Multas del AI Act: riesgo para tu empresa
Desglose del régimen sancionador del Reglamento UE 2024/1689 para empresas españolas: qué multas, a quién aplican, desde cuándo y qué excepciones existen para PYMEs.
David AldomarActualizado: 7 min lectura
📌 En resumen
El AI Act prevé tres tramos sancionadores en el artículo 99: hasta 35 M€ o 7% de facturación mundial por prácticas prohibidas; hasta 15 M€ o 3% por incumplir obligaciones de alto riesgo o transparencia; hasta 7,5 M€ o 1% por información incorrecta a autoridades. Para PYMEs se aplica la menor de las dos cuantías, no la mayor.
El ruido mediático del AI Act se ha concentrado en las multas de "hasta 35 millones de euros". La realidad es más matizada: hay tres tramos diferenciados, excepciones explícitas para PYMEs y una aplicación escalonada que entra en efecto sólo desde agosto de 2026. Este post desglosa el artículo 99 del Reglamento para que una empresa española pueda calcular su exposición real.
Los tres tramos del artículo 99
El reglamento distingue tres categorías de infracción con multas asimétricas:
| Tramo | Qué sanciona | Máximo |
|---|---|---|
| 1 | Uso o puesta en mercado de sistemas de IA prohibidos (art. 5): social scoring, manipulación subliminal, vigilancia biométrica en tiempo real en espacios públicos, categorización por datos sensibles. | 35 M€ o 7% facturación mundial |
| 2 | Incumplimiento de obligaciones de sistemas de alto riesgo (arts. 8-50), obligaciones de transparencia (art. 50) u obligaciones de proveedores de modelos GPAI. | 15 M€ o 3% facturación mundial |
| 3 | Suministro de información incorrecta, incompleta o engañosa a autoridades u organismos notificados. | 7,5 M€ o 1% facturación mundial |
En cada tramo, el importe efectivo es la mayor cifra entre el valor fijo y el porcentaje de facturación mundial del ejercicio anterior. Para una multinacional con 10.000 M€ de facturación, el tramo 1 puede suponer 700 M€. Para una pyme de 5 M€, el porcentaje cambia la lógica (ver siguiente apartado).
La excepción para PYMEs y startups
El artículo 99.6 del Reglamento establece que para PYMEs, incluidas las startups, se aplica la menor de las dos cuantías. Esto cambia completamente el cálculo:
| Empresa | Facturación anual | Tramo 1 máximo | Tramo 2 máximo | Tramo 3 máximo |
|---|---|---|---|---|
| Multinacional | 10.000 M€ | 700 M€ (7%) | 300 M€ (3%) | 100 M€ (1%) |
| Mediana grande | 100 M€ | 7 M€ (7%) | 3 M€ (3%) | 1 M€ (1%) |
| Mediana | 50 M€ | 3,5 M€ (7%) | 1,5 M€ (3%) | 500 K€ (1%) |
| Pyme | 5 M€ | 350 K€ (7%) | 150 K€ (3%) | 50 K€ (1%) |
| Pyme pequeña | 1 M€ | 70 K€ (7%) | 30 K€ (3%) | 10 K€ (1%) |
| Microempresa | 200 K€ | 14 K€ (7%) | 6 K€ (3%) | 2 K€ (1%) |
Para calificar como PYME se usa la definición de la Recomendación 2003/361/CE de la Comisión Europea: menos de 250 empleados y facturación anual ≤50 M€ o balance total ≤43 M€. La verificación del estatus de PYME es un proceso formal; no basta con auto-declararse.
Calendario de aplicación de las sanciones
| Fecha | Qué se vuelve sancionable |
|---|---|
| 2 febrero 2025 | Prácticas prohibidas (art. 5) y obligaciones de alfabetización en IA (art. 4). |
| 2 agosto 2025 | Obligaciones sobre modelos GPAI y gobernanza. |
| 2 agosto 2026 | La mayoría del reglamento: sistemas de alto riesgo del Anexo III, obligaciones de transparencia (art. 50), obligaciones de deployers. |
| 2 agosto 2027 | Sistemas de alto riesgo del Anexo I (productos armonizados: juguetes, dispositivos médicos, maquinaria, etc.). |
Quién puede imponer la multa en España
La autoridad nacional designada para el AI Act en España es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña. AESIA actúa como autoridad nacional de vigilancia del mercado (market surveillance authority) y podrá:
- Iniciar investigaciones de oficio o tras denuncia.
- Solicitar información y documentación a empresas usuarias y proveedoras.
- Inspeccionar sistemas de IA en uso.
- Imponer las sanciones del artículo 99.
- Coordinarse con autoridades sectoriales (CNMV, AEPD, Banco de España, Ministerio de Sanidad) cuando el sistema opera en un sector específico.
Relación con el RGPD y otras sanciones
El régimen sancionador del AI Act es independiente del RGPD. Un mismo incidente puede acumular dos sanciones:
- Si el sistema de IA procesa datos personales sin base legal válida → sanción RGPD (AEPD), hasta 20 M€ o 4% facturación.
