⚠ Actualización 17 de julio de 2026: el Digital Omnibus sobre IA recibió la aprobación final del Consejo de la UE el 29 de junio de 2026 (tras el voto del Parlamento Europeo del 16 de junio: 423 a favor, 57 en contra, 174 abstenciones), pero a día de hoy sigue sin publicarse en el Diario Oficial de la UE (DOUE). Mientras no se publique, no traslada nada. En España, el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA (121/000096) cerró su plazo de enmiendas el 30 de junio de 2026 y sigue en fase de ponencia en el Congreso: no es ley todavía. Este artículo distingue con precisión qué sanción es exigible hoy y cuál depende de trámites que no han terminado.

Sanciones del AI Act y AESIA: régimen sancionador, tramos y qué puede pasar realmente desde agosto de 2026

«Multas de hasta 35 millones de euros» es la frase que más titulares ha dado al Reglamento europeo de IA, y también la que peor se explica. El régimen sancionador del AI Act no es un interruptor único que se enciende el 2 de agosto de 2026: tiene piezas activas desde 2025, piezas con fecha aún movible, y una pieza nacional —quién sanciona en España y con qué procedimiento— que hoy sigue siendo un proyecto de ley, no una ley.

Este artículo desglosa los tres tramos del artículo 99, la regla especial para pymes del 99.6, qué puede sancionar la AESIA hoy mismo y el estado real —verificado en fuentes primarias, no en la fecha que "se espera"— del Digital Omnibus y de la ley orgánica española. Si quieres saber qué normativa de cumplimiento te aplica en conjunto (AI Act, RGPD, NIS2, ENS), el asistente ¿Qué normativa me aplica? te lo resume en dos minutos.

En resumen: el AI Act (Reglamento (UE) 2024/1689, art. 99) establece tres tramos de multa: hasta 35 M€ o 7 % de la facturación global por sistemas prohibidos, hasta 15 M€ o 3 % por incumplir obligaciones de operadores (incluida la transparencia del art. 50), y hasta 7,5 M€ o 1 % por dar información falsa a la autoridad. Para pymes, el art. 99.6 aplica el importe menor de los dos, no el mayor —al revés que en el RGPD—. El capítulo de sanciones es aplicable desde el 2 de agosto de 2025, salvo el artículo 101 (multas de la Comisión a proveedores de GPAI), que espera al 2 de agosto de 2026. En España, la AESIA existe desde 2023 y gestiona el sandbox regulatorio, pero su potestad sancionadora bajo el AI Act carece hoy de la habilitación legal interna completa: la Ley Orgánica que la otorga sigue en tramitación parlamentaria, sin fecha de aprobación. El Digital Omnibus, aprobado por el Consejo el 29 de junio de 2026, sigue pendiente de publicación en el DOUE.

Todas las guías, la herramienta y los descargables del AI Act están reunidos en el centro de recursos del AI Act.

¿Qué multas puede imponer realmente el AI Act?

El artículo 99 del Reglamento (UE) 2024/1689 fija tres tramos sancionadores. La cuantía aplicable es siempre la cifra mayor entre el importe fijo en euros y el porcentaje de facturación mundial del ejercicio anterior —salvo que la empresa sea pyme, caso en el que se invierte la regla (siguiente apartado).

Tramo (art. 99) Importe máximo Qué sanciona
Art. 99.3 35.000.000 € o 7 % de la facturación mundial anual, la cifra mayor Uso de sistemas de IA prohibidos (art. 5): scoring social, manipulación subliminal, biometría en tiempo real en espacios públicos, etc.
Art. 99.4 15.000.000 € o 3 % de la facturación mundial anual, la cifra mayor Incumplir las obligaciones de proveedor, desplegador, importador, distribuidor u organismo notificado — incluida la transparencia del artículo 50 (chatbots, deepfakes) y los requisitos de alto riesgo.
Art. 99.5 7.500.000 € o 1 % de la facturación mundial anual, la cifra mayor Suministrar información incorrecta, incompleta o engañosa a un organismo notificado o a la autoridad nacional competente.

No son cifras orientativas: el texto literal del artículo 99.3 dice que la sanción será "de hasta 35 000 000 EUR o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocio total anual a nivel mundial correspondiente al ejercicio financiero anterior, si esta cuantía es superior" [1]. El mismo patrón se repite en los tramos de 15 M€/3 % y 7,5 M€/1 %. Quien incumpla la alfabetización en IA del artículo 4, o no informe de que un contenido está generado por IA, entra normalmente en el tramo del 99.4.

Si no tienes claro en qué categoría de riesgo cae tu sistema de IA —y por tanto qué tramo de sanción te podría alcanzar en caso de incumplimiento— el clasificador de riesgo AI Act te lo resuelve gratis en menos de dos minutos, sin registro.

¿Desde cuándo puede sancionar de verdad el AI Act?

Esta es la pregunta que casi nadie responde con precisión, y explica por qué "todo empieza el 2 de agosto de 2026" es una simplificación engañosa. El artículo 113 fija la aplicación general para esa fecha, pero su letra (b) adelanta la del capítulo XII —sanciones, artículos 99 a 101— al 2 de agosto de 2025, junto con el capítulo V (GPAI) y el VII (gobernanza), con una excepción dentro de la excepción: el artículo 101 —multas que la Comisión impone directamente a proveedores de GPAI— queda fuera y espera a 2026 [2].

En la práctica, el marco del artículo 99 lleva siendo formalmente aplicable desde agosto de 2025, un año antes de lo que suele repetirse. Lo decisivo no es esa fecha en sí, sino si la obligación sustantiva incumplida ya regía cuando se cometió la infracción: el artículo 5 (prohibidos), desde febrero de 2025; el capítulo V (GPAI), desde agosto de 2025; pero el artículo 50 (transparencia) y el Anexo III no se exigen hasta agosto de 2026, sin infracción sancionable antes.

Hay además un requisito que muchos análisis pasan por alto: cada Estado miembro debía tener operativo su régimen de sanciones y notificarlo a la Comisión antes de esa misma fecha de agosto de 2025 (art. 99.1). Varios Estados —España entre ellos, según el análisis jurídico disponible— no llegaron con la base legal nacional completa [3]. Es el hueco que vemos a continuación.

¿Las pymes pagan menos multa? La regla del importe menor (art. 99.6)

El AI Act incorpora una salvaguarda expresa para pymes y startups que no tiene equivalente literal en el RGPD, y funciona al revés de lo que la intuición sugiere. El artículo 99.6 establece: "en el caso de las pymes, incluidas las empresas emergentes, cada multa a que se refiere el presente artículo será de hasta el porcentaje o el importe mencionados en los apartados 3, 4 y 5, si esta cifra es inferior" [4]. Mientras que para una gran empresa se aplica la cifra mayor entre importe fijo y porcentaje, para una pyme se aplica la menor. Una microempresa de 500.000 € de facturación, en el tramo de sistemas prohibidos, no se enfrenta a "35 millones o el 7 %, lo que sea mayor" —eso sería absurdo—, sino al 7 % de su propia facturación.

Merece la pena comparar esto con el RGPD, porque son estructuralmente distintos. El artículo 83 fija dos tramos —hasta 10 M€ o 2 % (primer grupo) y hasta 20 M€ o 4 % (segundo, más grave)— y en ambos se aplica la cifra mayor [5]. El RGPD no tiene una cláusula equivalente al 99.6: el tamaño de la empresa es, como mucho, un factor de graduación dentro del mismo techo, no un techo distinto. Para verlo en euros y comparar tu exposición bajo ambos regímenes, la calculadora de sanciones RGPD es el punto de partida más directo.

¿Qué es la AESIA y qué puede hacer hoy, en julio de 2026?

La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) es la primera agencia estatal de la UE dedicada en exclusiva a la supervisión de IA. Se creó por el Real Decreto 729/2023, de 22 de agosto (BOE-A-2023-18911), con sede en A Coruña [6]. Gestiona el primer sandbox regulatorio de IA de la Unión Europea —pruebas supervisadas sin exposición sancionadora durante el periodo de prueba— y ha publicado guías de cumplimiento derivadas de ese sandbox piloto, hoy la fuente interpretativa más completa en español sobre el AI Act.

Ahora bien: hay una diferencia real entre "la AESIA existe y funciona" y "la AESIA tiene hoy toda la potestad sancionadora que el AI Act prevé para la autoridad nacional competente". El Reglamento exige designar formalmente una autoridad de vigilancia y dotarla de un régimen sancionador con la precisión que exige el principio de tipicidad (lex certa): no basta con que exista un organismo, hace falta una norma interna que tipifique infracciones con el detalle suficiente. Esa norma es la Ley Orgánica que hoy sigue en el Congreso sin aprobar; mientras tanto, el análisis jurídico disponible señala un espacio de cobertura incompleta [3]. La AEPD, por su parte, ya ha recordado que puede actuar hoy contra sistemas de IA prohibidos que traten datos personales apoyándose en el RGPD, con independencia del calendario del AI Act [7] —una vía de exposición real mientras se resuelve la específica del AI Act.

¿En qué punto está la Ley Orgánica española de IA?

El Consejo de Ministros aprobó el 26 de mayo de 2026 el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA y lo remitió a las Cortes. Quedó calificado el 8 de junio, se publicó en el BOCG (BOCG-15-A-97-1) el 12 de junio, y el plazo de enmiendas en la Comisión de Economía, Comercio y Transformación Digital se cerró el 30 de junio de 2026 [8]. A fecha de este artículo sigue en fase de ponencia, sin fecha de dictamen ni de Pleno. Falta después el Senado y la votación final de vuelta en el Congreso: es un proyecto de ley, sin fuerza normativa todavía.

El proyecto, tal y como se presentó, adapta el AI Act al derecho español: designa a la AESIA como autoridad principal (con la AEPD y el CGPJ en sus ámbitos sectoriales), da marco legal al sandbox obligatorio, obliga al sector público a inventariar su uso de IA y fija un régimen sancionador nacional en tres categorías: leves, hasta 500.000 € o 0,5 % de facturación; graves, hasta 15 M€ o 3 %; y muy graves, hasta 35 M€ o 7 %, alineadas con los techos del artículo 99 europeo [9]. Son las cifras del proyecto presentado, sujetas a enmiendas: no son derecho vigente hasta que el texto supere Pleno, Senado y BOE.

¿Qué puede pasar realmente desde el 2 de agosto de 2026 (y qué no)?

Con las dos piezas anteriores claras, el calendario se lee sin alarmismo y sin restarle importancia. Lo que se activa el 2 de agosto de 2026: la transparencia del artículo 50 se vuelve exigible y su incumplimiento entra en el tramo de 15 M€/3 %; el artículo 101 entra en aplicación, y la Comisión puede empezar a multar directamente a proveedores de GPAI de riesgo sistémico; y, salvo que el Digital Omnibus se publique antes en el DOUE, el Anexo III (cribado de CV, scoring crediticio, biometría) queda plenamente sujeto al régimen de alto riesgo.

Lo que no cambia: los sistemas prohibidos del artículo 5 ya eran sancionables desde febrero de 2025; y las obligaciones GPAI del capítulo V —salvo el art. 101 ya comentado— vienen siendo aplicables desde agosto de 2025. El Digital Omnibus, aprobado definitivamente por el Consejo el 29 de junio de 2026 tras el visto bueno del Parlamento el 16 de junio (423 a favor, 57 en contra, 174 abstenciones), trasladaría el Anexo III a diciembre de 2027 y el Anexo I a agosto de 2028, en vigor a los tres días de publicarse [10]. Pero esa publicación no se ha producido. Hasta que ocurra, la fecha que obliga sigue siendo agosto de 2026: planificar contra un aplazamiento no publicado es el tipo de atajo que sale caro en una inspección.

Para el desglose completo de fechas, la guía de calendario del AI Act y Digital Omnibus lo cubre con fuente. Si tu sistema podría entrar en el Anexo III, confírmalo en la guía de clasificación de riesgo del AI Act; si necesitas saber tu rol —proveedor, desplegador, importador— antes de calcular tu exposición, está en obligaciones por rol en el AI Act. Y si tienes un chatbot o generas contenido con IA, revisa la transparencia del artículo 50 antes del 2 de agosto; si usas ChatGPT, Gemini o Claude y no sabes si eso te hace operador downstream, lo aclara la guía de GPAI y modelos de propósito general.

Reducir tu exposición empieza por saber en qué categoría cae cada sistema que usas: el clasificador de riesgo AI Act lo resuelve en dos minutos y gratis. Si además manejas obligaciones de ciberseguridad o continuidad, el hub de cumplimiento normativo para pymes reúne AI Act, RGPD, NIS2 y ENS en un solo mapa.

