La Ley de Inteligencia Artificial de la Unión Europea (EU AI Act) no es solo un marco regulatorio: es el primer reglamento vinculante del mundo que establece sanciones económicas directas por el mal uso de sistemas de IA. Para cualquier empresa que desarrolle, despliegue o utilice sistemas de inteligencia artificial en el mercado europeo, entender la estructura de multas no es opcional — es una prioridad de negocio.
Estructura de multas: tres niveles de sanción
El EU AI Act establece un sistema de sanciones escalonado según la gravedad de la infracción. Las cantidades son significativas y se calculan sobre la facturación global de la empresa, no solo la europea.
Nivel 1: Prácticas prohibidas — Hasta €35 millones o 7% de facturación global
Las infracciones más graves se refieren a las prácticas de IA prohibidas definidas en el Artículo 5 del reglamento. Estas incluyen:
- Manipulación subliminal: Sistemas diseñados para influir en el comportamiento de personas de forma que cause daño, utilizando técnicas que operan por debajo del umbral de conciencia.
- Explotación de vulnerabilidades: IA que explota la edad, discapacidad o situación socioeconómica de personas para distorsionar su comportamiento.
- Scoring social por parte de autoridades públicas: Sistemas de clasificación social que evalúan o clasifican personas basándose en su comportamiento social o características personales.
- Identificación biométrica remota en tiempo real: Uso de sistemas de reconocimiento facial en espacios públicos para vigilancia masiva (con excepciones muy limitadas para seguridad).
Para empresas grandes, el 7% de facturación global puede suponer cientos de millones de euros. Para una empresa con facturación de €500 millones anuales, la multa máxima sería de €35 millones.
Nivel 2: Incumplimiento de requisitos — Hasta €15 millones o 3% de facturación global
Este nivel cubre el incumplimiento de los requisitos operativos establecidos para sistemas de IA de alto riesgo (Artículos 6 a 49), incluyendo:
- No realizar la evaluación de conformidad requerida.
- Falta de documentación técnica adecuada.
- No implementar sistemas de gestión de riesgos.
- Incumplimiento de los requisitos de transparencia.
- No mantener registros de actividad (logs).
- Falta de supervisión humana adecuada.
Nivel 3: Información incorrecta — Hasta €7.5 millones o 1% de facturación global
El nivel más bajo se aplica cuando una empresa proporciona información incorrecta, incompleta o engañosa a las autoridades de supervisión o a los organismos notificados durante los procesos de evaluación de conformidad.
Plazos de aplicación: la ventana se cierra
El EU AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es progresiva:
| Fecha | Hito |
| ------- | ------ |
| 2 de febrero de 2025 | Prohibiciones del Artículo 5 ya activas. Las multas de Nivel 1 ya son aplicables. |
| 2 de agosto de 2025 | Reglas para modelos de IA de propósito general (GPAI) entran en vigor. |
| 2 de agosto de 2026 | Enforcement completo de requisitos para sistemas de alto riesgo. Todas las multas son aplicables. |
| 2 de agosto de 2027 | Requisitos para sistemas de alto riesgo en productos regulados (Anexo I). |
Esto significa que desde febrero de 2025 las prácticas prohibidas ya conllevan multas, y para agosto de 2026 el régimen sancionador estará completamente operativo.
¿Quién aplica las multas?
Cada Estado miembro de la UE debe designar una autoridad nacional de supervisión. En España, la Agencia Española de Supervisión de la IA (AESIA) es la entidad responsable. Estas autoridades tienen potestad para:
- Realizar inspecciones y auditorías.
- Solicitar documentación técnica y registros.
- Emitir órdenes correctivas.
- Imponer multas administrativas.
Factores que determinan la cuantía de la multa
Las autoridades consideran varios factores al calcular la sanción:
- La naturaleza, gravedad y duración de la infracción.
- Si la infracción fue intencional o negligente.
- Las acciones correctivas adoptadas por la empresa.
- El tamaño y cuota de mercado de la empresa.
- El impacto en las personas afectadas.
- Infracciones previas.
- El grado de cooperación con la autoridad.
Cómo prepararse: pasos concretos
La preparación para el cumplimiento no necesita ser compleja si se aborda de forma estructurada:
- Inventario de sistemas de IA: Identificar todos los sistemas de IA en uso o desarrollo.
- Clasificación de riesgo: Determinar si algún sistema cae en categorías prohibidas o de alto riesgo según el Anexo III.
- Evaluación de brechas: Comparar el estado actual de documentación y controles con los requisitos del reglamento.
- Plan de acción: Priorizar las correcciones según la severidad del riesgo y los plazos de enforcement.
Herramientas como GuardianAI permiten automatizar los pasos 2 y 3, escaneando documentación técnica y generando informes de cumplimiento con hallazgos priorizados por artículo del EU AI Act.
Comparación con el RGPD
Para poner las multas en perspectiva, el RGPD establece sanciones máximas de €20 millones o el 4% de facturación global. El EU AI Act supera estos umbrales de forma significativa: €35 millones o el 7% para las infracciones más graves. Esto refleja la importancia que la UE otorga a la regulación de la inteligencia artificial.
Conclusión
El EU AI Act no es un ejercicio teórico. Las multas son reales, los plazos están definidos, y las autoridades nacionales ya están operativas. Para las empresas que utilizan IA en Europa, el coste de no cumplir es objetivamente mayor que el coste de prepararse. La ventana para actuar antes del enforcement completo en agosto de 2026 se reduce cada mes.
La recomendación es clara: empezar con un inventario, clasificar los riesgos, y documentar. Cuanto antes se identifiquen las brechas, más tiempo habrá para corregirlas sin presión regulatoria.