Obligaciones del importador y del distribuidor de la Ley de IA de la UE: qué exigen los Artículos 23 y 24

Si introduce un sistema de IA de alto riesgo en la UE desde fuera —o si lo traslada más adelante en la cadena de suministro—, no es un mero espectador de la Ley de IA de la UE. El Reglamento (UE) 2024/1689 asigna deberes específicos y enumerados a los importadores con arreglo al Artículo 23 y a los distribuidores con arreglo al Artículo 24. Si se yerra en ellos, el techo sancionador es de 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4).

El plazo para las obligaciones de alto riesgo es el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026. Esto sustituye a la fecha original de agosto de 2026. No es una excusa para empezar tarde —los pasos de verificación que figuran a continuación llevan tiempo, y los productos no conformes no deben llegar al mercado, con independencia de cuándo recaiga el plazo formal.

Importador frente a distribuidor: dos papeles distintos

La Ley define ambos papeles con precisión.

Un importador (Artículo 23) es cualquier persona física o jurídica establecida en la UE que introduce en el mercado de la UE un sistema de IA de alto riesgo que lleva el nombre o la marca de una persona establecida fuera de la Unión. El importador es la entidad que cruza la frontera, comercialmente hablando. No es el usuario final; no es el agente de transporte.

Un distribuidor (Artículo 24) es cualquier persona física o jurídica de la cadena de suministro, distinta del proveedor o del importador, que comercializa un sistema de IA de alto riesgo en el mercado de la UE. Los distribuidores se sitúan entre el importador y el responsable del despliegue —los revendedores, los revendedores de valor añadido y los socios de canal suelen encuadrarse aquí.

Ambos papeles son reales, nombrados y obligados. El antiguo encuadre según el cual la Ley solo reconoce «proveedores» y «responsables del despliegue» es erróneo; los Artículos 23 y 24 crean deberes distintos para cada agente de la cadena de suministro.

Qué deben hacer los importadores (Artículo 23)

Antes de introducir un sistema de IA de alto riesgo en el mercado de la UE, el Artículo 23 le exige verificar que el proveedor ha hecho su trabajo. En concreto:

Comprobar la evaluación de la conformidad. El proveedor debe haber completado la evaluación de la conformidad pertinente con arreglo al Artículo 43. Para la mayoría de las categorías del Anexo III, esto significa el control interno (Anexo VI); para los sistemas de identificación biométrica, requiere un organismo notificado (Anexo VII). No puede introducir el sistema en el mercado sin pruebas de que esta evaluación se realizó.

Comprobar la documentación técnica. El Artículo 11 exige al proveedor elaborar la documentación técnica con arreglo al Anexo IV —un registro estructurado del diseño del sistema, los datos, la gestión de riesgos, las pruebas y el uso previsto—. Confirme que existe y está actualizada.

Comprobar el marcado CE. El Artículo 48 exige que los sistemas de IA de alto riesgo lleven el marcado CE antes de la introducción en el mercado. Sin marcado, no hay importación.

Comprobar la declaración UE de conformidad. El Artículo 47 exige al proveedor elaborar una declaración por escrito de que el sistema cumple los requisitos de la Ley. Obtenga una copia y consérvela.

Comprobar las instrucciones de uso. El Artículo 13 exige a los proveedores facilitar instrucciones claras y precisas que permitan a los responsables del despliegue comprender qué hace el sistema, sus limitaciones y cómo ejercer la supervisión humana. Verifique que acompañan al sistema.

Comprobar que se ha designado un representante autorizado cuando proceda. Con arreglo al Artículo 22, los proveedores establecidos fuera de la UE deben designar a un representante autorizado establecido en la UE antes de introducir un sistema de alto riesgo en el mercado. Confirme que esta designación está en vigor.

Poner su nombre en el sistema. El Artículo 23 exige a los importadores indicar su nombre, su nombre comercial registrado o su marca y su dirección postal en el propio sistema o, cuando esto no sea posible, en su embalaje o en la documentación que lo acompañe. Esto no es opcional.

Almacenamiento y transporte. Mientras el producto esté bajo su custodia, debe asegurarse de que las condiciones de almacenamiento y transporte no comprometan el cumplimiento de los requisitos de la Ley —en particular, cualquier condición de integridad técnica de las instrucciones del proveedor.

Conservar los registros durante diez años. El Artículo 23 exige a los importadores conservar una copia de la declaración UE de conformidad, del certificado de evaluación de la conformidad (cuando lo haya expedido un organismo notificado) y de las instrucciones de uso durante diez años después de que el sistema se introduzca en el mercado.

Cooperar con la vigilancia del mercado. Si una autoridad competente solicita información o documentación, debe facilitarla con prontitud. Si descubre que el sistema presenta un riesgo o es no conforme, debe informar de inmediato al proveedor y a la autoridad de vigilancia del mercado pertinente, y no debe introducir —ni seguir introduciendo— el sistema en el mercado.

