Sanciones disuasorias e inteligencia artificial: la apuesta española

La regulación europea de la inteligencia artificial también avanza por la vía más clásica del derecho: la sanción. Y España no es una excepción.

Si las multas máximas previstas en el Reglamento General de Protección de Datos (RGPD) parecían elevadas, el nuevo anteproyecto de ley presentado por el Gobierno de España en enero de 2026, recoge el límite que contempla el Reglamento de IA (RIA) para las infracciones muy graves en sistemas de IA prohibidos.

En concreto, el RIA fija para las empresas infractoras una sanción máxima de 35 millones de Euros o del 7% del volumen de negocios mundial correspondiente al ejercicio anterior.

El endurecimiento sancionador parece necesario, a la vista de la gravedad del impacto de los daños que, eventualmente, pudiera provocar el uso inaceptable de determinadas inteligencias artificiales. Así lo deja claro el considerando 48 del RIA, cuando habla de la dignidad humana, del derecho a la libertad de expresión, a la privacidad, o a la protección de los menores, entre otros.

No obstante, es inevitable que se reabra el debate, de un lado, sobre el impacto de las sanciones en la innovación y competitividad de los países, tal y como pasara con la normativa de protección de datos; y, de otro lado, con la capacidad institucional para poder aplicar tales sanciones. Eso ha llevado a que ambas normas (el RGPD y el RIA) se vean afectadas por la simplificación ómnibus europea la cual, si bien va orientada a reducir cargas regulatorias, no cuestiona los importes de las sanciones.

La propuesta española

Pues bien, a lo largo de los 37 artículos que componen el nuevo Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, el Gobierno español cumple con el mandato del RIA de diseñar un régimen sancionador propio, además de prever otras medidas de ejecución no pecuniarias que se espera que sean efectivas, proporcionadas y disuasorias, con las que garantizar el efectivo cumplimiento de las obligaciones de dicho Reglamento.

Con esta iniciativa legislativa, España se prepara para establecer un marco de sanciones equilibrado, evitando el riesgo de hiper-sanción en un ecosistema tecnológico aún inmaduro y regulando el riesgo de bis in idem. Y fomentando la innovación científica y técnica a la vez que se promueve la competitividad de la industria europea.

Dentro de este nuevo escenario, es importante destacar que la norma también exige tener en cuenta las condiciones específicas de las pymes y empresas emergentes que, como viene afirmando Europa, la reducción de la carga regulatoria para este tipo de entidades es un objetivo prioritario.

Adicionalmente, se prevé que la implementación, en España, de un régimen de esta naturaleza dote de competencias sancionadoras a las autoridades de vigilancia del mercado (AVM) y demás organismos de supervisión en materia de IA.

El objetivo es el de ofrecer a estos organismos una base jurídica sobre la que poder llevar a cabo, de manera eficaz, sus actividades de supervisión e inspección. Ahora bien, si bien este extremo es fundamental, también lo será que se doten a estas entidades de recursos reales para poder ejercer tales competencias.

Volviendo al asunto del procedimiento sancionador, la actual propuesta introduce una serie de especialidades, entre las cuales destaca la de reconocer un derecho de reclamación a favor de toda persona física o jurídica que pueda sentirse afectada por un malfuncionamiento de una IA. En este sentido, se prevé que cualquier ciudadano pueda informar de forma anónima a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), la cual se encargará de centralizar la recepción de este tipo de reclamaciones, remitiéndolas, en su caso, a las autoridades competentes.

Medidas provisionales y otras

Otro aspecto destacable tiene que ver con la adopción de medidas de carácter provisional que sean necesarias para asegurar la eficacia del procedimiento sancionador, mientras se esté desarrollando el mismo.

Tales medidas deberán ser proporcionadas a la naturaleza y gravedad de las presuntas infracciones, lo que incluirá la posible retirada cautelar del producto o la desconexión o prohibición del sistema de IA en el ámbito territorial de la autoridad sancionadora cuando la continuidad del sistema de IA en el mercado implique un riesgo inaceptable para la salud o los derechos fundamentales de las personas.

La nueva propuesta normativa distingue, sin embargo, otras medidas de carácter provisional cuya adopción no exige necesariamente la existencia de infracciones, sino la mera necesidad de protección adecuada de otros derechos. Tales competencias sancionadoras específicas se atribuirán a las autoridades de vigilancia de mercado, con la finalidad de que sean estas entidades administrativas las que velen por evitar los riesgos o daños para la seguridad, la salud o los derechos fundamentales de los usuarios de IA.

Por último, se prevé un mecanismo específico en aquellos casos de comisión de una infracción leve, y cuando así lo justifiquen otras circunstancias. En estos casos, se permitirá el apercibimiento a la entidad o a la persona responsable, estableciéndose medidas pertinentes para cesar la conducta o corregir los efectos de la infracción que se hubiese producido.

En cualquier caso, a la vista de la normativa europea, parece imprescindible disponer de una norma nacional que desarrolle y complemente el régimen sancionador previsto en el Reglamento. Y que regule riesgos reales, y no riesgos percibidos.

Estamos ante una oportunidad inmejorable para que las entidades públicas y privadas, a través de la diligencia y de una auténtica cultura de cumplimiento, eviten que la sanción se convierta en el eje central de la regulación de la inteligencia artificial en España, y se mantenga -y perciba- como el último recurso.