Volver al blogArquitectura de Agentes IA

Sanciones y aplicación de la Ley de IA de la UE

GuruSup

La Ley de IA de la UE respalda sus requisitos con multas que rivalizan con las del RGPD. El máximo es 35 millones de euros o el 7% de la facturación anual mundial, lo que sea mayor. No es un error. Para una empresa con 500 millones de ingresos, el techo son 35 millones. Para una con 10.000 millones, son 700 millones.

Entender la estructura de sanciones importa porque determina cómo priorizas el trabajo de cumplimiento. No todas las infracciones cuestan lo mismo.

Tres niveles de multas

Nivel 1: Prácticas de IA prohibidas — hasta 35M o 7%

Las multas más severas se aplican al despliegue de sistemas de IA que la ley prohíbe directamente. Puntuación social, vigilancia biométrica en tiempo real no autorizada, manipulación subliminal y las demás prácticas prohibidas activan este nivel.

Este nivel entró en vigor el 2 de febrero de 2025. Si todavía ejecutas un sistema prohibido, ya estás expuesto. Consulta la lista completa de IA prohibida.

Nivel 2: Incumplimiento de alto riesgo — hasta 15M o 3%

Las infracciones de los requisitos para sistemas de alto riesgo caen aquí. Documentación ausente, gestión de riesgos inadecuada, sin evaluación de conformidad, supervisión humana insuficiente o incumplimiento de obligaciones de gobernanza de datos.

Esto cubre el grueso de los Artículos 6 a 51. Si tienes un sistema de alto riesgo y no has completado los pasos de nuestro checklist de cumplimiento, esta es tu exposición.

Nivel 3: Información incorrecta — hasta 7,5M o 1%

Proporcionar información incorrecta, incompleta o engañosa a las autoridades nacionales competentes u organismos notificados. Esto incluye declaraciones de conformidad falsas, datos de registro incorrectos y falta de cooperación con las investigaciones.

Cómo se calculan las multas

La regulación enumera los factores que las autoridades deben considerar al determinar la cantidad específica:

  • Naturaleza, gravedad y duración de la infracción.
  • Si la infracción fue intencionada o por negligencia.
  • Acciones tomadas para mitigar el daño a las personas afectadas.
  • El tamaño y cuota de mercado de la entidad infractora.
  • Infracciones anteriores del mismo operador.
  • Grado de cooperación con la autoridad.
  • Cómo la autoridad tuvo conocimiento de la infracción (autodeclarada vs descubierta).

Las pymes y startups reciben sanciones proporcionalmente ajustadas. La ley establece explícitamente que las multas para pequeñas empresas deben tener en cuenta su viabilidad económica. Pero "ajustadas" no significa "exentas."

Quién lo aplica

Autoridades nacionales competentes

Cada Estado miembro de la UE designa al menos una autoridad nacional para la vigilancia del mercado y la aplicación. Estos organismos tramitan quejas, realizan investigaciones e imponen multas dentro de su jurisdicción.

La Oficina Europea de IA

Establecida dentro de la Comisión Europea, la Oficina de IA tiene poder de aplicación directa sobre proveedores de modelos de IA de propósito general (piensa en modelos fundacionales como GPT-4.5 o Claude 4.6). Para estos modelos, la Oficina puede imponer multas de hasta 15 millones de euros o el 3% de la facturación global.

Autoridades nacionales de protección de datos

Cuando las infracciones de la Ley de IA se solapan con violaciones del RGPD, las autoridades de protección de datos pueden intervenir. Este riesgo de doble aplicación es real. Consulta nuestra comparación Ley de IA vs RGPD para los puntos de solapamiento.

Calendario de aplicación

Las sanciones se implementan por fases junto con el resto de la ley:

  • Febrero 2025: Multas por prácticas de IA prohibidas exigibles.
  • Agosto 2025: Comienza la aplicación sobre modelos de IA de propósito general por la Oficina de IA.
  • Agosto 2026: Aplicación completa de los requisitos de alto riesgo y todas las disposiciones restantes.
  • Agosto 2027: La aplicación se extiende a la IA de alto riesgo en productos del Anexo I.

Para el calendario completo, consulta nuestro cronograma de la Ley de IA.

Más allá de las multas: otras consecuencias

Las sanciones económicas no son la única herramienta de aplicación:

  • Retirada del mercado: Las autoridades pueden ordenar la retirada de sistemas de IA no conformes del mercado de la UE.
  • Publicación del nombre: Las acciones de aplicación pueden publicarse, generando daño reputacional.
  • Medidas cautelares: Los tribunales pueden prohibir despliegues específicos de IA mientras no haya cumplimiento.
  • Impacto contractual: Los clientes empresariales exigen cada vez más el cumplimiento de la Ley de IA en las compras. El incumplimiento te deja fuera de contratos.

Cómo minimizar la exposición

Empieza con la clasificación de riesgos para saber dónde están tus sistemas. Completa el checklist de cumplimiento para cada sistema de alto riesgo. Para la IA de atención al cliente, asegúrate de que las divulgaciones de transparencia estén implementadas.

Las organizaciones que documenten sus esfuerzos de cumplimiento en tiempo real estarán en la posición más fuerte si llega la aplicación. Los reguladores en todas las jurisdicciones ven con mejores ojos a las empresas que hicieron esfuerzos genuinos, aunque imperfectos, que a las que ignoraron la regulación por completo.

Explorar más

Comparativas IA 2026

ChatGPT vs Claude vs Gemini vs DeepSeek — precios, rendimiento y mejores usos

Ver el producto

Explora cómo nuestros agentes IA gestionan soporte, ventas y ops

Chatbot IA

Despliega chatbots inteligentes que resuelven consultas de forma autónoma

Artículos relacionados