Ir al contenido principal

Multas por el uso incorrecto de la IA: lo que autónomos y pymes deben saber

Escrito por Margaret en . Publicado en Derecho de empresa, Inteligencia Artificial, Inteligencia Artificial y Derecho.

La inteligencia artificial ya forma parte del trabajo cotidiano de muchas empresas.

Autónomos, comercios, despachos profesionales y pequeñas y medianas empresas utilizan herramientas como ChatGPT, Microsoft Copilot y otros sistemas de inteligencia artificial para redactar documentos, atender consultas, preparar campañas de publicidad, analizar información o mejorar sus procesos internos.

Utilizar estas herramientas no es ilegal.

Sin embargo, su uso profesional no está exento de obligaciones. El Reglamento Europeo de Inteligencia Artificial establece un sistema de responsabilidades y sanciones que también puede afectar a autónomos y pymes.

La cuestión no es solamente si una empresa utiliza inteligencia artificial, sino cómo la utiliza, para qué finalidad y qué consecuencias puede producir para sus clientes, trabajadores, candidatos o consumidores.

¿Puede multarse a una pyme por utilizar inteligencia artificial?

Sí.

Una pyme o un autónomo puede quedar sometido al Reglamento cuando utiliza un sistema de inteligencia artificial dentro de su actividad profesional.

El Reglamento denomina “responsable del despliegue” a la persona física o jurídica que utiliza un sistema de IA bajo su propia autoridad, salvo cuando se trate de una actividad exclusivamente personal y no profesional.

Esto significa que una empresa no necesita haber creado su propio sistema de inteligencia artificial para asumir responsabilidades.

Puede ser suficiente con que lo utilice para adoptar decisiones, seleccionar candidatos, evaluar trabajadores, clasificar clientes, generar contenidos o prestar servicios.

No obstante, no todos los usos de la IA tienen el mismo nivel de riesgo.

El Reglamento establece un sistema basado en el riesgo. Las obligaciones más exigentes se reservan para determinadas prácticas prohibidas y para los sistemas considerados de alto riesgo.

¿Desde cuándo se aplica el Reglamento Europeo de IA?

El Reglamento se aplica de forma progresiva.

Las disposiciones generales y las prohibiciones de determinadas prácticas de IA comenzaron a aplicarse el 2 de febrero de 2025.

Las normas relativas a las sanciones comenzaron a aplicarse el 2 de agosto de 2025.

Con carácter general, el Reglamento será aplicable desde el 2 de agosto de 2026, aunque algunas obligaciones concretas tienen fechas posteriores.

Por tanto, las empresas no deberían esperar al último momento para revisar cómo están utilizando la inteligencia artificial.

¿Qué multas establece el Reglamento Europeo de IA?

El Reglamento contempla tres niveles principales de sanciones administrativas.

1. Prácticas de inteligencia artificial prohibidas

El incumplimiento de la prohibición de determinadas prácticas de IA puede sancionarse con multas de hasta:

35 millones de euros o el 7 % del volumen de negocio mundial anual de la empresa.

Entre las prácticas prohibidas se encuentran, en determinadas circunstancias, los sistemas que manipulan el comportamiento de las personas, explotan situaciones de vulnerabilidad, realizan determinadas formas de puntuación social o utilizan sistemas biométricos prohibidos.

2. Incumplimiento de otras obligaciones del Reglamento

El incumplimiento de otras obligaciones aplicables a proveedores, responsables del despliegue, importadores, distribuidores u organismos notificados puede sancionarse con multas de hasta:

15 millones de euros o el 3 % del volumen de negocio mundial anual.

Este nivel puede afectar, entre otras cuestiones, al incumplimiento de obligaciones relacionadas con sistemas de alto riesgo, transparencia, documentación, supervisión humana o cooperación con las autoridades.

3. Información incorrecta, incompleta o engañosa

Facilitar información incorrecta, incompleta o engañosa a las autoridades u organismos competentes puede sancionarse con multas de hasta:

7,5 millones de euros o el 1,5 % del volumen de negocio mundial anual.

¿Se aplican esas cantidades también a las pymes?

El Reglamento tiene en cuenta expresamente la situación de las pequeñas y medianas empresas, incluidas las empresas emergentes.

Cuando el infractor es una pyme, el límite máximo será, en cada categoría, la cantidad menor entre:

  • el importe fijo establecido por el Reglamento; y
  • el porcentaje correspondiente de su volumen de negocio anual.

Por ejemplo, en una empresa que facture 500.000 euros al año, los límites porcentuales serían:

  • Hasta 35.000 euros por una práctica de IA prohibida: el 7 %.
  • Hasta 15.000 euros por otros incumplimientos: el 3 %.
  • Hasta 7.500 euros por facilitar información incorrecta, incompleta o engañosa: el 1,5 %.

Esto no significa que la sanción vaya a imponerse automáticamente por esas cantidades.

La autoridad competente deberá valorar las circunstancias concretas y aplicar sanciones efectivas, proporcionadas y disuasorias.

Entre otros factores, podrán tenerse en cuenta:

  • la naturaleza y gravedad de la infracción;
  • su duración;
  • el número de personas afectadas;
  • los daños producidos;
  • la intencionalidad o negligencia;
  • las medidas adoptadas para corregir el incumplimiento;
  • la cooperación con las autoridades;
  • la reincidencia;
  • y la capacidad económica de la empresa.

¿Utilizar ChatGPT puede generar una multa?

La utilización de ChatGPT, Copilot u otras herramientas similares no constituye por sí sola una infracción.

El riesgo aparece cuando la empresa utiliza la inteligencia artificial sin establecer controles adecuados o para finalidades que pueden afectar a los derechos de otras personas.

Algunos ejemplos serían:

  • introducir datos personales o información confidencial de clientes sin analizar previamente sus riesgos;
  • utilizar IA para seleccionar o descartar candidatos sin supervisión humana suficiente;
  • evaluar el rendimiento o comportamiento de los trabajadores mediante sistemas automatizados;
  • publicar imágenes, vídeos o audios manipulados sin cumplir las obligaciones de transparencia;
  • tomar decisiones relevantes basándose exclusivamente en una respuesta generada por IA;
  • utilizar herramientas que produzcan resultados discriminatorios o sesgados;
  • o permitir que el personal utilice sistemas de IA sin formación ni instrucciones internas.

Además del Reglamento Europeo de Inteligencia Artificial, pueden resultar aplicables otras normas, como el Reglamento General de Protección de Datos, la legislación laboral, la normativa de consumidores, la propiedad intelectual o los deberes de confidencialidad profesional.

La formación en inteligencia artificial también es una obligación

El Reglamento establece que los proveedores y responsables del despliegue deben adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de inteligencia artificial de las personas que utilizan estos sistemas en su nombre.

Esto no significa necesariamente convertir a todos los trabajadores en expertos técnicos.

Significa que deben comprender, de acuerdo con sus funciones:

  • Qué herramientas pueden utilizar;
  • Qué datos no deben introducir;
  • Cuáles son las limitaciones del sistema;
  • Cuándo deben revisar sus resultados;
  • Qué riesgos puede generar su uso;
  • y cuándo resulta necesaria la intervención humana.

Permitir que los trabajadores utilicen inteligencia artificial sin formación, protocolo o supervisión puede generar un riesgo innecesario para la empresa.

¿Qué debería hacer ahora una pyme?

La primera medida no consiste en prohibir la inteligencia artificial.

Consiste en conocer cómo se está utilizando realmente dentro de la organización.

Muchas empresas creen que no utilizan IA de forma relevante, cuando sus trabajadores ya la emplean para resumir documentos, redactar comunicaciones, analizar currículos, preparar presupuestos, generar imágenes o responder consultas.

Una revisión inicial debería incluir las siguientes medidas.

1. Identificar las herramientas utilizadas

La empresa debe saber qué sistemas de IA utilizan sus trabajadores, colaboradores y proveedores.

2. Analizar para qué se utilizan

No presenta el mismo riesgo utilizar IA para corregir un texto que emplearla para seleccionar trabajadores o decidir qué cliente puede acceder a un servicio.

3. Clasificar el nivel de riesgo

Debe comprobarse si el sistema encaja en una práctica prohibida, un sistema de alto riesgo, un sistema sujeto a transparencia o un uso de riesgo limitado.

4. Revisar los datos introducidos

Es necesario analizar si se incorporan datos personales, información confidencial, secretos empresariales o documentación de clientes.

5. Establecer supervisión humana

Las respuestas generadas por IA no deberían aceptarse automáticamente, especialmente cuando pueden producir consecuencias jurídicas, económicas o personales.

6. Formar al personal

Los trabajadores deben recibir instrucciones claras y proporcionadas sobre el uso permitido de la inteligencia artificial.

7. Aprobar una política interna de IA

Una política interna puede establecer qué herramientas están autorizadas, para qué finalidades pueden utilizarse y qué controles deben aplicarse.

Cumplir la normativa sin frenar la innovación

El Reglamento Europeo de Inteligencia Artificial no pretende impedir que las empresas utilicen esta tecnología.

Su finalidad es promover una inteligencia artificial segura, transparente y respetuosa con los derechos fundamentales.

Para autónomos y pymes, el cumplimiento no tiene por qué convertirse en una carga desproporcionada. Las medidas deben adaptarse al tamaño de la empresa, al tipo de actividad y al riesgo real de los sistemas utilizados.

Pero ignorar la normativa o confiar únicamente en que “todo el mundo utiliza IA” puede generar problemas jurídicos, reputacionales y económicos.

La mejor prevención consiste en revisar el uso actual de la inteligencia artificial, identificar los riesgos y establecer reglas internas claras antes de que se produzca una incidencia.

¿Cómo puede ayudarle Bennet & Rey?

En Bennet & Rey ofrecemos un servicio de diagnóstico jurídico y elaboración de protocolos para el uso responsable de la inteligencia artificial en pymes y despachos profesionales.

El servicio puede incluir:

  • identificación de las herramientas de inteligencia artificial utilizadas en la empresa;
  • análisis de los usos y riesgos jurídicos;
  • revisión del tratamiento de datos personales e información confidencial;
  • clasificación de los sistemas según su nivel de riesgo;
  • elaboración de una política interna de utilización de la IA;
  • protocolos de supervisión humana;
  • cláusulas para trabajadores, colaboradores y proveedores;
  • y recomendaciones de formación y alfabetización en materia de IA.

El objetivo no es impedir que la empresa utilice inteligencia artificial, sino ayudarla a utilizarla de forma segura, proporcionada y adaptada a su actividad.

Cada organización utiliza la IA de una manera diferente. Por ello, el primer paso debe ser realizar un diagnóstico individualizado y determinar qué medidas necesita realmente.

¿Utiliza inteligencia artificial en su empresa y no sabe si está cumpliendo la normativa?

Contacta con Bennet & Rey para solicitar un diagnóstico jurídico del uso de la inteligencia artificial.

Email: [email protected]

¿Está preparada tu empresa para el Reglamento Europeo de Inteligencia Artificial?

Escrito por Margaret en . Publicado en Derecho digital, Empresas, Inteligencia Artificial.

La inteligencia artificial ya no es una cuestión de futuro. Está en los correos que redactamos, en los chatbots que atienden clientes, en las herramientas que analizan datos, en los sistemas de selección de personal, en la publicidad, en la traducción automática, en la generación de imágenes y en muchos procesos internos de las empresas.

Pero a partir del 2 de agosto de 2026, el uso de la inteligencia artificial en la Unión Europea entra en una nueva etapa regulatoria.

El Reglamento Europeo de Inteligencia Artificial, conocido también como AI Act, será plenamente aplicable, con algunas excepciones y un calendario progresivo de aplicación.

Su objetivo no es prohibir la inteligencia artificial, sino regularla para que se utilice de forma segura, transparente y respetuosa con los derechos fundamentales.

La pregunta que muchas empresas deberían hacerse no es si usan inteligencia artificial. La verdadera pregunta es:

¿Sabemos exactamente qué herramientas de IA estamos utilizando, para qué las usamos y qué riesgos legales pueden implicar?

¿Qué es el Reglamento Europeo de Inteligencia Artificial?

El Reglamento Europeo de Inteligencia Artificial es la primera gran norma europea que regula de forma específica el uso, desarrollo y comercialización de sistemas de IA.

Su enfoque se basa en el nivel de riesgo. No todas las herramientas de IA tienen el mismo impacto ni requieren las mismas obligaciones. No es lo mismo utilizar una herramienta para corregir un texto que usar un sistema automatizado para seleccionar candidatos, valorar la solvencia de una persona, analizar datos biométricos o tomar decisiones que afecten a derechos fundamentales.

Por eso, el Reglamento distingue entre distintos niveles de riesgo:

✔️Riesgo inaceptable: sistemas de IA prohibidos.

✔️Alto riesgo: sistemas que pueden afectar a derechos, seguridad, empleo, educación, migración, infraestructuras críticas u otros ámbitos sensibles.

✔️Riesgo limitado: sistemas sujetos principalmente a obligaciones de transparencia.

✔️Riesgo mínimo: usos cotidianos con menor carga regulatoria.

¿Por qué debe preocupar a las empresas?

Muchas empresas creen que esta norma solo afecta a grandes tecnológicas o a compañías que desarrollan inteligencia artificial. Esa es una suposición peligrosa.

El Reglamento puede afectar también a empresas que utilizan sistemas de IA en su actividad diaria, aunque no los hayan creado. Por ejemplo, una empresa puede estar usando IA en:

  • selección de personal;
  • atención al cliente;
  • análisis de datos;
  • generación de contenidos;
  • marketing;
  • scoring o valoración de clientes;
  • gestión documental;
  • herramientas de productividad;
  • traducción o revisión de contratos;
  • automatización de decisiones internas.

El problema no está solo en usar IA. El problema aparece cuando se usa sin saber exactamente qué herramienta se está utilizando, qué datos se introducen, quién accede a esa información, qué decisiones se automatizan y qué impacto puede tener sobre clientes, trabajadores o terceros.

¿Qué obligaciones pueden surgir?

Las obligaciones dependerán del tipo de sistema, del papel de la empresa y del nivel de riesgo.

No tendrá las mismas obligaciones una empresa que desarrolla una herramienta de IA que una empresa que simplemente la utiliza. Tampoco será igual usar IA para redactar un borrador interno que utilizarla para tomar decisiones relevantes sobre personas.

Entre las obligaciones que pueden resultar aplicables están:

  • identificar qué sistemas de IA se utilizan en la empresa;
  • clasificar el nivel de riesgo;
  • informar cuando una persona interactúa con una IA;
  • garantizar supervisión humana;
  • documentar determinados usos;
  • revisar proveedores y contratos;
  • establecer políticas internas de uso responsable;
  • formar al personal en el uso adecuado de la IA;
  • evitar prácticas prohibidas;
  • proteger datos personales y confidenciales;
  • controlar el uso de herramientas generativas como ChatGPT, Copilot u otras similares.

Además, el Reglamento contempla sanciones relevantes. En los casos más graves, el incumplimiento de prácticas prohibidas puede conllevar multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial, la cifra que sea superior. Para otros incumplimientos, también se prevén sanciones significativas.

El error más frecuente: pensar que “solo estamos probando”

Muchas empresas están en una fase aparentemente informal: prueban herramientas, automatizan tareas, generan textos, analizan datos o incorporan asistentes de IA sin una política clara.

Pero desde el punto de vista jurídico, “estar probando” no siempre elimina el riesgo.

Si en esas pruebas se introducen datos personales, información confidencial, documentos de clientes, datos de empleados o decisiones con impacto real, la empresa puede estar generando una exposición legal innecesaria.

La inteligencia artificial puede ser una herramienta extraordinaria, pero debe utilizarse con criterio, trazabilidad y prudencia.

¿Qué debería hacer una empresa antes del 2 de agosto de 2026?

Sin necesidad de alarmismo, sí conviene empezar a trabajar de forma ordenada.

Una primera revisión debería incluir:

  1. Inventario de herramientas de IA
    Saber qué herramientas se usan, quién las usa y para qué.
  2. Clasificación del riesgo
    Determinar si el uso es de bajo riesgo, riesgo limitado o puede encajar en una categoría de alto riesgo.
  3. Revisión de datos
    Analizar si se introducen datos personales, datos sensibles, secretos empresariales o información confidencial.
  4. Política interna de uso de IA
    Establecer reglas claras para empleados y colaboradores.
  5. Revisión de proveedores
    Comprobar condiciones contractuales, protección de datos, ubicación de servidores, confidencialidad y responsabilidades.
  6. Transparencia
    Valorar cuándo hay que informar al cliente, usuario o trabajador de que está interactuando con IA o de que se ha generado contenido mediante IA.
  7. Formación
    El personal debe saber qué puede hacer con IA y qué no debería hacer.

IA sí, pero con responsabilidad

La inteligencia artificial no debe verse como una amenaza en sí misma. Bien utilizada, puede ahorrar tiempo, mejorar procesos y aumentar la productividad de una empresa.

Pero el entusiasmo tecnológico no debe sustituir al criterio jurídico.

El nuevo Reglamento Europeo de Inteligencia Artificial obliga a las empresas a pasar de la improvisación a la gestión responsable. Ya no basta con decir “usamos una herramienta”. Habrá que poder explicar qué se usa, con qué finalidad, con qué datos, bajo qué control y con qué garantías.

Conclusión

El 2 de agosto de 2026 marca una fecha clave para la aplicación del Reglamento Europeo de Inteligencia Artificial.

Las empresas que ya están utilizando IA deberían empezar a revisar sus procesos cuanto antes. No se trata de dejar de innovar, sino de hacerlo con seguridad jurídica.

En Bennet & Rey Abogados podemos ayudarte a revisar el uso de inteligencia artificial en tu empresa, identificar posibles riesgos y preparar una política interna adaptada a tus necesidades.

La inteligencia artificial puede ser una gran aliada. Pero solo si se utiliza con cabeza, transparencia y responsabilidad.

Si tienes alguna pregunta no dudes en contactar con nosotros.

Envíanos un email a: [email protected]