Responsable del despliegue — definición y obligaciones de la Ley de IA de la UE
Responsable del despliegue en la Ley de IA de la UE: definición del Artículo 3, obligaciones del Artículo 26, ámbito de la EIDF del Artículo 27 y cuándo un responsable del despliegue pasa a ser proveedor con arreglo al Artículo 25.
En virtud del Reglamento (UE) 2024/1689, un responsable del despliegue es cualquier persona física o jurídica, autoridad pública, órgano u organismo que utiliza un sistema de IA bajo su propia autoridad — salvo cuando el sistema se utilice en el ejercicio de una actividad personal de carácter no profesional. La definición procede del Artículo 3, punto 4. En términos prácticos, comprende a toda organización que adopta una herramienta de IA de un tercero y la opera con una finalidad empresarial: un minorista que ejecuta el motor de recomendación de un proveedor, un banco que utiliza un modelo de calificación crediticia desarrollado por un proveedor fintech, una empresa de logística que despliega una herramienta de planificación de personal.
La condición de responsable del despliegue importa porque la Ley de IA de la UE le asocia un conjunto de obligaciones propio — más ligero que el del proveedor, pero real. Y esa condición no es fija: en virtud del Artículo 25, un responsable del despliegue puede adentrarse en el terreno del proveedor si modifica o cambia la marca de un sistema de alto riesgo.
La definición de la Ley de IA de la UE
El Artículo 3, punto 4, del Reglamento (UE) 2024/1689 define al responsable del despliegue como:
«una persona física o jurídica, autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional».
Tres elementos tienen peso. En primer lugar, el responsable del despliegue debe estar utilizando el sistema — no desarrollándolo, no introduciéndolo en el mercado para terceros, sino operándolo. En segundo lugar, el uso debe producirse bajo su propia autoridad: el responsable del despliegue controla si el sistema se ejecuta, cuándo y cómo. En tercer lugar, la excepción de uso personal es estrecha. Un autónomo que utiliza la herramienta de IA de selección de personal de un proveedor para encargos de clientes es un responsable del despliegue; una persona que utiliza una aplicación de búsqueda de empleo para su propia trayectoria profesional, no.
El responsable del despliegue se distingue del proveedor (Artículo 3, punto 3), que desarrolla o introduce un sistema de IA en el mercado con su propio nombre o marca. La mayoría de las organizaciones que compran o licencian herramientas de IA — en lugar de desarrollarlas — son responsables del despliegue. Esa distinción condiciona significativamente el programa de cumplimiento.
Qué debe hacer un responsable del despliegue
Obligaciones del Artículo 26
El Artículo 26 establece las obligaciones básicas de los responsables del despliegue de sistemas de IA de alto riesgo. Léase a nivel de artículo; la numeración de apartados en los comentarios secundarios no siempre es coherente entre fuentes.
Utilizar el sistema conforme a las instrucciones del proveedor. El responsable del despliegue debe operar el sistema de IA dentro del alcance y la finalidad que el proveedor haya especificado. Utilizar un modelo de detección de fraude para el cribado de empleo, por ejemplo, sería un despliegue fuera del alcance previsto y podría activar la responsabilidad del Artículo 25 (véase más adelante).
Garantizar la supervisión humana. El responsable del despliegue debe asignar los recursos técnicos y organizativos necesarios para aplicar las medidas de supervisión humana que el proveedor haya incorporado al sistema (el Artículo 14 establece la supervisión humana como un requisito para los proveedores; el Artículo 26 hace a los responsables del despliegue responsables de activarla). En la práctica, esto significa designar personal competente capaz de interpretar los resultados del sistema, anularlos cuando proceda y detener el sistema si es necesario.
Supervisar el funcionamiento e informar a quien corresponda. Los responsables del despliegue deben supervisar el rendimiento del sistema, vigilar los riesgos y — cuando se produzca un incidente grave — comunicarlo al proveedor. La notificación de incidentes graves a una autoridad nacional de vigilancia del mercado es deber del proveedor en virtud del Artículo 73; la obligación legal del responsable del despliegue se extiende al proveedor y, cuando proceda, a la autoridad.
Conservar los registros. Los responsables del despliegue deben conservar los registros generados por el sistema de IA durante al menos seis meses (Artículo 26). No debe confundirse esto con el plazo de conservación de la documentación técnica (diez años, Artículo 18), que es una obligación del proveedor.
Informar a los trabajadores afectados. Cuando el sistema de IA se utilice en el lugar de trabajo, los responsables del despliegue deben informar a los representantes de los trabajadores antes del despliegue, respetando el Derecho nacional aplicable.
Informar a las personas afectadas. Los responsables del despliegue de sistemas de IA de alto riesgo que interactúan con personas físicas deben informar a dichas personas de que están sujetas al resultado del sistema de IA. Esta obligación corre en paralelo con las obligaciones de transparencia del proveedor con arreglo al Artículo 13.
Evaluación de impacto relativa a los derechos fundamentales — Artículo 27
No todo responsable del despliegue realiza una evaluación de impacto relativa a los derechos fundamentales. El Artículo 27 se aplica a:
- Organismos públicos que despliegan sistemas de IA de alto riesgo.
- Entidades privadas que prestan servicios públicos — operadores de infraestructuras críticas, prestadores de servicios de educación o formación profesional, prestadores de servicios de empleo, prestadores de servicios privados y públicos esenciales (incluida la calificación de solvencia y los seguros de vida y de salud), y otros enumerados en el ámbito del Artículo 27.
Los empleadores privados que utilizan una herramienta de selección o de gestión del rendimiento del Anexo III no están obligados, por regla general, a realizar una EIDF. Es un error frecuente. La obligación de EIDF es más estrecha de lo que parece.
Para quienes deben completar una EIDF, el Artículo 27 exige una evaluación estructurada de los posibles efectos sobre los derechos fundamentales protegidos, teniendo en cuenta a las personas afectadas, el contexto de uso y la naturaleza del sistema de alto riesgo. El Artículo 27 también permite que la EIDF se base en una EIPD ya existente con arreglo al artículo 35 del RGPD — las dos evaluaciones son distintas pero compatibles.
Obligaciones de transparencia del Artículo 50 para responsables del despliegue de riesgo limitado
Los responsables del despliegue de sistemas de IA de riesgo limitado — chatbots, generadores de medios sintéticos, herramientas de reconocimiento de emociones, productores de ultrafalsificaciones (deepfakes) — tienen obligaciones de transparencia con arreglo al Artículo 50, que se aplica a partir del 2 de agosto de 2026. El deber central es la divulgación: las personas que interactúan con un sistema de IA deben ser informadas de que lo están haciendo. Los responsables del despliegue de contenido sintético de audio, vídeo, texto o imagen deben etiquetarlo como generado o manipulado por IA, con excepciones específicas para el contenido artístico y satírico.
El Artículo 50 no exige una evaluación de la conformidad ni documentación técnica. Es una obligación de mera divulgación.
Cuándo un responsable del despliegue pasa a ser proveedor (Artículo 25)
Un responsable del despliegue no ocupa de forma permanente un papel fijo. El Artículo 25 desencadena un cambio de papel — el responsable del despliegue pasa a ser proveedor a efectos del Reglamento — en tres situaciones:
- Cambio de marca. El responsable del despliegue pone su propio nombre o marca en un sistema de IA de alto riesgo y lo pone a disposición de terceros o en servicio.
- Modificación sustancial. El responsable del despliegue introduce en un sistema de IA de alto riesgo una modificación que reúne las condiciones de sustancial con arreglo al Artículo 3, punto 23. Una modificación sustancial es un cambio que afecta a la conformidad del sistema con los requisitos del Reglamento, o que altera su finalidad prevista hacia otra no evaluada por el proveedor original.
- Cambio de la finalidad prevista. El responsable del despliegue modifica la finalidad prevista de un sistema de IA — incluido uno que no sea de alto riesgo — de modo que pase a ser de alto riesgo con arreglo al Artículo 6.
La consecuencia de un cambio de papel es grave. Un responsable del despliegue convertido en proveedor hereda la pila completa de obligaciones del proveedor de alto riesgo: gestión de riesgos con arreglo al Artículo 9, documentación técnica con arreglo al Artículo 11, diseño de la supervisión humana con arreglo al Artículo 14, una evaluación de la conformidad con arreglo al Artículo 43, registro con arreglo al Artículo 49 y el sistema de gestión de la calidad con arreglo al Artículo 17, entre otras.
El incumplimiento de las obligaciones del proveedor conlleva un techo sancionador de 15 millones de euros o el 3 % del volumen de negocios anual mundial total — si esta última cifra es mayor — con arreglo al Artículo 99. Para las empresas que reúnen las condiciones de pyme o de empresa emergente, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.
Ejemplos
Una empresa que utiliza una herramienta de cribado de currículos de un tercero
Una agencia de empleo de 200 personas compra un producto de cribado de currículos basado en IA de un proveedor para filtrar a los candidatos a un empleo. La herramienta de cribado entra dentro del Anexo III, punto 4, letra a) — contratación y selección de personas físicas —, lo que la convierte en un sistema de IA de alto riesgo.
La agencia es el responsable del despliegue. Sus obligaciones del Artículo 26: utilizar la herramienta dentro de la finalidad documentada por el proveedor; asegurarse de que personal formado revise cada resultado antes de que se tome una decisión de contratación; conservar los registros del sistema durante al menos seis meses; informar a los candidatos de que están sujetos a un cribado automatizado.
