Skip to content
Confir.
Prueba gratuita
Blog

¿Qué ocurre si ignora la Ley de IA de la UE?

Guide12 January 2026· 18 min de lectura

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

La cifra de titular de 35 millones de euros se cita en casi todos los artículos sobre la Ley de IA de la UE. Es técnicamente exacta y prácticamente engañosa — no porque la multa sea pequeña, sino porque es lo último que le ocurre a una organización incumplidora, no lo primero. Entre ignorar el Reglamento y recibir una sanción administrativa máxima se sitúa una larga cadena de exposiciones que se acumulan: una acción de ejecución que puede retirar su producto del mercado de la UE, acuerdos empresariales que pierde porque no puede responder a un cuestionario de diligencia debida, el coste jurídico y reputacional de ser citado en una resolución pública, y el puro gasto operativo de hacer el trabajo de cumplimiento con prisas la semana anterior a su plazo.

Este artículo cartografía esa cadena con precisión. El objetivo no es alarmar — la mayoría de las empresas que incumplan algunas obligaciones se enfrentarán a un requerimiento de corrección antes que a una multa, y el Reglamento es proporcionado por diseño. Pero «ya nos ocuparemos de ello más adelante» no es una elección neutra. Para las empresas que utilizan IA en ámbitos del Anexo III, algunas obligaciones ya están vigentes; otras tienen un plazo fijo más cercano que el ciclo habitual de documentación de productos. Conocer el orden real de las consecuencias es el requisito previo para un análisis honesto de costes y beneficios.

Multas administrativas en virtud del Artículo 99

El Artículo 99 del Reglamento (UE) 2024/1689 establece tres niveles sancionadores, cada uno expresado como «la cifra que sea mayor» de un importe fijo en euros o un porcentaje del volumen de negocios anual mundial total del ejercicio financiero anterior.

El nivel superior — 35 000 000 € o el 7 % del volumen de negocios mundial — se aplica a las infracciones de las prohibiciones del Artículo 5 (las prácticas prohibidas: la puntuación social por parte de las autoridades públicas, las técnicas subliminales manipuladoras, la identificación biométrica remota en tiempo real en espacios públicos con fines de garantía del cumplimiento del Derecho sin autorización, y similares). Estas prohibiciones están en vigor desde el 2 de febrero de 2025, por lo que el incumplimiento en este punto está vigente hoy, no es hipotético.

El nivel intermedio — 15 000 000 € o el 3 % del volumen de negocios mundial — cubre la mayoría de las demás obligaciones: el incumplimiento de los requisitos de alto riesgo por parte de un proveedor (los deberes del Artículo 16, incluidos el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11, la supervisión humana del Artículo 14 y la evaluación de la conformidad del Artículo 43), las obligaciones del responsable del despliegue del Artículo 26 y los deberes de transparencia de riesgo limitado del Artículo 50 que se aplican a partir del 2 de agosto de 2026. Este es el nivel que se aplicará a la mayoría de las empresas incumplidoras con IA de alto riesgo.

El nivel inferior — 7 500 000 € o el 1 % del volumen de negocios mundial — se aplica a facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.

El límite para las pymes y las empresas emergentes importa aquí. En virtud del Artículo 99, apartado 6, para las pequeñas y medianas empresas y las empresas emergentes, la multa se limita al importe menor del porcentaje o el importe fijo en euros. Para una empresa con 2 millones de euros de volumen de negocios anual, el techo pertinente para una infracción de alto riesgo es de 60 000 € — no 15 millones. Es una cifra material, pero no existencial para la mayoría de las empresas. Las empresas más grandes se enfrentan al cálculo del porcentaje, que escala con fuerza.

Lo que el Artículo 99 no le dice es que las multas son normalmente el final de un proceso de ejecución, no el principio. Una autoridad de vigilancia del mercado emitirá habitualmente una solicitud de información, después una resolución de incumplimiento, después una orden de adopción de medidas correctoras, antes de que entre en escena una multa. Los pasos intermedios conllevan sus propios costes y riesgos — y para algunas empresas, esos pasos son más trascendentales que la propia multa.

