Ley IA PYMESQué pasa si no cumplo el AI Act: sanciones, AESIA e inspecciones
El incumplimiento del Reglamento (UE) 2024/1689 (AI Act) puede acarrear sanciones de hasta 35 M€ o el 7% de la facturación mundial anual. En España, la AESIA es la autoridad competente para inspeccionar, requerir documentación y proponer estas sanciones, aplicando a las PYMES el menor de los dos importes.
Las tres franjas de sanciones del AI Act
El régimen sancionador del Reglamento (UE) 2024/1689 se articula en el Artículo 99 en tres niveles de gravedad, cada uno con un tope expresado como cifra fija o como porcentaje de la facturación mundial anual del ejercicio anterior, aplicándose con carácter general el importe más alto de los dos.
Franja alta — hasta 35.000.000 € o el 7% de la facturación mundial: se reserva para el incumplimiento de las prácticas de IA prohibidas del Artículo 5 (manipulación subliminal, scoring social, categorización biométrica sensible, reconocimiento de emociones en el trabajo o la educación salvo excepciones, etc.). Es la infracción más grave del Reglamento.
Franja media — hasta 15.000.000 € o el 3% de la facturación mundial: cubre el incumplimiento de la mayoría de obligaciones sustantivas, incluidas las de proveedores y responsables del despliegue de sistemas de alto riesgo, las obligaciones de transparencia y las relativas a modelos de IA de uso general.
Franja baja — hasta 7.500.000 € o el 1% de la facturación mundial: se aplica a facilitar información incorrecta, incompleta o engañosa a las autoridades notificadas o de vigilancia del mercado en respuesta a un requerimiento.
El matiz que protege a las PYMES
El Reglamento introduce una salvaguarda específica para pymes y startups: cuando el infractor es una pequeña o mediana empresa, incluidas las empresas emergentes, cada límite de multa se entiende referido al menor de los dos importes (la cifra fija o el porcentaje), y no al mayor como sucede con las grandes empresas.
En la práctica, esto significa que una PYME con una facturación reducida no se expone automáticamente a la cifra de 35 M€: el tope efectivo será el porcentaje correspondiente de su facturación si este resulta inferior. Aun así, las cuantías siguen siendo capaces de comprometer la viabilidad de una empresa pequeña, por lo que la prevención es siempre más barata que la sanción.
Además, al graduar la sanción, las autoridades deben tener en cuenta los intereses de las pymes y su viabilidad económica, junto con la gravedad de la infracción, su duración, el carácter intencional o negligente y las medidas adoptadas para mitigar el daño.
Qué es la AESIA y qué puede hacerte
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la autoridad nacional designada por España para supervisar la aplicación del AI Act. Actúa como autoridad de vigilancia del mercado para la mayoría de los sistemas de IA y coordina con otras autoridades sectoriales cuando concurren competencias (protección de datos, sanidad, consumo, etc.).
Sus facultades incluyen: requerir toda la documentación técnica y organizativa de un sistema de IA, realizar inspecciones, exigir medidas correctoras, ordenar la retirada del mercado o la desactivación de un sistema que presente riesgo, y proponer o imponer las sanciones del régimen del Artículo 99 conforme al procedimiento administrativo español.
Una actuación de la AESIA puede iniciarse de oficio, a raíz de una reclamación de un afectado, por una alerta de otra autoridad o tras un incidente grave notificado por la propia empresa. No hace falta haber tenido un problema visible: basta con que la Agencia decida revisar un sector o un tipo de uso.
Cómo es una inspección y qué documentación se pide
En una inspección típica, la Agencia solicita primero la documentación por escrito y concede un plazo de respuesta. Lo habitual es que pida el inventario de sistemas de IA en uso, su clasificación de riesgo, las evaluaciones de impacto cuando proceda, los registros de supervisión humana, las políticas internas, las evidencias de formación del Artículo 4 y los contratos con proveedores.
Para sistemas de alto riesgo, se añaden la documentación técnica del Anexo IV, el sistema de gestión de riesgos, los registros automáticos (logs), la información facilitada a los usuarios y, en su caso, la declaración UE de conformidad y el marcado CE.
La falta de respuesta o una respuesta incompleta o engañosa constituye en sí misma una infracción (franja baja). Por eso la trazabilidad documental no es burocracia: es la prueba de diligencia que marca la diferencia entre un expediente que se archiva y uno que termina en sanción.
Checklist de preparación para una inspección de la AESIA
Inventario de sistemas de IA actualizado, con proveedor, finalidad, datos tratados y categoría de riesgo de cada sistema.
Clasificación de riesgo documentada según los Anexos del Reglamento (prohibido, alto riesgo, riesgo limitado o mínimo) con su justificación.
Política interna de uso de IA aprobada por la dirección y entregada a toda la plantilla, con registro de aceptación.
Plan y evidencias de formación del Artículo 4: contenidos, asistencia, evaluación y certificados por persona y rol.
Evaluaciones de impacto, registros de supervisión humana y logs para los sistemas de alto riesgo identificados.
Cláusulas informativas a empleados y clientes y revisión de contratos con proveedores para trasladar obligaciones.
Procedimiento de gestión y notificación de incidentes graves, con responsable asignado y plazos definidos.
Un único punto de contacto interno capaz de reunir toda esta documentación en cuestión de días, no semanas.