Skip to main content

Multas del EU AI Act 2026: ¿cuánto cuesta una infracción?

El art. 99 del EU AI Act prevé tres niveles de multa: hasta 35 M EUR por prácticas de IA prohibidas, hasta 15 M EUR por falta de documentación de alto riesgo y hasta 7,5 M EUR por datos falsos. Tabla completa con ejemplos de cálculo para pymes.

Comprobación de conformidad con el EU AI ActWito Digital Audit (WDA) gratuito

Multas según el EU AI Act: ¿de qué se trata?

El EU AI Act (Reglamento (UE) 2024/1689, de 13 de junio de 2024) es la primera regulación legal integral de la inteligencia artificial a escala mundial. El artículo 99 establece el régimen sancionador: tres niveles de multa que se escalonan según el tipo y la gravedad de la infracción. Lo decisivo es siempre el mayor de los dos valores: el importe absoluto en EUR o el porcentaje sobre la facturación anual mundial. Según la Comisión Europea (panorama del EU AI Act 2024), las cuantías de las sanciones se fijaron deliberadamente por encima del nivel de la DSGVO para crear un incentivo de cumplimiento más fuerte.

Los tres niveles de multa explicados (art. 99 del EU AI Act)

Nivel 1: prácticas de IA prohibidas (art. 5) — hasta 35 M EUR o el 7%

El nivel sancionador más alto se aplica a las infracciones de las prohibiciones del art. 5 del EU AI Act. Estas prohibiciones están vigentes desde el 2 de febrero de 2025 y afectan a prácticas de IA consideradas contrarias a los derechos fundamentales: la manipulación subliminal, el aprovechamiento de vulnerabilidades, el reconocimiento de emociones en el lugar de trabajo o el cribado biométrico en tiempo real en espacios públicos por parte de organismos estatales. Según el art. 99, apdo. 1, del EU AI Act, la multa asciende hasta 35.000.000 EUR o, en el caso de empresas, hasta el 7% de la facturación anual mundial total del ejercicio anterior, el importe que sea mayor.

Para una mediana empresa con 25 M EUR de facturación anual esto significa que la multa puede llegar a 1,75 M EUR (7% × 25 M EUR). Como ese valor es inferior a 35 M EUR, se aplica el porcentaje. En cambio, para una empresa con 600 M EUR de facturación se aplicaría el importe absoluto de 35 M EUR, porque 7% × 600 M EUR = 42 M EUR y rige el valor mayor. La Fundación Heinrich Böll (análisis del EU AI Act 2024) señala que esta lógica sancionadora está concebida expresamente para tener un efecto disuasorio también frente a las grandes empresas.

Nivel 2: obligaciones de alto riesgo y requisitos generales — hasta 15 M EUR o el 3%

El nivel intermedio se aplica a las infracciones de los requisitos para los sistemas de IA de alto riesgo (arts. 6 a 55 del EU AI Act), así como a obligaciones generales como la transparencia, la evaluación de la conformidad, el registro y los deberes de notificación. Aquí la multa asciende, según el art. 99, apdo. 3, del EU AI Act, hasta 15.000.000 EUR o el 3% de la facturación anual mundial, de nuevo el valor que sea mayor. Este es el nivel más relevante de forma directa para la mayoría de las pymes: quien emplee sistemas de IA en el área de RR. HH., en la concesión de créditos o en la educación y no disponga de la documentación exigida se expone a estas sanciones.

Según la guía de Bitkom sobre sanciones del EU AI Act 2024, la ausencia de sistemas de gestión de riesgos, la documentación técnica incompleta y el incumplimiento de los deberes de transparencia son las deficiencias de cumplimiento más frecuentes en las pymes alemanas, todas ellas sancionadas en el nivel 2.