Acciones de ejecución que retiran su sistema del mercado

En virtud del Artículo 79, si una autoridad de vigilancia del mercado concluye que un sistema de IA presenta un riesgo — para la salud, la seguridad, los derechos fundamentales u otros intereses públicos —, puede exigir al proveedor y, cuando proceda, al responsable del despliegue que adopten medidas correctoras dentro de un plazo definido, restringir o prohibir la disponibilidad del sistema en el mercado de la UE, ordenar su retirada o exigir una recuperación. El procedimiento se aplica a los sistemas de IA que presentan un riesgo incluso cuando aún no se ha determinado de forma definitiva que el sistema sea incumplidor.

Para una empresa de software cuyo mercado de la UE es el producto, perder el derecho a poner ese producto a disposición es una amenaza operativa mayor que la multa. Una multa de 60 000 € es superable; una orden de prohibición que le impida atender a los clientes de la UE mientras se lleva a cabo una subsanación, no lo es. Los proveedores que distribuyen a través de terceros u operan en régimen de SaaS se enfrentan a una complejidad adicional: una autoridad puede exigir medidas correctoras a lo largo de toda la cadena de distribución, y sus clientes posteriores — que tienen sus propias obligaciones de responsable del despliegue del Artículo 26 — pueden verse obligados a dejar de usar el sistema en el ínterin.

El calendario también importa. La subsanación con arreglo a una orden de ejecución no es lo mismo que un trabajo de cumplimiento programado. Estará operando bajo escrutinio regulatorio, con plazos fijados por la autoridad, potencialmente con restricciones temporales sobre su producto, y con la obligación de demostrar las medidas correctoras adoptadas. Hacer la documentación de cumplimiento en esas condiciones cuesta mucho más en tiempo, honorarios jurídicos y distracción de la dirección que hacerla como un programa estructurado antes del plazo.

Reclamaciones y escrutinio

El Artículo 85 otorga a las personas físicas y a las organizaciones el derecho a presentar una reclamación ante una autoridad de vigilancia del mercado sobre un sistema de IA que consideren incumplidor o perjudicial. La autoridad está entonces obligada a tramitar la reclamación y a mantener informado al reclamante del resultado. Las reclamaciones no exigen que el reclamante demuestre que se ve directamente afectado — una ONG o un organismo de la sociedad civil puede presentarla.

No cooperar con una autoridad que lleva a cabo una evaluación de la conformidad, facilitar información engañosa u obstruir una investigación es en sí mismo una infracción del Reglamento — y entra en la estructura sancionadora del Artículo 99. En la práctica, esto significa que, una vez que una autoridad abre una indagación, incluso una empresa que actuaba de buena fe puede crear una exposición jurídica secundaria mediante una interacción regulatoria mal gestionada.

Los casos de uso de alto perfil — IA de contratación, evaluación de la solvencia, sistemas desplegados en servicios públicos — son precisamente los ámbitos que atraen el escrutinio basado en reclamaciones. Una empresa que no tiene documentación, no ha clasificado su sistema y no puede demostrar ningún proceso de gestión de riesgos tendrá poco que decir cuando una autoridad le pida pruebas.

Consecuencias comerciales y de los acuerdos

Los compradores empresariales — en particular los bancos, las aseguradoras, los grandes minoristas y los organismos del sector público — tienen sus propias obligaciones de la Ley de IA como responsables del despliegue en virtud del Artículo 26. Esas obligaciones incluyen adoptar medidas técnicas y organizativas apropiadas antes de desplegar un sistema de alto riesgo, garantizar la supervisión humana y vigilar los riesgos. Un responsable del despliegue que no puede obtener un paquete de conformidad de su proveedor tiene un problema: no puede demostrar que la diligencia debida que le corresponde en virtud del Artículo 26 se realizó realmente.

El resultado práctico es que la diligencia debida de la Ley de IA se ha convertido en un filtro de contratación. Los equipos de ventas empresariales ya están pidiendo la documentación técnica del Artículo 11 / Anexo IV, las pruebas de la evaluación de la conformidad del Artículo 43 y la declaración UE de conformidad del Artículo 47. Un proveedor que no puede producir estos documentos pierde acuerdos — no ante un regulador, sino ante un competidor que sí puede. Los ciclos de ventas perdidos y el acceso bloqueado al mercado llegan a la línea de ingresos antes que cualquier acción de ejecución.

Para los responsables del despliegue en el lado comprador, la misma lógica se aplica a la inversa. Una empresa que despliega una herramienta de IA de un tercero para un uso de alto riesgo sin verificar el estado de cumplimiento del proveedor hereda el riesgo si algo sale mal y la documentación del proveedor no existe. La diligencia debida del Artículo 26 no es una formalidad — es la primera línea de exposición jurídica del responsable del despliegue.

El coste de empezar tarde

Algunas obligaciones no son riesgos futuros — son riesgos actuales. Las prohibiciones del Artículo 5 y el requisito de alfabetización en materia de IA del Artículo 4 se aplican ambos desde el 2 de febrero de 2025. Si su organización utiliza IA de forma prohibida, o no ha hecho ningún esfuerzo por garantizar que el personal que utiliza sistemas de IA esté adecuadamente informado sobre las capacidades y las limitaciones, ya está incumpliendo. El capítulo sancionador (Artículo 99) se aplica desde el 2 de agosto de 2025.

Para las empresas con sistemas en ámbitos de alto riesgo del Anexo III, el plazo formal en virtud del Ómnibus Digital (acordado políticamente en mayo de 2026) es el 2 de diciembre de 2027 para los sistemas autónomos. Eso suena a 18 meses. En la práctica, la vía de un proveedor hacia el cumplimiento implica: clasificar el sistema y confirmar que realmente entra dentro del Anexo III; determinar si se aplica la exención del Artículo 6, apartado 3, y documentar esa evaluación; poner en marcha el sistema de gestión de riesgos del Artículo 9; preparar la documentación técnica del Artículo 11 / Anexo IV (nueve ámbitos de contenido, que abarcan la finalidad, la arquitectura, los datos de entrenamiento, las pruebas, las métricas de exactitud y más); implementar los mecanismos de supervisión humana del Artículo 14; completar la evaluación de la conformidad del Artículo 43; y registrarse en la base de datos de la UE en virtud del Artículo 49.

Para una empresa que construye esa documentación desde cero, de seis a nueve meses es una estimación realista para un único sistema complejo — si la organización está centrada y cuenta con ayuda externa. Las organizaciones que gestionan varios sistemas de alto riesgo, o que descubren a mitad del proceso que su sistema necesita una rearquitectura para cumplir los requisitos de los Artículos 9 o 15, deberían asumir un calendario más largo. Comprimir todo esto en los tres meses finales antes del 2 de diciembre de 2027 es la forma más cara de cumplir. La documentación apresurada no supera las auditorías; las brechas detectadas bajo la presión del plazo dan lugar a órdenes correctoras en lugar de a certificados de conformidad; y los costes de personal y jurídicos por hora se disparan cuando el plazo es inminente.

Las empresas que tendrán el 2027 más fácil son las que empiecen ahora el programa de inventario, clasificación y documentación.

Exposición reputacional

Las resoluciones de vigilancia del mercado no son procedimientos administrativos privados. Una autoridad que concluye que un sistema es incumplidor, emite una orden de retirada o multa a una empresa publicará habitualmente su decisión. En sectores en los que la confianza es una parte central de la propuesta del producto — tecnología de RR. HH., decisiones de crédito, suscripción de seguros, sanidad —, una resolución pública de ejecución es un acontecimiento que persiste en las búsquedas de Google durante años.

La dimensión reputacional es más difícil de modelizar que una multa, pero no es especulativa. El historial de la UE en la ejecución del RGPD muestra que incluso las multas en los rangos inferiores de una escala sancionadora generan una cobertura de prensa significativa y un escrutinio de los clientes. La Ley de IA implica sistemas que interactúan con el empleo, el crédito y los servicios públicos — ámbitos en los que la atención del público y de los medios al uso indebido de la IA ya es elevada. Una empresa que construye un programa de cumplimiento temprano y puede demostrar que actuaba de buena fe se encuentra en una posición estructuralmente distinta de la que no tenía documentación y recibió una orden correctora.

Cómo es, como mínimo, «no ignorarla»

El suelo de una postura de cumplimiento creíble es más bajo de lo que muchas organizaciones suponen. No requiere un organismo notificado, un encargo de consultoría de seis meses ni la certificación ISO/IEC 42001 antes de nada.

Un punto de partida práctico: construya un inventario de IA — un registro de cada sistema de IA que su organización construya o despliegue profesionalmente. Examine cada sistema con arreglo al Artículo 5 (las prohibiciones, vigentes desde febrero de 2025). Clasifique cada uno con arreglo al Artículo 6 y al Anexo III para determinar si es de alto riesgo, de riesgo limitado o de riesgo mínimo. Para cualquier sistema en un ámbito del Anexo III, inicie ahora el expediente de documentación técnica del Anexo IV, aunque sea en forma de esqueleto — empezar pronto el rastro probatorio es más barato que reconstruirlo más tarde. Y para cualquier sistema desplegado en servicios públicos, evaluación de la solvencia o seguros de vida y de salud, compruebe si se requiere una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27.

Nada de esto es opcional para las empresas con IA de alto riesgo. Pero nada de esto requiere un equipo especializado ni un año de gestión de proyectos para empezar. El cuello de botella para la mayoría de las organizaciones no es la voluntad — es la sobrecarga procedimental de hacer la clasificación y la documentación de una manera que sea exacta, coherente y defendible ante una auditoría.

Para más detalle sobre el proceso de clasificación, consulte la guía de clasificación de riesgos de la IA. Para los requisitos de documentación completos, consulte el Anexo IV y el Artículo 11. Para el panorama actual de los plazos, consulte el Ómnibus Digital y la fecha de alto riesgo de 2027.

Cómo ayuda Confir

Confir es una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas, construida para las empresas que necesitan hacer este trabajo sin un equipo de cumplimiento dedicado ni un encargo de consultoría prolongado. El motor de clasificación es determinista — las mismas entradas, el mismo resultado cada vez, sin LLM. Usted responde a escenarios en lenguaje sencillo; Confir aplica la lógica del Artículo 6 y del Anexo III y devuelve un nivel de riesgo y una determinación del rol (proveedor en virtud del Artículo 16 o responsable del despliegue en virtud del Artículo 26).

A partir de esa clasificación, Confir impulsa el flujo de trabajo de documentación estructurada: el sistema de gestión de riesgos del Artículo 9, el paquete de documentación técnica del Artículo 11 / Anexo IV, la vía de evaluación de la conformidad del Artículo 43, la declaración UE de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27 para los responsables del despliegue que cumplan los requisitos. El resultado es un paquete de documentación listo para imprimir que puede pasar directamente a una auditoría o a una respuesta de diligencia debida de contratación.

La finalidad es hacer que realizar el trabajo sea más barato que el coste de no hacerlo. El cumplimiento es el entregable; la documentación es el producto.

Empiece en confir.eu.

Preguntas frecuentes

¿Cuándo empieza realmente a aplicarse la Ley de IA de la UE a mi empresa?

Depende de qué obligaciones esté mirando. Las prohibiciones del Artículo 5 y el requisito de alfabetización en materia de IA del Artículo 4 se aplican desde el 2 de febrero de 2025 — están vigentes ahora. Las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025. Las normas de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026. Para los proveedores de sistemas de IA de alto riesgo autónomos en ámbitos del Anexo III, el plazo de cumplimiento completo es el 2 de diciembre de 2027 en virtud del Ómnibus Digital. Para la IA de alto riesgo integrada en productos regulados (Anexo I), el plazo es el 2 de agosto de 2028.

¿Puede realmente multarse a una pequeña empresa con 15 millones de euros por una infracción de IA de alto riesgo?

En la práctica, no — para una empresa genuinamente pequeña. El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al importe menor del porcentaje o la suma fija. Una empresa con 2 millones de euros de volumen de negocios anual se enfrentaría a un techo de 60 000 € por una infracción de alto riesgo (el 3 % de 2 M€), no 15 millones. El límite porcentual es la cifra pertinente para las empresas más pequeñas; el límite fijo es la cifra que muerde a las grandes organizaciones. En cualquier caso, las multas son normalmente el final de un proceso de ejecución, no el punto de partida.

¿Qué es lo primero que hará realmente un regulador si mi sistema de IA es incumplidor?

Las autoridades de vigilancia del mercado generalmente empiezan solicitando información y documentación. Están obligadas, en virtud del Artículo 79, a dar a un operador la oportunidad de adoptar medidas correctoras dentro de un plazo definido antes de escalar a restricciones o multas. La excepción es cuando un sistema presenta un riesgo grave inmediato — en ese caso, pueden imponerse medidas provisionales con rapidez. Para la mayoría de las empresas, el primer contacto realista con la ejecución es una solicitud de documentación o una orden de medidas correctoras, no una multa.

Si soy un responsable del despliegue que compra IA a un proveedor tercero, ¿tengo yo también obligaciones?

Sí. Los responsables del despliegue tienen un conjunto definido de obligaciones en virtud del Artículo 26, que incluyen verificar que la documentación del proveedor existe, aplicar medidas técnicas y organizativas apropiadas, garantizar la supervisión humana, vigilar el sistema en uso y conservar los registros durante al menos seis meses. Un responsable del despliegue que no puede demostrar que revisó el paquete de conformidad de un proveedor tiene una brecha en su propio cumplimiento del Artículo 26, con independencia de que el proveedor cumpliera realmente. La diligencia debida sobre sus proveedores de IA no es opcional.

¿Es el incumplimiento de la Ley de IA de la UE un asunto penal?

La propia Ley de IA de la UE crea multas administrativas, no responsabilidad penal. La responsabilidad penal por daños relacionados con la IA puede surgir en virtud del Derecho nacional en cada Estado miembro, en función de los hechos y del marco penal nacional aplicable. Por separado, las reclamaciones por daños causados por IA defectuosa pueden interponerse en virtud del Derecho nacional en materia de responsabilidad extracontractual y contractual, o de las normas de responsabilidad por productos defectuosos de la UE aplicables, sin referencia a la estructura sancionadora de la Ley de IA.

¿Se aplican las sanciones a las empresas no pertenecientes a la UE que venden en la UE?

Sí. La Ley de IA de la UE tiene alcance extraterritorial. Se aplica a los proveedores cuyos sistemas de IA se introducen en el mercado de la UE o se ponen en servicio en la UE, con independencia de dónde esté establecido el proveedor. También se aplica a los responsables del despliegue establecidos fuera de la UE cuando el resultado del sistema de IA se utiliza dentro de la UE. Los proveedores no pertenecientes a la UE deben designar un representante autorizado en la UE en virtud del Artículo 22. El mecanismo de ejecución se canaliza a través de las autoridades de vigilancia del mercado y, en última instancia, de los tribunales de la UE. Para más detalle sobre el ámbito territorial, consulte la guía de aplicación extraterritorial.

El plazo de alto riesgo es 2027 — ¿por qué empezar ahora?

Dos razones. Primera, las prohibiciones del Artículo 5 y la obligación de alfabetización del Artículo 4 ya están en vigor; si sus sistemas las tocan, ya va tarde. Segunda, la documentación técnica del Anexo IV para un sistema de alto riesgo complejo tarda meses en elaborarse — eso incluye el sistema de gestión de riesgos del Artículo 9, la documentación de la arquitectura, los registros de gobernanza de datos del Artículo 10, los resultados de las pruebas y la evaluación de la conformidad del Artículo 43. Empezar en octubre de 2027 para un plazo de diciembre de 2027 es el escenario que produce paquetes de documentación apresurados e incompletos que no superan las auditorías. El calendario de la documentación es el principal argumento para empezar pronto; las multas son secundarias. ---

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.

Guide

Plazos de la Ley de IA de la UE por obligación: qué debe hacer y cuándo

Plazos de la Ley de IA de la UE por obligación: Art. 4/5 (feb 2025), GPAI Art. 53 (ago 2025), Art. 50 (ago 2026), alto riesgo Anexo III (dic 2027), Anexo I (ago 2028).