Volver al blog
General12 de abril de 20267 min de lectura

Sanciones del EU AI Act: qué multas aplican realmente a las pymes españolas

Multas de hasta 35 millones de euros por incumplir la Ley de IA europea. Pero ¿qué sanciones afectan realmente a las pymes? Desglosamos el régimen sancionador.

35 millones de euros. 7% de la facturación global. Estos son los titulares que acompañan cada noticia sobre la Ley de Inteligencia Artificial europea. Y funcionan: generan alarma. Pero también generan confusión. Porque la inmensa mayoría de pymes españolas que usan IA no se van a acercar ni remotamente a esas cifras. El régimen sancionador del EU AI Act es escalonado, proporcional y tiene excepciones específicas para pequeñas y medianas empresas. Esto es lo que realmente necesitas saber.

Cómo funciona el sistema de sanciones

El EU AI Act establece tres niveles de multas según la gravedad de la infracción. Cada nivel tiene un tope fijo y otro proporcional a la facturación, y se aplica el mayor de los dos:

Nivel 1: Prácticas prohibidas de IA

  • Hasta 35 millones de euros o el 7% de la facturación anual global
  • Aplica cuando una empresa utiliza sistemas de IA expresamente prohibidos: puntuación social, manipulación subliminal, explotación de vulnerabilidades de grupos específicos o identificación biométrica en tiempo real en espacios públicos (con excepciones para seguridad).
  • Probabilidad para una pyme española: prácticamente nula. Ninguna herramienta comercial de IA diseñada para empresas cae en esta categoría.

Nivel 2: Incumplimiento de obligaciones para IA de alto riesgo

  • Hasta 15 millones de euros o el 3% de la facturación anual global
  • Aplica cuando un sistema clasificado como de alto riesgo no cumple los requisitos de transparencia, supervisión humana, gobernanza de datos, documentación técnica o ciberseguridad.
  • Probabilidad para una pyme española: baja. Solo aplica si usas IA para selección de personal automatizada, evaluación crediticia, diagnóstico clínico o aplicaciones similares del Anexo III. La mayoría de pymes no operan en estos ámbitos con IA.

Nivel 3: Información incorrecta o incompleta

  • Hasta 7,5 millones de euros o el 1,5% de la facturación anual global
  • Aplica cuando una empresa proporciona información incorrecta, incompleta o engañosa a las autoridades supervisoras. También cubre el incumplimiento de obligaciones de transparencia (como no informar a los usuarios de que interactúan con un chatbot de IA) y la falta de alfabetización en IA del personal.
  • Probabilidad para una pyme española: esta es la más relevante. Si usas un chatbot y no informas a los usuarios de que es IA, o si no puedes demostrar que tu equipo tiene formación básica en las herramientas de IA que usa, podrías enfrentarte a sanciones en este nivel.

La excepción para pymes y startups

Aquí está la parte que los titulares suelen omitir: el EU AI Act incluye una disposición específica para pequeñas y medianas empresas. Para pymes y startups, la sanción aplicable será siempre la menor entre el importe fijo y el porcentaje de facturación.

Esto significa que para una pyme con 2 millones de euros de facturación anual:

Nivel de infracciónTope fijoPorcentaje de facturaciónSe aplica
Prácticas prohibidas35M €7% = 140.000 €140.000 €
Alto riesgo15M €3% = 60.000 €60.000 €
Información incorrecta7,5M €1,5% = 30.000 €30.000 €

Las cifras siguen siendo relevantes, pero están muy lejos de los 35 millones que aparecen en los titulares. El reglamento reconoce explícitamente que una empresa de 20 empleados no puede asumir las mismas consecuencias que una multinacional tecnológica.

Quién impone las sanciones en España

En España, la autoridad competente es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña y operativa desde junio de 2024. La AESIA es la encargada de supervisar el cumplimiento del reglamento, investigar posibles infracciones y, en su caso, imponer sanciones.

Sin embargo, el enfoque actual de la AESIA está orientado más a la orientación y acompañamiento que a la sanción. Ha publicado 16 guías prácticas a través del sandbox regulatorio español y ha dejado claro que su prioridad es ayudar a las empresas a cumplir, no castigarlas por desconocimiento.

Esto no significa que no habrá sanciones. Significa que las empresas que demuestren buena fe y esfuerzo por cumplir tendrán mucho mejor posición que las que ignoren la normativa por completo.

Qué factores agravan o atenúan las sanciones

El reglamento establece criterios que las autoridades deben considerar al determinar el importe de una sanción:

Factores agravantes

  • Reincidencia: infracciones repetidas o continuadas.
  • Daño causado: si la infracción ha provocado perjuicios a personas o grupos.
  • Intencionalidad: si la empresa conocía la obligación y decidió no cumplirla.
  • Falta de cooperación: no colaborar con la autoridad supervisora durante una investigación.
  • Obtención de beneficio: si la infracción generó ganancias económicas a la empresa.

