Ley de IA de la UE: proveedor frente a responsable del despliegue — papeles, obligaciones y cuándo se difuminan las líneas
Proveedor frente a responsable del despliegue en la Ley de IA de la UE: definiciones de papel, comparación de obligaciones, el cambio de papel del artículo 25 y una ayuda a la decisión. Plazo de alto riesgo: 2 dic 2027.
La Ley de IA de la UE no impone las mismas reglas a todos los que tocan un sistema de IA. Asigna papeles específicos —proveedor, responsable del despliegue, importador, distribuidor— y atribuye a cada uno un conjunto de obligaciones distinto. Equivocarse de papel no es un problema de papeleo. Una empresa que se identifica erróneamente como responsable del despliegue cuando en realidad es un proveedor se salta la evaluación de la conformidad, la documentación técnica y el registro, y se enfrenta a un techo sancionador de 15 millones de euros o el 3 % del volumen de negocios anual mundial (artículo 99) cuando un regulador discrepa.
Esta página mapea ambos papeles en paralelo, muestra dónde el artículo 25 puede convertir a un responsable del despliegue en un proveedor de la noche a la mañana, y ofrece una ayuda a la decisión para las organizaciones que ocupan ambas posiciones a la vez.
Definiciones: qué dice realmente la Ley
Proveedor (artículo 16)
Un proveedor desarrolla un sistema de IA y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca, ya sea vendido, licenciado o cedido gratuitamente. La definición del artículo 3, apartado 3, gira en torno a dos elementos: (1) el sistema fue desarrollado o encargado por la entidad, y (2) el nombre o la marca de la entidad aparece en él cuando llega al mercado o a un usuario final.
Una empresa de tecnología de RR. HH. de 25 personas que entrena un modelo de cribado de currículos y lo vende como herramienta SaaS es un proveedor. Una consultora que construye un modelo personalizado de previsión de la demanda para uso interno, sin venderlo externamente, también es un proveedor, porque desarrolla y despliega el sistema bajo su propia autoridad. El desencadenante crítico es la atribución y el control, no los ingresos.
Responsable del despliegue (artículo 26)
Un responsable del despliegue utiliza un sistema de IA en su actividad profesional bajo su propia autoridad, sin haberlo desarrollado ni introducido en el mercado. Un banco que licencia una herramienta de calificación crediticia de un proveedor externo es un responsable del despliegue. Un departamento de RR. HH. que ejecuta el sistema de seguimiento de candidatos de un proveedor es un responsable del despliegue. El artículo 3, apartado 4, excluye el uso puramente personal y no profesional: un empleado que utiliza una herramienta de uso general para correspondencia privada no genera obligaciones de responsable del despliegue para el empleador.
La mayoría de las empresas que compran herramientas de IA llave en mano son responsables del despliegue. La Ley espera que utilicen los sistemas de forma responsable, no que los certifiquen.
Importador (artículo 23) y distribuidor (artículo 24)
Los importadores introducen en el mercado de la UE, con su propio nombre, sistemas de IA de alto riesgo desarrollados fuera de la UE. Deben verificar que el proveedor ha completado la evaluación de la conformidad, que existe documentación técnica y que el sistema lleva el marcado CE. No pueden introducir un sistema no conforme en el mercado.
Los distribuidores ponen sistemas a disposición en el mercado de la UE sin introducirlos con su propio nombre. Comprueban que el marcado CE esté colocado, que exista la declaración UE de conformidad y que el sistema vaya acompañado de las instrucciones de uso. Si un distribuidor constata que un sistema no es conforme, no puede distribuirlo y debe alertar al proveedor y a la autoridad competente.
Ambos papeles son más ligeros que el de proveedor, pero no pasivos. Los importadores y distribuidores que incumplen sus deberes de verificación se enfrentan a la misma exposición a multas de 15 millones de euros / 3 % en virtud del artículo 99.
Comparación de obligaciones: proveedor frente a responsable del despliegue
| Ámbito de obligación | Proveedor (Art. 16) | Responsable del despliegue (Art. 26) |
|---|---|---|
| Sistema de gestión de riesgos | Sí — artículo 9, continuo e iterativo | Sin deber legal, pero debe supervisar durante el funcionamiento |
| Gobernanza de los datos de entrenamiento | Sí — artículo 10 | No |
| Documentación técnica | Sí — artículo 11 + Anexo IV, conservada 10 años | No (debe recibirla y revisarla del proveedor) |
| Conservación de registros / registro de actividad | Sí — artículo 12 (el proveedor conserva los registros que controla ≥6 meses) | Sí — artículo 26, registros de funcionamiento ≥6 meses |
| Transparencia hacia los responsables del despliegue | Sí — instrucciones de uso del artículo 13 | No (es el destinatario de esta información) |
| Supervisión humana | Sí — debe incorporarla desde el diseño (artículo 14) | Sí — debe implementarla y operarla (artículo 26) |
| Exactitud, robustez, ciberseguridad | Sí — artículo 15 | No |
| Sistema de gestión de la calidad | Sí — artículo 17 | No |
| Declaración UE de conformidad | Sí — artículo 47 + Anexo V | No |
| Marcado CE | Sí — artículo 48 | No |
| Registro en la base de datos de la UE | Sí — artículo 49 | No (los organismos públicos deben registrarse en virtud del artículo 49) |
| Evaluación de la conformidad | Sí — artículo 43, antes de la introducción en el mercado | No (debe verificar que el proveedor la ha realizado) |
| Vigilancia poscomercialización | Sí — artículo 72, recopilación activa de datos | Sí — artículo 26, supervisar y señalar al proveedor |
| Notificación de incidentes graves a la autoridad | Sí — artículo 73, con plazos estrictos | No — debe notificar al proveedor; el proveedor informa a la autoridad |
| Evaluación de impacto relativa a los derechos fundamentales | No aplicable como tal | Sí (artículo 27) — organismos públicos y determinados responsables del despliegue privados en ámbitos de alto riesgo |
| Notificación a los trabajadores | No | Sí — el artículo 26 exige notificar a los representantes de los trabajadores antes de desplegar sistemas que supervisan a los trabajadores |
| Exposición a multas en caso de incumplimiento | Hasta 15 M EUR o el 3 % del volumen de negocios mundial (Art. 99) | Hasta 15 M EUR o el 3 % del volumen de negocios mundial (Art. 99) |
Una nota sobre la conservación de registros: el artículo 26 exige a los responsables del despliegue conservar los registros de funcionamiento durante al menos seis meses. La documentación técnica de los proveedores se conserva durante diez años (artículo 18). Son obligaciones distintas: no las confunda.
Obligaciones del proveedor en detalle
La pila del proveedor es la más pesada de las dos. Para un sistema de IA de alto riesgo (uno enumerado en el Anexo III, o un componente de seguridad de un producto del Anexo I), los proveedores deben superar lo siguiente antes del lanzamiento.
Sistema de gestión de riesgos (artículo 9). No es una evaluación de riesgos puntual, sino un sistema continuo e iterativo que opera desde el diseño hasta la retirada de servicio. Identifica los riesgos conocidos y razonablemente previsibles para la salud, la seguridad y los derechos fundamentales; evalúa los riesgos que surgen de los datos poscomercialización; adopta medidas de mitigación adecuadas; y prueba el sistema antes de su introducción en el mercado. Los riesgos residuales deben ser aceptables dado el estado de la técnica.
Datos y gobernanza de datos (artículo 10). Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad —pertinencia, representatividad, ausencia de errores e integridad en la medida de lo posible—. El artículo 10 trata de los datos, no de la formación del personal; la competencia del personal entra en el artículo 4 (alfabetización en IA), que se aplica a todos los proveedores y responsables del despliegue desde el 2 de febrero de 2025.
Documentación técnica (artículo 11 + Anexo IV). Nueve áreas de contenido obligatorias, entre ellas la descripción del sistema y su finalidad prevista, las decisiones de diseño y la arquitectura, las métricas de rendimiento y su justificación, la documentación de gestión de riesgos y el plan de vigilancia poscomercialización. Conservada durante diez años tras la introducción en el mercado (artículo 18).
Transparencia e instrucciones de uso (artículo 13). Antes de que un responsable del despliegue pueda utilizar un sistema de alto riesgo, el proveedor debe facilitar instrucciones que cubran las capacidades y limitaciones del sistema, sus propiedades de exactitud y robustez (artículo 15), los requisitos de supervisión humana y los escenarios de uso indebido previsibles. Unas instrucciones incompletas desplazan la responsabilidad hacia el proveedor si se produce un perjuicio.
Supervisión humana desde el diseño (artículo 14). El sistema debe diseñarse de modo que una persona pueda comprender sus resultados, supervisar su funcionamiento, detectar anomalías e intervenir o anular. El proveedor o bien incorpora estas capacidades en el sistema, o bien especifica las medidas organizativas que el responsable del despliegue debe implementar.
Evaluación de la conformidad (artículo 43). La comprobación formal previa a la comercialización. Para los sistemas del Anexo III, punto 1 (biometría), esto suele requerir un organismo notificado (vía del Anexo VII). Para la mayoría de las demás categorías del Anexo III, está disponible la autoevaluación interna (vía del Anexo VI). La evaluación de la conformidad debe completarse antes de que el sistema se introduzca en el mercado, no después.
Declaración UE de conformidad (artículo 47) y marcado CE (artículo 48). La declaración firmada (formato del Anexo V) acompaña al sistema. El marcado CE señala la conformidad a las autoridades de vigilancia del mercado y a los responsables del despliegue.
Registro en la base de datos de la UE (artículo 49). Los sistemas de alto riesgo deben registrarse en la base de datos de la UE (la propia base de datos se establece en virtud del artículo 71) antes de su introducción en el mercado. Los proveedores que reclaman la exención de no alto riesgo del artículo 6, apartado 3, también deben documentar esa evaluación y registrarla.
Sistema de gestión de la calidad (artículo 17). Un SGC documentado que abarque los procedimientos de diseño y desarrollo, las normas de datos, los protocolos de prueba, el escalado de incidentes y la vigilancia poscomercialización. Proporcionado al tamaño de la organización y al perfil de riesgo del sistema: una empresa emergente de 15 personas no necesita la misma arquitectura de SGC que una gran empresa.
Vigilancia poscomercialización (artículo 72). Recopilación activa y documentada de datos de los responsables del despliegue y los usuarios durante toda la vida del sistema. Cuando surgen nuevos riesgos, el proveedor actualiza en consecuencia la documentación técnica y los registros de gestión de riesgos.
Notificación de incidentes graves (artículo 73). Los proveedores informan a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. Plazos: 15 días desde el conocimiento para la mayoría de los incidentes graves; 10 días cuando una persona ha fallecido; 2 días en caso de infracciones generalizadas o de perturbación grave e irreversible de infraestructuras críticas. El papel del responsable del despliegue es notificar al proveedor; informar a la autoridad es el deber legal del proveedor.
Obligaciones del responsable del despliegue en detalle
Las obligaciones del responsable del despliegue en virtud del artículo 26 son más ligeras, pero no son triviales. Las partes que realmente pesan en la práctica son la supervisión humana, la supervisión continua y la conservación de registros de seis meses, ámbitos en los que muchas empresas dan por supuesto que el proveedor lo ha resuelto todo.
Seguir las instrucciones del proveedor. El artículo 26 exige a los responsables del despliegue utilizar el sistema con arreglo a las instrucciones de uso facilitadas en virtud del artículo 13. Si las instrucciones dicen que el sistema no debe utilizarse para tomar decisiones finales de contratación sin revisión humana, eso es una obligación legal para el responsable del despliegue, no una sugerencia del proveedor.
Garantizar la supervisión humana. Cuando el artículo 14 exige supervisión humana y esta se especifica en las instrucciones, el responsable del despliegue debe implementarla operativamente: personal formado, procedimientos de anulación documentados, intervenciones registradas. Una supervisión que existe sobre el papel pero nunca se ejerce no cumple la obligación.
Supervisar e informar al proveedor. El artículo 26 exige a los responsables del despliegue supervisar el rendimiento del sistema durante el funcionamiento, detectar riesgos o incidentes graves y notificarlos al proveedor. Si el responsable del despliegue tiene además motivos para creer que un incidente grave debe llevarse directamente a la autoridad competente, el artículo 26 también lo permite.
Conservar los registros de funcionamiento durante al menos seis meses. El artículo 26 impone esto directamente. Los registros deben estar disponibles para las autoridades competentes que lo soliciten. Seis meses es el suelo; la regulación sectorial específica (servicios financieros, sanidad) puede exigir más tiempo.
Notificar a los representantes de los trabajadores. Antes de desplegar un sistema de IA de alto riesgo que supervise a los trabajadores, el responsable del despliegue debe notificarlo a los representantes de los trabajadores. Es una obligación del artículo 26 que sorprende con frecuencia a los equipos de RR. HH.: no es opcional y se aplica antes del despliegue, no después.
Evaluación de impacto relativa a los derechos fundamentales (artículo 27). No todos los responsables del despliegue realizan una EIDF. Se aplica a: los organismos públicos que despliegan cualquier sistema de IA de alto riesgo; y los responsables del despliegue privados que utilizan sistemas en la evaluación de la solvencia (Anexo III, punto 5, letra b)) o en los seguros de vida y de salud (Anexo III, punto 5, letra c)). Los empleadores privados que despliegan IA de selección de personal o de supervisión del rendimiento no deben automáticamente una EIDF, aunque pueden optar por realizar una, y el mecanismo del artículo 27, apartado 4, les permite apoyarse en una EIPD del RGPD existente.
El cambio de papel del artículo 25: cuándo un responsable del despliegue se convierte en proveedor
El artículo 25 es la disposición que pilla desprevenidas a las organizaciones. Un responsable del despliegue, importador o distribuidor se convierte en el proveedor de un sistema de IA de alto riesgo —y hereda la pila completa de obligaciones de proveedor— en tres situaciones:
-
Cambio de marca. Pone su propio nombre o marca en un sistema desarrollado por otra entidad y lo introduce en el mercado. Aun cuando no haya modificado el modelo subyacente, colocar su marca le convierte en el proveedor.
-
Modificación sustancial (artículo 3, apartado 23). Modifica un sistema de IA de alto riesgo de un modo que afecta a su rendimiento o a su finalidad prevista, o cambia su clasificación de riesgo. Ajustar (fine-tune) un modelo licenciado con datos propios para un caso de uso distinto suele constituir una modificación sustancial. Los cambios de configuración dentro del alcance documentado del sistema original generalmente no lo hacen.
-
Reutilización. Toma un sistema que no es de alto riesgo y lo despliega para una finalidad que lo incluye en el ámbito del Anexo III —por ejemplo, tomar una herramienta general de analítica y utilizarla para evaluar la solvencia de personas—. La clasificación del sistema sigue su uso real, y el responsable del despliegue que lo reorienta soporta las obligaciones de proveedor a partir de ese momento.
Cuando se aplica el artículo 25, debe realizar la evaluación de la conformidad, preparar la documentación técnica, emitir la declaración UE de conformidad y registrar el sistema en la base de datos de la UE, con independencia de que el proveedor original ya hubiera hecho todo esto para la versión no modificada.
Ayuda a la decisión: «¿cuál soy yo?»
Trabaje estas preguntas para cada sistema de IA por separado. El papel sigue al sistema, no a la organización.
1. ¿Desarrolló su organización este sistema, o encargó su desarrollo bajo su nombre? Sí → es usted, como mínimo, un proveedor. Continúe en el paso 2. No → vaya al paso 3.
2. ¿Introduce su organización el sistema en el mercado de la UE o lo pone en servicio con su propio nombre o marca? Sí → es usted un proveedor en virtud del artículo 16. Aplique la pila completa de proveedor si el sistema es de alto riesgo. No (herramienta interna, no comercializada como suya) → puede seguir siendo un proveedor si lo controla y lo despliega internamente; compruebe si el sistema es de alto riesgo y si se aplican las obligaciones del artículo 9.
3. ¿Recibió el sistema de un tercero y lo utilizó profesionalmente, sin modificarlo ni poner su nombre en él? Sí → es usted un responsable del despliegue en virtud del artículo 26. Aplique las obligaciones de responsable del despliegue si el sistema es de alto riesgo.
4. ¿Lo ha cambiado de marca desde entonces, lo ha modificado sustancialmente o lo ha reutilizado para un nuevo caso de uso del Anexo III? Sí → se aplica el artículo 25. Es usted ahora el proveedor del sistema modificado/recambiado de marca. No → sigue siendo un responsable del despliegue.
5. ¿Lo introdujo en la UE desde fuera, con su propio nombre? Sí → es usted un importador en virtud del artículo 23, además de cualquier papel de responsable del despliegue.
6. ¿Lo pone a disposición de otros en la UE sin colocar su nombre en él? Sí → es usted un distribuidor en virtud del artículo 24.
La mayoría de las empresas que compran herramientas SaaS y las utilizan en sus operaciones aterrizan en el paso 3: responsable del despliegue. La mayoría de las empresas SaaS que incorporan funciones de IA en su producto y lo venden aterrizan en el paso 2: proveedor.
La realidad de ser ambas cosas a la vez
Es habitual, no excepcional, que una empresa sea simultáneamente proveedor y responsable del despliegue. Los conjuntos de obligaciones no se fusionan: discurren en paralelo, uno por sistema.
Una empresa fintech de 40 personas que construye su propio modelo de evaluación crediticia (Anexo III, punto 5, letra b), de alto riesgo) es el proveedor de ese sistema. Debe realizar la evaluación de la conformidad del artículo 43, preparar la documentación técnica del artículo 11 y registrarse en virtud del artículo 49. Al mismo tiempo, la misma empresa utiliza una herramienta de verificación de documentos de un tercero. Para esa herramienta, es el responsable del despliegue: debe seguir las instrucciones del proveedor en virtud del artículo 26, implementar la supervisión humana, conservar los registros durante seis meses y realizar una EIDF, porque la evaluación de la solvencia entra en el ámbito del artículo 27.
Una empresa de software que construye una IA de selección de personal a medida para un cliente es el proveedor; el cliente es el responsable del despliegue. La empresa de software debe completar la evaluación de la conformidad antes de la entrega. El cliente debe garantizar la supervisión humana, supervisar el funcionamiento del sistema y notificar a la empresa de software si algo va mal. Si el cliente añade después funciones, cambia la marca de la herramienta como producto propio y la vende a otras empresas, se activa el artículo 25: el cliente es ahora un proveedor del sistema modificado.
La Ley no permite a las partes transferirse contractualmente estas obligaciones entre sí. Pueden acordar comercialmente quién hace qué, pero el artículo 25 determina quién es legalmente responsable ante el regulador.
Plazo: 2 de diciembre de 2027
Las obligaciones de alto riesgo —las pilas completas de proveedor y de responsable del despliegue descritas más arriba— se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Esta fecha se estableció en virtud del Ómnibus Digital, la propuesta de modificación acordada entre el Parlamento y el Consejo en mayo de 2026, que aplazó el plazo original del 2 de agosto de 2026. Para los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados del Anexo I (productos sanitarios, máquinas, etc.), la fecha es el 2 de agosto de 2028.
Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de alfabetización en IA (artículo 4) también se aplican desde esa fecha. Las obligaciones de GPAI del Capítulo V se aplican desde el 2 de agosto de 2025. Diciembre de 2027 es la fecha pertinente para las pilas de proveedor y de responsable del despliegue de los sistemas del Anexo III, y solo el trabajo de documentación suele llevar meses de ensamblaje correcto.
Cómo ayuda Confir
Confir deriva su papel a partir de escenarios en lenguaje sencillo. Usted responde a preguntas sobre cómo se construyó el sistema, si su nombre aparece en él y qué hace, y el motor basado en reglas de Confir asigna la respuesta a Proveedor (artículo 16), Responsable del despliegue (artículo 26), Importador (artículo 23) o Distribuidor (artículo 24). A continuación, muestra únicamente los controles de obligación que se aplican a su combinación de papel y nivel de riesgo.
Para los proveedores, Confir genera el paquete de documentación técnica del artículo 11 / Anexo IV y la declaración UE de conformidad del artículo 47 / Anexo V. Para los responsables del despliegue que deben una EIDF, ejecuta el flujo de trabajo de evaluación del artículo 27. La lógica de clasificación es determinista y basada en reglas —misma admisión, misma conclusión, razonamiento legible por personas—, lo cual importa para un resultado de cumplimiento que un regulador puede escrutar.
Preguntas frecuentes
¿Cuál es la diferencia entre un proveedor y un responsable del despliegue en la Ley de IA de la UE?
Un proveedor desarrolla un sistema de IA y lo introduce en el mercado de la UE o lo pone en servicio con su propio nombre (artículo 3, apartado 3, y artículo 16). Un responsable del despliegue utiliza un sistema de un tercero o desarrollado internamente en un contexto profesional bajo su propia autoridad, sin introducirlo en el mercado con su nombre (artículo 3, apartado 4, y artículo 26). Los proveedores soportan las obligaciones previas a la comercialización más pesadas: evaluación de la conformidad, documentación técnica, registro. Los responsables del despliegue soportan deberes operativos: seguir las instrucciones, supervisión humana, conservación de registros y supervisión.
¿Puede una empresa ser a la vez proveedor y responsable del despliegue?
Sí, y es habitual. Una empresa es proveedor para cada sistema de IA que desarrolla y despliega con su propio nombre, y responsable del despliegue para cada herramienta de IA de un tercero que utiliza profesionalmente. Las obligaciones discurren en paralelo: la pila de proveedor se aplica a los sistemas que construyó; la pila de responsable del despliegue se aplica a los sistemas que compró. Cada sistema se clasifica por separado.
¿Cuándo se convierte un responsable del despliegue en proveedor en virtud del artículo 25?
El artículo 25 convierte a un responsable del despliegue, importador o distribuidor en proveedor en tres situaciones: poner su propio nombre o marca en un sistema que no desarrolló; modificar sustancialmente un sistema de alto riesgo (definido en el artículo 3, apartado 23) de un modo que cambie su rendimiento o finalidad prevista; o reutilizar un sistema para un caso de uso del Anexo III para el que no se diseñó originalmente. En cada caso, la pila completa de obligaciones de proveedor —evaluación de la conformidad del artículo 43, documentación técnica del artículo 11, registro del artículo 49— se aplica a partir de ese momento.
¿Deben los responsables del despliegue de IA de alto riesgo realizar siempre una evaluación de impacto relativa a los derechos fundamentales?
No. El artículo 27 se aplica a: a) los organismos públicos que despliegan cualquier sistema de IA de alto riesgo; y b) los responsables del despliegue privados que utilizan sistemas comprendidos en el Anexo III, punto 5, letra b) (evaluación de la solvencia) o letra c) (riesgo y fijación de precios de los seguros de vida y de salud). Los empleadores privados que despliegan IA de selección de personal o de supervisión del rendimiento no deben automáticamente una EIDF, aunque el artículo 27, apartado 4, permite a cualquier responsable del despliegue construir una EIDF sobre una evaluación de impacto relativa a la protección de datos del RGPD existente si opta por realizar una.
¿Qué registros debe conservar un responsable del despliegue, y durante cuánto tiempo?
El artículo 26 exige a los responsables del despliegue conservar los registros de funcionamiento durante al menos seis meses. Estos registros deben estar disponibles para las autoridades competentes que lo soliciten. Es el mínimo: la regulación sectorial (servicios financieros, sanidad) puede exigir una conservación más larga. La documentación técnica del proveedor tiene un periodo de conservación de diez años distinto, en virtud del artículo 18.
¿Cuál es la sanción si una empresa clasifica erróneamente su papel?
El incumplimiento de las obligaciones de proveedor o de responsable del despliegue (artículos 16, 26) se sitúa en el nivel de 15 millones de euros o el 3 % del volumen de negocios anual mundial total (artículo 99), si esta última cifra es mayor. Para las empresas que reúnen la condición de pymes o empresas emergentes, el artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija, lo que ofrece una protección de proporcionalidad. El mismo techo se aplica a los importadores y distribuidores que incumplen sus deberes de verificación en virtud de los artículos 23 y 24.
¿Se aplica el artículo 26 a los sistemas que no son de alto riesgo?
Las obligaciones sustantivas del responsable del despliegue —supervisión humana, conservación de registros, notificación a los trabajadores, EIDF— se aplican únicamente a los sistemas de IA de alto riesgo. La alfabetización en IA del artículo 4 se aplica a todas las empresas con independencia del nivel de riesgo y está viva desde el 2 de febrero de 2025. Las obligaciones de transparencia de riesgo limitado del artículo 50 se aplican a tipos de sistema específicos (chatbots, medios sintéticos, resultados de reconocimiento de emociones) desde el 2 de agosto de 2026; no son específicas del responsable del despliegue, sino que se aplican a quienquiera que opere el sistema de cara a los usuarios finales.
Guías relacionadas
- Obligaciones del responsable del despliegue del artículo 26
- Requisitos de transparencia del artículo 13
- Guía de cumplimiento para proveedores SaaS
- Marcos de gestión de riesgos de la IA
- Definiciones de IA del artículo 3
- Requisitos del proveedor del artículo 16
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →