA prohibida 35 M€ o 7 % de la facturación global.
Reconocimiento biométrico masivo, manipulación subliminal o puntuación social Incluido dentro del tramo más grave: hasta 35 M€ o 7 % de la facturación global.
Incumplimiento de requisitos en IA de alto riesgo 15 M€ o 3 % de la facturación global.
Información incorrecta o incompleta a autoridades 7,5 M€ o 1,5 % de la facturación global.

Para pymes y startups se aplican los importes más bajos entre la cifra fija y el porcentaje. Proporcionalidad no significa impunidad.

¿Qué está ya en vigor hoy?

Muchas empresas creen que el AI Act es «cosa del futuro». No lo es.

Desde febrero de 2025 están prohibidas prácticas como:

  • Sistemas de puntuación social de ciudadanos.
  • Manipulación subliminal o explotación de vulnerabilidades psicológicas.
  • Reconocimiento de emociones en entornos laborales y educativos, con excepciones muy limitadas.
  • Scraping masivo de imágenes para crear bases de datos faciales.

Desde agosto de 2025 aplican las normas sobre modelos de IA de propósito general, conocidos como GPAI, y las obligaciones de gobernanza para las empresas que los despliegan.

Desde agosto de 2026 entran en vigor los requisitos completos para sistemas de IA de alto riesgo: recursos humanos, crédito, selección de personal, atención sanitaria e infraestructuras críticas.

¿Tu empresa usa IA de alto riesgo sin saberlo?

El reglamento considera IA de alto riesgo, entre otros, los sistemas usados para:

Selección y evaluación de candidatos

Si tienes una herramienta que filtra CVs o puntúa entrevistas, entra en esta categoría.

Gestión de rendimiento laboral

Incluye sistemas de monitorización automatizada de empleados o evaluación de productividad mediante IA.

Crédito y scoring financiero

Afecta a sistemas que realizan evaluación automatizada de solvencia o apoyo a decisiones financieras.

Servicios esenciales

Educación, sanidad, prestaciones sociales, infraestructuras críticas o atención al cliente con impacto real sobre el usuario.

Los tres errores que más van a costar en 2026

  1. Asumir que el proveedor de software se encarga de todo. El AI Act distribuye responsabilidades entre proveedores y usuarios. Que tu herramienta venga de un tercero no te exime si decides su finalidad o adaptas su funcionamiento.
  2. No tener un inventario de sistemas de IA. Si no sabes qué IA usas, no puedes clasificarla. Y sin clasificación no hay cumplimiento posible.
  3. Ignorar los requisitos de transparencia. Cuando un sistema de IA toma o apoya decisiones que afectan a personas, hay obligación de informarles. Muchas empresas no lo hacen ni en sus chatbots básicos.

Solución Aicor

Cómo puede ayudar Aicor

Aicor combina capacidad técnica en inteligencia artificial con experiencia en derecho digital y protección de datos, lo que permite abordar el cumplimiento del AI Act de forma práctica y sin sobredimensionarlo.

El punto de partida habitual es un diagnóstico de uso de IA: qué sistemas tiene la empresa, cómo se clasifican según el reglamento y qué brechas de cumplimiento existen. A partir de ahí, el trabajo puede ir desde la documentación técnica hasta la revisión de contratos con proveedores o la formación interna.

Si la empresa quiere desarrollar sus propias soluciones, el equipo de inteligencia artificial integra el cumplimiento normativo desde el diseño. Para la intersección con el RGPD, el servicio de derecho digital y protección de datos cubre ambas normativas de forma coordinada.

+ Diagnóstico de uso de IA

+ Clasificación de sistemas según riesgo

+ Documentación técnica y contractual

+ Formación interna y cumplimiento RGPD

Habla con nuestro equipo

Preguntas frecuentes

¿El AI Act aplica a empresas fuera de la UE?

Sí. Si el sistema de IA afecta a personas en la Unión Europea, aplica independientemente de dónde esté la empresa.

¿Las pymes están exentas?

No. Tienen algunas flexibilidades en plazos y en el cálculo de multas, pero las obligaciones sustantivas aplican igual.

¿Qué diferencia hay entre proveedor y usuario en el AI Act?

El proveedor desarrolla o comercializa el sistema. El usuario lo despliega en su actividad. Ambos tienen obligaciones distintas y complementarias.

¿El chatbot de atención al cliente necesita adaptarse?

Depende de su finalidad. Los chatbots informativos básicos tienen obligaciones de transparencia mínimas. Si el chatbot toma decisiones con impacto real, las exigencias son mayores.

¿Existe sanción penal además de la administrativa?

El reglamento europeo establece sanciones administrativas. La responsabilidad penal depende de la legislación de cada Estado miembro.

Conclusión

El AI Act no es una amenaza futura: parte de él lleva activo más de un año. Lo que cambia en agosto de 2026 es que entran en vigor las obligaciones más complejas, y muchas empresas llegarán sin haber hecho el diagnóstico mínimo.

Cumplir no requiere parar la innovación. Requiere saber qué se tiene, clasificarlo y documentarlo.

¿Tu empresa ya tiene un inventario de sus sistemas de IA?

Si la respuesta es no —o no estás seguro—, es el primer paso. Desde Aicor hacemos ese diagnóstico inicial de forma rápida y práctica.

Escríbenos y lo vemos juntos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba