Sanciones de la Ley de IA de la UE: lo que cuesta realmente el incumplimiento

Una multa en virtud de la Ley de IA de la UE no es un número teórico en la web de un regulador. Es un cálculo. Las sanciones se aplican desde el 2 de agosto de 2025, y la maquinaria de ejecución — las autoridades nacionales de vigilancia del mercado de cada Estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea — ya está operativa. Esta página recorre lo que cuestan realmente los tres niveles, quién los ejecuta y qué ocurre más allá de la multa.

Si quiere el texto legal diseccionado apartado por apartado, consulte nuestra página complementaria sobre los mecanismos de ejecución del Artículo 99. Esta página trata de la factura práctica.

---

Los tres niveles de multa de un vistazo

El Artículo 99 del Reglamento (UE) 2024/1689 establece tres techos sancionadores. Cada uno se expresa como si esta última cifra es mayor — el importe fijo en euros o el porcentaje del volumen de negocios anual mundial total del ejercicio financiero anterior. Para las grandes organizaciones, el porcentaje casi siempre gana.

El viejo mito de los «30 millones de euros o el 6 %» no existe en la Ley. Esas cifras aparecieron en comentarios tempranos y circularon ampliamente; son erróneas.

---

Nivel 1 — 35 M EUR o el 7 %: el techo de las prohibiciones (Artículo 99, apartado 3)

El nivel más alto está reservado para las prohibiciones absolutas de la Ley con arreglo al Artículo 5. No son obligaciones que se puedan incumplir por negligencia — son prohibiciones. Un sistema que ha estado en funcionamiento desde antes del 2 de febrero de 2025 y entra de lleno en una categoría prohibida lleva incumpliendo desde esa fecha.

Las prohibiciones del Artículo 5 incluyen: la identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho (fuera de excepciones estrechas); la IA que manipula a las personas mediante técnicas subliminales o aprovechando vulnerabilidades; los sistemas de puntuación social utilizados por las autoridades públicas para restringir derechos o el acceso a servicios; y los sistemas que predicen la comisión de delitos basándose únicamente en la elaboración de perfiles.

Una empresa con 500 millones de euros de volumen de negocios mundial que infrinja el Artículo 5 afronta un techo potencial de 35 millones de euros (el límite fijo es inferior al 7 % de 500 M EUR, por lo que se aplica el límite fijo). Una empresa con 10 000 millones de euros de volumen de negocios mundial afronta un techo de 700 millones de euros.

---

Nivel 2 — 15 M EUR o el 3 %: el principal riesgo comercial (Artículo 99, apartado 4)

Este es el nivel que la mayoría de las organizaciones en el ámbito de aplicación deberían modelar. Cubre los incumplimientos en el conjunto más amplio de obligaciones, entre ellas:

• Requisitos de los sistemas de alto riesgo (Artículos 9 a 15 y 17): sistema de gestión de riesgos, gobernanza de datos, documentación técnica, conservación de registros, transparencia hacia los responsables del despliegue, supervisión humana, exactitud y robustez.
• Obligaciones del proveedor (Artículo 16) y sistema de gestión de la calidad (Artículo 17).
• Obligaciones del responsable del despliegue (Artículo 26): utilizar los sistemas conforme a las instrucciones, garantizar la supervisión humana, vigilar el rendimiento, conservar los registros durante al menos seis meses, notificar a los representantes de los trabajadores antes del despliegue en el lugar de trabajo.
• Deberes del importador y del distribuidor (Artículos 23 y 24).
• Incumplimientos por cambio de papel (Artículo 25): un responsable del despliegue que cambia la marca o modifica sustancialmente un sistema de alto riesgo sin asumir las obligaciones del proveedor.
• Transparencia del Artículo 50 para los sistemas de riesgo limitado (chatbots, marcado de contenido sintético, ultrafalsificaciones, reconocimiento de emociones).
• Obligaciones del proveedor de GPAI (Artículos 53 a 55).

Una empresa con 5 millones de euros de volumen de negocios mundial que clasifique erróneamente un sistema de selección de personal de alto riesgo y lo opere sin un sistema de gestión de riesgos, sin documentación técnica ni supervisión humana afronta un techo de 150 000 EUR (el 3 % de 5 M EUR). Ese es el cálculo — no el titular de 15 millones de euros.

---

Nivel 3 — 7,5 M EUR o el 1 %: el nivel de integridad de la información (Artículo 99, apartado 5)

El nivel más bajo se dirige a un comportamiento específico: facilitar a las autoridades competentes o a los organismos notificados información falsa, incompleta o engañosa. Esto incluye presentar una evaluación de la conformidad que tergiversa el rendimiento de un sistema, ocultar hechos materiales durante una inspección de vigilancia del mercado o facilitar datos inexactos a un organismo notificado que lleva a cabo una evaluación del Anexo VII.

En la práctica, este nivel es más relevante durante los procedimientos de ejecución. Una organización que descubre una brecha de cumplimiento, la notifica con exactitud y coopera plenamente se encuentra en una posición estructuralmente distinta de la que ofrece una imagen maquillada.

---

El límite para pymes y empresas emergentes (Artículo 99, apartado 6): ejemplo resuelto

El Artículo 99, apartado 6, contiene una protección de proporcionalidad genuina para las pequeñas y medianas empresas y las empresas emergentes. La regla es sencilla, pero a menudo se lee mal: para las pymes y las empresas emergentes, la multa se limita al menor del importe porcentual o el importe fijo.

Para una gran empresa, la regla del «si esta última cifra es mayor» empuja las sanciones hacia el porcentaje. Para una pyme, la regla se invierte: si el porcentaje es menor, ese es el límite; si el importe fijo es menor, ese es el límite.

Ejemplo resuelto — infracción de Nivel 2 por una empresa con 2 millones de euros de volumen de negocios anual:

• El 3 % de 2 M EUR = 60 000 EUR
• Techo fijo = 15 000 000 EUR
• La cifra menor es 60 000 EUR — esa es la exposición máxima de la pyme por esta infracción.

La multa no puede superar los 60 000 EUR en este escenario. El techo fijo de 15 millones de euros es irrelevante. Esto no es discrecionalidad por parte de la autoridad — es el suelo legal que el Artículo 99, apartado 6, incorpora.

Para una infracción de Nivel 1 (prohibición del Artículo 5) por la misma empresa: el 7 % de 2 M EUR = 140 000 EUR, techo fijo de 35 M EUR → el límite es 140 000 EUR.

El límite protege el balance; no elimina la multa ni las órdenes correctoras que la acompañan. Y no se aplica si el volumen de negocios mundial del grupo de la empresa supera el umbral de pyme, aunque la entidad registrada en la UE sea pequeña.

---

Cómo fijan las autoridades la multa dentro del nivel (Artículo 99, apartado 7)

El techo no es la condena. El Artículo 99, apartado 7, exige que las autoridades competentes ponderen factores específicos antes de fijar el importe real:

Factores que tiran de la multa al alza:

• Naturaleza, gravedad y duración de la infracción.
• Si la infracción fue intencionada o temeraria, frente a negligente.
• Perjuicio causado a las personas o grupos afectados.
• Cuota de mercado y poder económico del operador.
• Infracciones reiteradas o no aplicación de la subsanación ordenada en una decisión anterior.

Factores que tiran de la multa a la baja:

• Cooperación con la autoridad durante la investigación.
• Medidas adoptadas de forma proactiva para mitigar el perjuicio.
• Grado en que la responsabilidad financiera se comparte con otros operadores de la cadena de suministro.
• Medidas técnicas y organizativas ya implantadas en el momento de la infracción.
• Divulgación temprana y voluntaria del problema.

Una organización con pruebas documentadas de un programa de cumplimiento de buena fe — clasificaciones de riesgo, rastros de auditoría, registros de formación, registros de incidentes — está materialmente mejor posicionada que una que no puede demostrar ningún esfuerzo previo. La documentación no consiste solo en evitar una multa; es la prueba que determina dónde, dentro del nivel, aterriza la multa.

---

Quién ejecuta: tres vías de ejecución

Autoridades nacionales de vigilancia del mercado

Para los sistemas de IA introducidos en el mercado de la UE o puestos en servicio, el principal organismo de ejecución es la autoridad nacional de vigilancia del mercado designada por cada Estado miembro. La mayoría de los Estados miembros están en proceso de designar o han designado estas autoridades. Tienen la facultad de exigir documentación, realizar inspecciones, emitir órdenes correctoras e imponer multas del Artículo 99.

Si se produce un incidente grave, la autoridad del Estado miembro en el que ocurrió el incidente toma la iniciativa.

El SEPD — para las instituciones de la UE (Artículo 100)

Cuando el operador es una institución, órgano u organismo de la UE, las multas del Artículo 99 no se aplican. En su lugar, el Supervisor Europeo de Protección de Datos (SEPD) actúa como autoridad competente con arreglo al Artículo 100, con su propio cuadro de multas: hasta 1,5 millones de euros (equivalente al Nivel 1) o hasta 750 000 euros (equivalente al Nivel 2). La estructura refleja el Artículo 99, pero está calibrada a la escala de los organismos públicos.

La Comisión — para los proveedores de GPAI (Artículo 101)

Los proveedores de modelos de IA de uso general están supervisados a escala de la UE por la Comisión Europea, que actúa a través de la Oficina de IA. Con arreglo al Artículo 101, la Comisión puede imponer multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total a los proveedores de GPAI por infracciones de las obligaciones del Capítulo V (Artículos 53 y 55). No es una multa del Artículo 99 — es una vía paralela para una categoría específica de operador.

---

Más allá de la multa: consecuencias no financieras

La multa es un resultado. Los demás pueden ser más disruptivos.

Retirada del mercado. Una autoridad competente que constate que un sistema de alto riesgo no cumple los requisitos puede ordenar su retirada o recuperación — lo que significa que el sistema se retira de las operaciones en la UE, a menudo antes de que se calcule multa alguna. Un producto que genera ingresos no puede generar ingresos si se retira.

Órdenes correctoras. Las autoridades pueden exigir modificaciones técnicas, revisiones de la documentación o mecanismos de supervisión rediseñados dentro de plazos definidos. El incumplimiento de una orden correctora agrava la infracción original.

Reclamaciones civiles del Artículo 82. La Ley de IA convive con el Derecho nacional de responsabilidad civil, no por encima de él. Las personas perjudicadas por un sistema de alto riesgo no conforme pueden interponer reclamaciones civiles con arreglo a los marcos nacionales de responsabilidad extracontractual y por productos defectuosos. El Artículo 82 no establece una nueva acción privada a escala de la UE, pero no cierra las existentes. En algunos Estados miembros, el incumplimiento regulatorio se trata como prueba de negligencia en los procedimientos de responsabilidad extracontractual.

Efectos reputacionales y comerciales. Las acciones de ejecución son públicas. Una investigación nominal, una orden correctora publicada o una decisión de multa crean una responsabilidad de contratación — los organismos públicos y los grandes clientes empresariales a menudo exigen pruebas de cumplimiento de la Ley de IA. Ser objeto de una acción de ejecución puede descalificarle de las licitaciones.

---

La ejecución ya está vigente

Las disposiciones sancionadoras del Artículo 99 se aplican desde el 2 de agosto de 2025. No es una fecha futura. Ya estamos en 2026, y el calendario de ejecución discurre así:

• 2 de febrero de 2025 — Prohibiciones del Artículo 5 vigentes. El techo del Nivel 1 se aplica desde esta fecha.
• 2 de agosto de 2025 — Las obligaciones de GPAI (Capítulo V), las estructuras de gobernanza, la Oficina de IA y todo el marco de ejecución del Artículo 99 se aplican.
• 2 de agosto de 2026 — Aplicación general de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50 (chatbots, marcado de contenido sintético).
• 2 de diciembre de 2027 — Sistemas autónomos de alto riesgo del Anexo III (aplazado por el Ómnibus Digital acordado en mayo de 2026; el plazo original era el 2 de agosto de 2026).
• 2 de agosto de 2028 — IA de alto riesgo integrada en productos regulados del Anexo I.

El aplazamiento del Ómnibus Digital se aplica únicamente al régimen de alto riesgo. Las multas por prohibiciones, las multas de GPAI y el aparato general de ejecución ya están plenamente operativos.

---

Escenarios resueltos: cómo es la multa

Escenario 1 — Empresa emergente que usa un modelo de IA de uso general de terceros en una herramienta de cribado de currículos (1,2 M EUR de volumen de negocios)

La empresa despliega la herramienta para un cliente del sector público sin clasificarla con arreglo al Anexo III (empleo, punto 4) ni establecer un sistema de gestión de riesgos (Artículo 9) o un mecanismo de supervisión humana (Artículo 14). Es una infracción de Nivel 2.

El 3 % de 1,2 M EUR = 36 000 EUR — se aplica el límite para pymes (el menor del porcentaje frente al fijo). Ese es el techo de la multa. La autoridad también ordena retirar el sistema del cliente del sector público hasta que se produzca documentación conforme.

Escenario 2 — Banco regional que despliega una calificación de solvencia (85 M EUR de volumen de negocios)

El sistema se identifica correctamente como de alto riesgo (Anexo III, punto 5, letra b)). Existe un paquete de documentación técnica, pero no cumple los requisitos del Anexo IV — faltan resultados clave de pruebas de sesgo. Una reclamación de un cliente desencadena una inspección. La autoridad constata un incumplimiento de Nivel 2.

El 3 % de 85 M EUR = 2,55 M EUR — este es el techo. El banco cooperó con la inspección y disponía de documentación parcial, por lo que la autoridad fija la multa en 900 000 EUR, alegando factores atenuantes con arreglo al Artículo 99, apartado 7.

Escenario 3 — Proveedor SaaS que facilita datos de rendimiento engañosos a un organismo notificado (22 M EUR de volumen de negocios)

Durante una evaluación de la conformidad del Anexo VII, el proveedor presenta índices de exactitud que omiten un rendimiento inferior en determinados grupos demográficos. El organismo notificado identifica posteriormente la discrepancia. Es una infracción de Nivel 3.

El 1 % de 22 M EUR = 220 000 EUR — la cifra menor frente a 7,5 M EUR. No obstante, el carácter intencionado de la omisión es un factor agravante. La autoridad aplica los 220 000 EUR completos y remite el asunto al fiscal nacional para que examine la posible responsabilidad por fraude con arreglo al Derecho nacional.

---

Cómo ayuda Confir

Confir no reduce las multas dándole un papel. Construye la base de pruebas que las autoridades y los organismos notificados examinan realmente.

El paso de clasificación — la delimitación del alcance del Anexo III y el cribado del Artículo 5 — determina si su sistema está sujeto a una exposición de Nivel 1 o de Nivel 2 en primer lugar. La clasificación errónea es en sí misma una infracción de Nivel 2. El motor determinista y basado en reglas de Confir aplica el filtro del Artículo 6, apartado 3, y la lógica punto por punto del Anexo III; la misma admisión produce el mismo hallazgo cada vez, y la regla que se activó es prueba de auditoría legible por personas.

A partir de la clasificación, Confir impulsa la evaluación estructurada que produce el paquete de documentación técnica del Artículo 11 / Anexo IV, la EIDF del Artículo 27 para los responsables del despliegue que cumplen los requisitos y la declaración de conformidad del Artículo 47. La puntuación de salud del cumplimiento y el registro de auditoría le dan un registro con marca de tiempo de cuándo se abordó cada control — el tipo de documentación que exigen los factores atenuantes del Artículo 99, apartado 7.

---

Preguntas frecuentes

¿Cuál es la multa máxima en virtud de la Ley de IA de la UE?

El techo más alto es de 35 millones de euros o el 7 % del volumen de negocios anual mundial total — si esta última cifra es mayor — con arreglo al Artículo 99, apartado 3. Se aplica únicamente a las infracciones de las prohibiciones del Artículo 5. Para la mayoría de las demás obligaciones (requisitos de alto riesgo, deberes del proveedor y del responsable del despliegue), el techo es de 15 millones de euros o el 3 % con arreglo al Artículo 99, apartado 4. La información incorrecta facilitada a las autoridades o a los organismos notificados acarrea un techo de 7,5 millones de euros o el 1 % con arreglo al Artículo 99, apartado 5.

¿Cuándo empezaron a aplicarse las sanciones de la Ley de IA de la UE?

Todo el marco de ejecución del Artículo 99 se aplica desde el 2 de agosto de 2025. Las prohibiciones del Artículo 5 — que acarrean el techo de multa más alto — se aplican desde el 2 de febrero de 2025. No son fechas futuras.

¿Qué hace realmente el límite para pymes y empresas emergentes?

El Artículo 99, apartado 6, limita la multa para las pymes y las empresas emergentes al menor del importe porcentual o el techo fijo. Una empresa con 2 millones de euros de volumen de negocios que afronta una infracción de Nivel 2 está limitada a 60 000 EUR (el 3 % de 2 M EUR), no a 15 millones de euros. El límite es legal, no discrecional. Se aplica por infracción y no elimina las órdenes correctoras ni los requisitos de retirada del mercado.

¿Qué autoridad impone las multas: nacional o de la UE?

Para la mayoría de los operadores, la autoridad nacional de vigilancia del mercado del Estado miembro pertinente. Para las instituciones de la UE, el SEPD con arreglo al Artículo 100. Para los proveedores de modelos de IA de uso general, la Comisión Europea a través de la Oficina de IA con arreglo al Artículo 101 (una vía de multa separada, hasta 15 M EUR o el 3 %).

¿Puede multarse a un responsable del despliegue, o solo a los proveedores?

Ambos pueden ser multados. Los proveedores afrontan una exposición de Nivel 2 principalmente a través de incumplimientos en la pila técnica y de gobernanza de los Artículos 9 a 17. Los responsables del despliegue afrontan una exposición de Nivel 2 por infracciones del Artículo 26 — no utilizar los sistemas conforme a las instrucciones, no mantener la supervisión humana, no vigilar el rendimiento, no conservar los registros (al menos seis meses) o no notificar a los representantes de los trabajadores antes del despliegue en el lugar de trabajo. Los niveles de multa son idénticos; las obligaciones desencadenantes difieren según el papel.

¿Una multa con arreglo al Artículo 99 excluye la responsabilidad civil?

No. Una multa regulatoria y una reclamación civil son procedimientos separados. Una persona perjudicada por un sistema de alto riesgo no conforme puede interponer una reclamación con arreglo al Derecho nacional de responsabilidad extracontractual o por productos defectuosos con independencia de que se haya impuesto una multa. En algunas jurisdicciones, una constatación de incumplimiento regulatorio respalda el caso del demandante en los procedimientos civiles.

¿Se aplican las sanciones a las empresas no pertenecientes a la UE?

Sí. El Artículo 99 se aplica a todo proveedor o responsable del despliegue que introduzca sistemas de IA en el mercado de la UE o los ponga en servicio en la UE, con independencia de dónde esté registrada la empresa. El volumen de negocios para el cálculo del porcentaje es mundial, no solo de la UE. Una empresa establecida en EE. UU., Canadá o cualquier otro lugar tiene la misma exposición a multas que un competidor registrado en la UE que atiende el mismo mercado.

---

Guías relacionadas

• mecanismos de ejecución del Artículo 99
• niveles de clasificación de riesgo
• prácticas prohibidas del Artículo 5
• visión general de la Ley de IA de la UE