logo Lawwwing
Inicia sesión Empieza Gratis

¿Qué pasa el 2 de agosto si tu web no cumple el Reglamento IA?

El 12 de julio de 2024 se publicó el Reglamento (UE) 2024/1689, más conocido como el AI Act o Reglamento de Inteligencia Artificial. Es la primera norma que regula cómo se puede desarrollar, comercializar y usar la inteligencia artificial dentro del ámbito de la Unión Europea.   El 2 de agosto de 2026 es la fecha […]
Legal Lawwwing
22 de junio de 2026

El 12 de julio de 2024 se publicó el Reglamento (UE) 2024/1689, más conocido como el AI Act o Reglamento de Inteligencia Artificial. Es la primera norma que regula cómo se puede desarrollar, comercializar y usar la inteligencia artificial dentro del ámbito de la Unión Europea.  

El 2 de agosto de 2026 es la fecha que se ha establecido para su entrada en vigor. Por ello, si tu e-commerce incorpora algún tipo de inteligencia artificial, resulta fundamental identificar qué requisitos legales debes cumplir, qué prácticas están expresamente prohibidas y cómo puede impactar la nueva normativa en tu actividad digital.

Pero más allá de las obligaciones que impone el AI Act, conviene prestar especial atención al régimen sancionador previsto por el Reglamento, ya que su incumplimiento puede dar lugar a importantes consecuencias económicas y reputacionales para las empresas afectadas.

En este artículo vamos a profundizar en esta cuestión y analizaremos las consecuencias de los posibles incumplimientos del Reglamento de Inteligencia Artificial que se pueden producir en la web de tu e-commerce. 

1. Las obligaciones de transparencia

El Reglamento (UE) 2024/1689 establece un conjunto de obligaciones de transparencia que serán de cumplimiento obligatorio para los responsables del despliegue de determinados sistemas de IA, categoría donde se encuadra cualquier tipo de empresa que integre en su plataforma herramientas de inteligencia artificial desarrolladas por terceros. 

Y hoy en día, la mayoría de e-commerce cuentan con alguna herramienta desarrollada con IA, por ejemplo los sistemas de chat automatizado, los motores de recomendación personalizados, los generadores de contenido de producto o las herramientas de análisis de comportamiento. Por lo tanto, es importante tener en cuenta las obligaciones de identificación del uso de IA de la página web de tu que las herramientas desarrolladas con IA de tu web van a tener que cumplir:

  1. El chatbot debe identificarse
  2. Identificar visiblemente el contenido generado por IA, los deepfakes y contenidos manipulados con IA
  3. Notificar el uso de sistemas de reconocimiento de emociones deben notificarse

2. Herramientas para los afectados

2.1. ¿Quién puede reclamar?

Bajo el RIA pueden presentar reclamaciones: 

  1. Cualquier persona física o jurídica. Toda persona o entidad que tenga motivos para considerar que se ha producido una infracción del Reglamento tiene el derecho de presentar una reclamación ante la autoridad de vigilancia del mercado pertinente
  1. Proveedores posteriores: Específicamente en el caso de los modelos de IA de uso general, estos proveedores tienen derecho a presentar reclamaciones ante la Oficina de IA por posibles infracciones cometidas por los proveedores de dichos modelos.

El Proyecto de Ley Orgánica español adapta y concreta estos mecanismos de la siguiente forma y establece que pueden presentar reclamaciones:

  1. Cualquier persona física o jurídica. Para facilitar este proceso, la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) debe establecer un sistema de ventanilla única. Una vez recibida la queja, la AESIA tiene un plazo de 10 días hábiles para remitirla a la autoridad de vigilancia competente.
  2. Otras autoridades de supervisión: Si otras autoridades (como la AEPD o autoridades sectoriales) advierten indicios de infracción en el ejercicio de sus funciones, deben ponerlo en conocimiento de la autoridad de vigilancia del mercado competente.

2.2 ¿Qué mecanismos de tutela existen?

Las sanciones administrativas no son el único riesgo. El RIA refuerza los mecanismos de tutela individual de los ciudadanos.

  • Derecho a explicación. Las personas afectadas por decisiones adoptadas por sistemas de IA de alto riesgo tienen derecho a obtener del responsable del despliegue explicaciones sobre el papel que la IA tuvo en esa decisión. En el e-commerce, esto aplica especialmente a sistemas de evaluación de solvencia para el acceso a financiación o a decisiones automatizadas sobre precios.
  • Derecho de reclamación ante las autoridades. Cualquier persona física o jurídica que tenga motivos para considerar que se ha infringido el AI Act puede presentar una reclamación ante la autoridad de vigilancia del mercado.  En estos casos, no hace falta ser víctima directa de un perjuicio económico y por lo tanto, se abre la puerta a reclamaciones de organizaciones de consumidores, asociaciones de derechos digitales o usuarios individuales.
  • Responsabilidad civil. El AI Act no crea por sí mismo un régimen de responsabilidad civil, pero señala que son aplicables los derechos y las vías de recurso de los consumidores y afectados en lo que respecta a la reparación de los posibles daños. 
  • Protección de denunciantes. El Reglamento remite expresamente a la Directiva (UE) 2019/1937 sobre protección de whistleblowers. Las personas que informen sobre infracciones del Reglamento quedan protegidas por el Derecho de la Unión, lo que garantiza canales seguros para denunciar malas prácticas sin temor a represalias. Por lo tanto, los empleados, contratistas o cualquier persona que informe de infracciones del AI Act se encuentran protegidos frente a represalias, lo que aumenta la probabilidad de que las infracciones afloren desde dentro de las propias organizaciones.

El Proyecto de Ley español propone el ejercicio de estos derechos mediante las siguientes herramientas:

  • Ventanilla Única de Reclamaciones. Para simplificar el proceso, la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) debe establecer un sistema centralizado donde cualquier persona pueda presentar su queja
  • Protección del informante. Se integra el mecanismo de protección de la Ley 2/2023 para quienes comuniquen infracciones en un contexto laboral o profesional, garantizando la confidencialidad y el apoyo de la Autoridad Independiente de Protección del Informante

3. Las sanciones del Reglamento IA: las consecuencias del incumplimiento del Reglamento IA

Uno de los aspectos que más preocupa a las empresas es el régimen sancionador previsto por el AI Act. A diferencia de otras normas que se limitan a establecer principios generales, el Reglamento de Inteligencia Artificial incorpora un sistema sancionador detallado y con multas que pueden alcanzar cuantías muy elevadas. 

3.1. ¿Quién vigila el cumplimiento en España?

El AI Act encomienda la vigilancia a las autoridades nacionales competentes de cada Estado Miembro, que se deben designar y comunicar a la Comisión. En nuestro caso, la legislación aún no es definitiva pero podemos entrever cuál va a ser el sistema de control del cumplimiento del RIA a través del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Se tiene que destacar que se establece un sistema descentralizado de supervisión, designando a diferentes organismos como autoridades de vigilancia del mercado. A continuación, vamos a detallar las competencias asignadas específicamente a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y a la Agencia Española de Protección de Datos (AEPD).

  1. Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
    La AESIA actúa como la autoridad principal y, en muchos casos, por defecto para la supervisión de la IA en España. La AESIA será la autoridad de vigilancia del mercado en los siguientes sistemas de IA: 
  • los que realicen prácticas de IA prohibidas: sistemas que utilicen técnicas subliminales, exploten vulnerabilidades de personas, realicen clasificaciones de personas o colectivos o infieran emociones en ámbitos laborales y educativos. 
  • sistemas de IA de alto riesgo descritos en el RIA en sectores como infraestructuras de suministro de agua, gas y electricidad; educación y formación profesional, empleo y gestión de trabajadores y servicios y prestaciones esenciales, equipos radioeléctricos.
  • obligaciones de transparencia del artículo 50 del RIA 
  • obligaciones no asignadas expresamente a otra autoridad. Por lo tanto, será la autoridad competente por defecto. 
  1. Agencia Española de Protección de Datos
    La AEPD (junto con las autoridades autonómicas de protección de datos en su ámbito) asume competencias en áreas donde el tratamiento de datos sensibles y la biometría son fundamentales. La AEPD será la autoridad de vigilancia del mercado en los siguientes sistemas de IA: 
  • los que realicen prácticas de IA prohibidas: sistemas que creen bases de datos de reconocimiento facial mediante extracción no selectiva de imágenes faciales de internet o que clasifiquen biométricamente a personas por datos sensibles (raza, opiniones políticas, orientación sexual, convicciones religiosas  etc.)
  • sistemas de alto riesgo de identificación biométrica remota y categorización biométrica, salvo cuando se utilicen específicamente para el cumplimiento del derecho, justicia o procesos democráticos
  • sistemas de IA utilizados en el ámbito de la migración, asilo y gestión del control fronterizo, incluyendo el uso de sistemas de reconocimiento de emociones en este contexto.  
  1. Cooperación y auxilio entre AESIA y AEPD
  • Si una autoridad comunica a la AESIA que carece de medios técnicos o humanos para supervisar sistemas de IA, la AESIA asumirá tales funciones de manera temporal.
  • La AESIA tiene la potestad de prestar asistencia técnica y apoyo en la tramitación de expedientes a otras autoridades de vigilancia (como la AEPD), siempre que se instrumente mediante convenio y no afecte a la independencia de dichas autoridades. 

3.2. Procedimiento sancionador de la AESIA 

La AESIA puede empezar a investigar por iniciativa propia o porque recibe una denuncia de un ciudadano, una empresa o una asociación

  1. Inicio del procedimiento
    • Por denuncia. El AI Act reconoce expresamente el derecho de cualquier persona física o jurídica a presentar una reclamación ante la autoridad competente si considera que se ha infringido el Reglamento, en nuestro caso se tendría que presentar ante la AESIA. Un cliente que no fue informado de que estaba hablando con una IA, un usuario que recibió contenido generado sin etiqueta o alguien que fue objeto de una decisión automatizada sin explicación puede activar una investigación con una denuncia formal.
    • Actuaciones de oficio. La AESIA no solo reacciona a solicitudes o consultas externas, sino que cuenta con una estructura diseñada para la vigilancia proactiva del ecosistema de inteligencia artificial, permitiéndole iniciar procedimientos cuando detecte riesgos o incumplimientos de forma autónoma. atribuye a la Agencia funciones de inspección, comprobación y sanción de acuerdo con la normativa europea y nacional aplicable. Esta capacidad de inspección es la base para detectar infracciones sin necesidad de una denuncia previa. 
  1. Fase de instrucción y supervisión 
    El Departamento de certificación, instrucción y supervisión es el encargado de hacer el trabajo técnico. Investiga el sistema de inteligencia artificial, analiza si incumple la ley y propone las medidas o multas necesarias
  1. Fase de valoración jurídica. Una vez terminada la fase de instrucción, el expediente pasa a la Secretaría General, concretamente a la División Jurídica y de relaciones institucionales que se encarga de recibir y valorar los expedientes instruidos y elaborar la propuesta de resolución sancionadora, asegurando que se ajuste a la normativa reguladora de infracciones en materia de IA. 
  1. Resolución y agotamiento de la vía administrativa. La competencia final para resolver los expedientes sancionadores corresponde a la persona titular de la Dirección de la Agencia. Es importante destacar que los actos y resoluciones dictados por la Dirección en el ejercicio de estas funciones públicas agotan la vía administrativa. Esto significa que, una vez dictada la resolución por la Dirección, no cabe recurso ante un órgano administrativo superior (salvo en materia tributaria), pudiendo el interesado acudir directamente a la jurisdicción contencioso-administrativa

4. Tipos de sanciones

La severidad de la sanción dependerá del tipo de incumplimiento cometido y del riesgo que esté presente para los derechos de las personas y para los objetivos perseguidos por la norma. El artículo 99 del RIA establece un esquema sancionador articulado en tres niveles, en función de la gravedad de la infracción.

