Multas de hasta 35 millones por usar IA sin control: lo que tu empresa debe hacer antes de agosto de 2026
La inteligencia artificial ya forma parte del día a día de muchas empresas: herramientas de generación de textos, análisis de datos, automatización de procesos, scoring de clientes, selección de personal, chatbots, sistemas de recomendación o soluciones de marketing predictivo. Sin embargo, lo que hasta ahora muchas compañías han tratado como una mera cuestión tecnológica empieza a convertirse en una prioridad legal.
El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, establece un nuevo marco obligatorio para empresas que desarrollen, comercialicen o utilicen sistemas de IA en la Unión Europea. Y el mensaje es claro: usar inteligencia artificial sin control, sin documentación y sin supervisión puede tener consecuencias muy relevantes.
El AI Act y las sanciones por incumplimiento
El nuevo Reglamento de IA prevé un régimen sancionador especialmente severo. Las infracciones más graves, vinculadas al uso de prácticas prohibidas de inteligencia artificial, pueden ser sancionadas con multas de hasta 35 millones de euros o hasta el 7% del volumen de negocio anual mundial de la empresa, si esta cifra fuera superior.
Además, otros incumplimientos relacionados con sistemas de alto riesgo, obligaciones de transparencia, documentación, gobernanza o información incorrecta a las autoridades también pueden dar lugar a sanciones millonarias.
Por tanto, la pregunta ya no es si una empresa puede utilizar IA, sino cómo debe hacerlo para cumplir con la normativa.
Agosto de 2026: una fecha clave para las empresas
Aunque el AI Act ya está en vigor, muchas de sus obligaciones se aplican de forma progresiva. Agosto de 2026 será una fecha especialmente relevante, ya que a partir de entonces comenzarán a desplegarse buena parte de las obligaciones generales aplicables a los sistemas de inteligencia artificial.
Esto significa que las empresas no deberían esperar al último momento. Adaptarse al Reglamento de IA exige revisar herramientas, contratos, proveedores, flujos internos, políticas de uso, medidas de supervisión humana, documentación técnica y posibles impactos en derechos fundamentales.
En la práctica, muchas compañías ya están usando IA sin haber hecho un inventario mínimo de herramientas, sin saber qué datos se introducen en ellas, sin comprobar si existen transferencias internacionales, sin analizar riesgos de protección de datos y sin regular internamente quién puede utilizar estos sistemas y para qué finalidades.
Qué debe hacer una empresa antes de agosto de 2026
El primer paso es realizar un mapa interno de usos de inteligencia artificial. La empresa debe identificar qué herramientas utiliza, en qué departamentos, con qué finalidad, qué datos se tratan, quién es el proveedor y si el sistema puede afectar a clientes, empleados, candidatos, consumidores o usuarios.
El segundo paso es clasificar los sistemas de IA según su nivel de riesgo. No es lo mismo utilizar una herramienta de apoyo para redactar textos internos que emplear un sistema automatizado para seleccionar candidatos, evaluar solvencia, perfilar consumidores o tomar decisiones que afecten significativamente a personas.
El tercer paso es revisar la documentación legal y contractual. Es necesario comprobar condiciones de uso, contratos con proveedores, cláusulas de protección de datos, garantías de confidencialidad, propiedad intelectual, responsabilidad, seguridad y uso de la información introducida en el sistema.
El cuarto paso es aprobar una política interna de uso de IA. Esta política debe indicar qué herramientas están autorizadas, qué usos están prohibidos, qué datos no pueden introducirse, qué controles deben aplicarse y cuándo debe intervenir el equipo legal o de cumplimiento.
IA, protección de datos y derecho digital: un análisis conjunto
Uno de los errores más habituales es analizar la inteligencia artificial solo desde una perspectiva tecnológica. En realidad, muchos usos de IA afectan directamente a protección de datos, propiedad intelectual, consumidores, publicidad, contratación, confidencialidad, ciberseguridad y responsabilidad empresarial.
Por ejemplo, introducir datos personales de clientes en una herramienta de IA sin revisar las condiciones del proveedor puede implicar un incumplimiento del RGPD. Utilizar IA para generar contenidos comerciales puede plantear riesgos en materia de publicidad engañosa o propiedad intelectual. Automatizar decisiones sobre personas puede exigir transparencia, supervisión humana y evaluación previa de impacto.
Asesoramiento legal en inteligencia artificial para empresas
En Letslaw ayudamos a empresas a prepararse para el nuevo marco regulatorio de la inteligencia artificial, combinando nuestra experiencia en derecho digital, protección de datos, tecnología, contratación mercantil, propiedad intelectual y compliance regulatorio.
Nuestro asesoramiento incluye la revisión legal de herramientas de IA, elaboración de políticas internas de uso, análisis de riesgos, adaptación contractual, revisión de proveedores tecnológicos, cumplimiento del AI Act y coordinación con las obligaciones del RGPD.
La inteligencia artificial puede ser una gran oportunidad para las empresas, pero solo si se utiliza con control, criterio jurídico y una estrategia de cumplimiento adecuada. Agosto de 2026 está más cerca de lo que parece. Las compañías que empiecen ahora llegarán preparadas; las que esperen, asumirán riesgos innecesarios.
Midiala Fernández es abogada especialista en propiedad intelectual, derecho de las nuevas tecnologías y protección de datos.
Desde 2019 asesora en materias como comercio electrónico, marketing digital, publicidad, competencia desleal y ciberseguridad. Es graduada en Derecho por la Universidad Complutense de Madrid y cuenta con formación de posgrado en derecho y compliance TIC por la Universidad Camilo José Cela.
Artículos Relacionados
Prácticas ilícitas en el contexto de la publicidad ¿cómo saber si un anuncio vulnera la legalidad?
La propiedad intelectual y los indicativos de calidad: las denominaciones de origen y las indicaciones geográficas
The law on the digital transformation of the financial system (sandbox) has been approved
Abogados y GDPR. ¿Cómo nos afecta laboralmente?
Disciplinary proceedings against X for possible non-compliance with advertisements published by unauthorized entities
Can teleworkers have an accident at work outside the «workplace»?