Skip to content
Confir.
Prueba gratuita
Blog

Artículo 23 de la Ley de IA de la UE: obligaciones del importador para sistemas de IA de alto riesgo

EU AI Act Guide1 May 2026· 16 min de lectura

Artículo 23 de la Ley de IA de la UE: deberes de verificación previa a la comercialización para importadores de IA de alto riesgo, conservación de registros durante 10 años y sanciones de 15 M€/3 % desde el 2 dic 2027.

Usted compra un sistema de IA de alto riesgo a un proveedor establecido fuera de la UE — una herramienta de cribado de personal desarrollada en Estados Unidos, un modelo de calificación crediticia creado en Singapur — y lo introduce en el mercado de la Unión. En ese momento, usted es un importador en virtud del Reglamento (UE) 2024/1689, y el Artículo 23 establece exactamente qué debe verificar, documentar y hacer si algo va mal.

Esta guía explica cada obligación, en qué se diferencia el papel del importador del de distribuidor (Artículo 24) y cuándo puede trasladarse por completo al de proveedor (Artículo 25), y qué cuesta un incumplimiento.

Qué abarca realmente el Artículo 23

La Ley de IA de la UE reparte la responsabilidad a lo largo de la cadena de suministro entre cuatro figuras: proveedor, importador, distribuidor y responsable del despliegue. Los importadores se sitúan entre un proveedor de fuera de la UE y el mercado de la Unión. El Artículo 23 está diseñado para garantizar que un sistema producido fuera de la UE llegue al mercado únicamente si cumple las mismas normas que uno fabricado dentro.

Las obligaciones del importador se concentran al principio: la mayoría deben cumplirse antes de que el sistema se introduzca en el mercado, no después. Si un sistema llega siendo no conforme, el importador es la última línea de defensa antes de que llegue a los responsables del despliegue.

¿Quién cuenta como importador en virtud del Artículo 23?

Un importador es cualquier persona física o jurídica establecida en la UE que introduce en el mercado de la Unión un sistema de IA de alto riesgo cuyo proveedor está establecido fuera de la UE.

Deben cumplirse las tres condiciones siguientes:

  1. El proveedor no está establecido en la UE (o, en la práctica, no ha designado a un representante autorizado con sede en la UE en virtud del Artículo 22 que asuma una responsabilidad equivalente a la del proveedor).
  2. Usted está introduciendo el sistema en el mercado — es decir, lo está comercializando por primera vez en la UE, normalmente como la entidad que entabla la relación comercial con el proveedor de fuera de la UE y luego lo suministra aguas abajo.
  3. Usted está establecido en la UE — una empresa o particular con un domicilio social registrado en un Estado miembro de la UE.

Si únicamente distribuye un sistema ya introducido en el mercado por otra persona, usted es un distribuidor (Artículo 24), no un importador. La distinción importa: los importadores deben llevar a cabo la verificación previa a la comercialización; los distribuidores realizan un control de acceso más ligero sobre una documentación que ya debería existir.

Cuándo el papel se traslada al de proveedor (Artículo 25)

El Artículo 25 anula por completo la clasificación de importador si:

  • Usted pone su propio nombre o marca comercial en el sistema como si fuera el proveedor.
  • Usted realiza una modificación sustancial en un sistema de alto riesgo (cambiando su finalidad prevista o alterando materialmente sus resultados o su comportamiento en materia de seguridad).
  • Usted introduce en el mercado o pone en servicio un sistema de IA de uso general que se ha modificado para una finalidad prevista de alto riesgo.

En cualquiera de esos casos, usted pasa a ser proveedor y hereda toda la pila de obligaciones del proveedor en virtud del Artículo 16 — evaluación de la conformidad, documentación técnica, sistema de gestión de la calidad, vigilancia poscomercialización y notificación de incidentes. Es una carga considerablemente más pesada. El etiquetado de marca blanca o la personalización profunda de un sistema de IA de alto riesgo de un tercero es, por tanto, una decisión con consecuencias importantes en materia de cumplimiento.

Verificación previa a la comercialización: qué exige el Artículo 23

Antes de introducir un sistema de IA de alto riesgo en el mercado de la Unión, el importador debe verificar que el proveedor ha cumplido sus obligaciones. Esto no es una formalidad. El Artículo 23 especifica cinco aspectos que deben comprobarse.

1. Evaluación de la conformidad realizada (Artículo 43)

El proveedor debe haber llevado a cabo la evaluación de la conformidad — el término de la UE para el procedimiento estructurado que demuestra, antes de la introducción en el mercado, que un sistema cumple los requisitos de alto riesgo de los Artículos 9 a 15. Para la mayoría de los sistemas del Anexo III se trata de un procedimiento de control interno (Anexo VI); para los sistemas de las categorías de seguridad de los productos del Anexo I (p. ej., máquinas, productos sanitarios), puede intervenir un organismo notificado (Anexo VII). No puede introducir el sistema en el mercado si falta este paso.

2. Documentación técnica elaborada (Artículo 11, Anexo IV)

El proveedor debe haber preparado la documentación técnica del Artículo 11 — el paquete del Anexo IV que abarca la descripción del sistema, el proceso de desarrollo, la gobernanza de los datos de entrenamiento, los registros de gestión de riesgos, las métricas de exactitud y robustez, y las instrucciones de uso. Como importador, no se espera que audite cada página en cuanto a su exactitud técnica; debe confirmar que existe y es accesible.

3. Marcado CE colocado (Artículo 48)

El marcado CE señala la declaración del proveedor de que el sistema cumple la Ley. Debe figurar en el sistema o, cuando esto no sea posible, en el embalaje o en la documentación que lo acompaña. Sin marcado CE, no hay introducción en el mercado.

4. Declaración UE de conformidad adjunta (Artículo 47) e instrucciones de uso facilitadas (Artículo 13)

El sistema debe ir acompañado de una declaración de conformidad firmada conforme al Artículo 47 — un documento formal que nombra el sistema, el proveedor y el procedimiento de evaluación de la conformidad utilizado. También debe ir acompañado de las instrucciones de uso del Artículo 13: información clara que permita a los responsables del despliegue comprender las capacidades, las limitaciones, la finalidad prevista y los requisitos de supervisión humana del sistema. Ambas deben estar en una lengua fácilmente comprensible para los responsables del despliegue de los Estados miembros de destino.

5. Representante autorizado designado cuando proceda (Artículo 22)

Si el proveedor de fuera de la UE no ha adoptado por sí mismo medidas para garantizar directamente el cumplimiento en el mercado de la UE, debe designar a un representante autorizado establecido en la UE (Artículo 22) que actúe en su nombre respecto de las obligaciones del Artículo 16. Como importador, debe confirmar que esa designación existe y quién la ostenta — el representante es el punto de contacto para las autoridades de vigilancia del mercado.

Durante y después de la comercialización: deberes continuos del importador

La verificación previa a la comercialización es necesaria, pero no suficiente. El Artículo 23 impone también obligaciones que se prolongan a lo largo del ciclo de vida del sistema.

Indique sus datos en el sistema

El importador debe indicar en el sistema de IA de alto riesgo — o, cuando ello no sea posible, en el embalaje o en la documentación que lo acompaña — su nombre, su nombre comercial registrado o marca comercial, y una dirección de contacto. Esto crea un punto de contacto rastreable en la UE para las autoridades de vigilancia del mercado y los responsables del despliegue. Es una obligación sencilla que es fácil pasar por alto si el sistema llega únicamente con la marca del proveedor.

Garantice un almacenamiento y un transporte conformes

El importador debe garantizar que, mientras el sistema esté bajo su responsabilidad, las condiciones de almacenamiento y transporte no comprometan su conformidad con los requisitos de alto riesgo. En la práctica, esto es más relevante para los sistemas de IA integrados en hardware físico (sensores, productos sanitarios, equipos industriales), pero la obligación se aplica por igual a las distribuciones de software — por ejemplo, garantizar que los paquetes de software no sean manipulados durante el tránsito o que los controles de acceso de los canales de distribución preserven la integridad del sistema.

Conserve los registros durante diez años

El importador debe conservar una copia del certificado de conformidad del Artículo 43 (cuando haya intervenido un organismo notificado), la declaración de conformidad del Artículo 47 y las instrucciones de uso del Artículo 13 durante diez años después de que el sistema se haya introducido en el mercado. Diez años es un plazo de conservación largo. Un importador regional de productos sanitarios, por ejemplo, que introduzca un sistema de diagnóstico asistido por IA en 2027 debe poder presentar esa documentación hasta 2037. Incorpore esto a su política de gestión de registros ahora.

Facilite la documentación a las autoridades cuando se le solicite

Las autoridades de vigilancia del mercado (autoridades nacionales competentes designadas en virtud del Artículo 74 y siguientes) pueden solicitar documentación e información para demostrar la conformidad del sistema. El importador debe cooperar plenamente y facilitar el acceso a los registros. Negarse o demorarse constituye en sí mismo un incumplimiento.

Coopere con las medidas correctoras

Si las autoridades determinan que un sistema presente en el mercado presenta un riesgo o no es conforme, el importador debe cooperar con cualquier medida correctora que exijan — incluidas la recuperación, la retirada o la modificación.

Si cree que el sistema no es conforme

Aquí es donde el Artículo 23 tiene verdadera fuerza. Si el importador considera o tiene motivos para creer que un sistema de IA de alto riesgo no es conforme con los requisitos de la Ley, no debe introducirlo en el mercado hasta que se haya puesto en conformidad. El umbral es bajo: «tener motivos para creer» no requiere certeza. Una señal de alerta en la documentación, la ausencia de marcado CE o la incapacidad de un proveedor para presentar la declaración de conformidad bastan.

Cuando el sistema presente un riesgo, el importador también debe:

  • Informar al proveedor de inmediato.
  • Informar a las autoridades de vigilancia del mercado de los Estados miembros en los que el sistema se comercializó o se comercializaría, facilitando detalles de la no conformidad y de las medidas correctoras adoptadas.

La obligación de informar a las autoridades es independiente de la de detener la comercialización y se suma a ella. Los importadores que descubran un riesgo tras la introducción en el mercado deben actuar sin demora — una notificación pasiva al proveedor no es suficiente.

Ejemplo práctico: importar una herramienta de cribado de RR. HH.

Una agencia de selección de personal de 60 personas en los Países Bajos suscribe un contrato con una empresa de software estadounidense para distribuir un sistema de IA de cribado de currículos y clasificación de candidatos en el mercado del Benelux. La herramienta entra dentro de la categoría 4 del Anexo III (empleo, gestión de los trabajadores y acceso al autoempleo). La agencia neerlandesa es el importador.

Antes de introducir el sistema en el mercado, la agencia comprueba:

  • El registro de la evaluación de la conformidad del Artículo 43 del proveedor estadounidense — presente, procedimiento de control interno (Anexo VI).
  • El paquete de documentación técnica del Anexo IV — presente, accesible a través de una sala de datos compartida.
  • El marcado CE — colocado en el soporte de distribución del software y confirmado en el PDF adjunto.
  • La declaración de conformidad del Artículo 47 — firmada por el representante autorizado designado en la UE por el proveedor estadounidense.
  • Las instrucciones del Artículo 13 — facilitadas en inglés y neerlandés.
  • El representante autorizado del Artículo 22 — un bufete de abogados neerlandés ostenta el mandato; datos de contacto confirmados.

La agencia añade su propio nombre de empresa y su dirección de contacto neerlandesa a la documentación que acompaña al sistema. Conserva copias de todos los registros de conformidad con arreglo a una política de conservación de diez años.

Tres meses después de la comercialización, la agencia recibe la queja de un responsable del despliegue según la cual el sistema produce resultados anómalos para candidatos con nombres en escrituras no latinas. La agencia tiene motivos para creer que el sistema puede no cumplir los requisitos de exactitud y robustez del Artículo 15. Suspende la distribución de nuevas licencias, lo notifica al proveedor estadounidense y comunica la posible no conformidad a la Autoriteit Persoonsgegevens neerlandesa (la autoridad nacional competente designada). No distribuye más hasta que el proveedor publica una versión corregida y una declaración de conformidad revisada.

Esa secuencia — detener, notificar al proveedor, notificar a la autoridad — es exactamente lo que exige el Artículo 23.

Importador frente a distribuidor: diferencias clave

El Artículo 23 (importador) y el Artículo 24 (distribuidor) parecen similares en la superficie — ambos exigen una verificación previa a la comercialización — pero las obligaciones divergen de maneras importantes.

ObligaciónImportador (Art. 23)Distribuidor (Art. 24)
Quiénes sonEntidad de la UE que introduce el sistema en el mercado por primera vez procedente de un proveedor de fuera de la UECualquier entidad de la cadena de suministro que comercializa el sistema, distinta del proveedor o el importador
Verificación previa a la comercializaciónEvaluación de la conformidad, documentación técnica, marcado CE, declaración de conformidad, instrucciones, representante autorizadoMarcado CE, declaración de conformidad, instrucciones — comprobación más ligera de la conformidad existente
Debe indicar sus propios datos de contactoSí — en el sistema, el embalaje o la documentaciónSin requisito específico
Almacenamiento y transporteSí — no debe comprometer la conformidadSí — mismo deber
Conservación de registros10 años (certificado + declaración de conformidad + instrucciones)Copia de la declaración de conformidad; cooperar con las autoridades
Deber en caso de no conformidadNo introducir en el mercado; informar al proveedor y a las autoridades si hay riesgoNo comercializar; informar al proveedor y a las autoridades

La conclusión práctica: si usted es la primera entidad de la UE en la cadena procedente de un proveedor de fuera de la UE, es un importador, y sus obligaciones son más pesadas. Suponer que es un distribuidor cuando en realidad es un importador es una de las clasificaciones estructurales erróneas más habituales en las cadenas de suministro transfronterizas de IA.

Sanciones para los importadores

Los incumplimientos de las obligaciones del Artículo 23 se rigen por el Artículo 99, apartado 4, de la Ley. La multa máxima es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor.

Para las empresas que reúnan los requisitos de pymes o de empresas emergentes en virtud del Artículo 99, apartado 6, la multa se limita al menor de los dos importes — el techo de cuantía fija sustituye al porcentaje si el volumen de negocios es modesto. Una empresa con un volumen de negocios anual de 2 M€ se enfrentaría a un máximo de 60 000 EUR (el 3 % de 2 M€) en lugar de 15 M€. Esa es una protección de proporcionalidad genuina, pero no elimina la obligación.

El plazo operativo para los importadores de sistemas de IA de alto riesgo autónomos (Anexo III) es el 2 de diciembre de 2027, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026 para el alto riesgo. Para la IA de alto riesgo integrada en productos regulados del Anexo I (máquinas, productos sanitarios, etc.), la fecha es el 2 de agosto de 2028. Las multas con arreglo al Artículo 99 son aplicables desde el 2 de agosto de 2025 — de modo que la maquinaria de ejecución ya está activa.

Cómo ayuda Confir a los importadores

Cuando usted responde a las preguntas de admisión de Confir, este deduce su papel en la cadena de suministro — incluida la clasificación como importador en virtud del Artículo 23 — utilizando una lógica determinista y basada en reglas. La misma admisión, la misma conclusión, siempre. Sin alucinaciones, sin ambigüedad sobre qué obligaciones se aplican.

Para los importadores, Confir registra la lista de comprobación de verificación previa a la comercialización como una tarea de cumplimiento estructurada: evaluación de la conformidad confirmada, documentación técnica revisada, marcado CE verificado, declaración de conformidad almacenada, representante autorizado identificado. Cada elemento queda registrado en el registro de auditoría inmutable. Si una autoridad de vigilancia del mercado solicita pruebas de su diligencia debida previa a la comercialización, usted dispone de un rastro documental con marca de tiempo, no de una hoja de cálculo elaborada a posteriori.

La obligación de conservación de registros durante diez años se controla automáticamente para cada sistema registrado, de modo que no depende de un recordatorio de calendario fijado en 2027 para que aparezca en 2037.

El Artículo 23 en el panorama más amplio de la cadena de suministro

El Artículo 23 no se sitúa de forma aislada. Se conecta con una red de obligaciones adyacentes que los importadores deben comprender:

  • Artículo 11 / Anexo IV — la documentación técnica cuya existencia debe confirmar.
  • Artículo 13 — las instrucciones de uso cuya presencia y adecuación lingüística debe verificar.
  • Artículo 22 — el representante autorizado cuya designación debe confirmar.
  • Artículo 43 — la evaluación de la conformidad que el proveedor debe haber completado.
  • Artículo 47 — la declaración de conformidad que debe conservar durante diez años.
  • Artículo 48 — el marcado CE que debe verificar antes de la introducción en el mercado.
  • Artículo 24 — las obligaciones más ligeras de los distribuidores aguas abajo de usted.
  • Artículo 25 — las reglas de cambio de papel que podrían convertirlo en proveedor si reetiqueta o modifica sustancialmente el sistema.
  • Artículo 72 — las obligaciones de vigilancia poscomercialización que recaen sobre el proveedor, no sobre usted — pero a las que quizá deba dar apoyo señalando los problemas de rendimiento que observe.
  • Artículo 73 — la notificación de incidentes graves, que gestiona el proveedor pero que usted puede desencadenar al sacar a la luz incidentes.

Comprender dónde terminan sus obligaciones — y dónde empiezan las del proveedor — es el primer paso. El Artículo 23 traza una línea clara.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.