La agencia no está obligada a realizar una EIDF (es un empleador privado, no un organismo público ni un prestador de servicios enumerado en el Artículo 27). Pero si decide personalizar el modelo de cribado — añadiendo una nueva dimensión de puntuación no cubierta por la documentación técnica del proveedor —, debería obtener asesoramiento jurídico sobre si ello constituye una modificación sustancial que active el Artículo 25.
Un banco que despliega un modelo de calificación crediticia de un proveedor
Una entidad de crédito regional integra el motor de calificación de solvencia de un proveedor fintech en su flujo de trabajo de solicitud de préstamos. La IA de calificación de solvencia entra dentro del Anexo III, punto 5, letra b) — acceso a servicios privados esenciales — y es de alto riesgo.
El banco es el responsable del despliegue. El Artículo 26 le exige operar el modelo dentro de la finalidad prevista por el proveedor, asignar revisores humanos para evaluar las puntuaciones límite, conservar un registro de seis meses e informar a los solicitantes. Dado que el banco es un prestador de servicios de evaluación de la solvencia — uno de los tipos enumerados en el Artículo 27 —, también debe completar una evaluación de impacto relativa a los derechos fundamentales antes del despliegue.
Si el banco desarrolla posteriormente su propio modelo de crédito interno y lo despliega bajo su propia marca, pasa a ser proveedor de ese sistema en virtud del Artículo 25, y se le aplica la pila completa de cumplimiento de alto riesgo.
Preguntas frecuentes
P: ¿Es responsable del despliegue toda empresa que utiliza una herramienta de IA con arreglo a la Ley de IA de la UE?
Solo si el uso es profesional, no personal ni de carácter no profesional. Toda empresa que opera un sistema de IA bajo su propia autoridad en el ejercicio de su actividad comercial o del sector público es un responsable del despliegue en el sentido del Artículo 3, punto 4. El nivel de obligación depende después de si el sistema es de alto riesgo, de riesgo limitado o de riesgo mínimo — los responsables del despliegue de IA de riesgo mínimo no afrontan obligaciones obligatorias con arreglo al Reglamento.
P: ¿Qué sanción se aplica a un responsable del despliegue que infringe el Artículo 26?
El incumplimiento de las obligaciones del responsable del despliegue se sitúa en el nivel intermedio del Artículo 99: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que reúnen las condiciones de pyme o de empresa emergente, el Artículo 99, apartado 6, limita la multa a la cifra menor. Las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025.
P: ¿Cuándo entran realmente en vigor las obligaciones del responsable del despliegue de alto riesgo?
En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), la aplicación del régimen de alto riesgo se ha aplazado. Sistemas autónomos de alto riesgo del Anexo III: 2 de diciembre de 2027. IA de alto riesgo integrada en productos regulados del Anexo I: 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 ya no se aplica a las obligaciones de alto riesgo. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026 según el calendario original.
P: ¿Necesita un responsable del despliegue realizar una evaluación de impacto relativa a los derechos fundamentales?
Solo determinados responsables del despliegue. El Artículo 27 exige una EIDF a los organismos públicos y a las entidades privadas que prestan los servicios enumerados en el ámbito del Artículo 27 — incluidos los prestadores de evaluación de la solvencia y de calificación de riesgos de seguros de vida y de salud. Un empleador privado que despliega una herramienta de selección de personal no está, por regla general, dentro del ámbito de la EIDF. Compruebe los criterios del Artículo 27 frente a su contexto específico antes de concluir en un sentido u otro.
P: ¿Puede un responsable del despliegue pasar a ser proveedor?
Sí, en virtud del Artículo 25. Tres desencadenantes: cambiar la marca del sistema con su propio nombre; introducir una modificación sustancial (Artículo 3, punto 23) en un sistema de alto riesgo; o cambiar la finalidad prevista de cualquier sistema de modo que pase a ser de alto riesgo. Cada desencadenante asocia la pila completa de cumplimiento del proveedor a la organización que cruzó la línea.
P: Un responsable del despliegue utiliza un chatbot de IA para la atención al cliente. ¿Se aplica el Artículo 50?
Sí, a partir del 2 de agosto de 2026. Los responsables del despliegue de sistemas de IA que interactúan con personas físicas — incluidos los chatbots — deben informar a los usuarios de que están interactuando con una IA, salvo que ello resulte evidente por el contexto. El Artículo 50 también cubre los sistemas de reconocimiento de emociones, los generadores de ultrafalsificaciones (deepfakes) y los productores de contenido sintético. El cumplimiento aquí es una obligación de mera divulgación; no se exige evaluación de la conformidad.
Términos relacionados
- Proveedor frente a responsable del despliegue — comparación de papeles
- Obligaciones del responsable del despliegue con arreglo al Artículo 26
- Artículo 26 — obligaciones de los responsables del despliegue
- Artículo 27 — evaluación de impacto relativa a los derechos fundamentales
- Proveedor
- Operador
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →