Reglamento de IA de la UE, artículo 99: sanciones, límites máximos y proporcionalidad para las PYME
El artículo 99 establece el régimen sancionador por infracciones del Reglamento de IA de la UE. Los límites máximos son superiores a los del RGPD (35 M€ o el 7 % del volumen de negocios mundial para las prácticas prohibidas; 15 M€ o el 3 % para los incumplimientos relativos a la IA de alto riesgo y al artículo 50). Las autoridades nacionales determinan las multas efectivas dentro de dichos límites, aplicando los factores de proporcionalidad previstos en el artículo 99, apartado 7. Las sanciones serán aplicables a partir del 2 de agosto de 2026 para la mayoría de las disposiciones, y desde el 2 de febrero de 2025 para las prohibiciones del artículo 5.
La escala de sanciones
Artículo 99, apartado 3: incumplimiento de las prácticas prohibidas del artículo 5 — hasta 35 M€ o el 7 % del volumen de negocios mundial anual del ejercicio precedente, si esta última cifra fuera superior.
Artículo 99, apartado 4: incumplimiento de disposiciones distintas del artículo 5 (obligaciones relativas a la IA de alto riesgo, transparencia del artículo 50, MSIG artículos 53 y 55) — hasta 15 M€ o el 3 % del volumen de negocios mundial anual.
Artículo 99, apartado 5: suministro de información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades nacionales — hasta 7,5 M€ o el 1 % del volumen de negocios mundial anual.
Artículo 99, apartado 6: proporcionalidad para PYME y empresas emergentes — se aplica el importe menor de los dos (cuantía absoluta o porcentaje).
Qué significa «volumen de negocios mundial anual»
El artículo 99 utiliza el volumen de negocios mundial, no el volumen de negocios en la UE. Para un SaaS con un ARR mundial de 5 M€ y 1 M€ de ingresos en la UE, el límite máximo de la sanción por IA de alto riesgo es de 150 000 € (el 3 % de 5 M€ a escala mundial), no de 30 000 € (el 3 % de 1 M€ en la UE). En el caso de grupos multinacionales, el volumen de negocios pertinente es el ingreso mundial consolidado de la empresa matriz. Ello hace que el límite máximo sea teóricamente muy elevado para las empresas consolidadas y otorga a los reguladores un considerable poder de presión.
Proporcionalidad para las PYME en virtud del artículo 99, apartado 6
Para las PYME (menos de 250 empleados, volumen de negocios inferior a 50 M€) y las empresas emergentes, el artículo 99, apartado 6, aplica el importe menor entre la cuantía absoluta y el porcentaje del volumen de negocios. Esto reduce de manera significativa la exposición de los pequeños proveedores de SaaS. Las autoridades nacionales disponen asimismo de margen de apreciación en materia de proporcionalidad en virtud del artículo 99, apartado 7, teniendo en cuenta los siguientes factores: naturaleza, gravedad y duración de la infracción; carácter doloso o negligente; infracciones anteriores; cooperación; subsanación; tamaño del operador. En la práctica, las multas impuestas a las PYME por una primera infracción suelen situarse entre el 10 % y el 30 % del límite máximo teórico.
Autoridades competentes y procedimiento de aplicación
El artículo 99, apartado 8, obliga a los Estados miembros a establecer normas sobre las sanciones aplicables a las infracciones cometidas por instituciones, órganos y organismos de la Unión (de lo que se ocupa el Supervisor Europeo de Protección de Datos). Las autoridades nacionales gestionan la aplicación en el sector privado conforme al derecho procesal de cada Estado miembro. Procedimiento habitual: investigación iniciada por denuncia o actuación de supervisión, notificación de las conclusiones preliminares, derecho de respuesta, resolución, vía de recurso administrativo y revisión judicial. Plazo medio de resolución: de 12 a 24 meses desde la denuncia inicial.
Cómo se aplica en la práctica
A partir de las primeras señales del período de aplicación del RGPD y de las actuaciones de aplicación del Reglamento de IA de la UE en 2025-2026 (casos del artículo 5 desde febrero de 2025), cabe esperar: que la mayoría de los casos de primera infracción se resuelvan mediante órdenes de cumplimiento sin multas; que las infracciones manifiestas de la transparencia del artículo 50 acarreen multas de entre 10 000 € y 500 000 €; que las infracciones manifiestas de las prohibiciones del artículo 5 o de las obligaciones relativas a la IA de alto riesgo conlleven multas de entre 100 000 € y 2 M€; y que las infracciones graves o reiteradas se aproximen a los límites máximos absolutos. El coste en materia de contratación pública y reputación suele superar entre 5 y 10 veces el importe de la propia multa.
Frequently asked questions
¿Cuál es la sanción máxima prevista en el Reglamento de IA de la UE?
35 M€ o el 7 % del volumen de negocios mundial anual, si esta última cifra fuera superior. Se aplica a las infracciones de las prácticas prohibidas del artículo 5.
¿Cuándo son aplicables las sanciones?
Las sanciones del artículo 5 son aplicables desde el 2 de febrero de 2025. Las demás sanciones lo serán a partir del 2 de agosto de 2026.
¿Están realmente las PYME exentas de multas elevadas?
No están exentas; las PYME se benefician de la proporcionalidad. Se aplica el importe menor entre la cuantía absoluta y el límite porcentual, y las autoridades nacionales ejercen su margen de apreciación para reducir aún más las multas. Multas típicas de PYME por primera infracción: entre el 10 % y el 30 % del límite máximo teórico.
¿Pueden acumularse las multas correspondientes a distintos artículos?
Sí: un único incidente puede dar lugar a infracciones de varios artículos. Las multas acumulativas son posibles. El artículo 99, apartado 7, ordena a las autoridades que garanticen que la sanción global sea proporcionada.
¿Cuál es el procedimiento de recurso?
Recurso administrativo ante la autoridad nacional de aplicación y, posteriormente, revisión judicial por los órganos jurisdiccionales nacionales, con posibilidad de remisión prejudicial al Tribunal de Justicia de la Unión Europea sobre cuestiones de Derecho de la Unión.
Sources
Last updated: 2026-05-28