Sanciones por incumplimiento del EU AI Act y otras normativas de IA
El año 2025 ha marcado el inicio de la aplicación efectiva del EU AI Act, con las primeras multas por prácticas prohibidas ya notificadas y con las autoridades nacionales de supervisión operativas en la mayoría de estados miembros. Este brochure analiza el mapa completo de sanciones aplicables a proveedores y desplegadores de IA, compara los regímenes europeo, británico y estadounidense y ofrece una calculadora de exposición al riesgo económico.
El régimen sancionador del EU AI Act
El EU AI Act establece tres tramos de sanción según la gravedad de la infracción:
- Prácticas prohibidas (art. 5): hasta 35 millones de euros o el 7% del volumen anual mundial, la cifra más alta. Incluye sistemas de manipulación subliminal, puntuación social o categorización biométrica por características sensibles.
- Incumplimiento de obligaciones para sistemas de alto riesgo: hasta 15 millones de euros o el 3% del volumen anual. Afecta a fallos en gestión de riesgos, calidad de datos, documentación técnica, supervisión humana o robustez.
- Información incorrecta a las autoridades: hasta 7,5 millones de euros o el 1% del volumen anual. Cubre respuestas engañosas a requerimientos, retrasos injustificados o documentación falsificada.
Las pymes disfrutan de umbrales proporcionalmente reducidos, pero no están exentas. Los reguladores han anunciado un enfoque de tolerancia decreciente durante el periodo 2025-2026.
Concurrencia con GDPR, DSA y NIS2
Un mismo incidente puede activar sanciones bajo varias normativas. Por ejemplo, un modelo de IA que trata datos personales sin base legítima puede recibir simultáneamente una sanción GDPR (hasta 20 millones o el 4%) y una del EU AI Act. Si además la organización opera una plataforma en línea, la DSA añade otra capa de responsabilidad. El brochure incluye una matriz de concurrencia con ejemplos prácticos.
Costes indirectos: mayores que la multa
El coste directo de la sanción es solo la punta del iceberg. Nuestros análisis con más de 40 casos documentados en Europa y Estados Unidos muestran que los costes indirectos multiplican la factura entre 3 y 8 veces:
- Retirada del sistema del mercado y pérdida de ingresos asociada.
- Notificación obligatoria a personas afectadas y programas de compensación.
- Auditorías forenses y peritajes técnicos.
- Rediseño del sistema, del proceso y de la gobernanza.
- Honorarios legales y de comunicación de crisis.
- Impacto reputacional medido en pérdida de clientes y caída bursátil.
- Incremento de primas de seguros de responsabilidad tecnológica.
Calculadora de exposición
El brochure incluye una calculadora en Excel que estima su exposición máxima según volumen de negocio, número de sistemas de alto riesgo y grado de madurez de la gobernanza actual. Permite comparar el coste de invertir en un programa completo (típicamente entre 200.000 y 800.000 euros el primer año) frente al riesgo residual sin controles adecuados.
Prevenir cuesta menos que remediar
Implantar ISO 42001, automatizar la evidencia de cumplimiento y contar con acreditación de terceros reduce drásticamente tanto la probabilidad de sanción como su cuantía. Zertia le ayuda a cuantificar su exposición y a diseñar el programa de mitigación óptimo.
