Multas armonizadas a nivel UE
Estas normativas fijan importes máximos de multa directamente aplicables en todos los Estados miembros. Se aplica siempre el importe mayor entre la cifra fija y el porcentaje de facturación mundial.
| Normativa | Tipo de infracción | Artículo | Multa máxima | % Facturación | Ejemplo pyme 5 M€ | Estado |
|---|---|---|---|---|---|---|
|
CRA
Reg. (UE) 2024/2847
|
Incumplimiento requisitos esenciales de ciberseguridad (Anexo I) y obligaciones del fabricante (Arts. 13, 14) | Art. 64(2) | 15.000.000 € | 2,5 % | 125.000 € | Aplica 11/12/2027 |
|
CRA
Reg. (UE) 2024/2847
|
Incumplimiento de obligaciones de importadores, distribuidores, declaración UE de conformidad, marcado CE y organismos notificados (Arts. 18–23, 28, 30–33, 39, 41, 47, 49, 53) | Art. 64(3) | 10.000.000 € | 2 % | 100.000 € | Aplica 11/12/2027 |
|
CRA
Reg. (UE) 2024/2847
|
Suministro de información incorrecta, incompleta o engañosa a organismos notificados o autoridades de vigilancia del mercado | Art. 64(4) | 5.000.000 € | 1 % | 50.000 € | Aplica 11/12/2027 |
|
AI Act
Reg. (UE) 2024/1689
|
Prácticas de IA prohibidas (Art. 5): manipulación subliminal, explotación de vulnerabilidades, puntuación social, identificación biométrica remota no autorizada | Art. 99(3) | 35.000.000 € | 7 % | 350.000 € | En vigor parcial |
|
AI Act
Reg. (UE) 2024/1689
|
Incumplimiento de obligaciones de proveedores, importadores, distribuidores, implantadores y organismos notificados (Arts. 16, 22–26, 31, 33–34, 50) | Art. 99(4) | 15.000.000 € | 3 % | 150.000 € | En vigor parcial |
|
AI Act
Reg. (UE) 2024/1689
|
Suministro de información incorrecta, incompleta o engañosa a organismos notificados o autoridades nacionales competentes | Art. 99(5) | 7.500.000 € | 1 % | 50.000 € | En vigor parcial |
|
EUDR
Reg. (UE) 2023/1115
|
Incumplimiento de las obligaciones de diligencia debida, comercialización o exportación de productos asociados a deforestación | Art. 25 | Proporcional al daño ambiental | Máx. 4 % facturación UE | 200.000 € | Aplica 30/12/2025 |
|
Data Act
Reg. (UE) 2023/2854
|
Infracciones que afectan a datos personales (Capítulos II, III y V): las autoridades de protección de datos pueden imponer multas conforme al RGPD | Art. 40(4) | 20.000.000 € | 4 % (vía RGPD Art. 83(5)) | 200.000 € | En vigor 12/09/2025 |
Regla para pymes en el AI Act (Art. 99(6)): Para pymes y startups, la multa aplicable es la cantidad menor entre el importe fijo y el porcentaje de facturación, no la mayor. Esto reduce significativamente la exposición para empresas pequeñas. En el CRA, las microempresas y pequeñas empresas están exentas de multas por incumplimiento de plazos de notificación de vulnerabilidades (Art. 64(10)(a)).
Importante: Los porcentajes del AI Act se calculan sobre la facturación mundial total del ejercicio anterior. El EUDR calcula sobre la facturación a nivel UE. En todos los demás reglamentos, se aplica la cifra que resulte mayor entre el importe fijo y el porcentaje.
Multas definidas por cada Estado miembro
Estas normativas exigen que las sanciones sean «eficaces, proporcionadas y disuasorias» pero delegan en cada Estado miembro la fijación de importes concretos. No existe un importe armonizado a nivel UE.
| Normativa | Ámbito | Artículo de sanciones | Importe armonizado UE | Régimen de sanciones | Transposición España (BOE) |
|---|---|---|---|---|---|
|
GPSR
Reg. (UE) 2023/988
|
Seguridad general de productos de consumo | Art. 44 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | Pendiente desarrollo normativo específico |
|
Data Act
Reg. (UE) 2023/2854
|
Acceso y uso de datos (infracciones generales sin datos personales) | Art. 40 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | Pendiente designación autoridad competente |
|
EAA
Dir. (UE) 2019/882
|
Requisitos de accesibilidad de productos y servicios | Art. 30 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | Real Decreto-ley 1/2025 (BOE 8/1/2025) |
|
Transparencia Retributiva
Dir. (UE) 2023/970
|
Transparencia e igualdad retributiva entre hombres y mujeres | Art. 23 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | Plazo transposición: 7 junio 2026 |
|
RED
Dir. 2014/53/UE
|
Equipos radioeléctricos | Art. 45 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | RD 188/2016 (BOE 6/5/2016) |
|
RoHS
Dir. 2011/65/UE
|
Restricción de sustancias peligrosas en aparatos eléctricos y electrónicos | Art. 19 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | RD 219/2013 (BOE 19/4/2013) |
|
Seguridad de Juguetes
Reg. (UE) 2025/2509
|
Seguridad de juguetes (sustituye Dir. 2009/48/CE) | Art. 48 | No fija importe | Definido por cada Estado miembro — sin importe armonizado UE | Aplica directamente desde 1/08/2030 |
¿Por qué no hay importe fijo? Las directivas (EAA, Pay Transparency, RED, RoHS) requieren transposición nacional, y cada Estado miembro fija sus propios importes de sanción. Los reglamentos que delegan sanciones (GPSR, Data Act general, Toy Safety) exigen igualmente a los Estados que establezcan normas sancionadoras nacionales «eficaces, proporcionadas y disuasorias». Es imprescindible consultar la legislación nacional de cada país para conocer los importes concretos.
Cómo se calcula la multa
En los reglamentos con importes armonizados a nivel UE, la autoridad competente aplica siempre la cifra mayor entre el importe fijo y el porcentaje de facturación. Aquí un ejemplo práctico para una pyme con 5.000.000 € de facturación mundial anual.
Ejemplo: Fabricante pyme — incumplimiento del CRA (Art. 64(2))
Facturación anual mundial
5.000.000 €
Opción A: Importe fijo máximo
15.000.000 €
Opción B: 2,5 % de facturación
125.000 €
Se aplica la mayor →
15.000.000 € (máximo teórico)
Ejemplo: Fabricante pyme — prácticas IA prohibidas (AI Act Art. 99(3))
Facturación anual mundial
5.000.000 €
Opción A: Importe fijo máximo
35.000.000 €
Opción B: 7 % de facturación
350.000 €
Regla pyme (Art. 99(6)): se aplica la menor →
350.000 € (protección pyme)
Diferencia clave CRA vs AI Act para pymes: En el CRA, se aplica siempre la cifra mayor (incluso para pymes). En el AI Act, el Art. 99(6) establece expresamente que para pymes y startups se aplica la cifra menor entre el importe fijo y el porcentaje. Esto convierte al AI Act en un régimen comparativamente más protector para las pymes, pese a tener umbrales nominales más altos.
Más allá de la multa
Las sanciones económicas son solo una parte del régimen sancionador. Estas normativas contemplan medidas adicionales que pueden tener un impacto operativo y reputacional aún mayor que la propia multa.
Retirada del mercado
Las autoridades de vigilancia pueden ordenar la retirada inmediata de productos no conformes del mercado de la UE, prohibir su comercialización o restringir su disponibilidad.
CRA Art. 58 · AI Act Art. 16(i) · GPSR Art. 42 · EUDR Art. 24
Recuperación de productos (recall)
El fabricante puede verse obligado a recuperar productos ya vendidos al usuario final (recall), asumir los costes de la operación y ofrecer reparación, sustitución o reembolso al consumidor.
CRA Art. 64(9) · GPSR Arts. 35–37 · Toy Safety Reg. Art. 46
Exclusión de contratación pública
Las empresas sancionadas pueden ser excluidas temporalmente de procedimientos de contratación pública y del acceso a financiación pública de la UE.
EUDR Art. 25(2)(c) · Dir. 2014/24/UE Art. 57
Publicación de la sanción
La identidad de la empresa infractora, la naturaleza de la infracción y la sanción impuesta pueden publicarse en registros públicos y plataformas como Safety Gate, con el consiguiente daño reputacional.
EUDR Art. 25(2)(e) · GPSR Art. 26 · Safety Gate (ec.europa.eu)
Acumulación de sanciones: Las multas administrativas pueden combinarse con medidas correctoras (retirada, recall) y, en algunos Estados miembros, con sanciones penales. En el ámbito del EUDR, la Comisión ha anunciado la intención de introducir sanciones penales armonizadas. En el CRA (Art. 64(9)), las multas pueden acumularse con órdenes de retirada y medidas correctoras obligatorias.
Fuentes oficiales
REG
CRA — Reg. (UE) 2024/2847
eur-lex.europa.eu/eli/reg/2024/2847/oj
eur-lex.europa.eu/eli/reg/2024/2847/oj
REG
AI Act — Reg. (UE) 2024/1689
eur-lex.europa.eu/eli/reg/2024/1689/oj
eur-lex.europa.eu/eli/reg/2024/1689/oj
REG
EUDR — Reg. (UE) 2023/1115
eur-lex.europa.eu/eli/reg/2023/1115/oj
eur-lex.europa.eu/eli/reg/2023/1115/oj
REG
Data Act — Reg. (UE) 2023/2854
eur-lex.europa.eu/eli/reg/2023/2854/oj
eur-lex.europa.eu/eli/reg/2023/2854/oj
REG
GPSR — Reg. (UE) 2023/988
eur-lex.europa.eu/eli/reg/2023/988/oj
eur-lex.europa.eu/eli/reg/2023/988/oj
DIR
EAA — Dir. (UE) 2019/882
eur-lex.europa.eu/eli/dir/2019/882/oj
eur-lex.europa.eu/eli/dir/2019/882/oj
DIR
Pay Transparency — Dir. (UE) 2023/970
eur-lex.europa.eu/eli/dir/2023/970/oj
eur-lex.europa.eu/eli/dir/2023/970/oj
DIR
RED — Dir. 2014/53/UE
eur-lex.europa.eu/eli/dir/2014/53/oj
eur-lex.europa.eu/eli/dir/2014/53/oj
DIR
RoHS — Dir. 2011/65/UE
eur-lex.europa.eu/eli/dir/2011/65/oj
eur-lex.europa.eu/eli/dir/2011/65/oj
REG
Toy Safety — Reg. (UE) 2025/2509
eur-lex.europa.eu/eli/reg/2025/2509/oj
eur-lex.europa.eu/eli/reg/2025/2509/oj