Artículo 99 de la Ley de IA de la UE: sanciones, multas y el marco de tres tramos

El Artículo 99 del Reglamento (UE) 2024/1689 es donde las facultades de ejecución de los Estados miembros se convierten en cifras concretas. Se aplican tres tramos de multas administrativas, cada uno expresado como «si esta última cifra es mayor» entre una cantidad fija en euros y un porcentaje del volumen de negocios anual mundial total del ejercicio anterior. Para las grandes empresas, el porcentaje casi siempre muerde con más fuerza que el tope fijo. Para las empresas más pequeñas, el Artículo 99, apartado 6, invierte por completo esa lógica. Comprender qué tramo se aplica a qué obligación —y a qué agente— es el primer paso para calibrar su exposición real.

Las disposiciones sancionadoras se aplican desde el 2 de agosto de 2025, la misma fecha en que entraron en vigor las obligaciones de GPAI y las estructuras de gobernanza de la Ley de IA de la UE.

---

Los tres tramos de multa de un vistazo

Una cifra que puede haber visto en otros lugares —«30 millones de euros o el 6 %»— no existe en la Ley. Hay exactamente tres tramos. Las cifras anteriores son las correctas.

---

Artículo 99, apartado 3: el tramo de la prohibición del Artículo 5

Las infracciones del Artículo 5 —las prácticas prohibidas— acarrean las sanciones más elevadas: hasta 35 000 000 € o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. El Artículo 5 se aplica desde el 2 de febrero de 2025, por lo que la ejecución contra estas infracciones ya está activa.

Las seis categorías prohibidas incluyen: sistemas de IA que utilizan técnicas subliminales o manipuladoras que causan un perjuicio significativo; la explotación de grupos vulnerables; la puntuación social por parte de autoridades públicas; la identificación biométrica remota en tiempo real en espacios de acceso público (con tres excepciones acotadas para la garantía del cumplimiento del Derecho); la categorización biométrica que infiere atributos sensibles; y el reconocimiento de emociones en los lugares de trabajo o en los centros educativos.

Para una empresa con un volumen de negocios anual de 600 millones de euros, el 7 % = 42 millones de euros, que supera el tope fijo de 35 millones de euros. La autoridad impone 42 millones de euros. No existe ningún techo que proteja a las grandes empresas del cálculo porcentual —ese es el sentido de la estructura «si esta última cifra es mayor».

Estas infracciones son absolutas. La intencionalidad, la mitigación parcial y los programas de cumplimiento de buena fe pueden influir en dónde, dentro del tramo, se sitúa la multa, pero no pueden reducir el propio tramo.

---

Artículo 99, apartado 4: incumplimiento de las demás obligaciones

El tramo intermedio —15 000 000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor— cubre el incumplimiento de obligaciones distintas del Artículo 5. Aquí es donde se concentrará la mayoría de las acciones de ejecución, porque abarca la pila completa de requisitos de la IA de alto riesgo y los deberes de la cadena de suministro.

Las obligaciones explícitamente comprendidas en este tramo incluyen:

• Artículo 16 — obligaciones del proveedor (la lista global de deberes de los proveedores)
• Artículo 22 — representantes autorizados de los proveedores
• Artículo 23 — obligaciones del importador
• Artículo 24 — obligaciones del distribuidor
• Artículo 26 — obligaciones del responsable del despliegue
• Artículo 50 — transparencia de la IA de riesgo limitado (chatbots, ultrafalsificaciones, reconocimiento de emociones, contenido sintético)

Los requisitos técnicos de alto riesgo que los proveedores deben satisfacer —gestión de riesgos con arreglo al Artículo 9, gobernanza de datos con arreglo al Artículo 10, documentación técnica con arreglo al Artículo 11, conservación de registros con arreglo al Artículo 12, transparencia hacia los responsables del despliegue con arreglo al Artículo 13, supervisión humana con arreglo al Artículo 14, exactitud y ciberseguridad con arreglo al Artículo 15, gestión de la calidad con arreglo al Artículo 17, evaluación de la conformidad con arreglo al Artículo 43, declaración UE de conformidad con arreglo al Artículo 47, marcado CE con arreglo al Artículo 48 y registro con arreglo al Artículo 49— se integran todos ellos en las obligaciones del proveedor del Artículo 16, lo que significa que los incumplimientos de los mismos acaban encuadrándose en este tramo.

Una empresa con un volumen de negocios de 50 millones de euros que afronta una infracción del Tramo 2: el 3 % = 1,5 millones de euros. El tope fijo de 15 millones de euros no se aplica salvo que el cálculo porcentual lo superara, cosa que para una empresa de 50 millones de euros no ocurre.

---

Artículo 99, apartado 5: información incorrecta o engañosa

Facilitar información incorrecta, incompleta o engañosa a un organismo notificado o a una autoridad competente acarrea una sanción independiente: hasta 7 500 000 € o el 1 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Este tramo es procedimental más que sustantivo —se dirige contra la obstrucción y la tergiversación durante las investigaciones o los procesos de evaluación de la conformidad, no contra el incumplimiento de fondo en sí—. Una empresa que tiene una laguna genuina del Artículo 10 pero coopera plenamente afronta la exposición del Tramo 2. Una empresa que falsea su documentación técnica durante una auditoría regulatoria añade la exposición del Tramo 3 encima.

---

Artículo 99, apartado 6: el tope para pymes y empresas emergentes

Para las empresas que tengan la consideración de pymes o empresas emergentes con arreglo a las definiciones de la UE, la regla de «si esta última cifra es mayor» se invierte a «si esta última cifra es menor». Esto significa que el tope fijo se aplica si el cálculo porcentual fuera más pequeño —no al revés.

Ejemplo trabajado. Una empresa con un volumen de negocios anual de 2 millones de euros infringe una obligación del proveedor con arreglo al Artículo 16 (Tramo 2). El cálculo:

• Tope fijo: 15 000 000 €
• Porcentaje: 3 % × 2 000 000 € = 60 000 €

La pyme paga 60 000 €, no 15 millones de euros. La protección es sustancial. Para una infracción del Artículo 5 por la misma empresa: 7 % × 2 millones de euros = 140 000 €, frente a un tope fijo de 35 millones de euros. La pyme paga 140 000 €.

El tope se aplica únicamente al cálculo de la multa —no a las obligaciones de fondo—. Una pyme debe implementar igualmente el mismo sistema de gestión de riesgos, la misma documentación técnica y la misma evaluación de la conformidad que una multinacional. La Ley reconoce las limitaciones de recursos solo en la aritmética sancionadora.

Para reunir los requisitos, su organización debe cumplir la definición de pyme de la UE: menos de 250 empleados, un volumen de negocios anual ≤ 50 millones de euros, o un balance total ≤ 43 millones de euros. Las empresas emergentes se tratan, en general, sobre la misma base.

---

Artículo 99, apartado 7: factores que se consideran al fijar la multa

El Artículo 99, apartado 7, ordena a las autoridades de los Estados miembros considerar los siguientes factores al fijar la cuantía de la multa dentro de un tramo aplicable:

• Naturaleza, gravedad y duración de la infracción y de sus efectos
• Si la infracción fue intencional o negligente
• Las medidas adoptadas para mitigar el perjuicio a las personas afectadas
• El grado de responsabilidad del proveedor o del responsable del despliegue
• Las infracciones anteriores pertinentes del mismo operador
• La cooperación con la autoridad competente
• El tamaño y la cuota de mercado del operador
• Cualquier otra circunstancia agravante o atenuante

Estos factores no cambian qué tramo se aplica —una infracción del Tramo 1 sigue siendo del Tramo 1—. Pero determinan dónde, dentro del rango del tramo, fija la autoridad la cifra. Una primera infracción por parte de una empresa que detuvo el sistema en las 48 horas siguientes a su descubrimiento y facilitó documentación completa puede recibir una cantidad sustancialmente inferior al techo. La ocultación intencional, las infracciones reiteradas o la negativa a cooperar empujan hacia el máximo.

Una ilustración trabajada. Tomemos una empresa de tecnología de RR. HH. de 120 personas (volumen de negocios de 18 M€) que despliega una IA de contratación de alto riesgo sin completar su sistema de gestión de riesgos del Artículo 9 —un incumplimiento claro del Tramo 2—. Exposición máxima: 3 % × 18 M€ = 540 000 € (inferior al tope fijo de 15 M€, por lo que, con arreglo al Art. 99, apdo. 6, la pyme paga 540 000 €). La autoridad aplica entonces el Art. 99, apdo. 7: la empresa autodeclaró la laguna, la subsanó en 60 días, no tiene infracciones anteriores y cooperó plenamente. En la práctica, este perfil atraería normalmente una cifra muy por debajo del techo —posiblemente entre el 20 y el 40 % del máximo—. Contrástese con una empresa que ocultó la laguna tras una indagación de la autoridad: los factores de cooperación y mitigación del Art. 99, apdo. 7, se invierten, empujando hacia los 540 000 € completos y desencadenando potencialmente una exposición adicional del Art. 99, apdo. 5, por la respuesta engañosa.

La Ley de IA de la UE no establece un programa formal de clemencia análogo al del Derecho de la competencia de la UE. La autodenuncia voluntaria es un factor atenuante con arreglo al Art. 99, apdo. 7, pero no garantiza la inmunidad ni un descuento definido. Las empresas que descubren lagunas de cumplimiento tienen un incentivo práctico para subsanarlas y documentar la subsanación —pero deberían recabar asesoramiento jurídico antes de decidir si dirigirse a una autoridad y cuándo.

---

Artículo 100: multas para las instituciones y los organismos de la UE

Cuando una institución, un órgano, una oficina o una agencia de la UE entra en el ámbito de la Ley de IA de la UE, la facultad de ejecución corresponde al Supervisor Europeo de Protección de Datos (SEPD), no a las autoridades competentes de los Estados miembros. El Artículo 100 otorga al SEPD facultades sancionadoras equivalentes para estas entidades.

Esta disposición es pertinente en la práctica para cualquier organización que construya o despliegue sistemas de IA por cuenta de instituciones de la UE, o para los propios organismos de la UE que integren IA en sus flujos de trabajo administrativos.

---

Artículo 101: multas a los proveedores de GPAI (ejecución a nivel de la Comisión)

Los proveedores de modelos de IA de uso general (GPAI) afrontan una vía de ejecución distinta. Con arreglo al Artículo 101, la Comisión Europea —no las autoridades de los Estados miembros— puede imponer multas a los proveedores de modelos de GPAI por:

• El incumplimiento de las obligaciones del capítulo V de la Ley
• Facilitar información incorrecta, incompleta o engañosa en respuesta a una solicitud de la Comisión

Techo sancionador: 15 000 000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. La misma lógica favorable a las pymes de «si esta última cifra es menor» del Artículo 99, apartado 6, se aplica también aquí.

Las obligaciones de GPAI se aplican desde el 2 de agosto de 2025. El aplazamiento del Ómnibus Digital que trasladó a diciembre de 2027 el plazo del Anexo III de alto riesgo no afecta al capítulo V ni al Artículo 101.

---

Ámbito: ¿quién es responsable con arreglo al Artículo 99?

El Artículo 99 asigna la responsabilidad en función del papel y de la infracción. El mismo sistema puede exponer simultáneamente a varias partes.

Los proveedores (Artículo 16) cargan con la responsabilidad de los fallos en el diseño del sistema, la documentación técnica, la gobernanza de datos, la evaluación de la conformidad y la vigilancia poscomercialización. Si un proveedor no documenta los datos de entrenamiento con arreglo al Artículo 10, eso es un incumplimiento del Tramo 2.

Los responsables del despliegue (Artículo 26) son responsables de los fallos en sus decisiones de despliegue: no seguir las instrucciones de uso del proveedor, no implementar una supervisión humana significativa con arreglo al Artículo 14, o utilizar indebidamente el sistema para una finalidad ajena a su alcance previsto.

Los importadores (Artículo 23) y los distribuidores (Artículo 24) soportan sus propios deberes de cadena de suministro; los incumplimientos de los mismos también se encuadran en el Tramo 2.

Los cambios de papel del Artículo 25 importan aquí: si un responsable del despliegue modifica sustancialmente un sistema de alto riesgo o lo despliega bajo su propio nombre, se convierte en proveedor y asume la pila de obligaciones más pesada —y la exposición a la ejecución más pesada.

Cuando tanto un proveedor como un responsable del despliegue hayan contribuido a una infracción (por ejemplo, el proveedor omitió limitaciones materiales en las instrucciones de uso y el responsable del despliegue procedió sin verificarlas), ambos pueden recibir multas separadas.

---

Cálculo del volumen de negocios: estructura de grupo y consolidación

«Volumen de negocios anual mundial total del ejercicio anterior» significa los ingresos consolidados de todo el grupo empresarial. Una filial no puede utilizar su propio volumen de negocios autónomo para limitar su exposición si el grupo matriz tiene unos ingresos sustancialmente superiores.

Ejemplo. Una filial de software con un volumen de negocios anual de 15 millones de euros es propiedad al 100 % de un grupo con un volumen de negocios consolidado de 800 millones de euros. La filial comete una infracción del Artículo 5. La base de la multa es de 800 millones de euros —el 7 % = 56 millones de euros, que supera el tope fijo de 35 millones de euros—. Con arreglo a la regla de «si esta última cifra es mayor», la autoridad impone 56 millones de euros (el porcentaje), no 35 millones de euros (el tope fijo). La filial no puede ampararse en su propia cifra de ingresos de 15 millones de euros. Esta es una consideración significativa para cualquier empresa que forme parte de un grupo más grande.

---

Escenarios prácticos

Escenario A: infracción del Artículo 5 — puntuación social por parte de una autoridad regional

Una autoridad municipal despliega un sistema de IA que puntúa a los residentes según su comportamiento social, condicionando el acceso a prestaciones públicas. Esto infringe de plano el Artículo 5, letra c). La ejecución se realiza a través de la autoridad nacional de vigilancia del mercado o de la autoridad de protección de datos. Techo sancionador: 35 millones de euros o el 7 %, si esta última cifra es mayor.

Escenario B: proveedor con documentación técnica incompleta

Una empresa de tecnología de RR. HH. (volumen de negocios anual de 8 millones de euros) clasifica su herramienta de cribado de currículos como de alto riesgo con arreglo al Artículo 6 y al Anexo III, pero no completa su paquete de documentación técnica del Anexo IV antes de la introducción en el mercado, infringiendo el Artículo 11 (y, por extensión, el Artículo 16). Se aplica el Tramo 2: 3 % × 8 millones de euros = 240 000 €. El tope fijo de 15 millones de euros es mayor, por lo que, con arreglo al Artículo 99, apartado 6, la pyme paga la cantidad menor: 240 000 €. Los factores atenuantes (primera infracción, subsanación rápida) pueden reducirla aún más dentro del tramo.

Escenario C: información engañosa durante una auditoría

Un proveedor sometido a investigación regulatoria facilita una evaluación de riesgos que sabía incompleta, omitiendo un sesgo conocido del modelo. Esto añade una multa del Tramo 3 (hasta 7,5 millones de euros o el 1 %) encima de la responsabilidad del Tramo 2 que ya soporta por la laguna de cumplimiento de fondo. La infracción procedimental se evalúa por separado de la sustantiva.

---

Procedimiento de ejecución: puntos procedimentales clave

Los Estados miembros designan autoridades competentes —oficinas nacionales de IA, reguladores sectoriales existentes o autoridades de protección de datos— para investigar e imponer sanciones. La Ley de IA de la UE no crea un único organismo de ejecución a escala de la UE para las infracciones ordinarias de los sistemas de IA (la ejecución de GPAI la gestiona de forma centralizada la Comisión a través del Artículo 101).

Antes de que se imponga cualquier multa, una organización debe recibir notificación por escrito de la infracción alegada y una oportunidad documentada de responder. Los detalles procedimentales siguen el Derecho administrativo de cada Estado miembro. La mayoría exige una decisión por escrito con motivación completa, una evaluación de proporcionalidad y la consideración específica de los factores del Artículo 99, apartado 7. Las multas pueden recurrirse ante los tribunales nacionales; la carga de la prueba recae en la autoridad.

La prioridad de ejecución desde febrero de 2025 se ha centrado en las prácticas prohibidas del Artículo 5. A medida que las obligaciones de transparencia de riesgo limitado del Artículo 50 se apliquen a partir de agosto de 2026, y a medida que las obligaciones de alto riesgo del Anexo III alcancen la aplicación plena en diciembre de 2027, el alcance de la ejecución activa se ampliará en consecuencia.

---

Cómo se corresponde Confir con cada tramo de multa

El motor de clasificación basado en reglas de Confir establece primero su papel (Proveedor, Responsable del despliegue, Importador, Distribuidor) y el tramo de riesgo de su sistema —lo que determina directamente qué obligaciones de artículo soporta y, por tanto, qué tramo de multa se aplica si las incumple.

Para la exposición del Tramo 2, la evaluación cubre la pila completa de obligaciones del proveedor y del responsable del despliegue: deberes del proveedor del Artículo 16, deberes del responsable del despliegue del Artículo 26, el sistema de gestión de riesgos del Artículo 9, la gobernanza de datos del Artículo 10, la documentación técnica del Artículo 11, la transparencia del Artículo 13, la supervisión humana del Artículo 14 y la gestión de la calidad del Artículo 17. La Puntuación de Salud del Cumplimiento muestra, control por control, qué hay implantado y qué falta.

Para el Artículo 5 (Tramo 1), el módulo de clasificación AIRC aplica la lógica del Artículo 5 en la admisión —antes que cualquier otra cosa— para señalar si alguna característica del sistema lo sitúa dentro de las categorías prohibidas. La intención es hacer aflorar ese riesgo antes del despliegue, no después de una acción de ejecución.

---

Preguntas frecuentes

¿Cuáles son los tres tramos de multa con arreglo al Artículo 99 de la Ley de IA de la UE?

El Artículo 99 establece tres tramos de multas administrativas. Con arreglo al Artículo 99, apartado 3: hasta 35 000 000 € o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) por los incumplimientos de las prohibiciones del Artículo 5. Con arreglo al Artículo 99, apartado 4: hasta 15 000 000 € o el 3 % por el incumplimiento de la mayoría de las demás obligaciones, incluidos los deberes del proveedor del Artículo 16, los deberes del responsable del despliegue del Artículo 26 y los requisitos de transparencia del Artículo 50. Con arreglo al Artículo 99, apartado 5: hasta 7 500 000 € o el 1 % por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.

¿De verdad marcan tanta diferencia las reglas de «si esta última cifra es mayor» y «si esta última cifra es menor»?

Para una empresa con un volumen de negocios anual de 600 millones de euros, el 7 % = 42 millones de euros —significativamente por encima del tope fijo de 35 millones de euros, por lo que se aplica el porcentaje—. Para una pyme con un volumen de negocios de 2 millones de euros, el 7 % = 140 000 € —muy por debajo del tope fijo de 35 millones de euros—. El Artículo 99, apartado 6, hace que la pyme pague la cantidad menor: 140 000 €. La dirección de la comparación lo es todo.

¿Qué tramo del Artículo 99 se aplica a un responsable del despliegue que no implementa la supervisión humana?

El Artículo 14 (supervisión humana) es una obligación del proveedor y del responsable del despliegue de alto riesgo cuyo incumplimiento se encuadra en el Artículo 99, apartado 4: hasta 15 000 000 € o el 3 % del volumen de negocios, si esta última cifra es mayor. El mismo tramo cubre los incumplimientos de los deberes del responsable del despliegue del Artículo 26 de forma más amplia. El tramo de 35 M€/7 % del Artículo 99, apartado 3, se aplica únicamente a las infracciones de las prohibiciones del Artículo 5.

¿Cuándo entraron en vigor las disposiciones sancionadoras del Artículo 99?

Las disposiciones sancionadoras del Artículo 99 se aplican desde el 2 de agosto de 2025, junto con las obligaciones de GPAI (capítulo V) y la estructura de gobernanza de la Ley de IA de la UE. La ejecución de las prohibiciones del Artículo 5 comenzó antes, a partir del 2 de febrero de 2025, cuando ese capítulo pasó a ser aplicable. Las obligaciones de alto riesgo del Anexo III (y su exposición a multas asociada del Artículo 99, apartado 4) se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos en virtud del Ómnibus Digital acordado en mayo de 2026.

¿Qué factores afectan a la cuantía de una multa dentro de su tramo?

El Artículo 99, apartado 7, exige a las autoridades considerar: la naturaleza, la gravedad y la duración de la infracción; si fue intencional o negligente; las medidas adoptadas para mitigar el perjuicio; el grado de responsabilidad; las infracciones anteriores; la cooperación durante la investigación; y el tamaño y la cuota de mercado del operador. Estos factores pueden mover la multa de forma significativa dentro del rango del tramo, pero no cambian qué tramo se aplica.

¿Cómo se calculan las multas para las empresas que pertenecen a un grupo empresarial?

La base de la multa es el «volumen de negocios anual mundial total» sobre una base consolidada, lo que significa que cuentan los ingresos de todo el grupo —no solo las cifras autónomas de la filial infractora—. Una filial con un volumen de negocios de 10 millones de euros propiedad de un grupo de 500 millones de euros afronta una exposición del Tramo 2 calculada sobre 500 millones de euros: el 3 % = 15 millones de euros. El tope para pymes del Artículo 99, apartado 6, se evalúa por referencia al tamaño real del grupo, no a la filial de forma aislada.

¿Cuál es la diferencia entre las multas del Artículo 99 y las del Artículo 101?

El Artículo 99 rige las multas impuestas por las autoridades competentes de los Estados miembros por las infracciones de los proveedores, los responsables del despliegue, los importadores y los distribuidores de sistemas de IA. El Artículo 101 rige las multas impuestas por la Comisión Europea específicamente a los proveedores de modelos de GPAI por las infracciones de las obligaciones del capítulo V. El techo del Artículo 101 es de 15 000 000 € o el 3 % del volumen de negocios mundial, si esta última cifra es mayor —la misma estructura que el Tramo 2—, pero a través de una vía de ejecución separada, a nivel de la Comisión.

---

Guías relacionadas

• niveles de clasificación de riesgo de la IA
• fundamentos del cumplimiento de la Ley de IA de la UE
• requisitos de cumplimiento para SaaS