Nivel 3: datos falsos a las autoridades — hasta 7,5 M EUR o el 1,5%

El nivel más bajo, pero en absoluto desdeñable, afecta a la información engañosa, incompleta o falsa facilitada a las autoridades nacionales competentes o a la Comisión Europea, en particular en el marco de evaluaciones de conformidad o investigaciones de las autoridades. Según el art. 99, apdo. 4, del EU AI Act, la multa asciende hasta 7.500.000 EUR o el 1,5% de la facturación anual mundial, de nuevo el valor mayor. Ejemplo: quien, ante una solicitud de la autoridad sobre la IA de alto riesgo en uso, presente documentación incompleta o deliberadamente engañosa, queda comprendido en este nivel.

El principio de “se aplica el valor mayor” es un elemento central del diseño del régimen sancionador: evita que las grandes empresas con elevada facturación limiten los topes porcentuales acogiéndose a los límites absolutos y, al mismo tiempo, que las pequeñas empresas se vean abocadas a multas desproporcionadas únicamente por el importe absoluto cuando el porcentaje resulte inferior.

35 M EUR

máximo — art. 99, apdo. 1, del EU AI Act

Quelle: Reglamento (UE) 2024/1689, 2024
7%

facturación anual mundial — art. 99, apdo. 1

Quelle: Reglamento (UE) 2024/1689, 2024
4%

comparación DSGVO — art. 83 DSGVO

Quelle: Reglamento (UE) 2016/679, 2016
9

factores de graduación de la sanción — art. 99, apdo. 7

Quelle: Reglamento (UE) 2024/1689, 2024

¿Qué cuenta como “facturación anual mundial”? Consolidación de grupo e interconexiones

La cuestión de qué se entiende exactamente por “facturación anual mundial total” en el sentido del art. 99 del EU AI Act tiene una relevancia práctica considerable, sobre todo para las empresas que forman parte de un grupo o que cuentan con filiales. La Comisión Europea (FAQ sobre el EU AI Act 2024) ha publicado al respecto las primeras orientaciones interpretativas.

Regla general: lo determinante es la facturación total consolidada de toda la unidad económica en el ejercicio anterior. Esto significa que, para una filial que forma parte de un grupo mayor, no se toma en cuenta únicamente su propia facturación, sino la facturación consolidada del grupo en su conjunto. Esta regulación sigue la práctica de grupo consolidada en el derecho europeo de la competencia y de protección de datos (compárense el art. 83 de la DSGVO y los arts. 101/102 del TFUE en materia de defensa de la competencia).

Para las pymes vinculadas a un grupo: quien pertenezca en un 25% o más a una gran empresa deja de considerarse una pyme autónoma según la definición de pyme de la UE. En tal caso, la base para el cálculo de la multa es la facturación consolidada del grupo matriz, no solo la facturación de la filial. Esto puede elevar de forma considerable la cuantía máxima posible de la sanción.

Sobre la cuestión de facturación neta frente a bruta: el Reglamento del EU AI Act se remite a la “facturación total” sin una aclaración explícita. Por analogía con la práctica interpretativa de la DSGVO y según el documento de bases del BMWK sobre la transposición del EU AI Act 2024, cabe suponer que la base de cálculo es la facturación neta antes de impuestos (sin IVA), conforme a la definición mercantil de facturación neta. La autoridad de supervisión nacional y, en última instancia, el TJUE decidirán definitivamente sobre esta cuestión.

Recomendación práctica para pymes: si su empresa forma parte de un grupo, calcule los importes máximos de la sanción sobre la base de la facturación consolidada del grupo, no sobre la base de su facturación individual. Esto puede modificar de forma considerable el nivel real de riesgo.

Las infracciones del art. 5 se sancionan con multas de hasta 35.000.000 EUR o, en el caso de una empresa, de hasta el 7% de su facturación mundial total del ejercicio anterior, el importe que sea mayor.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU AI Act, Art. 99 Abs. 1, EUR-Lex / Amtsblatt der Europäischen Union, 2024

Factores de graduación de la sanción: ¿cuándo más, cuándo menos? (art. 99, apdo. 7)

El art. 99, apdo. 7, del EU AI Act enumera nueve factores que la autoridad nacional debe tener en cuenta al determinar la cuantía concreta de la multa. Estos factores pueden tanto aumentar como reducir la multa: crean un margen de apreciación que debe ejercerse en aras de la proporcionalidad. Según la guía de Bitkom sobre sanciones del EU AI Act 2024, en la práctica las autoridades reaccionarán de forma positiva sobre todo ante la cooperación y la autodenuncia.

Factores que aumentan la multa

  • Gravedad y duración de la infracción: cuanto más tiempo se opere un sistema prohibido y más amplio sea el alcance de la infracción, mayor será la multa. Un sistema de IA de reconocimiento de emociones que se haya operado durante años sin desconectarse se sanciona con más dureza que un uso puntual interrumpido de inmediato tras la advertencia.
  • Dolo o negligencia grave: quien infrinja a sabiendas las prohibiciones o ignore de forma sistemática los requisitos de cumplimiento debe contar con la franja superior del marco sancionador. El dolo acreditado es el agravante más fuerte.
  • Cuota de mercado de la empresa: quien tiene una gran cuota de mercado causa más daño con sus infracciones; la autoridad puede valorarlo como factor agravante.
  • Reincidencia: quien ya haya sido sancionado por infracciones del EU AI Act o por normas comparables relativas a la IA y vuelva a infringir se expone a multas considerablemente más altas.

Factores que reducen la multa

  • Cooperación con la autoridad: la cooperación activa y proactiva con la autoridad de supervisión nacional, incluida la divulgación transparente de toda la información relevante y la subsanación inmediata de las infracciones, es el principal atenuante. La FAQ de la Comisión Europea 2024 lo subraya de forma expresa.
  • Escasa gravedad y corta duración: una infracción puntual, no intencionada y con autocorrección rápida se sanciona con mayor indulgencia.
  • Actuación responsable tras la infracción: quien, tras detectar una infracción, adopte sin demora medidas correctoras, informe a los afectados y acredite medidas preventivas para el futuro mejora de forma considerable su posición sancionadora.
  • Grado de responsabilidad: quien no haya causado la infracción por sí mismo, sino que, por ejemplo como responsable del despliegue, haya dependido de datos erróneos del proveedor de IA, asume una responsabilidad atenuada, siempre que haya cumplido los deberes de comprobación según su leal saber y entender.

Regla especial para pymes

El art. 99, apdo. 6, del EU AI Act prevé expresamente que, al determinar la multa para pymes y startups, rija el menor de los dos umbrales. Esto significa que una pyme con 5 M EUR de facturación paga, en el caso de alto riesgo, como máximo 3% × 5 M EUR = 150.000 EUR, y no el importe máximo absoluto de 15 M EUR. Esta regulación protege frente a multas desproporcionadas, pero no es un cheque en blanco: también 150.000 EUR ponen en peligro la existencia de una pequeña empresa.

Ejemplos de cálculo: ¿cuánto cuesta en concreto una infracción para las pymes?

Los marcos abstractos de las multas se vuelven más tangibles cuando se trasladan a escenarios realistas de mediana empresa. Los tres ejemplos siguientes ilustran cómo opera en la práctica el principio de “se aplica el valor mayor” y por qué incluso las pequeñas pymes asumen riesgos considerables.

Ejemplo 1: nivel 1 — pyme con 25 M EUR de facturación

Una empresa mediana de servicios de personal con 25 M EUR de facturación anual emplea un sistema de IA para la preselección automatizada de candidaturas que, de forma inadvertida, discrimina a los candidatos por su origen étnico, una infracción del art. 5 (categorización biométrica prohibida según características protegidas). Cálculo de la multa: 7% × 25 M EUR = 1,75 M EUR. Como 1,75 M EUR es inferior al tope absoluto de 35 M EUR, se aplica el valor porcentual. Incluso con todos los atenuantes, es realista una multa en el rango de seis cifras.

Ejemplo 2: nivel 2 — microempresa con 5 M EUR de facturación

Un despacho de abogados con 5 M EUR de facturación anual emplea un sistema de IA para predecir los riesgos procesales sin disponer de la documentación técnica exigida ni del sistema de gestión de riesgos previsto en el art. 9 del EU AI Act, una infracción de los requisitos de alto riesgo (nivel 2). Cálculo de la multa: 3% × 5 M EUR = 150.000 EUR. El importe máximo absoluto de 15 M EUR no se aplica, porque el valor porcentual (150.000 EUR) es inferior. Gracias a la regla especial para pymes, aquí rige el valor menor. Aun así, 150.000 EUR resultan determinantes para la existencia de un despacho de tamaño medio.

Ejemplo 3: nivel 1 — empresa con 100 M EUR de facturación

Una empresa comercial con 100 M EUR de facturación anual opera un sistema de IA para influir en el comportamiento dentro de la publicidad, que explota de forma selectiva las vulnerabilidades psicológicas de públicos de edad avanzada, una clara infracción del art. 5, apdo. 1, letra b), del EU AI Act. Cálculo de la multa: 7% × 100 M EUR = 7 M EUR. Como 7 M EUR es inferior a 35 M EUR, se aplica el valor porcentual. A ello se suma la posible indemnización por daños en vía civil conforme al art. 82 de la DSGVO y al previsto EU AI Liability Act.

Comparación con las multas de la DSGVO

A modo de comparación: la multa más alta de la DSGVO según el art. 83, apdo. 5, de la DSGVO asciende como máximo al 4% de la facturación anual mundial o a 20 M EUR, el valor que sea mayor. Así pues, el EU AI Act, con su 7% para el nivel 1, queda un 75% por encima de la sanción máxima de la DSGVO. Según la Fundación Heinrich Böll (análisis del EU AI Act 2024), este exceso se eligió de forma deliberada para reflejar el mayor potencial de peligro de la IA descontrolada frente al tratamiento de datos convencional.

¿Quién impone las sanciones? Estructura de las autoridades en Alemania

La aplicación del EU AI Act corresponde a las autoridades nacionales de vigilancia del mercado, que cada Estado miembro debe designar por sí mismo. En Alemania, el reparto de competencias aún no está regulado de forma definitiva; sin embargo, según el documento de bases del BMWK sobre la transposición del EU AI Act 2024, está prevista la siguiente estructura:

  • Agencia Federal de Redes (BNetzA): autoridad nacional principal de vigilancia del mercado para el EU AI Act en Alemania. Asumiría la supervisión global, recibiría las reclamaciones e incoaría los procedimientos sancionadores.
  • Comisionada Federal para la Protección de Datos y la Libertad de Información (BfDI): competente para las infracciones del AI Act que tengan al mismo tiempo implicaciones en materia de protección de datos (art. 74, apdo. 8, del EU AI Act).
  • Oficina Europea de IA (EU AI Office): para los casos transfronterizos, los proveedores de GPAI (modelos de IA de uso general) y los riesgos sistémicos es competente la Oficina de IA de la Comisión Europea, establecida a nivel de la UE. Coordina a las autoridades nacionales y puede actuar por sí misma en los grandes casos.

Vías de recurso: contra las resoluciones sancionadoras, las empresas pueden interponer recurso y, a continuación, acudir a la vía contencioso-administrativa. A nivel de la UE es competente el TJUE. Los procedimientos pueden prolongarse durante varios años, lo que no significa, sin embargo, que la multa quede suspendida hasta su conclusión.

