Incumplir la ley europea de IA puede costar hasta 35 millones: claves sobre el AI Act que entra en vigor en agosto

2026-03-16 - 06:13

El 2 de agosto de 2026 es una fecha que pocas empresas tienen en su calendario de cumplimiento normativo y que podría costarles hasta 35 millones de euros o el 7 % de su facturación mundial anual. Ese día entra en plena aplicación el Reglamento de Inteligencia Artificial de la Unión Europea, el AI Act, para los sistemas de IA de alto riesgo. El marco legal más ambicioso del mundo en materia de IA ya está en vigor. El AI Act (Reglamento UE 2024/1689) clasifica los sistemas de inteligencia artificial según el riesgo que generan. En el nivel más alto están los sistemas prohibidos: herramientas de manipulación subliminal, puntuación social ciudadana e identificación biométrica en tiempo real en espacios públicos con fines policiales, vetados desde febrero de 2025. Le siguen los sistemas de alto riesgo, que son los que afectan a derechos fundamentales, el acceso a servicios esenciales o la seguridad, como las herramientas de selección de personal, el scoring crediticio, el diagnóstico médico o los sistemas usados por la Administración Pública. En los niveles inferiores se sitúan los chatbots y herramientas generativas, sujetos principalmente a obligaciones de transparencia, y los sistemas de riesgo mínimo, sin obligaciones específicas. Obligaciones concretas para las empresas Para los sistemas de alto riesgo, las exigencias son sustanciales. Las empresas deben implementar un sistema de gestión de riesgos documentado y actualizado durante todo el ciclo de vida del sistema, garantizar la calidad y trazabilidad de los datos utilizados, mantener registros técnicos auditables y asegurar la supervisión humana efectiva. Además, estos sistemas deben superar un proceso de evaluación de conformidad antes de su despliegue, que en algunos casos requiere la intervención de un organismo notificado externo. Para los sistemas de riesgo limitado, la obligación principal es informar al usuario de que interactúa con IA e identificar los contenidos generados automáticamente. Las cifras del régimen sancionador El régimen sancionador del AI Act es comparable al del RGPD, pero con cuantías superiores en los supuestos más graves. Infringir las prohibiciones absolutas puede suponer multas de hasta 35 millones de euros o el 7 % del volumen de negocio mundial anual. Incumplir las obligaciones sobre sistemas de alto riesgo lleva aparejada una sanción máxima de 15 millones o el 3 % de la facturación. Facilitar información incorrecta a las autoridades supervisoras puede costar hasta 7,5 millones o el 1,5 %. Las pymes tienen cierta proporcionalidad reconocida en el texto, pero no inmunidad frente a incumplimientos graves. Las sanciones administrativas son solo una parte del problema. La nueva Directiva de Responsabilidad por IA facilita a los particulares reclamar daños causados por sistemas de inteligencia artificial e introduce una presunción de causalidad: si una empresa no puede demostrar que cumplió con el AI Act, se presume que el incumplimiento causó el daño sufrido por el afectado. Una empresa que despliega un sistema de selección de personal basado en IA sin haber realizado la evaluación de conformidad obligatoria parte en situación de desventaja procesal frente a cualquier reclamación por discriminación. A eso hay que añadir el daño reputacional. En un entorno donde los consumidores son cada vez más sensibles al uso ético de la tecnología, una resolución sancionadora pública puede generar consecuencias comerciales que superen con creces la multa. Cómo prepararse: pasos urgentes El primer paso es realizar un inventario de los sistemas de IA actualmente en uso o en desarrollo. Muchas organizaciones no tienen visibilidad completa de cuántos sistemas operan en su cadena de valor, especialmente los procedentes de proveedores externos integrados en software de gestión. Una vez identificados, hay que clasificarlos conforme al AI Act y revisar los contratos con los proveedores, ya que el reglamento exige que los desplegadores obtengan toda la documentación técnica necesaria para cumplir sus propias obligaciones. Para los sistemas de alto riesgo, el proceso de evaluación de conformidad puede tardar entre tres y doce meses. Conviene iniciarlo sin demora. El AI Act requiere además una gobernanza continua: vigilancia post-mercado, actualización de la documentación ante cambios en el sistema y revisión periódica del sistema de gestión de riesgos. El AI Act es un reglamento de aplicación directa, con fechas concretas y un aparato sancionador diseñado para disuadir. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) está en proceso de dotarse de capacidad inspectora. El momento de prepararse es ahora, mientras todavía hay margen para hacerlo ordenadamente y sin el coste adicional que siempre acompaña a la reactividad.