La Ley de IA de la UE no se basa en la buena voluntad. Respalda sus requisitos con algunas de las multas mas grandes de la historia regulatoria europea — mayores incluso que las del RGPD.

Si tu empresa provee o despliega sistemas de IA en la UE y no estas trabajando en el cumplimiento, esto es lo que te arriesgas.

Los tres niveles de sancion

El Articulo 99 de la Ley de IA establece una estructura de multas escalonada segun la gravedad de la infraccion:

Nivel 1: Practicas prohibidas — hasta 35 millones de euros o el 7% de la facturacion global

Las sanciones mas severas se aplican a las violaciones del Articulo 5, que prohibe ciertas practicas de IA por completo. Estas incluyen:

  • Puntuacion social por parte de autoridades publicas
  • Identificacion biometrica remota en tiempo real en espacios publicos para la aplicacion de la ley (con excepciones limitadas)
  • Tecnicas de manipulacion subliminal que causan dano
  • Explotacion de vulnerabilidades de grupos especificos (edad, discapacidad, situacion social o economica)
  • Recopilacion no dirigida de imagenes faciales de internet o CCTV para crear bases de datos de reconocimiento facial
  • Reconocimiento de emociones en lugares de trabajo e instituciones educativas
  • Categorizacion biometrica basada en atributos sensibles (raza, opiniones politicas, orientacion sexual)
  • Policia predictiva basada unicamente en perfilado

Estas prohibiciones estan en vigor desde el 2 de febrero de 2025. Si estas ejecutando alguno de estos sistemas en la UE hoy, ya estas en infraccion.

La multa es la cantidad mas alta entre: 35 millones de euros o el 7% de la facturacion anual mundial total de la empresa del ejercicio anterior. Para una empresa con 1.000 millones de euros de ingresos globales, eso supone hasta 70 millones de euros.

Nivel 2: Incumplimiento de los requisitos de la Ley de IA — hasta 15 millones de euros o el 3% de la facturacion global

Este nivel cubre la mayoria de las obligaciones que importan a proveedores e implementadores de IA:

  • No cumplir con los requisitos de sistemas de IA de alto riesgo (gestion de riesgos, gobernanza de datos, documentacion tecnica, transparencia, supervision humana, precision, robustez, ciberseguridad)
  • No completar la evaluacion de conformidad requerida antes de comercializar un sistema de alto riesgo
  • No registrar sistemas de IA de alto riesgo en la base de datos de la UE
  • No implementar un sistema de gestion de calidad
  • No cumplir con las obligaciones de transparencia para sistemas de riesgo limitado (chatbots, deepfakes, reconocimiento de emociones)
  • Incumplimiento de obligaciones para modelos de IA de proposito general (documentacion tecnica, cumplimiento de derechos de autor, transparencia)

Este es el nivel que afectara a mas empresas. Si tienes un sistema de IA de alto riesgo y no has producido la documentacion tecnica del Anexo IV, estas expuesto a multas en esta categoria.

Nivel 3: Informacion incorrecta — hasta 7,5 millones de euros o el 1% de la facturacion global

Suministrar informacion incorrecta, incompleta o enganosa a organismos notificados o autoridades nacionales competentes — ya sea en respuesta a una solicitud o como parte de una evaluacion de conformidad — activa este nivel.

Esto no se trata solo de mentir. Presentar una evaluacion de conformidad con lagunas que deberias haber detectado, o proporcionar documentacion tecnica incompleta, podria caer bajo esta disposicion.

La excepcion para pymes

La Ley de IA incluye una proteccion significativa para pequenas y medianas empresas, incluidas las startups.

Para grandes empresas, la multa es la cantidad mas alta entre el importe fijo (35M€/15M€/7,5M€) y el porcentaje de facturacion (7%/3%/1%). Para pymes y startups, es la cantidad mas baja.

Esto significa que una startup con 2 millones de euros de ingresos anuales se enfrenta a una multa maxima de Nivel 1 de 140.000 euros (7% de facturacion) en lugar de 35 millones de euros. Significativa, pero no destructiva de la misma manera.

La Ley tambien exige que las sanciones sean "efectivas, proporcionadas y disuasorias" — lo que significa que los reguladores deben considerar el tamano y los recursos de la empresa al establecer las multas.

Quien aplica las multas

La aplicacion se divide entre autoridades a nivel de la UE y nacionales:

  • La Oficina Europea de IA (operativa desde agosto de 2025) tiene jurisdiccion exclusiva sobre las obligaciones de modelos de IA de proposito general. Puede investigar y multar directamente a los proveedores de GPAI.
  • Las autoridades nacionales de vigilancia del mercado se encargan de la aplicacion para todas las demas obligaciones de sistemas de IA. Cada estado miembro debe designar al menos una autoridad.
  • Las autoridades nacionales de proteccion de datos tambien pueden intervenir cuando los sistemas de IA procesan datos personales, creando solapamiento con la aplicacion del RGPD.

A marzo de 2026, la mayoria de los estados miembros han designado o estan en proceso de designar sus autoridades nacionales competentes. Espana ha designado a la Agencia Espanola de Supervision de la Inteligencia Artificial (AESIA) como su autoridad nacional — una de las primeras agencias de supervision de IA dedicadas en Europa.

Que desencadena la aplicacion

Es poco probable que los reguladores persigan a todas las empresas desde el primer dia. Basandose en como se desarrollo la aplicacion del RGPD, cabe esperar este patron:

  1. Investigaciones por denuncias. Un competidor, cliente o persona afectada presenta una denuncia sobre tu sistema de IA. El regulador investiga.

  2. Inspecciones sectoriales. Las autoridades realizan verificaciones sectoriales en dominios de alto riesgo — herramientas de seleccion de personal, evaluacion crediticia, sistemas biometricos. Si tu sistema esta en una de estas categorias, podrias ser auditado.

  3. Incidentes de alto perfil. Un sistema de IA causa dano (denegacion injusta de prestaciones, decisiones de contratacion discriminatorias, fallos de seguridad). El regulador examina si se cumplieron las obligaciones de compliance.

  4. Falta de registro. Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE antes de su comercializacion. La falta de registro es facil de detectar y facil de sancionar.

  5. Denunciantes. La Ley de IA protege explicitamente a los denunciantes que informan sobre infracciones (Articulo 87), creando un mecanismo para que personas internas senalen el incumplimiento.

La Oficina Europea de IA ya ha comenzado revisiones informales de cumplimiento de la documentacion tecnica de los principales proveedores de GPAI. Los poderes formales de aplicacion para sistemas de IA de alto riesgo se activan el 2 de agosto de 2026.

Mas alla de las multas: otras consecuencias

Las sanciones economicas no son el unico riesgo. El incumplimiento tambien puede llevar a:

  • Ordenes de retirada del mercado. Las autoridades pueden exigir que retires tu sistema de IA del mercado de la UE por completo.
  • Retirada de productos. Para sistemas de IA integrados en productos (dispositivos medicos, vehiculos, maquinaria), los reguladores pueden ordenar retiradas.
  • Publicacion de nombres. La Ley de IA permite a las autoridades publicar detalles del incumplimiento, creando dano reputacional.
  • Perdida de contratos. Las empresas de la UE estan anadiendo cada vez mas el cumplimiento de la Ley de IA a los requisitos de contratacion. Si no puedes demostrar cumplimiento, pierdes el contrato.
  • Implicaciones para seguros. A medida que se desarrolla el marco de responsabilidad de la IA, el incumplimiento de la Ley de IA puede afectar tu capacidad de obtener o mantener cobertura de seguro.

Comparacion con otras regulaciones

Regulacion Multa maxima Porcentaje de facturacion
Ley de IA de la UE (practicas prohibidas) 35 millones € 7%
Ley de IA de la UE (otras infracciones) 15 millones € 3%
RGPD 20 millones € 4%
Ley de Servicios Digitales N/A 6%
Ley de Mercados Digitales N/A 10%

Las multas de Nivel 1 de la Ley de IA superan el maximo del RGPD, convirtiendola en el segundo regimen sancionador mas severo de la regulacion digital europea, detras de la Ley de Mercados Digitales.

El patron de aplicacion del RGPD

Cuando el RGPD entro en vigor en mayo de 2018, hubo un periodo de incertidumbre similar. ¿Realmente sancionarian los reguladores? La respuesta llego gradualmente y despues de golpe:

  • 2018-2019: Principalmente advertencias y multas pequenas mientras las empresas se apresuraban a cumplir
  • 2020: Francia multo a Google con 100 millones de euros. Italia multo a Clearview AI con 20 millones de euros.
  • 2021-2023: Amazon recibio una multa de 746 millones de euros (Luxemburgo). Meta fue multada con 1.200 millones de euros (Irlanda). Miles de millones en multas totales en toda Europa.

La Ley de IA probablemente seguira una curva similar. El periodo inicial despues de agosto de 2026 vera orientacion regulatoria y acciones menores. Pero una vez que la maquinaria este funcionando, las multas seran sustanciales — y los maximos de la Ley de IA son superiores a los del RGPD.

Que hacer ahora

El plazo del 2 de agosto de 2026 esta a menos de cinco meses. Si no has empezado el trabajo de cumplimiento:

  1. Clasifica tus sistemas de IA. Determina si caen en la categoria de alto riesgo. Si es asi, tienes obligaciones significativas de documentacion y cumplimiento. El triaje de riesgo gratuito de Annexa puede clasificar tu sistema en minutos.

  2. Verifica las practicas prohibidas. Si alguno de tus sistemas de IA cae bajo las prohibiciones del Articulo 5, deja de usarlo inmediatamente. Esta obligacion ya es ejecutable.

  3. Empieza la documentacion tecnica. La documentacion del Anexo IV es extensa y no se puede producir de la noche a la manana. Empieza ahora.

  4. Registra los sistemas de alto riesgo. La base de datos de la UE para sistemas de IA de alto riesgo requerira registro antes de la comercializacion.

  5. Establece un sistema de gestion de calidad. El Articulo 17 exige un SGC documentado que cubra gestion de riesgos, gobernanza de datos, monitorizacion post-comercializacion e informes de incidentes.

  6. Presupuesta para el cumplimiento. Ya uses herramientas, consultores o recursos internos, el cumplimiento requiere inversion. El coste del cumplimiento es una fraccion del coste de una multa.

Las empresas que mejor les ira son las que empiecen ahora, documenten sus esfuerzos de buena fe e integren el cumplimiento en su proceso de desarrollo — no las que apuesten a que los reguladores seran lentos.