Factores atenuantes

  • Primera infracción: sin antecedentes previos.
  • Medidas correctivas: acciones tomadas para corregir la situación antes o durante la investigación.
  • Cooperación activa: colaboración plena con la autoridad supervisora.
  • Tamaño de la empresa: las pymes reciben un tratamiento proporcionado.
  • Buena fe: esfuerzo demostrable por cumplir con la normativa, aunque haya deficiencias.

En la práctica, una pyme que haya hecho un esfuerzo razonable por cumplir —inventariar sus herramientas de IA, formar a su equipo, documentar sus procesos— tendrá un perfil de riesgo muy diferente al de una empresa que simplemente ignoró la regulación.

Los riesgos que no aparecen en el reglamento

Más allá de las multas formales, hay consecuencias prácticas del incumplimiento que pueden ser igual de costosas:

  • Pérdida de contratos: grandes empresas y administraciones públicas van a empezar a exigir cumplimiento del EU AI Act a sus proveedores. Si no puedes demostrar que cumples, pierdes oportunidades de negocio.
  • Daño reputacional: un incidente relacionado con el uso irresponsable de IA puede generar más daño a la marca que cualquier multa.
  • Responsabilidad civil: si una decisión basada en IA causa perjuicio a una persona, la empresa puede enfrentarse a reclamaciones por daños, independientemente de las sanciones administrativas.
  • Exclusión de licitaciones públicas: la administración española ya está incorporando criterios de cumplimiento normativo en IA en sus procesos de contratación.

Cinco pasos para minimizar tu riesgo sancionador

1. Clasifica tus herramientas por nivel de riesgo

La mayoría de aplicaciones de IA que usa una pyme (chatbots, asistentes de escritura, análisis de datos) son de riesgo mínimo. Saber esto ya reduce tu exposición al 90% de las sanciones del reglamento.

2. Cumple con la transparencia

Si usas chatbots o IA conversacional, informa a los usuarios. Un aviso visible es suficiente. Esta es la obligación más común y la más fácil de cumplir.

3. Forma a tu equipo

La alfabetización en IA es obligatoria desde febrero de 2025. No necesitas un curso de 40 horas: sesiones prácticas sobre las herramientas que usa cada persona son suficientes.

4. Documenta lo que haces

Un registro básico de herramientas, formación y medidas adoptadas es tu mejor defensa ante cualquier inspección. La documentación demuestra buena fe.

5. Elige proveedores que cumplan

No puedes delegar la responsabilidad, pero sí reducir tu riesgo trabajando con proveedores de IA que cumplan con la normativa y puedan demostrarlo.

Conclusión: las sanciones son reales, pero proporcionales

El EU AI Act no está diseñado para paralizar a las pymes. Está diseñado para garantizar que la IA se use de forma responsable. Las sanciones existen como último recurso, y el reglamento incluye mecanismos específicos para que las pequeñas empresas no se vean aplastadas por multas desproporcionadas.

Lo que sí deberías hacer es tomártelo en serio. Inventaría tus herramientas, forma a tu equipo, documenta tus procesos y trabaja con proveedores responsables. Eso es lo que diferencia a una empresa que cumple de una que se expone.

Polp cumple con los requisitos de transparencia del EU AI Act: cada respuesta cita sus fuentes, los usuarios saben que interactúan con IA, y los datos de tu empresa se procesan de forma segura. Gestión del conocimiento empresarial diseñada para el nuevo marco regulatorio europeo.

Deja de buscar. Empieza a preguntar.

Sube tus PDFs, Excels y Docs. El resto lo hace la IA.

Empieza ahora

Sources:

sanciones EU AI Actmultas ley inteligencia artificial europeapenalizaciones AI Act pymesrégimen sancionador IA Europaincumplimiento normativa IA multasEU AI Act sanciones empresasley IA europea multas Españacumplimiento EU AI Act pymes

Más artículos

12 de abril de 2026

Alfabetización en IA: la obligación del EU AI Act que tu empresa ya debería estar cumpliendo

El Artículo 4 del EU AI Act obliga a todas las empresas que usan IA a formar a sus empleados desde febrero de 2025. Descubre qué exige y cómo cumplir.

9 de abril de 2026

Por qué el 95% de los pilotos de IA fracasa al escalar (y cómo evitarlo empezando por tus documentos)

El 95% de los pilotos de IA generativa no llegan a producción. Descubre por qué fracasan y cómo empezar por el caso de uso correcto: tus documentos internos.