Häufige Fragen zu EU AI Act Bußgeldern

Las multas por infracciones de las prácticas de IA prohibidas (art. 5 del EU AI Act, nivel 1) están vigentes desde el 2 de febrero de 2025. Las multas por falta de conformidad de alto riesgo y por deberes de transparencia (niveles 2 y 3) se aplican a partir del 2 de agosto de 2026, cuando todos los requisitos de alto riesgo rijan en su totalidad. Las autoridades nacionales de vigilancia del mercado serán operativas a partir de agosto de 2025. Las primeras multas en Alemania se esperan para 2026/2027.
El art. 99, apdo. 6, del EU AI Act prevé una regla especial para pymes y startups: rige siempre el menor de los dos valores (importe absoluto en EUR o porcentaje de la facturación). Una pyme con 5 M EUR de facturación paga, en el caso de alto riesgo, como máximo 3% × 5 M EUR = 150.000 EUR, y no el límite absoluto de 15 M EUR. Esta regla protege frente a sanciones desproporcionadas, pero no es un cheque en blanco: 150.000 EUR ponen en peligro la existencia de las pequeñas empresas.
Sí. El art. 99, apdo. 7, del EU AI Act menciona expresamente la cooperación con la autoridad como factor atenuante de la multa. Quien notifique una infracción de forma proactiva, divulgue toda la información con transparencia, subsane la infracción de inmediato y acredite medidas correctoras puede lograr una reducción considerable de la cuantía de la multa. La FAQ de la Comisión Europea 2024 recomienda a las empresas buscar pronto el diálogo con la autoridad ante lagunas de cumplimiento detectadas, en lugar de esperar a un descubrimiento externo.
Según el documento de bases del BMWK 2024, está prevista la Agencia Federal de Redes (BNetzA) como autoridad nacional principal de vigilancia del mercado. En caso de solapamientos en materia de protección de datos, debe implicarse a la Comisionada Federal para la Protección de Datos (BfDI). En los casos transfronterizos y con proveedores de GPAI es competente la Oficina Europea de IA de la Comisión. La regulación legal definitiva de la estructura de supervisión alemana aún está pendiente (situación: mayo de 2026).
Según todos los indicios, sí, aunque con una fase de arranque. La experiencia con la DSGVO muestra que las autoridades nacionales apuestan primero por el asesoramiento y las órdenes de corrección, e imponen multas en caso de infracciones reiteradas o graves. Es realista esperar las primeras multas del EU AI Act en Alemania a partir de 2027. Las empresas que no puedan acreditar ningún esfuerzo de cumplimiento corren un riesgo considerablemente mayor que aquellas que trabajan de forma activa en la transposición.
La DSGVO prevé, según el art. 83, apdo. 5, para las infracciones graves un máximo del 4% de la facturación anual mundial o de 20 M EUR, el importe que sea mayor. El EU AI Act se sitúa, para las prácticas prohibidas (nivel 1), en el 7% o 35 M EUR, es decir, un 75% por encima de la sanción máxima de la DSGVO. Para las infracciones de alto riesgo (nivel 2, 3% o 15 M EUR), el nivel es comparable a las sanciones intermedias de la DSGVO según el art. 83, apdo. 4.
El principio significa que para cada multa existe un tope absoluto en EUR y un tope porcentual referido a la facturación anual mundial. Rige siempre el mayor de los dos importes calculados. Ejemplo: nivel 1 (7% o 35 M EUR). Para una empresa con 20 M EUR de facturación: 7% × 20 M = 1,4 M EUR, inferior a 35 M, así que rige 1,4 M EUR. Con 600 M EUR de facturación: 7% × 600 M = 42 M EUR, superior a 35 M, así que se aplica el tope de 35 M EUR.
Sí. Contra las resoluciones sancionadoras está abierta toda la vía contencioso-administrativa: primero, recurso ante la autoridad que las dicta; después, demanda ante el tribunal contencioso-administrativo competente, hasta llegar al Tribunal Administrativo Federal y, en cuestiones de derecho de la UE, al TJUE. Durante los procedimientos de recurso en curso, la ejecución de la multa puede, en determinadas circunstancias, suspenderse mediante tutela cautelar. En la práctica, ante una resolución sancionadora se recomienda la intervención inmediata de un abogado especializado en derecho de la IA.

Comprobación de conformidad con el EU AI Act: minimice el riesgo de multas

Wito AI analiza sus sistemas de IA según los niveles de riesgo del EU AI Act, identifica las lagunas de cumplimiento y elabora una lista priorizada de medidas. Conozca los riesgos de multa y redúzcalos de forma específica, antes de que pregunte la autoridad.

Solicitar comprobación de conformidad con el EU AI ActWito Digital Audit (WDA) gratuito
  • Clasificación de riesgo de todos los sistemas de IA
  • Cerrar las lagunas de cumplimiento antes del plazo de 2026
  • Reducir de forma demostrable el riesgo de multas

Multas del EU AI Act 2026: ¿cuánto cuesta una infracción? Tabla completa

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen