Sanciones del AI Act: multas de hasta 35 millones de euros

Un régimen sancionador sin precedentes

El Reglamento Europeo sobre Inteligencia Artificial (Reglamento 2024/1689) instaura uno de los sistemas sancionadores más severos del derecho digital europeo. Con multas de hasta 35 millones de euros o el 7 % de la facturación mundial, el AI Act envía un mensaje claro: el incumplimiento en materia de IA no es un riesgo abstracto — es un riesgo financiero de primer orden.

Artículo 99 — Règlement (UE) 2024/1689

Los Estados miembros establecerán el régimen de sanciones y otras medidas de ejecución, que también podrán incluir apercibimientos y medidas no pecuniarias, aplicables a las infracciones del presente Reglamento por parte de los operadores, y adoptarán todas las medidas necesarias para garantizar que se apliquen correcta y efectivamente […].

Los tres niveles de multas

El Artículo 99 del reglamento define tres niveles de sanciones, según la gravedad de la infracción.

Nivel 1 — Prácticas prohibidas: 35 millones de euros o 7 % de la facturación mundial

El nivel sancionador más elevado se aplica a las infracciones del Artículo 5 (prácticas prohibidas):

• Scoring social
• Manipulación subliminal o técnicas engañosas
• Explotación de vulnerabilidades de las personas
• Identificación biométrica en tiempo real en espacios públicos (salvo excepciones permitidas)
• Reconocimiento de emociones en el trabajo y en la educación
• Creación de bases de datos faciales mediante scraping

La multa puede alcanzar 35 millones de euros o el 7 % de la facturación anual mundial, prevaleciendo el importe más elevado.

Para una empresa con 500 millones de euros de facturación, esto supone potencialmente 35 millones de euros de multa. Para un grupo mundial con 10.000 millones de euros de facturación, la multa teórica asciende a 700 millones de euros.

Nivel 2 — Incumplimiento de los sistemas de alto riesgo: 15 millones de euros o 3 % de la facturación mundial

El segundo nivel sanciona las infracciones de las obligaciones relativas a los sistemas de IA de alto riesgo y a los modelos de IA de uso general:

• Incumplimiento de los requisitos de gestión de riesgos (Artículo 9)
• Deficiencia en la gobernanza de datos (Artículo 10)
• Ausencia de documentación técnica (Artículo 11)
• Falta de transparencia hacia los usuarios (Artículo 13)
• Insuficiencia de la supervisión humana (Artículo 14)
• Incumplimiento de los modelos de IA de uso general (Artículos 51 a 56)
• Incumplimiento de la obligación de competencia en IA (Artículo 4)

Este último punto es crucial: la falta de formación de los colaboradores en IA está incluida en este nivel. Una empresa que no haya tomado ninguna medida para garantizar un nivel suficiente de competencia en IA de su personal se expone a multas de hasta 15 millones de euros o el 3 % de la facturación mundial.

Nivel 3 — Información incorrecta: 7,5 millones de euros o 1,5 % de la facturación mundial

El tercer nivel se aplica cuando una empresa proporciona información inexacta, incompleta o engañosa a las autoridades competentes o a los organismos notificados:

• Declaraciones de conformidad falsas
• Documentos técnicos falsificados o incompletos
• Respuestas inexactas a solicitudes de información de las autoridades
• Ocultación de incidentes o disfunciones

La multa puede alcanzar 7,5 millones de euros o el 1,5 % de la facturación anual mundial.

Comparación con el RGPD: multas más severas

Para medir la severidad del régimen del AI Act, la comparación con el RGPD es reveladora:

Criterio	RGPD	AI Act
Multa máxima (importe fijo)	20 millones de euros	35 millones de euros
Multa máxima (% de facturación)	4 % de la facturación mundial	7 % de la facturación mundial
Número de niveles	2	3
En vigor desde	Mayo 2018	Progresivo (2025-2027)
Autoridad de control	Autoridades de protección de datos	Autoridades nacionales + Oficina Europea de IA

El legislador europeo fijó deliberadamente las sanciones del AI Act por encima de las del RGPD. El mensaje es claro: los riesgos asociados a una IA mal gestionada se consideran al menos tan graves como los relativos a la protección de datos — y las empresas serán sancionadas en consecuencia.

Como referencia, las sanciones del RGPD no han sido meramente teóricas. En 2023, Meta recibió una multa de 1.200 millones de euros de la autoridad irlandesa. Amazon fue multada con 746 millones de euros en Luxemburgo en 2021. La AEPD en España también ha impuesto sanciones significativas en materia de protección de datos. Las autoridades europeas han demostrado que no dudan en aplicar las sanciones máximas a las grandes corporaciones.

Regímenes especiales para pymes

El reglamento prevé un tratamiento adaptado para las pequeñas empresas. El Artículo 99(6) precisa que las multas deben ser “efectivas, proporcionadas y disuasorias”. Para las pymes y startups, las autoridades deben tener en cuenta la viabilidad económica de la empresa.

Concretamente:

• Los porcentajes sobre la facturación se aplican de la misma manera, pero los importes fijos (35 millones, 15 millones, 7,5 millones de euros) constituyen un techo absoluto
• Las autoridades deben considerar el tamaño de la empresa, la gravedad de la infracción, su carácter intencional o no, y las medidas tomadas para mitigar los daños
• Los sandbox regulatorios (Artículo 57) ofrecen un marco en el que las pymes pueden probar sus sistemas de IA en condiciones reales con acompañamiento de las autoridades

¿Quién controla y quién sanciona?

Las autoridades nacionales competentes

Cada Estado miembro debe designar una o varias autoridades nacionales competentes encargadas de la vigilancia del mercado y de la aplicación del reglamento. En España, esta responsabilidad se reparte entre varios actores:

• La AEPD (Agencia Española de Protección de Datos) — ya competente en protección de datos, con experiencia natural en sistemas de IA que tratan datos personales
• La Secretaría de Estado de Digitalización e Inteligencia Artificial — para la coordinación de la estrategia nacional de IA y la supervisión general
• Los reguladores sectoriales existentes (Banco de España para finanzas, autoridades sanitarias para salud) — para los sistemas de IA de alto riesgo en sus respectivos ámbitos
• Una posible autoridad dedicada a la IA — para la supervisión específica de los modelos de IA de uso general

La Oficina Europea de IA (AI Office)

Creada en el seno de la Comisión Europea, la Oficina Europea de IA desempeña un papel de coordinación y dispone de competencias directas sobre los modelos de IA de uso general. Puede:

• Evaluar la conformidad de los modelos de IA de uso general
• Exigir medidas correctivas a los proveedores
• Imponer multas por infracciones relativas a los modelos de uso general

📄AI Act Artículo 4: la obligación de formación en IA explicada→

La importancia de poder demostrar el cumplimiento

Más allá de las multas, el mecanismo del AI Act se basa en un principio fundamental: la carga de la prueba recae en la empresa. No corresponde a la autoridad demostrar que usted no cumple — le corresponde a usted demostrar que sí.

Qué significa “demostrar el cumplimiento” en la práctica

1. Documentación técnica: para cada sistema de IA de alto riesgo, un expediente completo describiendo el sistema, sus finalidades, su rendimiento, sus limitaciones y los datos de entrenamiento utilizados
2. Registros de conformidad: historial de evaluaciones de conformidad, auditorías internas y actualizaciones
3. Logs de uso: registros automatizados que rastrean las decisiones tomadas por los sistemas de IA (conservación mínima de seis meses)
4. Pruebas de formación: certificados, resultados de evaluaciones, tasas de participación — demostrando que el personal alcanza el nivel de competencia exigido por el Artículo 4
5. Procedimientos de notificación: mecanismos documentados que permiten a los usuarios notificar disfunciones o resultados problemáticos

Un score de competencia medible y trazable para cada colaborador constituye una prueba particularmente sólida para el Artículo 4. Del mismo modo, un historial completo de las formaciones realizadas, con fechas, contenidos y resultados, permite demostrar el cumplimiento de forma objetiva.

El factor agravante: la ausencia de medidas

En caso de inspección, la situación más desfavorable no es tener un programa de cumplimiento imperfecto — es no tener ninguno. Las autoridades tendrán en cuenta los esfuerzos realizados por la empresa. Haber iniciado un enfoque estructurado, aunque incompleto, siempre es preferible a la inacción total.

📄Auditoría de IA en la empresa: guía práctica paso a paso→

El calendario de riesgos

Las sanciones se aplican progresivamente, en consonancia con la entrada en vigor de las diferentes obligaciones:

Fecha	Obligaciones en vigor	Sanciones aplicables
1 de febrero de 2025	Prácticas prohibidas (Artículo 5)	Hasta 35 millones / 7 %
2 de agosto de 2025	Competencia en IA (Artículo 4) + Modelos de uso general	Hasta 15 millones / 3 %
2 de agosto de 2026	Sistemas de IA de alto riesgo	Hasta 15 millones / 3 %
2 de agosto de 2027	Sistemas de alto riesgo integrados en productos regulados	Hasta 15 millones / 3 %

Los dos primeros plazos ya han vencido. Las empresas que aún no han tomado medidas sobre prácticas prohibidas y competencia en IA se encuentran ya en zona de riesgo.

Más allá de las multas: los riesgos indirectos

Las sanciones financieras son solo la parte visible. El incumplimiento del AI Act expone a otros riesgos igualmente importantes:

• Riesgo reputacional: ser identificado públicamente como no conforme con la regulación de IA envía una señal desastrosa a clientes, socios e inversores
• Riesgo comercial: las empresas que cumplen exigirán a sus proveedores y socios que también lo hagan — un efecto cascada comparable al del RGPD
• Riesgo operacional: las autoridades pueden ordenar la retirada del mercado de un sistema de IA no conforme o prohibir su uso — paralizando potencialmente procesos de negocio críticos
• Riesgo de litigio: las personas afectadas por un sistema de IA no conforme pueden interponer acciones judiciales, con los costes jurídicos y de indemnización asociados