No introducir un sistema no conforme. Si, tras hacer todo lo anterior, concluye que el sistema no es conforme o plantea un riesgo inaceptable, no debe introducirlo en el mercado. Punto final.

Qué deben hacer los distribuidores (Artículo 24)

Los distribuidores soportan una carga de verificación más ligera, pero aun así real. Antes de comercializar un sistema de IA de alto riesgo, debe verificar:

• Que el sistema lleva el marcado CE exigido (Artículo 48).
• Que la declaración UE de conformidad (Artículo 47) acompaña al sistema.
• Que están presentes las instrucciones de uso en una lengua que los responsables del despliegue del mercado de destino puedan comprender (Artículo 13).
• Que el proveedor ha cumplido sus obligaciones con arreglo al Artículo 16 y —cuando proceda— que el importador ha cumplido sus obligaciones con arreglo al Artículo 23.

Si tiene motivos para creer que el sistema es no conforme o presenta un riesgo, no debe comercializarlo. Debe informar al proveedor o al importador y cooperar con las autoridades de vigilancia del mercado.

Los distribuidores que modifiquen el embalaje o la documentación de un modo que afecte al cumplimiento, o que almacenen y transporten en condiciones que degraden el sistema, asumen la responsabilidad de esas consecuencias.

Cuándo se convierten los importadores y distribuidores en proveedores (Artículo 25)

Esta es la cláusula que coge a las empresas con la guardia baja. El Artículo 25 dispone que un importador o distribuidor sea tratado como proveedor —con la pila completa de obligaciones del proveedor— si realiza alguna de las siguientes acciones:

1. Introduce el sistema de IA de alto riesgo en el mercado bajo su propio nombre o marca.
2. Modifica sustancialmente el sistema (según se define en el Artículo 3, apartado 23 —un cambio que afecta al cumplimiento del sistema con los requisitos o cambia su finalidad prevista).
3. Modifica la finalidad prevista de un sistema ya introducido en el mercado, de un modo que lo hace de alto riesgo.

Un ejemplo concreto: un distribuidor europeo de una herramienta de cribado para el empleo de un proveedor estadounidense decide reetiquetar la herramienta con su marca y ampliar su alcance para incluir tanto las decisiones de promoción como la contratación. Eso es a la vez un cambio de nombre y un cambio de alcance. Con arreglo al Artículo 25, el distribuidor es ahora un proveedor y debe realizar una evaluación de la conformidad, elaborar documentación técnica, colocar el marcado CE y emitir una declaración de conformidad —toda la lista de comprobación del proveedor.

El proveedor original no desaparece del panorama, pero el nuevo «proveedor» asume la responsabilidad primaria del sistema modificado o reetiquetado. Esto no es un riesgo teórico: cualquier revendedor que personalice, etiquete con marca blanca o amplíe el uso previsto de un sistema de IA de alto riesgo de un tercero debería asumir que es un proveedor y planificar en consecuencia.

Sanciones

Los incumplimientos de las obligaciones del importador y del distribuidor con arreglo a los Artículos 23 y 24 se encuadran en el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Para las empresas por debajo de los umbrales de pyme, el Artículo 99, apartado 6, aplica una protección de proporcionalidad —la multa se limita al menor del porcentaje y la cantidad fija.

Desencadenar el Artículo 25 y después no cumplir las obligaciones del proveedor expone a una empresa al mismo tramo, dado que las obligaciones del proveedor (Artículo 16 y siguientes) también se rigen por el Artículo 99, apartado 4.

La secuencia práctica de verificación

Cuando llega un envío de sistemas de IA de alto riesgo, la lista de comprobación previa a la comercialización de un importador tiene este aspecto:

1. Confirmar que el sistema entra en una categoría del Anexo III (o es un componente de seguridad con arreglo al Anexo I —teniendo en cuenta que a los productos del Anexo I se les aplica el plazo distinto del 2 de agosto de 2028).
2. Obtener y revisar el registro de la evaluación de la conformidad (control interno del Anexo VI o certificado de organismo notificado del Anexo VII).
3. Obtener la documentación técnica con arreglo al Anexo IV y confirmar que cubre la versión actual del sistema.
4. Confirmar que el marcado CE está colocado (Artículo 48) y verificar que la declaración UE de conformidad (Artículo 47) está disponible.
5. Confirmar que las instrucciones de uso (Artículo 13) acompañan al producto en la lengua pertinente.
6. Confirmar que el representante autorizado con arreglo al Artículo 22 está designado si el proveedor está establecido fuera de la UE.
7. Marcar el sistema con su nombre y dirección.
8. Archivar la DdC, el certificado y las instrucciones —conservarlos durante diez años.
9. Documentar que ejecutó esta lista de comprobación.

Los distribuidores ejecutan una versión más corta de los pasos 3 a 5, confirman que el importador completó los pasos 6 a 8 y documentan su propia revisión.

Cómo ayuda Confir

El cumplimiento del importador y del distribuidor se reduce a dos problemas: saber qué papel ocupa realmente y ejecutar la lista de comprobación de verificación correcta frente a las obligaciones correctas.

El flujo de derivación de papeles de Confir formula preguntas en lenguaje sencillo sobre su posición en la cadena de suministro, sus decisiones de marca y cualquier modificación que realice —y mapea esas respuestas con el Art. 23, el Art. 24 o la condición de proveedor del Art. 25 mediante reglas deterministas—. No hay ambigüedad en el resultado: ve qué artículo le rige, qué obligaciones se aplican y qué documentos debe conservar. Para los importadores cuyos proveedores envían documentación parcial, la lista de comprobación de verificación señala exactamente qué elementos faltan. Toda la lógica es basada en reglas, no un modelo de IA —las mismas respuestas de admisión producen la misma conclusión, y la regla que se activó se muestra en lenguaje sencillo.

Preguntas frecuentes

¿Utiliza realmente la Ley de IA de la UE las palabras «importador» y «distribuidor»?

Sí. Los Artículos 23 y 24 del Reglamento (UE) 2024/1689 designan a los importadores y a los distribuidores como papeles distintos de la cadena de suministro con obligaciones específicas. La Ley no se limita a los proveedores y a los responsables del despliegue. Cualquier artículo o resumen que sugiera que los importadores y los distribuidores son simplemente «proveedores» o que estos papeles no existen en la Ley es incorrecto.

¿Qué debe comprobar un importador antes de introducir un sistema de IA de alto riesgo en el mercado de la UE?

Con arreglo al Artículo 23, un importador debe verificar: que el proveedor completó la evaluación de la conformidad aplicable (Artículo 43); que el sistema lleva un marcado CE (Artículo 48); que existe la declaración UE de conformidad (Artículo 47); que se ha elaborado documentación técnica conforme con el Artículo 11 y el Anexo IV; que están presentes las instrucciones de uso (Artículo 13); y, cuando el proveedor sea de fuera de la UE, que se ha designado un representante autorizado (Artículo 22). El importador también debe añadir su propio nombre y datos de contacto al sistema o al embalaje y conservar la DdC y el certificado durante diez años.

¿Cuándo se convierte un distribuidor en proveedor con arreglo al Artículo 25?

Un distribuidor —o un importador— es tratado como proveedor si pone su propio nombre o marca en el sistema, modifica sustancialmente el sistema según se define en el Artículo 3, apartado 23, o cambia la finalidad prevista de un modo que lo sitúa en el ámbito de alto riesgo. En cualquiera de estos casos, la entidad debe realizar las obligaciones plenas del proveedor: evaluación de la conformidad, documentación técnica, marcado CE y declaración de conformidad.

¿Durante cuánto tiempo deben conservar los importadores la declaración de conformidad y el certificado de evaluación de la conformidad?

Diez años después de que el sistema se introduzca en el mercado de la UE, con arreglo al Artículo 23. Esto es más que el período de conservación de cinco años que a menudo se cita para otros documentos —la cifra de diez años es específica de la obligación del importador relativa a la DdC, el certificado y las instrucciones.

¿Qué ocurre si un importador descubre un sistema no conforme después de que ya esté introducido?

El Artículo 23 exige al importador informar de inmediato al proveedor y a las autoridades de vigilancia del mercado pertinentes. Si el sistema plantea un riesgo, el importador debe cooperar con las autoridades y, cuando sea necesario, retirar el producto del mercado o asegurarse de que se recupera.

¿Cuál es la sanción para los importadores y distribuidores que incumplen sus obligaciones?

El Artículo 99, apartado 4, fija el techo en 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes.

¿Cuándo se aplica el plazo para las obligaciones de IA de alto riesgo?

Para los sistemas de IA de alto riesgo autónomos de las categorías del Anexo III (contratación, calificación crediticia, biometría, etc.), el plazo es el 2 de diciembre de 2027 en virtud del acuerdo del Ómnibus Digital alcanzado en mayo de 2026. Para la IA de alto riesgo integrada en componentes de seguridad de productos regulados con arreglo al Anexo I (productos sanitarios, máquinas, etc.), el plazo es el 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado para ambos.

Guías relacionadas

• calendario de cumplimiento para pymes
• obligaciones del distribuidor del Artículo 23
• definiciones de sistema de IA del Artículo 3
• normas de transparencia del Artículo 13
• requisitos de ámbito del Artículo 2
• vía de cumplimiento del proveedor de SaaS
• responsabilidades del responsable del despliegue del Artículo 26
• registro en la base de datos de la UE del Artículo 49