Ir al contenido principal

Multas por el uso incorrecto de la IA: lo que autónomos y pymes deben saber

La inteligencia artificial ya forma parte del trabajo cotidiano de muchas empresas.

Autónomos, comercios, despachos profesionales y pequeñas y medianas empresas utilizan herramientas como ChatGPT, Microsoft Copilot y otros sistemas de inteligencia artificial para redactar documentos, atender consultas, preparar campañas de publicidad, analizar información o mejorar sus procesos internos.

Utilizar estas herramientas no es ilegal.

Sin embargo, su uso profesional no está exento de obligaciones. El Reglamento Europeo de Inteligencia Artificial establece un sistema de responsabilidades y sanciones que también puede afectar a autónomos y pymes.

La cuestión no es solamente si una empresa utiliza inteligencia artificial, sino cómo la utiliza, para qué finalidad y qué consecuencias puede producir para sus clientes, trabajadores, candidatos o consumidores.

¿Puede multarse a una pyme por utilizar inteligencia artificial?

Sí.

Una pyme o un autónomo puede quedar sometido al Reglamento cuando utiliza un sistema de inteligencia artificial dentro de su actividad profesional.

El Reglamento denomina “responsable del despliegue” a la persona física o jurídica que utiliza un sistema de IA bajo su propia autoridad, salvo cuando se trate de una actividad exclusivamente personal y no profesional.

Esto significa que una empresa no necesita haber creado su propio sistema de inteligencia artificial para asumir responsabilidades.

Puede ser suficiente con que lo utilice para adoptar decisiones, seleccionar candidatos, evaluar trabajadores, clasificar clientes, generar contenidos o prestar servicios.

No obstante, no todos los usos de la IA tienen el mismo nivel de riesgo.

El Reglamento establece un sistema basado en el riesgo. Las obligaciones más exigentes se reservan para determinadas prácticas prohibidas y para los sistemas considerados de alto riesgo.

¿Desde cuándo se aplica el Reglamento Europeo de IA?

El Reglamento se aplica de forma progresiva.

Las disposiciones generales y las prohibiciones de determinadas prácticas de IA comenzaron a aplicarse el 2 de febrero de 2025.

Las normas relativas a las sanciones comenzaron a aplicarse el 2 de agosto de 2025.

Con carácter general, el Reglamento será aplicable desde el 2 de agosto de 2026, aunque algunas obligaciones concretas tienen fechas posteriores.

Por tanto, las empresas no deberían esperar al último momento para revisar cómo están utilizando la inteligencia artificial.

¿Qué multas establece el Reglamento Europeo de IA?

El Reglamento contempla tres niveles principales de sanciones administrativas.

1. Prácticas de inteligencia artificial prohibidas

El incumplimiento de la prohibición de determinadas prácticas de IA puede sancionarse con multas de hasta:

35 millones de euros o el 7 % del volumen de negocio mundial anual de la empresa.

Entre las prácticas prohibidas se encuentran, en determinadas circunstancias, los sistemas que manipulan el comportamiento de las personas, explotan situaciones de vulnerabilidad, realizan determinadas formas de puntuación social o utilizan sistemas biométricos prohibidos.

2. Incumplimiento de otras obligaciones del Reglamento

El incumplimiento de otras obligaciones aplicables a proveedores, responsables del despliegue, importadores, distribuidores u organismos notificados puede sancionarse con multas de hasta:

15 millones de euros o el 3 % del volumen de negocio mundial anual.

Este nivel puede afectar, entre otras cuestiones, al incumplimiento de obligaciones relacionadas con sistemas de alto riesgo, transparencia, documentación, supervisión humana o cooperación con las autoridades.

3. Información incorrecta, incompleta o engañosa

Facilitar información incorrecta, incompleta o engañosa a las autoridades u organismos competentes puede sancionarse con multas de hasta:

7,5 millones de euros o el 1,5 % del volumen de negocio mundial anual.

¿Se aplican esas cantidades también a las pymes?

El Reglamento tiene en cuenta expresamente la situación de las pequeñas y medianas empresas, incluidas las empresas emergentes.

Cuando el infractor es una pyme, el límite máximo será, en cada categoría, la cantidad menor entre:

  • el importe fijo establecido por el Reglamento; y
  • el porcentaje correspondiente de su volumen de negocio anual.

Por ejemplo, en una empresa que facture 500.000 euros al año, los límites porcentuales serían:

  • Hasta 35.000 euros por una práctica de IA prohibida: el 7 %.
  • Hasta 15.000 euros por otros incumplimientos: el 3 %.
  • Hasta 7.500 euros por facilitar información incorrecta, incompleta o engañosa: el 1,5 %.

Esto no significa que la sanción vaya a imponerse automáticamente por esas cantidades.

La autoridad competente deberá valorar las circunstancias concretas y aplicar sanciones efectivas, proporcionadas y disuasorias.

Entre otros factores, podrán tenerse en cuenta:

  • la naturaleza y gravedad de la infracción;
  • su duración;
  • el número de personas afectadas;
  • los daños producidos;
  • la intencionalidad o negligencia;
  • las medidas adoptadas para corregir el incumplimiento;
  • la cooperación con las autoridades;
  • la reincidencia;
  • y la capacidad económica de la empresa.

¿Utilizar ChatGPT puede generar una multa?

La utilización de ChatGPT, Copilot u otras herramientas similares no constituye por sí sola una infracción.

El riesgo aparece cuando la empresa utiliza la inteligencia artificial sin establecer controles adecuados o para finalidades que pueden afectar a los derechos de otras personas.

Algunos ejemplos serían:

  • introducir datos personales o información confidencial de clientes sin analizar previamente sus riesgos;
  • utilizar IA para seleccionar o descartar candidatos sin supervisión humana suficiente;
  • evaluar el rendimiento o comportamiento de los trabajadores mediante sistemas automatizados;
  • publicar imágenes, vídeos o audios manipulados sin cumplir las obligaciones de transparencia;
  • tomar decisiones relevantes basándose exclusivamente en una respuesta generada por IA;
  • utilizar herramientas que produzcan resultados discriminatorios o sesgados;
  • o permitir que el personal utilice sistemas de IA sin formación ni instrucciones internas.

Además del Reglamento Europeo de Inteligencia Artificial, pueden resultar aplicables otras normas, como el Reglamento General de Protección de Datos, la legislación laboral, la normativa de consumidores, la propiedad intelectual o los deberes de confidencialidad profesional.

La formación en inteligencia artificial también es una obligación

El Reglamento establece que los proveedores y responsables del despliegue deben adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de inteligencia artificial de las personas que utilizan estos sistemas en su nombre.

Esto no significa necesariamente convertir a todos los trabajadores en expertos técnicos.

Significa que deben comprender, de acuerdo con sus funciones:

  • Qué herramientas pueden utilizar;
  • Qué datos no deben introducir;
  • Cuáles son las limitaciones del sistema;
  • Cuándo deben revisar sus resultados;
  • Qué riesgos puede generar su uso;
  • y cuándo resulta necesaria la intervención humana.

Permitir que los trabajadores utilicen inteligencia artificial sin formación, protocolo o supervisión puede generar un riesgo innecesario para la empresa.

¿Qué debería hacer ahora una pyme?

La primera medida no consiste en prohibir la inteligencia artificial.

Consiste en conocer cómo se está utilizando realmente dentro de la organización.

Muchas empresas creen que no utilizan IA de forma relevante, cuando sus trabajadores ya la emplean para resumir documentos, redactar comunicaciones, analizar currículos, preparar presupuestos, generar imágenes o responder consultas.

Una revisión inicial debería incluir las siguientes medidas.

1. Identificar las herramientas utilizadas

La empresa debe saber qué sistemas de IA utilizan sus trabajadores, colaboradores y proveedores.

2. Analizar para qué se utilizan

No presenta el mismo riesgo utilizar IA para corregir un texto que emplearla para seleccionar trabajadores o decidir qué cliente puede acceder a un servicio.

3. Clasificar el nivel de riesgo

Debe comprobarse si el sistema encaja en una práctica prohibida, un sistema de alto riesgo, un sistema sujeto a transparencia o un uso de riesgo limitado.

4. Revisar los datos introducidos

Es necesario analizar si se incorporan datos personales, información confidencial, secretos empresariales o documentación de clientes.

5. Establecer supervisión humana

Las respuestas generadas por IA no deberían aceptarse automáticamente, especialmente cuando pueden producir consecuencias jurídicas, económicas o personales.

6. Formar al personal

Los trabajadores deben recibir instrucciones claras y proporcionadas sobre el uso permitido de la inteligencia artificial.

7. Aprobar una política interna de IA

Una política interna puede establecer qué herramientas están autorizadas, para qué finalidades pueden utilizarse y qué controles deben aplicarse.

Cumplir la normativa sin frenar la innovación

El Reglamento Europeo de Inteligencia Artificial no pretende impedir que las empresas utilicen esta tecnología.

Su finalidad es promover una inteligencia artificial segura, transparente y respetuosa con los derechos fundamentales.

Para autónomos y pymes, el cumplimiento no tiene por qué convertirse en una carga desproporcionada. Las medidas deben adaptarse al tamaño de la empresa, al tipo de actividad y al riesgo real de los sistemas utilizados.

Pero ignorar la normativa o confiar únicamente en que “todo el mundo utiliza IA” puede generar problemas jurídicos, reputacionales y económicos.

La mejor prevención consiste en revisar el uso actual de la inteligencia artificial, identificar los riesgos y establecer reglas internas claras antes de que se produzca una incidencia.

¿Cómo puede ayudarle Bennet & Rey?

En Bennet & Rey ofrecemos un servicio de diagnóstico jurídico y elaboración de protocolos para el uso responsable de la inteligencia artificial en pymes y despachos profesionales.

El servicio puede incluir:

  • identificación de las herramientas de inteligencia artificial utilizadas en la empresa;
  • análisis de los usos y riesgos jurídicos;
  • revisión del tratamiento de datos personales e información confidencial;
  • clasificación de los sistemas según su nivel de riesgo;
  • elaboración de una política interna de utilización de la IA;
  • protocolos de supervisión humana;
  • cláusulas para trabajadores, colaboradores y proveedores;
  • y recomendaciones de formación y alfabetización en materia de IA.

El objetivo no es impedir que la empresa utilice inteligencia artificial, sino ayudarla a utilizarla de forma segura, proporcionada y adaptada a su actividad.

Cada organización utiliza la IA de una manera diferente. Por ello, el primer paso debe ser realizar un diagnóstico individualizado y determinar qué medidas necesita realmente.

¿Utiliza inteligencia artificial en su empresa y no sabe si está cumpliendo la normativa?

Contacta con Bennet & Rey para solicitar un diagnóstico jurídico del uso de la inteligencia artificial.

Email: [email protected]