Skip to content
Confir.
Prueba gratuita
Glosario

Distribuidor en virtud de la Ley de IA de la UE: definición, obligaciones y el cambio de rol del Artículo 25

Definition2 April 2026· 14 min de lectura

Definición de distribuidor en la Ley de IA de la UE (artículo 3, punto 7), obligaciones de verificación del Artículo 24 y cuándo un distribuidor pasa a ser proveedor en virtud del Artículo 25.

Un distribuidor es cualquier persona o empresa de la cadena de suministro de IA — distinta del proveedor o del importador — que comercializa un sistema de IA en el mercado de la UE. La categoría existe en el Reglamento (UE) 2024/1689 para garantizar la rendición de cuentas en cada paso entre el fabricante y el uso final: si usted vende, revende o de otro modo comercializa un producto de IA sin introducirlo usted mismo en el mercado y sin importarlo de fuera de la UE, casi con seguridad es un distribuidor.

El rol conlleva auténticas obligaciones de verificación en virtud del Artículo 24. Si las incumple, se aplica el mismo techo sancionador que para el incumplimiento del proveedor o del responsable del despliegue: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4).

La definición de la Ley de IA de la UE

El artículo 3, punto 7, del Reglamento (UE) 2024/1689 define al distribuidor como:

«una persona física o jurídica que forma parte de la cadena de suministro, distinta del proveedor o el importador, que comercializa un sistema de IA en el mercado de la Unión».

Tres elementos importan en esta definición. Primero, el distribuidor es un agente de la cadena de suministro — situado aguas abajo del proveedor y, cuando existe, del importador. Segundo, no es el proveedor (que introdujo el sistema en el mercado o lo puso en servicio con su propio nombre) ni el importador (que trajo el sistema a la UE desde un tercer país). Tercero, el acto en cuestión es comercializar el sistema — ofrecerlo para su distribución, consumo o uso en el mercado de la UE, ya sea de forma remunerada o gratuita.

Un revendedor de software que incorpora un módulo de IA de un tercero a su catálogo encaja en la definición. Un mercado digital que pone en lista herramientas de IA desarrolladas en otro lugar también. El distribuidor no necesita tocar el sistema técnicamente; la disponibilidad comercial es suficiente.

Qué debe hacer un distribuidor

El Artículo 24 establece las obligaciones del distribuidor antes de comercializar un sistema de IA de alto riesgo. Las obligaciones se centran en la verificación: su función es comprobar que otros agentes aguas arriba han cumplido su cometido, no repetir usted mismo la evaluación de la conformidad.

Antes de comercializar un sistema de IA de alto riesgo, verifique tres cosas:

  1. El sistema lleva el marcado CE exigido en virtud del Artículo 48. Si falta el marcado CE, el sistema no ha completado la evaluación de la conformidad exigida con arreglo al Artículo 43 y no debe comercializarse.

  2. El sistema va acompañado de la declaración UE de conformidad (Artículo 47) y de las instrucciones de uso. La declaración es la atestación formal del proveedor de que el sistema cumple los requisitos del Reglamento. Las instrucciones de uso son las indicaciones obligatorias del proveedor a los responsables del despliegue sobre un funcionamiento correcto y seguro. Ambos documentos deben acompañar al sistema.

  3. El proveedor y, en su caso, el importador han cumplido sus obligaciones con arreglo a los Artículos 16 y 23, respectivamente. Usted no realiza una auditoría completa, pero debe cerciorarse — revisando el marcado CE, la declaración y las instrucciones — de que la cadena aguas arriba ha hecho lo que la ley exige.

No comercialice un sistema no conforme. Si falla cualquiera de las tres comprobaciones, o si tiene motivos para creer que el sistema presenta un riesgo, no debe distribuirlo (Artículo 24, apartado 2).

Adopte medidas correctoras si surgen problemas tras la distribución. Si tiene motivos para creer que un sistema que ya está distribuyendo no es conforme, el Artículo 24, apartado 3, le exige adoptar las medidas correctoras necesarias para ponerlo en conformidad, retirarlo del mercado o recuperarlo. Asimismo, debe informar de inmediato a las autoridades nacionales competentes pertinentes y al proveedor, facilitando detalles de la no conformidad y de cualquier medida correctora adoptada.

Preserve la conformidad durante la manipulación. El Artículo 24, apartado 4, exige a los distribuidores garantizar que las condiciones de almacenamiento y transporte durante su período de responsabilidad no comprometan el cumplimiento de los requisitos de alto riesgo. Un sistema que cumple las normas cuando sale del proveedor puede perder la conformidad si las condiciones de almacenamiento lo degradan.

Facilite información identificativa cuando se solicite. Las autoridades competentes pueden pedir a los distribuidores que se identifiquen y que faciliten información sobre los sistemas que han comercializado. El Artículo 24, apartado 5, exige cooperación.

Estas obligaciones son proporcionadas por diseño. Un distribuidor no construye el sistema, ni lo entrena, ni lo despliega en un contexto profesional. La ley exige verificación y cuidado en la manipulación — no toda la pila del proveedor de gestión de riesgos, documentación técnica y evaluación de la conformidad. Esa distinción se mantiene hasta el punto en el que usted se pone en el lugar del proveedor en virtud del Artículo 25.

Distribuidor frente a importador frente a proveedor: el cambio de rol del Artículo 25

Los roles de la cadena de suministro pueden difuminarse. La Ley de IA de la UE lo anticipa y fija una regla nítida: determinados actos de un distribuidor (o importador, o responsable del despliegue) desencadenan una reclasificación como proveedor en virtud del Artículo 25, con todas las obligaciones que ello conlleva.

Distribuidor frente a importador (Artículos 23 y 24)

Las obligaciones del importador y del distribuidor son muy paralelas, pero las posiciones en la cadena difieren. Un importador (Artículo 23) introduce un sistema de IA en la UE desde un tercer país con su propio nombre o marca, o introduce en el mercado de la UE el sistema de un proveedor de un tercer país. Un distribuidor (Artículo 24) es cualquier otro agente de la cadena comercial que comercializa el sistema — un revendedor nacional, un agregador de catálogos, un minorista de valor añadido. Si una empresa de fuera de la UE desarrolla un sistema de IA y su firma lo introduce en el mercado de la UE, usted es el importador. Si ese importador vende después a través de una red minorista, los minoristas de esa red son distribuidores.

La diferencia práctica: los importadores soportan responsabilidades algo más pesadas porque son el primer agente dentro de la UE de un sistema cuyo proveedor se encuentra fuera de la UE. Deben verificar la documentación de conformidad, asegurarse de que el proveedor cuenta con un representante autorizado en la UE (o actuar ellos mismos como tal) y consignar sus propios datos de contacto en el sistema. Los distribuidores verifican la conformidad, pero no soportan la obligación del representante autorizado.

Cuándo un distribuidor pasa a ser proveedor (Artículo 25)

Un distribuidor cruza hacia la condición de proveedor — y asume toda la pila de obligaciones del Artículo 16 — en tres situaciones con arreglo al Artículo 25:

  1. Cambio de marca. El distribuidor pone su propio nombre o marca en un sistema de IA de alto riesgo. Etiquetar una herramienta de IA como producto propio le convierte en el proveedor de ese producto, con independencia de quién lo haya construido.

  2. Modificación sustancial. El distribuidor realiza una modificación sustancial (substantial modification) de un sistema de IA de alto riesgo. La «modificación sustancial» se define en el artículo 3, punto 23: un cambio que afecta al cumplimiento por parte del sistema de los requisitos de alto riesgo, o un cambio de la finalidad prevista no anticipado por la evaluación de la conformidad original. Conservar el software de un sistema pero alterar su lógica de decisión, añadir un nuevo caso de uso no cubierto por la documentación técnica original o reentrenar el modelo con datos nuevos de un modo que cambie materialmente sus resultados — estos son los tipos de cambios que desencadenan la reclasificación.

  3. Modificación de la finalidad prevista. Cuando la modificación altera la finalidad prevista del sistema de modo que pasa a calificarse como de alto riesgo en virtud del Artículo 6 y del Anexo III (cuando antes no lo era), o cambia su clasificación de riesgo, el distribuidor pasa a ser el proveedor.

Las consecuencias son significativas. Las obligaciones del proveedor con arreglo al Artículo 16 incluyen: establecer un sistema de gestión de la calidad (Artículo 17); elaborar la documentación técnica completa con arreglo al Anexo IV (Artículo 11); garantizar que se cumplen los requisitos de gobernanza de datos (Artículo 10); implantar un sistema de gestión de riesgos (Artículo 9); garantizar la supervisión humana (Artículo 14); completar la evaluación de la conformidad (Artículo 43); registrar el sistema en la base de datos de la UE (Artículo 49); colocar el marcado CE (Artículo 48); y firmar la declaración UE de conformidad (Artículo 47). Un revendedor que añade su logotipo a una herramienta de IA de alto riesgo sin darse cuenta de la implicación del Artículo 25 afronta toda la pila del proveedor a partir de ese momento.

Ejemplos

Revendedor de una herramienta de cribado de RR. HH. de alto riesgo. Una empresa alemana de software de RR. HH. adquiere un sistema de IA de cribado de currículos a un proveedor estadounidense (cuyo representante autorizado con sede en la UE se ha encargado de los trámites formales de conformidad). La firma alemana revende la herramienta con el nombre del proveedor estadounidense a través de su propio canal de ventas. Antes de comercializarla a clientes alemanes, comprueba que el marcado CE está presente, que la declaración UE de conformidad se incluye en el paquete y que las instrucciones de uso acompañan al sistema. Con eso cumple su obligación del Artículo 24. No cambia la marca de la herramienta ni realiza modificaciones funcionales — por lo que sigue siendo distribuidor en todo momento.

Mercado digital que pone en lista un producto de IA de alto riesgo. Un mercado digital B2B de software con sede en la UE pone en lista docenas de herramientas de IA, incluido un sistema de cribado para selección de personal. El mercado no importa las herramientas (proceden de proveedores de la UE) ni las desarrolla. Antes de listar la herramienta de alto riesgo, el mercado verifica el marcado CE y la documentación. Cuando un cliente comunica más tarde que el marcado CE del sistema se había colocado sin una evaluación de la conformidad completada, el mercado retira el anuncio y notifica a la autoridad nacional pertinente — ejecutando correctamente su obligación de medidas correctoras del Artículo 24, apartado 3.

Distribuidor que cambia la marca: un escenario de cambio de rol. Una empresa francesa de servicios de TI licencia una IA de calificación crediticia de alto riesgo de un proveedor estonio, la envuelve en una interfaz personalizada y la revende con su propia marca a bancos franceses. En el momento en que coloca su propia marca, pasa a ser el proveedor en virtud del Artículo 25. Ahora debe completar toda la pila del Artículo 16 — incluida una nueva evaluación de la conformidad con arreglo al Artículo 43 y el registro en virtud del Artículo 49 — antes de que esos clientes bancarios puedan desplegar lícitamente el sistema.

Preguntas frecuentes

P: ¿Debe un distribuidor realizar su propia evaluación de la conformidad antes de vender un sistema de IA de alto riesgo?

No. La evaluación de la conformidad con arreglo al Artículo 43 es obligación del proveedor. El deber del distribuidor en virtud del Artículo 24 es verificar que el marcado CE está presente y que la documentación exigida — la declaración UE de conformidad y las instrucciones de uso — acompaña al sistema. Si esas comprobaciones se superan, el distribuidor puede proceder. Realizar su propia evaluación de la conformidad duplicaría un trabajo que el proveedor ya está legalmente obligado a hacer y no lo exige el Reglamento.

P: ¿Qué debe hacer un distribuidor si descubre que un sistema de IA de alto riesgo que ya ha vendido no es conforme?

Con arreglo al Artículo 24, apartado 3, el distribuidor debe adoptar medidas correctoras de inmediato — lo que puede significar retirar del mercado o recuperar el sistema. Debe informar a la autoridad nacional competente del Estado miembro donde se haya detectado la no conformidad, y notificar al proveedor (y al importador, si interviene uno), facilitando detalles del problema y de la medida correctora adoptada. Actuar con rapidez reduce tanto la exposición jurídica como el riesgo de que el sistema siga operando en infracción de los requisitos del Reglamento.

P: ¿En qué nivel sancionador se sitúa un incumplimiento de un distribuidor?

El incumplimiento de las obligaciones del Artículo 24 queda recogido en el Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que reúnen la condición de pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje — una auténtica protección de proporcionalidad, aunque no una razón para tomarse a la ligera las obligaciones de verificación.

P: ¿Cómo evita un distribuidor pasar a ser proveedor en virtud del Artículo 25?

Tres actos desencadenan la reclasificación: colocar su propio nombre o marca en el sistema, realizar una modificación sustancial (tal como se define en el artículo 3, punto 23) y cambiar la finalidad prevista del sistema de un modo que altere su clasificación de alto riesgo. Evite los tres y seguirá siendo distribuidor. Si cualquier decisión comercial — añadir un logotipo, ajustar un algoritmo, ampliar el caso de uso — empieza a aproximarse a estas líneas, recabe asesoramiento jurídico antes de proceder. La línea práctica nítida: si el sistema que vende es funcional y jurídicamente el mismo sistema sobre el que el proveedor declaró la conformidad, y lleva su nombre, usted distribuye, no provee.

P: ¿Se aplican las obligaciones del distribuidor a los sistemas de IA de riesgo bajo o de riesgo mínimo?

Las obligaciones de verificación del Artículo 24 se articulan en torno a los sistemas de IA de alto riesgo. Un distribuidor que maneja IA de riesgo mínimo o de riesgo limitado (la que entra en las normas de transparencia del Artículo 50 y no en la pila completa de alto riesgo) no afronta la misma lista de comprobación de verificación previa a la distribución — no hay marcado CE ni declaración UE de conformidad que comprobar para esos sistemas. No obstante, la lógica general de cambio de rol del Artículo 25 sigue aplicándose: cambiar la marca o modificar sustancialmente cualquier sistema de IA, con independencia de su nivel de riesgo, puede desplazar su posición en la cadena de suministro.

P: El plazo de alto riesgo se ha prorrogado, ¿cambia eso las obligaciones del distribuidor?

El Ómnibus Digital, acordado en mayo de 2026, aplaza la aplicación de las obligaciones de alto riesgo: 2 de diciembre de 2027 para los sistemas de alto riesgo autónomos (Anexo III) y 2 de agosto de 2028 para la IA integrada en productos regulados (Anexo I). Esto cambia cuándo las obligaciones del Artículo 24 pasan a ser exigibles para los sistemas de alto riesgo, no en qué consisten esas obligaciones. Los distribuidores que ya están activos en cadenas de suministro de IA de alto riesgo disponen de tiempo adicional para construir procesos de verificación, pero el marco hacia el que avanzan no cambia. Téngase en cuenta que las prácticas prohibidas del Artículo 5 ya están en vigor (desde el 2 de febrero de 2025) — no se aplica ninguna prórroga a estas.

Cómo ayuda Confir

El motor de cumplimiento basado en reglas de Confir deriva su rol — proveedor, responsable del despliegue, importador o distribuidor — a partir de un cuestionario de admisión en lenguaje sencillo sobre su posición en la cadena de suministro. Si la evaluación le sitúa como distribuidor, Confir mapea sus obligaciones del Artículo 24 y señala los desencadenantes del Artículo 25 que podrían reclasificarle como proveedor. La misma evaluación puede ejecutarse para cada sistema de IA que distribuya, produciendo un registro auditable de los pasos de verificación realizados antes de la distribución. Más información en confir.eu.

Términos relacionados

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Definition

La alfabetización en materia de IA en la Ley de IA de la UE: definición, obligación y qué exige

La alfabetización en materia de IA se define en el artículo 3, punto 56, de la Ley de IA de la UE. El Artículo 4 es obligatorio desde el 2 de febrero de 2025, para todos los sistemas de IA, no solo los de alto riesgo.

Definition

Sistema de IA: definición en virtud de la Ley de IA de la UE

¿Qué se considera un sistema de IA en virtud del Reglamento (UE) 2024/1689? Definición del Artículo 3, características clave, casos límite y por qué importa para el cumplimiento.

Definition

El representante autorizado en virtud de la Ley de IA de la UE

Definición del artículo 3, punto 5; cuándo lo exigen el Artículo 22 y el Artículo 54; qué hace el representante; y por qué los proveedores de fuera de la UE deben designarlo antes de acceder al mercado.