Tramo 1 – Prácticas prohibidas 

La infracción más grave es la que el Reglamento sanciona con mayor contundencia: violar alguna de las prohibiciones absolutas. Entre ellas se encuentran la manipulación subliminal de usuarios para la toma de sus decisiones, el aprovechamiento de vulnerabilidades para alterar comportamientos de compra, los sistemas de puntuación social y la categorización biométrica para inferir datos sensibles.

El límite máximo es de 35.000.000 euros o el 7% del volumen de negocios mundial anual aplicando la cifra que sea superior. Es el mismo mecanismo que el RGPD, pero con un porcentaje superior, ya que el RGPD llega hasta el 4% del volumen de negocios.

Tramo 2 – Incumplimiento de obligaciones generales 

En este segundo tramo se encuentran las infracciones que sin ser las más graves siguen siendo relevantes. Destacan especialmente para el ecommerce:

  • El incumplimiento de las obligaciones del responsable del despliegue: deber de usar el sistema conforme a las instrucciones del proveedor, vigilar su funcionamiento, suspenderlo si presenta riesgos e informar de incidentes.
  • El incumplimiento de las obligaciones de transparencia: no identificar el chatbot como IA, no informar de sistemas de reconocimiento de emociones, no etiquetar contenido generado artificialmente.

Para estos incumplimientos las sanciones son de hasta 15 millones de euros o el 3% de la facturación mundial aplicando la cuantía más elevada de entre ellas. 

Tramo 3 – Información inexacta a las autoridades

Si durante una investigación se facilita información incorrecta, incompleta o engañosa a las autoridades competentes, el Reglamento contempla multas de hasta 7.500.000 euros o el 1% del volumen de negocios mundial. Este tramo existe como desincentivo frente a la tentación de ocultar o minimizar el alcance de una infracción durante el procedimiento.

4.1. Factores para graduar la sanción

Se enumeran diversos factores que las autoridades deben considerar al fijar la cuantía concreta de la multa. 

  • Naturaleza, gravedad y duración de la infracción y sus consecuencias.
  • Si el operador ha sido sancionado previamente por la misma falta por otras autoridades.
  • El grado de cooperación para subsanar la infracción y mitigar daños.
  • La intencionalidad o negligencia.
  • Las medidas técnicas y organizativas que el operador ya hubiera aplicado para evitar riesgos.
  • Si el propio operador notificó la infracción y en qué medida lo hizo.

El Reglamento incentiva expresamente la transparencia proactiva: comunicar un problema detectado puede reducir de forma significativa la sanción final.

4.2. Más allá de las multas: las sanciones no económicas

El régimen sancionador del Reglamento no solo se limita a la imposición de multas sino que prevé otras consecuencias que pueden resultar perjudiciales para los e-commerce. 

