lexlon
← Blog

Sanciones del Reglamento de IA: cuánto le puede costar a tu empresa no cumplir antes del 2 de agosto de 2026

El 2 de agosto de 2026 entra en plena aplicación el régimen sancionador del Reglamento (UE) 2024/1689. Si tu empresa usa ChatGPT, Copilot u otras herramientas de IA y no tiene documentado el cumplimiento, está expuesta a multas de hasta el 7% de su facturación. Guía específica para pymes españolas.

·9 min lectura
Sanciones Reglamento Inteligencia Artificial España 2026 pymes AESIA multas

Sanciones del Reglamento de IA: cuánto le puede costar a tu empresa no cumplir antes del 2 de agosto de 2026

Por el equipo de Lexlon · Junio 2026 · 7 min de lectura

La fecha que todo empresario español debería tener marcada en el calendario

El 2 de agosto de 2026 entra en plena aplicación el régimen sancionador del Reglamento (UE) 2024/1689 de Inteligencia Artificial. No es una propuesta, no es un borrador y no está condicionada a que el Congreso apruebe la ley española: es el calendario del Reglamento europeo, que es directamente aplicable en España desde su publicación en el Diario Oficial de la Unión Europea.

Si tu empresa usa herramientas de inteligencia artificial, como por ejemplo ChatGPT, Microsoft Copilot, un CRM con scoring automático, un sistema de selección de personal, un chatbot de atención al cliente, y no tiene documentado el cumplimiento de sus obligaciones, está expuesta a sanciones a partir de esa fecha.

Este artículo explica cuáles son esas sanciones, quién las impone en España, qué incumplimientos las generan y qué tiene que hacer una pyme para no estar en ese riesgo.

¿Necesitas ayuda para cumplir las obligaciones básicas que aplican a cualquier empresa que haga un uso aunque sea básico de IA? Contáctanos en lexlon.es/reglamento-ia

El régimen sancionador del Reglamento de IA: tres niveles

El artículo 99 del Reglamento (UE) 2024/1689 establece tres tramos de sanciones en función de la gravedad del incumplimiento. Son sanciones administrativas, no penales, impuestas por la autoridad supervisora nacional (en España, la AESIA).

Infracciones muy graves: hasta 35 millones de euros o el 7% de la facturación global

Corresponden al incumplimiento de las prohibiciones del artículo 5: sistemas de IA de riesgo inaceptable. Se aplica la cantidad mayor entre la cifra fija y el porcentaje de facturación.

Los sistemas expresamente prohibidos incluyen la manipulación subliminal del comportamiento de personas, el social scoring por entidades privadas o públicas, la identificación biométrica remota en tiempo real en espacios públicos, la inferencia de datos sensibles mediante análisis biométrico, el reconocimiento de emociones en el lugar de trabajo o centros educativos, y la predicción de comportamientos delictivos basada en perfilado.

Para una empresa con 2 millones de euros de facturación, el 7% son 140.000 €.

Infracciones graves: hasta 15 millones de euros o el 3% de la facturación global

Corresponden al incumplimiento de las obligaciones aplicables a los sistemas de alto riesgo del Anexo III: documentación técnica insuficiente, ausencia de supervisión humana efectiva, falta de evaluación de conformidad, no comunicar incidentes graves a la AESIA, y similares.

Para una empresa con 2 millones de euros de facturación, el 3% son 60.000 €.

Infracciones leves: hasta 7,5 millones de euros o el 1% de la facturación global

Corresponden al suministro de información inexacta, incompleta o engañosa a la AESIA o a los organismos notificados, así como al incumplimiento de determinadas obligaciones de transparencia del artículo 50 (por ejemplo, no identificar un chatbot como sistema automatizado).

Para una empresa con 2 millones de euros de facturación, el 1% son 20.000 €.

El régimen de proporcionalidad para pymes: la sanción menor, no la mayor

Este es un matiz que la mayoría de artículos no explican correctamente: el artículo 99.6 del Reglamento establece expresamente que para las pymes y startups se aplicará el importe menor entre la cifra fija y el porcentaje del volumen de negocio, no el mayor.

Esto significa que una pyme con 500.000 euros de facturación, si incurre en una infracción grave, no se enfrenta a 15 millones de euros sino a 15.000 euros (el 3% de 500.000 €).

Sin embargo, la proporcionalidad no elimina la sanción. Elimina el desequilibrio más extremo entre empresas grandes y pequeñas, pero no la obligación de cumplir.

Quién impone las sanciones en España: la AESIA

La Autoridad encargada de supervisar y sancionar el cumplimiento del Reglamento de IA en España es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña.

La AESIA tiene competencias diferenciadas según el ámbito:

  • Para sistemas de IA en empleo, biometría y educación, la AESIA es la autoridad principal. La Agencia Española de Protección de Datos (AEPD) interviene cuando el uso de IA implica tratamiento de datos personales. El Consejo General del Poder Judicial (CGPJ) supervisa los sistemas que afectan a la actividad judicial.

  • Desde el 2 de febrero de 2025, la AESIA ya tiene capacidad de supervisar las prohibiciones del artículo 5. Desde el 2 de agosto de 2025, ya puede ejercer competencias sancionadoras sobre ese ámbito. El 2 de agosto de 2026 se suma la potestad de actuar sobre los sistemas de alto riesgo y el conjunto de obligaciones del Reglamento.

Qué incumplimientos son más probables en una pyme española

La mayoría de las pymes no desarrollan IA — la usan. Y para quien la usa, las obligaciones más habituales son las del responsable del despliegue (deployer), regulado en el artículo 26 del Reglamento.

Los incumplimientos más comunes en pymes son estos cuatro:

  • No tener documentada la obligación de alfabetización en IA (artículo 4). Esta obligación es exigible desde el 2 de febrero de 2025. Cualquier empresa que usa herramientas de IA debe haber formado a su personal de forma proporcional al uso que hace de la tecnología, y debe poder acreditarlo mediante un registro. Sin ese registro, hay incumplimiento desde hace más de un año.

  • No tener un inventario de los sistemas de IA en uso. El artículo 26 obliga a los responsables del despliegue a identificar los sistemas que usan. Esto incluye herramientas contratadas por la empresa pero también las que usan los empleados individualmente de forma habitual. Un empleado que usa ChatGPT para redactar correos y propuestas está desplegando un sistema de IA en nombre de la empresa.

  • Usar un sistema de selección de personal con IA sin las garantías exigidas. El cribado y filtrado de CVs con IA que excluye candidatos sin revisión humana individual entra en la categoría de alto riesgo conforme al Anexo III, punto 4 del Reglamento. Sin supervisión humana efectiva, documentación técnica y evaluación de conformidad, el uso de ese sistema desde el 2 de agosto de 2026 es una infracción grave.

  • No identificar un chatbot o contenido como sistema automatizado. El artículo 50.1 del Reglamento obliga a que cualquier sistema de IA que interactúe con personas se identifique como tal al inicio de la interacción, así como a identificar el contenido generado mediante IA. Por ejemplo, un chatbot de atención al cliente que no informa al usuario de que es un sistema automatizado incumple esta obligación desde el 2 de agosto de 2026.

El riesgo real para una pyme: no solo la multa

La sanción económica no es el único riesgo. Hay dos consecuencias adicionales que las pymes no suelen anticipar.

  • La retirada del sistema. La AESIA puede ordenar la suspensión o retirada de un sistema de IA que no cumple el Reglamento. Para una empresa que tiene integrada esa herramienta en su proceso de trabajo, por ejemplo un sistema de scoring de clientes, un chatbot de ventas, un módulo de IA en su ERP, la retirada es un trastorno operativo inmediato, independientemente de la multa.

  • El daño reputacional. La AESIA puede hacer públicas las resoluciones sancionadoras. Para una pyme de servicios profesionales, una sanción pública por uso indebido de IA tiene un coste reputacional difícil de cuantificar pero muy real.

El calendario exacto que tienes que conocer

  • 1 agosto 2024: Reglamento de IA en vigor en toda la UE

  • 2 febrero 2025: Prohibiciones art. 5 + obligación de alfabetización art. 4 — ya exigibles

  • 2 agosto 2025: AESIA con competencia sancionadora sobre prohibiciones

  • 2 agosto 2026: Entra en vigor el régimen sancionador pleno en España

  • Diciembre 2027: Obligaciones para IA integrada en productos ya regulados (sanitarios, maquinaria)

Qué tiene que hacer una pyme antes del 2 de agosto de 2026

Estas son las cuatro cosas que una empresa española que usa IA debe tener documentadas antes de esa fecha:

  • Inventario de sistemas de IA. Listado de todas las herramientas de IA en uso, incluyendo las que usan los empleados individualmente. Nombre del sistema, proveedor, finalidad, datos que trata y nivel de riesgo.

  • Clasificación de riesgos. Determinar qué nivel de riesgo corresponde a cada sistema: inaceptable (prohibido), alto, limitado o mínimo. Para los sistemas de alto riesgo del Anexo III, las obligaciones son más exigentes.

  • Política de uso aceptable de IA. Documento que establece qué sistemas están autorizados, en qué contextos, con qué controles y qué está prohibido. Debe estar firmado y accesible para todos los empleados.

  • Formación documentada. Registro de la formación en alfabetización en IA realizada por cada empleado que usa sistemas de IA, con fecha, contenidos y método de acreditación. Esta obligación es exigible desde el 2 de febrero de 2025.

¿Necesitas ayuda con todo ésto para cumplir las obligaciones y poder usar la IA de forma segura? Lexlon te guía en el proceso en un solo flujo guiado, puedes estar listo en unos minutos → Empezar ahora — lexlon.es/reglamento-ia

Preguntas frecuentes

¿Las sanciones dependen de que el Congreso apruebe la ley española de IA?

No. El Reglamento (UE) 2024/1689 es directamente aplicable en España sin necesidad de ley nacional. El Consejo de Ministros aprobó el 27 de mayo de 2026 un proyecto de Ley Orgánica que adapta el AI Act al ordenamiento español, pero ese texto todavía debe tramitarse en el Congreso. Las sanciones del artículo 99 del Reglamento europeo entran en vigor el 2 de agosto de 2026 con independencia del estado de esa tramitación.

¿La AESIA ya está sancionando?

Desde el 2 de agosto de 2025, la AESIA ya tiene competencia para sancionar incumplimientos de las prohibiciones del artículo 5. Desde el 2 de agosto de 2026 amplía esa competencia a todos los incumplimientos del Reglamento, incluidos los sistemas de alto riesgo y las obligaciones de transparencia.

¿Una pyme que solo usa ChatGPT también está obligada?

Sí. El Reglamento aplica a cualquier empresa que despliega un sistema de IA en el ejercicio de su actividad profesional, con independencia de si lo ha desarrollado o simplemente lo usa. ChatGPT, Copilot, Gemini y similares son sistemas de IA de propósito general sujetos al Reglamento.

¿Qué pasa si empiezo a cumplir ahora, aunque tarde?

Presentar documentación de cumplimiento, aunque sea después de la fecha, es un atenuante frente a la no presentación. La AESIA tiene en cuenta las circunstancias de cada caso y el tamaño de la empresa. Actuar ahora es siempre mejor que no actuar.

¿Las sanciones se aplican por igual a todas las empresas?

No. El artículo 99.6 del Reglamento establece un régimen de proporcionalidad para pymes y startups: se aplica el importe menor entre la cifra fija y el porcentaje del volumen de negocio. Las grandes empresas, por el contrario, se ven afectadas por la cifra mayor.

El 2 de agosto de 2026 no es una fecha límite para empezar a cumplir. Es la fecha a partir de la cual el incumplimiento se sanciona.

Empieza a cumplir ahora en lexlon.es/reglamento-ia

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Lexlon es una herramienta de software. Cada organización es responsable de verificar que su implementación cumple con todos los requisitos legales aplicables a su sector y circunstancias particulares.