El nuevo escenario sancionador: por qué agosto de 2026 es la fecha que cambia todo
El Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689) entra en aplicación plena el 2 de agosto de 2026. A partir de ese día, cualquier empresa española que utilice sistemas de IA de alto riesgo sin cumplir la norma se expone a sanciones que pueden alcanzar los 35 millones de euros o el 7 % de la facturación mundial anual. No es una amenaza lejana: la autoridad nacional de supervisión tendrá potestad para imponer multas desde la primera semana.
Las pymes creen a menudo que estas sanciones solo afectan a las tecnológicas o a las grandes corporaciones. Nada más lejos de la realidad. Si tu negocio utiliza un software de selección de personal con IA, un chatbot que decide sobre reclamaciones, un sistema de videovigilancia con reconocimiento biométrico o un algoritmo que puntúa la solvencia de clientes, estás dentro del ámbito de aplicación. Y si no has empezado a documentar el cumplimiento, el riesgo es real.
Para que entiendas cómo se traducirán las multas del AI Act en la práctica, hemos construido cinco casos tipo basados en la tipología de empresa española y en los incumplimientos que ya anticipan las autoridades europeas. Cada uno incluye el artículo infringido y la cuantía de la sanción, porque cuando hablamos de cifras concretas la decisión de actuar se vuelve urgente.
Caso 1: la aseguradora que segmentaba clientes sin transparencia
Una correduría de seguros de salud con 45 empleados utilizaba un sistema de IA para calcular primas y rechazar solicitudes de cobertura basándose en patrones de comportamiento digital de los usuarios. El sistema operaba como caja negra: ni los clientes ni los empleados sabían qué variables decidían la aceptación o el precio final. No existía evaluación de impacto ni supervisión humana real.
⚠ SANCIÓN: 2.800.000 €. Artículo 5 (prácticas prohibidas) y artículo 16 (obligaciones de información del Reglamento UE 2024/1689). La autoridad consideró que el sistema condicionaba de manera encubierta decisiones económicas de los consumidores sin posibilidad real de revisión humana.
Caso 2: el portal de empleo que discriminaba sin saberlo
Un portal especializado en selección de perfiles tecnológicos desplegó un motor de matching basado en IA que puntuaba los currículums según afinidad histórica con contrataciones anteriores. El sistema aprendió de los sesgos de una base de datos donde las mujeres y los candidatos mayores de 50 años estaban infrarrepresentados.
⚠ SANCIÓN: 4.100.000 €. Artículo 15 (gestión de riesgos de sistemas de alto riesgo) y artículo 9 (vigilancia humana). La empresa no había identificado la IA como sistema de alto riesgo del anexo III.
Caso 3: la fábrica con mantenimiento predictivo no declarado
Una empresa de fabricación de componentes metálicos para el sector ferroviario instaló sensores con inteligencia artificial para predecir fallos en la maquinaria crítica. El sistema estaba conectado en red y cualquier anomalía podía detener líneas enteras. Sin embargo, la empresa nunca lo clasificó como sistema de alto riesgo.
⚠ SANCIÓN: 1.900.000 €. Artículo 19 (evaluación de conformidad) y artículo 43 (obligación de registro). La empresa alegó desconocimiento, pero la autoridad recordó que el error de clasificación no exime de responsabilidad.
Caso 4: el call center que simulaba emociones humanas
Un servicio de atención al cliente externalizado desplegó un chatbot avanzado con capacidad de analizar el tono emocional del usuario y responder con frases empáticas para retener al cliente. El sistema no se identificaba como inteligencia artificial en ningún momento de la conversación.
⚠ SANCIÓN: 7.500.000 €. Artículo 5 (prácticas prohibidas por manipulación) y artículo 50 (obligaciones de transparencia). La autoridad consideró que la simulación deliberada de empatía humana constituía una práctica de riesgo inaceptable.
Caso 5: la clínica que diagnosticaba sin supervisión real
Una clínica privada de oftalmología implantó un software de IA para analizar pruebas de imagen y emitir pre-diagnósticos automáticos que se entregaban directamente al paciente antes de la consulta. El facultativo no revisaba la imagen original y se limitaba a ratificar la conclusión de la máquina.
⚠ SANCIÓN: 10.200.000 €. Artículo 14 (supervisión humana), artículo 18 (conservación de registros) y normativa de productos sanitarios.
Los cinco casos comparten un patrón: falta de clasificación del sistema, ausencia de gestión documentada del riesgo y supervisión humana que solo existía sobre el papel. Las autoridades no van a esperar un periodo de gracia tras agosto de 2026.
Qué debes hacer hoy para no convertirte en el próximo caso
1. Inventaría todos tus sistemas de IA, incluso los que has comprado a terceros.
2. Clasifícalos por nivel de riesgo con ayuda de un consultor especializado.
3. Implanta un sistema de gestión de riesgos documentado si operas sistemas de alto riesgo.
4. Solicita un diagnóstico de cumplimiento. En nuestro programa de Diagnóstico Express gratuito de 45 minutos analizamos tu exposición real y te entregamos un plan de acción con inicio en menos de 48h hábiles.
¿Qué sistemas de IA se consideran de alto riesgo según el AI Act?
Los enumerados en el anexo III del Reglamento UE 2024/1689: selección de personal, concesión de crédito, diagnóstico médico, componentes de seguridad de maquinaria, infraestructuras críticas, educación, aplicación de la ley, migración y asilo, entre otros.
¿Puedo recibir una multa del AI Act sin haber tenido una inspección previa?
Sí. La autoridad de supervisión puede abrir un procedimiento sancionador de oficio si detecta el incumplimiento por denuncia, por una brecha de seguridad o por un control sectorial.
¿Las multas se aplican también a pymes o solo a grandes empresas?
El tamaño no es un criterio de exclusión. Si utilizas un sistema de IA de alto riesgo, las obligaciones son las mismas que para una multinacional.
¿Qué diferencia hay entre una práctica prohibida y un sistema de alto riesgo mal gestionado?
Las prácticas prohibidas (artículo 5) están vetadas desde febrero de 2025 y su infracción conlleva las multas más elevadas: hasta 35 millones o el 7 %. Los sistemas de alto riesgo están permitidos pero deben cumplir requisitos estrictos.
¿Qué pasa si la IA que uso la ha desarrollado un tercero?
Como empresa usuaria eres responsable del cumplimiento en el uso que le das. La responsabilidad no se diluye por el hecho de haber comprado el software a un tercero.
¿Cuánto tiempo necesito para adaptar mi empresa antes de agosto de 2026?
Una pyme con uno o dos sistemas de alto riesgo puede completar la adecuación en uno a tres meses si cuenta con asesoramiento especializado. El primer paso, el diagnóstico, puede hacerse en menos de una semana.