- Si además es alto riesgo sin cumplir obligaciones del AI Act → sanción AI Act (AESIA), tramos del art. 99.
- Si afecta a derechos fundamentales protegidos por otras normas sectoriales (discriminación laboral, crédito, etc.) → sanciones específicas adicionales.
El art. 74 del AI Act obliga a AESIA y AEPD a coordinarse e intercambiar información, pero no fusiona los procedimientos. Es posible recibir varias resoluciones sancionadoras paralelas.
Qué incrementa y qué reduce la multa
El artículo 99.7 del reglamento fija los criterios de graduación. AESIA tendrá en cuenta:
Factores agravantes
- Gravedad y duración de la infracción.
- Número de personas afectadas y daño causado.
- Intencionalidad o negligencia.
- Infracciones anteriores del mismo operador.
- Beneficio económico obtenido por la infracción.
Factores atenuantes
- Cooperación con la autoridad durante la investigación.
- Medidas técnicas y organizativas previas (ver checklist de cumplimiento).
- Notificación voluntaria de la infracción.
- Subsanación rápida del incumplimiento tras conocerlo.
- Certificaciones voluntarias (adhesión al código de buenas prácticas AI Pact de la Comisión).
En la práctica, esto significa que tener el checklist de cumplimiento operativo antes de agosto de 2026 no solo previene la infracción — también actúa como atenuante si algo acaba saliendo mal.
Preguntas frecuentes
¿El AI Act tiene sanciones penales?
El Reglamento solo prevé sanciones administrativas (multas). Las conductas que también infrinjan el Código Penal (por ejemplo, tratamiento ilícito de datos personales) pueden derivar en procedimientos penales paralelos, pero eso es competencia nacional y depende de cada Estado miembro.
¿Puedo apelar una sanción?
Sí. Las resoluciones de AESIA son recurribles en alzada ante la Secretaría de Estado de Digitalización e Inteligencia Artificial y, agotada la vía administrativa, ante la jurisdicción contencioso-administrativa.
¿Desde qué fecha exactamente puedo ser multado por usar un sistema de alto riesgo sin documentación?
Desde el 2 de agosto de 2026. Antes de esa fecha, la obligación existe pero las sanciones no aplican al sistema de alto riesgo concreto del Anexo III. Los sistemas del Anexo I (productos armonizados) ven sus sanciones activarse el 2 de agosto de 2027.
Siguiente paso recomendado
Gobierno del dato y calidad
Auditoría de IA y gobernanza mínima para reducir exposición sancionadora antes de agosto de 2026.
Sin compromiso · Respuesta en < 24h
Autor
David Aldomar
Fundador y Consultor de Datos e IA
David Aldomar es fundador y consultor principal de MERIDIAN Data & IA, consultora especializada en ayudar a pymes y empresas medianas en España a tomar mejores decisiones con sus datos. Su trabajo se centra en cuatro áreas: diseño e implantación de plataformas de datos (data warehouses, pipelines ETL con dbt, integración de ERPs y CRMs), reporting y dashboards ejecutivos en Power BI, automatización de procesos de negocio con herramientas como n8n, y desarrollo de soluciones de inteligencia artificial aplicada — desde modelos de forecasting de demanda hasta copilots internos basados en RAG con LangChain y FastAPI. Ha liderado proyectos en sectores como logística y transporte, retail y distribución, servicios financieros, manufacturing y construcción, siempre con un enfoque pragmático: diagnóstico corto, entregables concretos y transferencia de conocimiento al equipo del cliente para que sea autónomo desde el primer día. Antes de fundar MERIDIAN, acumuló experiencia en consultoría de datos y transformación digital trabajando con stacks variados — desde entornos Microsoft (SQL Server, Power BI, Azure) hasta ecosistemas open source (Python, dbt, BigQuery). Su filosofía es que un buen proyecto de datos no se mide por la tecnología que usa, sino por las decisiones de negocio que permite tomar. Escribe regularmente en el blog de MERIDIAN sobre reporting, gobierno del dato, automatización e IA aplicada, con guías prácticas orientadas a responsables de negocio y equipos técnicos de empresas que quieren sacar partido real a sus datos sin depender de grandes consultoras.
Fuentes
Seguir leyendo
Artículos relacionados
IAAI Act
Checklist operativo del AI Act 2026 para empresas españolas
8 min lectura
AI Actcompliance
AI Act para pymes: qué te afecta de verdad si quieres usar IA en tu empresa
10 min lectura
gobierno-del-datocalidad-datos
Gobierno del dato en empresa: guia completa para implantarlo sin burocracia
18 min lectura
AI ActCompliance
Auditoría de IA y compliance AI Act: qué deben hacer las empresas en 2026
12 min lectura
RAGIA
RAG en empresa: la guia completa para implantar un copilot interno fiable
17 min lectura
Última revisión: