LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi LA LEY, por y para profesionales del Derecho

11/06/2026. 11:08:48
11/06/2026. 11:08:48

LegalToday

Por y para profesionales del Derecho

InicioLegaltech

Sanciones del AI act: más altas que el RGPD, y nadie está listo

Dianet Jardines Galcerán, consultor legal de ciberseguridad. Castro Alonso.
  • Quien espere a la primera multa sonada para ponerse en marcha estará repitiendo el error más caro de 2018, pero con un precio mayor

Este artículo ha sido publicada en el número 1029 de Actualidad Jurídica Aranzadi (AJA), regístrate una vez en este enlace y recibirás una comunicación con cada número desde la que podrás acceder a la revista en Legalteca.

Imaginemos la escena: un socio del despacho se asoma al despacho del asociado más joven y le pregunta, entre reunión y reunión, si ya han «hecho lo del AI Act». El asociado levanta la vista del contrato que está revisando con ayuda de su asistente de IA y responde que está en ello. Ninguno de los dos sabe exactamente en qué categoría de riesgo cae esa herramienta. Ninguno lo ha clasificado. Y los dos tienen razón en estar incómodos, porque el Reglamento de Inteligencia Artificial lleva en vigor más tiempo del que la mayoría quiere recordar.

El error que ya cometimos con el RGPD

Todos recordamos el caos de mayo de 2018. Los despachos y departamentos jurídicos de toda Europa llegaron tarde, a medio hacer o directamente sin cumplir con el RGPD, pese a contar con dos años de vacatio legis. Lo que siguió fueron multas, litigios y una carrera por ponerse al día que costó mucho más de lo que habría costado anticiparse, y que aún hoy continúa. El AI Act —Reglamento (UE) 2024/1689— reproduce el mismo patrón: plazos escalonados, obligaciones complejas y un nivel de preparación corporativa que, comparado con el de 2018, es sensiblemente peor. Y eso que las sanciones son más altas.

Los números que incomodan

El AI Act sanciona hasta con el 7 % de la facturación mundial anual para las infracciones más graves —sistemas que manipulan conductas, explotan vulnerabilidades o realizan puntuación social—. El RGPD, en su tramo máximo, llega al 4 %. La referencia que durante años fue el estándar más exigente que conocíamos ya no lo es. Para otros incumplimientos, el Reglamento fija hasta 15 millones de euros o el 3 % de la facturación, y hasta 7,5 millones para información incorrecta a las autoridades. Son cifras que hacen que el debate sobre si cumplir o no sea, sencillamente, un mal negocio.

Y los plazos no son una promesa lejana. Las prohibiciones absolutas son exigibles desde febrero de 2025. Las obligaciones para quienes integran modelos de IA de uso general en sus flujos de trabajo —eso incluye a casi cualquier despacho o empresa que use herramientas como asistentes de redacción, análisis documental o gestión de contratos— están en vigor desde agosto de 2025. Las obligaciones para sistemas de alto riesgo, que afectan a sectores como el jurídico, el sanitario o la selección de personal, entran en agosto de 2026. Dos fechas ya han pasado.

¿Qué toca hacer ahora?

Lo primero y más urgente es clasificar los sistemas. Toda organización que use, integre o comercialice un sistema de IA debe determinar en qué categoría cae según el Anexo III del Reglamento. De esa clasificación depende todo lo demás: desde el simple registro hasta la auditoría de conformidad o la elaboración de documentación técnica. Es un ejercicio que lleva tiempo y que, si no se ha empezado, conviene empezar hoy.

Lo segundo es revisar los contratos con proveedores. El AI Act distribuye responsabilidades entre proveedores y desplegadores, pero los contratos de adhesión de los grandes proveedores tecnológicos no contemplan esa distribución con la precisión que el Reglamento exige. Asumir que el proveedor responde de todo es un error que puede salir muy caro. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA), operativa en A Coruña desde 2024 y con capacidad inspectora plena, ya ha iniciado sus primeras actuaciones de orientación sectorial. No es una autoridad en construcción: está lista.

La pregunta incómoda

La próxima vez que uses un asistente de IA para redactar un contrato, analizar jurisprudencia o filtrar candidatos, hazte esta pregunta: ¿sabes en qué categoría de riesgo lo has clasificado? ¿Tienes documentado quién responde si falla? Si la respuesta es no, ya tienes por dónde empezar. Y si la respuesta es que nadie en tu organización se lo ha preguntado todavía, mejor que alguien lo haga antes de que lo pregunte la AESIA.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

OTROS CONTENIDOS DE INTERÉS

    Pillar Two’s First Filing Season: When Global Tax Reform Meets Administrative Reality
    ¿Tienes derecho a compensación si un piloto enferma en vuelo? Un caso español te lo explica.
    ¿Puede una empresa sancionar a un trabajador que no entrega el parte de baja ni avisa de su ausencia?

RECOMENDAMOS

CONTACTO     AVISO LEGAL     QUIÉNES SOMOS     MAPA WEB     POLÍTICA DE COOKIES     GESTIONAR COOKIES     POLÍTICA DE PRIVACIDAD        © Aranzadi LA LEY
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en tu navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. Estas cookies no requieren el consentimiento del usuario. También utilizamos cookies de terceros: analíticas, que nos ayudan a analizar y comprender cómo utilizas este sitio web, y publicitarias, para generar audiencias y ofrecer publicidad personalizada a través de los hábitos de navegación de los usuarios. Estas cookies se almacenarán en tu navegador solo con tu consentimiento. También tienes la opción de optar por no recibir estas cookies. La exclusión voluntaria de algunas de estas cookies puede afectar a tu experiencia de navegación.