Si prefieres que revisemos juntos tu exposición real —qué sistemas usas, en qué tramo caerían y qué margen de maniobra te da el artículo 99.6 como pyme— reserva una sesión de diagnóstico y lo vemos con tus datos concretos, no con supuestos genéricos. También puedes conocer el servicio de consultoría de cumplimiento del AI Act si necesitas acompañamiento continuado.

Preguntas frecuentes sobre las sanciones del AI Act y la AESIA

¿Cuánto puede costar en multas no cumplir el AI Act?

El artículo 99 del AI Act fija tres techos: hasta 35 millones de euros o el 7 % de la facturación mundial por usar sistemas prohibidos, hasta 15 millones o el 3 % por incumplir obligaciones de operador —incluida la transparencia del artículo 50—, y hasta 7,5 millones o el 1 % por dar información falsa a la autoridad. En los tres casos se aplica la cifra mayor entre el importe fijo y el porcentaje, salvo que la empresa sea pyme.

¿Las pymes tienen alguna reducción en las sanciones del AI Act?

Sí. El artículo 99.6 invierte la regla general para pymes y startups: en lugar de aplicarse la cifra mayor entre el importe fijo y el porcentaje de facturación, se aplica la cifra menor. Es una salvaguarda expresa que el RGPD no tiene de forma equivalente: en el RGPD se aplica siempre la cifra mayor, con independencia del tamaño de la empresa.

¿Qué es la AESIA y qué hace exactamente?

La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) es el organismo español designado para vigilar el cumplimiento del AI Act, con sede en A Coruña, creada por el Real Decreto 729/2023. Gestiona el sandbox regulatorio de IA y publica guías de cumplimiento. Su potestad sancionadora plena bajo el AI Act depende de la Ley Orgánica que a día de hoy sigue en tramitación en el Congreso, sin aprobar.

¿En qué fase está la ley española que regula la IA?

El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA (121/000096) fue aprobado por el Consejo de Ministros el 26 de mayo de 2026 y remitido al Congreso. El plazo de enmiendas en la Comisión de Economía, Comercio y Transformación Digital se cerró el 30 de junio de 2026, y el texto sigue en fase de ponencia, sin fecha de pleno. Después falta el trámite del Senado. No es ley vigente todavía.

¿El Digital Omnibus cambia las fechas del régimen sancionador?

El Digital Omnibus sobre IA aplaza las obligaciones de alto riesgo (Anexo III a diciembre de 2027, Anexo I a agosto de 2028), pero no toca los tramos de multa del artículo 99 ni adelanta ni retrasa la transparencia del artículo 50. Fue aprobado por el Consejo el 29 de junio de 2026, pero sigue pendiente de publicación en el DOUE: mientras no se publique, no está en vigor y las fechas que obligan son las originales del Reglamento.

Fuentes:

  1. Reglamento (UE) 2024/1689, artículo 99, apartados 3 a 5 (tramos de multa) — EUR-Lex, texto consolidado.
  2. Reglamento (UE) 2024/1689, artículo 113 (entrada en vigor y aplicación, letra b: capítulo XII aplicable desde el 2 de agosto de 2025, con excepción del artículo 101) — EUR-Lex.
  3. Análisis jurídico sobre el desfase entre la aplicabilidad del Reglamento y la habilitación legal nacional española — LAW21, "Gobernanza de la IA en España".
  4. Reglamento (UE) 2024/1689, artículo 99.6 (regla del importe menor para pymes) — EUR-Lex.
  5. Reglamento (UE) 2016/679 (RGPD), artículo 83, apartados 4 a 6 (tramos 10 M€/2 % y 20 M€/4 %) — EUR-Lex.
  6. Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la AESIA — BOE-A-2023-18911.
  7. Nota de prensa de la AEPD sobre su capacidad de actuación frente a sistemas de IA prohibidos que tratan datos personales — AEPD.
  8. Proyecto de Ley Orgánica 121/000096, para el buen uso y la gobernanza de la inteligencia artificial (BOCG-15-A-97-1) — Congreso de los Diputados.
  9. Análisis de los tramos sancionadores del proyecto de Ley Orgánica española (leve/grave/muy grave) — Cuatrecasas.
  10. Consejo de la Unión Europea, nota de prensa sobre la aprobación final del Digital Omnibus sobre IA (29 de junio de 2026) — Consilium.