  • Restricción. La restricción es una medida que busca limitar la disponibilidad de un sistema de IA sin llegar a vetarlo por completo. Se trata de imponer límites a la comercialización o a la puesta en servicio. Esta medida tiene lugar ante incumplimientos que no han sido subsanados. 
  • Prohibición. Es la medida más severa de control del mercado y consiste en impedir por completo que el sistema de IA sea comercializado o puesto en servicio. Esta medida se aplica cuando el operador no adopta las medidas correctoras exigidas en el plazo otorgado. 
  • Retirada del sistema del mercado. Es la medida que afecta a los sistemas ya fabricados e introducidos en el mercado, pero que aún no han llegado al usuario final (al encontrarse en almacenes de distribuidores o importadores), con el objetivo de detener su distribución antes de que sean utilizados por los responsables del despliegue. Las autoridades de vigilancia del mercado tienen potestad para ordenar la retirada inmediata de un sistema de IA que no cumpla los requisitos. Para un ecommerce, esto puede significar la desactivación obligatoria de un chatbot, un motor de recomendaciones o cualquier otra funcionalidad que constituya una ventaja competitiva. Además, esta medida puede ejecutarse con carácter cautelar, antes incluso de que se resuelva el expediente sancionador.
  • Recuperación de un sistema de IA. Son las medidas encaminadas a conseguir la devolución al proveedor de un sistema de IA que ya había sido puesto a disposición de los responsables del despliegue, o bien a desactivar su uso de forma remota. Estas medidas afectan a los sistemas que ya están siendo operados por el usuario final, con el objetivo de eliminar el riesgo de un sistema que ya está en funcionamiento. 
  • Advertencias. El Reglamento menciona expresamente que el régimen incluye advertencias que pueden adoptar diversas formas y que sirven como un aviso formal ante un incumplimiento antes de recurrir a las multas administrativas más graves. 
  • Publicidad de las sanciones. Los Estados Miembros están obligados a informar anualmente a la Comisión de las multas impuestas, y las resoluciones sancionadoras suelen hacerse públicas. En el mercado del e-commerce, donde la confianza del consumidor es un activo central, una sanción pública por manipulación algorítmica puede ser más costosa que la propia multa.
  • Acumulación con sanciones del RGPD. Cuando la infracción del AI Act implica también una vulneración del RGPD las autoridades pueden iniciar procedimientos paralelos. Esto puede ocurrir en muchos casos relacionados con el uso de datos biométricos, perfiles de comportamiento o sistemas de recomendación. Es cierto que el Reglamento reconoce el principio de non bis in idem para evitar doble sanción por un mismo hecho, pero cuando las infracciones son jurídicamente distintas aunque deriven de los mismos hechos, la acumulación es posible y el importe total puede ser considerable.

4.3. Las pymes y startups: proporcionalidad pero no exención

El Reglamento introduce una regla específica para las pymes y empresas emergentes: la multa será el menor de los importes posibles, ya sea el porcentaje sobre facturación o el importe fijo máximo del tramo. Pero esto no es una exención sino tan solo proporcionalidad, porque una empresa que infrinja las prohibiciones absolutas seguirá recibiendo una sanción significativa en relación a su tamaño.

Nuestra solución: AI Sentinel de Lawwwing

Adaptarse a las exigencias del AI Act antes de que resulten plenamente aplicables no solo permite reducir el riesgo de sanciones, sino también anticiparse a un entorno digital en el que la transparencia tendrá cada vez más relevancia. A medida que aumente el uso de sistemas de inteligencia artificial en páginas web y comercios electrónicos, los usuarios valorarán con mayor atención cómo se generan los contenidos y qué papel desempeñan las herramientas automatizadas en su experiencia de navegación.

En este contexto, informar de manera clara sobre la utilización de sistemas de IA, explicar sus funciones y garantizar una supervisión adecuada puede contribuir a reforzar la confianza de clientes y usuarios. Más allá de una obligación legal, la transparencia se perfila como un elemento diferenciador en las relaciones digitales.

Por ello, resulta recomendable analizar con antelación el grado de cumplimiento de la página web o del e-commerce y adoptar las medidas necesarias para ajustarse a las obligaciones previstas por el Reglamento. Una preparación temprana facilita la adaptación a los nuevos requisitos y reduce la incertidumbre ante un marco regulatorio cada vez más exigente.

En sitios web con un volumen elevado de contenidos, imágenes o actualizaciones frecuentes, la supervisión manual de todos los elementos que puedan estar sujetos a las obligaciones del AI Act puede resultar compleja. Herramientas como AI Sentinel de Lawwwing escanean automáticamente tu web, detectan contenido generado por IA con una precisión superior al 98% y mantienen tus textos legales actualizados según los cambios normativos de la UE

Blog

Consulta artículos relacionados

Las empresas confían en Lawwwing para asegurar su cumplimiento legal, manteniendo sus documentos actualizados y evitando sanciones.
cross