¿Me aplica la Ley de IA de la UE? Ámbito de aplicación, roles y exclusiones explicados

El alcance de la Ley de IA de la UE es deliberadamente amplio. El Reglamento (UE) 2024/1689 no pregunta dónde está registrada su empresa — pregunta si su sistema de IA se introduce en el mercado de la UE o se utiliza dentro de la UE. Si la respuesta es sí, entra en el ámbito de aplicación. La cuestión es qué obligaciones le corresponden, y eso depende de su rol.

Esta página se centra en la decisión práctica: ¿está cubierto? Para el texto completo del Artículo 2 y su historia legislativa, consulte nuestra referencia jurídica del Artículo 2. Para la mecánica extraterritorial en detalle, consulte el ámbito de aplicación extraterritorial de la Ley de IA de la UE.

---

¿Quién entra en el ámbito de aplicación en virtud del Artículo 2?

El Artículo 2, apartado 1, del Reglamento (UE) 2024/1689 enumera seis categorías de actores sujetos a la Ley:

1. Proveedores que introducen sistemas de IA o modelos de IA de uso general (GPAI) en el mercado de la UE o los ponen en servicio — estén donde estén establecidos.
2. Responsables del despliegue de sistemas de IA establecidos o ubicados dentro de la UE.
3. Proveedores y responsables del despliegue de terceros países cuyo resultado del sistema de IA se utiliza en la UE — aunque tanto la empresa como el sistema se sitúen fuera de la Unión.
4. Importadores y distribuidores de sistemas de IA.
5. Fabricantes de productos que introducen sistemas de IA como componentes de seguridad en el mercado de la UE.
6. Representantes autorizados de proveedores establecidos fuera de la UE.

El ámbito de aplicación se basa en la actividad, no en la ubicación. Una empresa de software estadounidense que vende una herramienta de cribado en la contratación a un empleador alemán es un proveedor con arreglo a la Ley. El empleador alemán que utiliza esa herramienta es un responsable del despliegue. Ambos tienen obligaciones; difieren en su peso.

Las personas afectadas en la UE — las personas cuyas vidas se ven afectadas por el resultado de un sistema de IA — también tienen derechos con arreglo a la Ley (información, recurso), aunque no conllevan deberes de cumplimiento.

---

Flujo de decisión rápido: ¿entra en el ámbito de aplicación?

Trabaje estas preguntas en orden. Deténgase en la primera salida de «fuera del ámbito de aplicación» que se aplique.

1. ¿Su organización desarrolla, suministra, importa, distribuye o utiliza un sistema de IA?

• No → totalmente fuera del ámbito de aplicación.
• Sí → continúe.

2. ¿Ese sistema de IA se introduce en el mercado de la UE o se utiliza dentro de la UE — o su resultado llega a la UE?

• No (el sistema y el resultado se utilizan únicamente fuera de la UE) → fuera del ámbito de aplicación.
• Sí → continúe.

3. ¿Se aplica alguna de las exclusiones del Artículo 2 a su uso específico?

• Uso militar/de seguridad nacional/de defensa exclusivamente → excluido (Art. 2, apdo. 3).
• IA utilizada por autoridades públicas de terceros países u organizaciones internacionales para la cooperación en materia de garantía del cumplimiento del Derecho o judicial con la UE en virtud de acuerdos internacionales → excluido (Art. 2, apdo. 4).
• I+D científica pura, aún no introducida en el mercado → excluido (Art. 2, apdo. 6).
• Uso personal no profesional únicamente → excluido (Art. 2, apdo. 6).
• Modelo libre y de código abierto — pero no un modelo GPAI con riesgo sistémico, no un sistema de práctica prohibida, no un sistema de alto riesgo, no sujeto a los deberes de transparencia del Artículo 50 → excluido (Art. 2, apdo. 12).
• Ninguna de las anteriores → dentro del ámbito de aplicación.

4. ¿Cuál es su rol?

• Desarrolló el sistema y lo introduce en el mercado con su nombre → Proveedor (se aplican las obligaciones del Art. 16).
• Utiliza un sistema de IA de un tercero en un contexto profesional → Responsable del despliegue (se aplican las obligaciones del Art. 26).
• Trae un sistema no perteneciente a la UE al mercado de la UE → Importador (se aplican las obligaciones del Art. 23).
• Pone a disposición un sistema ya introducido sin modificarlo → Distribuidor (se aplican las obligaciones del Art. 24).
• Una misma empresa suele ostentar más de un rol simultáneamente; las obligaciones se acumulan.

---

Las seis categorías de actores en la práctica

Proveedor (Artículo 16)

Un proveedor es toda entidad — empresa, organismo público o persona física — que desarrolla un sistema de IA y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca comercial. El pago es irrelevante: una publicación de código abierto gratuita que quede fuera de la exención del Artículo 2, apartado 12, activa las obligaciones del proveedor.

El proveedor asume el conjunto de obligaciones más pesado: gestión de riesgos (Artículo 9), documentación técnica (Artículo 11 / Anexo IV), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana desde el diseño (Artículo 14), exactitud y robustez (Artículo 15), un sistema de gestión de la calidad (Artículo 17) y, para los sistemas de alto riesgo, una evaluación de la conformidad (Artículo 43) antes de la entrada en el mercado.

La mayoría de las empresas de SaaS que comercializan funciones de IA para sus clientes son proveedores.

Responsable del despliegue (Artículo 26)

Un responsable del despliegue es toda entidad que utiliza un sistema de IA bajo su autoridad en una capacidad profesional. El uso personal no profesional queda excluido. El Artículo 26 establece las obligaciones del responsable del despliegue: utilizar el sistema con arreglo a las instrucciones del proveedor; garantizar la supervisión humana; vigilar el rendimiento en funcionamiento; conservar los registros durante al menos seis meses; notificar a los trabajadores antes del uso en el lugar de trabajo; y — cuando se cumpla el umbral del Art. 27 — realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF).

El umbral de la EIDF del Art. 27 se aplica a los organismos públicos que despliegan sistemas de alto riesgo y a los responsables del despliegue privados de sistemas de evaluación de la solvencia (Anexo III, punto 5, letra b)) o de sistemas de evaluación de riesgos en seguros de vida/salud (Anexo III, punto 5, letra c)). La mayoría de los empleadores del sector privado que despliegan herramientas de RR. HH. no deben automáticamente una EIDF.

En la práctica, la mayoría de las empresas que utilizan herramientas de IA de terceros son responsables del despliegue. Las obligaciones del responsable del despliegue son más ligeras de lo que la mayoría de los fundadores suponen — pero el Artículo 26 no es opcional.

Importador (Artículo 23)

Un importador es una entidad establecida en la UE que introduce en el mercado de la UE un sistema desarrollado fuera de la UE. Los importadores asumen deberes de verificación que reflejan en gran medida los de un proveedor: confirmar que el proveedor ha completado la evaluación de la conformidad, comprobar que el marcado CE y la documentación están en regla y garantizar que el sistema no dañará a los usuarios.

Distribuidor (Artículo 24)

Un distribuidor pone a disposición en la cadena de suministro un sistema de IA ya introducido sin modificarlo. Las obligaciones son más ligeras — principalmente, comprobar que el sistema lleva el marcado CE exigido y la declaración de conformidad del Anexo V antes del suministro posterior.

Cambios de rol en virtud del Artículo 25

Un responsable del despliegue, importador o distribuidor se convierte en proveedor — y hereda el conjunto completo de obligaciones del proveedor — si: introduce el sistema en el mercado con su propio nombre o marca comercial; modifica sustancialmente un sistema de alto riesgo; o cambia la finalidad prevista de un sistema de alto riesgo de una manera que activa una nueva clasificación. La modificación sustancial se define en el Artículo 3, apartado 23.

---

Exclusiones que conviene conocer

Militar, seguridad nacional y defensa

Los sistemas de IA utilizados exclusivamente con fines militares, de seguridad nacional o de defensa quedan fuera del Reglamento (Artículo 2, apartado 3). «Exclusivamente» es estricto: un producto vendido a un ministerio de defensa pero comercializado también en el ámbito comercial no puede reclamar la exención para sus despliegues civiles.

I+D científica y pruebas previas a la comercialización

Los sistemas de IA desarrollados y utilizados puramente para investigación científica están exentos, siempre que no se introduzcan en el mercado ni se pongan en servicio. Las fases de investigación y prueba previas a la comercialización también quedan excluidas — con la excepción específica de las pruebas en condiciones reales en virtud del Artículo 57 (los espacios controlados de pruebas regulatorios). Una vez que un sistema se comercializa, la exención termina.

Uso personal no profesional

Una persona física que utiliza una herramienta de IA con fines privados y no profesionales no es un responsable del despliegue. Un trabajador autónomo que utiliza un asistente conversacional para escribir correos a clientes es un responsable del despliegue. La línea es el contexto profesional.

Modelos de IA libres y de código abierto

El Artículo 2, apartado 12, excluye a los sistemas de IA libres y de código abierto de la mayoría de las disposiciones — pero no de todas. La exclusión decae si el sistema:

• Es un modelo GPAI que plantea un riesgo sistémico (entonces se aplica el Capítulo V / Artículos 51 a 55);
• Es un sistema de IA de alto riesgo introducido en el mercado o puesto en servicio (entonces se aplica la pila de alto riesgo);
• Entra dentro de una práctica prohibida (Artículo 5); o
• Está sujeto a los deberes de transparencia de riesgo limitado (Artículo 50 — p. ej., un asistente conversacional o un generador de ultrasuplantaciones).

Un clasificador de imágenes de código abierto publicado para uso de investigación está probablemente exento. Un gran modelo de lenguaje de código abierto publicado para integración comercial no lo está.

---

Qué significa «resultado utilizado en la UE»

El anclaje extraterritorial del Artículo 2, apartado 1, letra c), es el desencadenante de ámbito de aplicación que se pasa por alto con más frecuencia. Una empresa establecida en Singapur, que ejecuta su sistema en servidores de Singapur, puede aun así entrar en el ámbito de aplicación si el resultado de ese sistema se utiliza en la UE — por ejemplo, por un empleador de la UE que se basa en la recomendación de contratación del sistema, o por un consumidor de la UE que recibe una decisión de crédito.

Esto no es teórico. Es el mecanismo por el cual la Ley de IA de la UE funciona como condición de acceso al mercado para las empresas tecnológicas no pertenecientes a la UE. Para un tratamiento más profundo de la mecánica territorial, consulte el ámbito de aplicación extraterritorial de la Ley de IA de la UE y la referencia completa del Artículo 2.

---

Cómo ayuda Confir

El cuestionario de admisión de Confir traduce el Artículo 2 en escenarios en lenguaje sencillo. Usted responde a preguntas sobre lo que hace su sistema, quién lo utiliza y dónde — y el motor de clasificación basado en reglas de Confir deriva su rol (Proveedor / Responsable del despliegue / Importador / Distribuidor), señala cualquier condición de cambio de rol del Art. 25 y asigna el conjunto de obligaciones que se deriva. No se requiere vocabulario de GRC, no se necesita una llamada con un consultor.

Para las empresas con múltiples sistemas o múltiples roles, Confir mantiene un registro de IA central de modo que cada sistema se clasifica de forma independiente y se siguen los controles adecuados por sistema y por rol.

---

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE si nuestra empresa está fuera de la UE?

Sí, si su sistema de IA se introduce en el mercado de la UE o su resultado se utiliza en la UE. El Artículo 2, apartado 1, se basa en la actividad, no en el establecimiento. Una empresa de Nueva York cuya IA de contratación es utilizada por un empleador neerlandés es un proveedor con arreglo a la Ley y debe cumplir los Artículos 9 a 17, la evaluación de la conformidad del Artículo 43 y las demás obligaciones del proveedor.

Solo vendemos a empresas, no a consumidores. ¿Seguimos entrando en el ámbito de aplicación?

Sí. El Artículo 2, apartado 1, no establece distinción entre B2B y B2C. Si introduce un sistema de IA en el mercado de la UE o se utiliza dentro de la UE, el ámbito de aplicación se aplica con independencia de que el cliente inmediato sea una empresa o un consumidor individual.

Nuestro producto es de código abierto y gratuito. ¿Estamos exentos?

Posiblemente, pero no automáticamente. El Artículo 2, apartado 12, exime a la IA libre y de código abierto de la mayoría de las disposiciones — pero la exención no cubre los sistemas que son de alto riesgo, están prohibidos en virtud del Artículo 5, están sujetos a los deberes de transparencia del Artículo 50 o son modelos GPAI con riesgo sistémico. Compruebe cada condición frente a su sistema antes de confiar en la exención.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue?

Un proveedor desarrolla un sistema de IA y lo introduce en el mercado con su propio nombre — es propietario del cumplimiento del sistema. Un responsable del despliegue utiliza un sistema que no desarrolló, en un contexto profesional, bajo su propia autoridad. Las obligaciones del responsable del despliegue en virtud del Artículo 26 son más estrechas: seguir las instrucciones del proveedor, mantener la supervisión, conservar los registros durante al menos seis meses y realizar una EIDF cuando el Artículo 27 lo exija.

¿Qué ocurre si modificamos un sistema que compramos a otro proveedor?

En virtud del Artículo 25, si modifica sustancialmente un sistema de IA de alto riesgo — lo que significa que el cambio activa una nueva clasificación con arreglo al Artículo 6 — o si introduce el sistema en el mercado con su propio nombre, se convierte en el proveedor del sistema modificado. El conjunto completo de obligaciones del proveedor (Artículos 9 a 17, Artículo 43, registro del Artículo 49) se aplica entonces a usted.

¿Cuándo entran realmente en vigor las obligaciones de ámbito de aplicación para los sistemas de alto riesgo?

El Artículo 5 (prácticas prohibidas) está en vigor desde el 2 de febrero de 2025. Las obligaciones de los GPAI del Capítulo V se aplican a partir del 2 de agosto de 2025. Para los sistemas de IA de alto riesgo: los sistemas autónomos del Anexo III deben cumplir a partir del 2 de diciembre de 2027; la IA de alto riesgo integrada como componente de seguridad en productos regulados del Anexo I (máquinas, productos sanitarios, etc.) a partir del 2 de agosto de 2028 — ambas fechas en virtud del acuerdo político del Ómnibus Digital de mayo de 2026, que aplazó el plazo original del 2 de agosto de 2026. Los deberes de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026.

---

Guías relacionadas

• Artículo 2 — ámbito de aplicación de la Ley de IA de la UE (referencia jurídica)
• Ámbito de aplicación extraterritorial de la Ley de IA de la UE
• Definiciones del Artículo 3
• Introducción a la Ley de IA de la UE
• Clasificación de riesgos de la IA — los cuatro niveles
• Obligaciones del proveedor de SaaS