EU AI ActPenaltiesFinesSMEs

Multas y sanciones del Reglamento de IA de la UE: ¿qué arriesgan realmente las pymes de la UE?

Publicado 18 de julio de 2026 · 5 min de lectura

Las cifras de los titulares dan miedo: hasta 35 millones de euros, o el 7 % del volumen de negocios mundial. Pero esos son los límites máximos para las infracciones más graves de las mayores empresas. Si dirige una pyme, el Reglamento de IA de la UE contiene una norma que invierte las cuentas a su favor. Esto es lo que son realmente las sanciones y lo que significan para una pequeña empresa.

Los tres niveles de sanción

El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) establece tres límites máximos para las multas administrativas, según lo que se haya infringido:

  • Hasta EUR 35M o el 7 % del volumen de negocios anual mundial por utilizar una de las prácticas de IA prohibidas prohibidas en virtud del artículo 5 (artículo 99, apartado 3).
  • Hasta EUR 15M o el 3 % por incumplir la mayoría de las demás obligaciones: los deberes de los proveedores y responsables del despliegue de sistemas de alto riesgo, las normas de transparencia o los requisitos de los organismos notificados (artículo 99, apartado 4).
  • Hasta EUR 7,5M o el 1 % por proporcionar información incorrecta, incompleta o engañosa a las autoridades u organismos notificados (artículo 99, apartado 5).

Para una empresa que no es una pyme, cada multa es el más elevado de entre el importe fijo en euros y el porcentaje del volumen de negocios anual mundial total del ejercicio financiero anterior, medido a nivel de grupo, sobre el volumen de negocios, no sobre el beneficio.

La norma para pymes que la mayoría de los titulares pasa por alto

El artículo 99, apartado 6, invierte esa norma para las empresas más pequeñas. Para las pymes y las empresas emergentes, cada multa se limita al menor entre el porcentaje o el importe fijo, no al mayor. Esa única palabra lo cambia todo para una pequeña empresa.

Tomemos el nivel superior. Un gran grupo se enfrenta hasta al mayor entre EUR 35M o el 7 % del volumen de negocios. Una pyme con, por ejemplo, EUR 2M de volumen de negocios anual se enfrenta hasta al menor de los dos: el 7 % de EUR 2M son EUR 140.000, muy por debajo de EUR 35M, por lo que EUR 140.000 es el límite máximo. El porcentaje, y no la escalofriante cifra fija, es lo que limita la exposición de una pyme.

Modelos de IA de uso general: multados por la Comisión

Existe una vía separada para los proveedores de modelos de IA de uso general (GPAI). En virtud del artículo 101, la Comisión Europea, y no una autoridad nacional, puede multar a un proveedor de GPAI con hasta EUR 15M o el 3 % del volumen de negocios anual mundial, si esta cifra es mayor, por infracciones intencionadas o negligentes. Esas multas pueden ser revisadas por el Tribunal de Justicia de la UE.

Las multas son límites máximos, no tarifas

Cada cifra anterior es un máximo: la ley dice «hasta». No existe una multa fija ni mínima. Cuando una autoridad fija un importe real, el artículo 99, apartado 7, le exige ponderar factores que incluyen:

  • la naturaleza, la gravedad y la duración de la infracción y sus consecuencias;
  • el tamaño, el volumen de negocios y la cuota de mercado del operador;
  • si la infracción fue intencionada o negligente;
  • en qué medida cooperó el operador y qué medidas técnicas y organizativas tenía implantadas;
  • si el operador notificó el problema por su cuenta y actuó para limitar el daño.

En otras palabras, un esfuerzo de cumplimiento documentado y de buena fe reduce directamente la multa que una autoridad probablemente imponga.

Quién impone la multa

La aplicación se reparte de tres maneras: las autoridades nacionales de vigilancia del mercado imponen las multas del artículo 99 a las empresas; la Comisión Europea, a través de la Oficina de IA, multa a los proveedores de modelos de GPAI en virtud del artículo 101; y el Supervisor Europeo de Protección de Datos multa a las instituciones de la UE en virtud del artículo 100 (con un límite de EUR 1,5M o EUR 750.000).

¿Cuándo empiezan a aplicarse las multas?

Algunas ya se aplican. Las prohibiciones del artículo 5 son exigibles desde el 2 de febrero de 2025. Las obligaciones relativas a la GPAI se aplican desde el 2 de agosto de 2025, y la potestad sancionadora de la Comisión desde el 2 de agosto de 2026. Las obligaciones de alto riesgo, la mayor fuente de exposición para la mayoría de las pymes, fueron reprogramadas por el Digital Omnibus al 2 de diciembre de 2027 para los sistemas del anexo III (adoptado, a la espera de su publicación en el Diario Oficial). Consulte nuestra guía de plazos para el calendario completo.

Cómo reducir su exposición

La forma más económica de reducir el riesgo de sanción es poder mostrar un rastro de cumplimiento: clasificación, un expediente técnico, supervisión humana y seguimiento, porque esos son exactamente los factores atenuantes que recompensa el artículo 99, apartado 7. ¿No está seguro de cuáles de sus sistemas entran siquiera en el ámbito de aplicación? Empiece gratis con el EU AI Act Snapshot, dos minutos, sin registro, y después complete nuestra lista de comprobación de cumplimiento de 9 pasos. Los planes comienzan desde EUR 0.

Guías relacionadas