Operador en virtud de la Ley de IA de la UE: definición, funciones y obligaciones

«Operador» es el término paraguas de la Ley de IA de la UE para designar a todo agente de la cadena de valor de la IA. Si una obligación del Reglamento (UE) 2024/1689 recae sobre los «operadores», recae sobre usted — con independencia de si construyó el sistema, lo importó, lo distribuyó o simplemente lo puso en funcionamiento.

La definición de la Ley de IA de la UE

El artículo 3, punto 8, del Reglamento (UE) 2024/1689 define «operador» como:

«proveedor, fabricante de productos, responsable del despliegue, representante autorizado, importador o distribuidor»

Seis funciones. Un único término que las reúne todas. El Reglamento emplea «operador» cuando quiere alcanzar a cualquier miembro de la cadena de suministro sin enumerar cada función en cada ocasión. Allí donde encuentre un deber, un derecho o una restricción dirigidos a los «operadores», léalo como aplicable a las seis posiciones.

Cada una de las seis funciones subyacentes tiene su propio artículo: proveedores (Artículo 16), responsables del despliegue (Artículo 26), representantes autorizados (Artículo 22), importadores (Artículo 23), distribuidores (Artículo 24) y fabricantes de productos — cuyas obligaciones en materia de componentes de seguridad se superponen a la legislación de productos de la UE ya existente (como el Reglamento sobre máquinas (UE) 2023/1230 o el Reglamento sobre los productos sanitarios 2017/745) y que pasan a ser proveedores o responsables del despliegue a efectos de la Ley de IA en función de lo que hagan con el sistema.

Por qué importa el término paraguas

La mayoría de los capítulos sustantivos de la Ley se dirigen directamente a funciones concretas. El Artículo 9 (sistema de gestión de riesgos), el Artículo 11 (documentación técnica), el Artículo 14 (supervisión humana), el Artículo 16 (obligaciones del proveedor), el Artículo 26 (obligaciones del responsable del despliegue) — estos imponen deberes a agentes designados. Cuando el Reglamento quiere alcanzar a todos a la vez, utiliza «operador».

En la práctica, el término paraguas se hace más visible en las disposiciones sobre acceso a la información, cooperación con las autoridades y conservación de registros. Una autoridad nacional de vigilancia del mercado que ejerza sus competencias en virtud de los Artículos 74 y siguientes puede dirigir obligaciones y solicitudes a los «operadores» en sentido amplio — no necesita determinar de antemano exactamente qué función ocupa usted antes de exigir su cooperación.

Comprender que es usted un operador es, por tanto, la primera puerta, no la última. Una vez superada, la cuestión sustantiva pasa a ser: ¿cuál de las seis funciones concretas ocupa usted? Eso es lo que determina su pila de cumplimiento concreta.

Las seis funciones de operador de un vistazo

Proveedor — Una empresa o persona que desarrolla un sistema de IA de alto riesgo y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. Los proveedores soportan las obligaciones más onerosas: un sistema de gestión de la calidad (Artículo 17), un sistema de gestión de riesgos (Artículo 9), documentación técnica conforme a las especificaciones del Anexo IV (Artículo 11), conservación de registros y trazabilidad (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), diseño de la supervisión humana (Artículo 14) y una evaluación de la conformidad con arreglo al Artículo 43 antes de la entrada en el mercado. El registro en la base de datos de la UE (Artículo 49) y la notificación de incidentes graves (Artículo 73) también recaen sobre el proveedor. Consulte el desglose completo en /glossary/provider.

Responsable del despliegue — Una organización o persona que utiliza un sistema de IA de alto riesgo en un contexto profesional bajo su propia autoridad, sin haberlo desarrollado ni introducido en el mercado. Piense en la entidad de crédito regional que ejecuta un modelo de calificación crediticia de un tercero, o en la autoridad pública que utiliza una herramienta de cribado de candidatos adquirida a un proveedor. Los responsables del despliegue deben seguir las instrucciones de uso del proveedor, mantener la supervisión humana (Artículo 14, tal como la diseñó el proveedor), conservar los registros durante al menos seis meses (Artículo 26), notificar a los representantes de los trabajadores antes de desplegar sistemas que afecten a los empleados y — en el caso de determinados responsables del despliegue del sector público o que tomen decisiones sobre solvencia o seguros de vida o de salud — realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF) en virtud del Artículo 27. Consulte /glossary/deployer para ver el panorama completo de obligaciones.

Representante autorizado — Una persona física o jurídica establecida en la UE y designada por escrito por un proveedor establecido fuera de la UE. El representante autorizado actúa como punto de contacto en la UE para las autoridades de vigilancia del mercado, conserva una copia de la documentación técnica y de la declaración UE de conformidad, y puede ser considerado responsable del incumplimiento del mismo modo que el proveedor. El Artículo 22 regula esta función. Consulte /glossary/authorised-representative.

Importador — Una empresa establecida en la UE que introduce en el mercado de la UE un sistema de IA de alto riesgo procedente de un proveedor de un tercer país. Los importadores deben verificar que el proveedor ha completado la evaluación de la conformidad pertinente (Artículo 43), que la documentación está en orden y que el sistema lleva el marcado CE (Artículo 48). Si un importador tiene motivos para creer que un sistema no es conforme, no debe introducirlo en el mercado. El Artículo 23 establece los deberes de verificación. Consulte /glossary/importer.

Distribuidor — Cualquier agente de la cadena de suministro, distinto del proveedor o el importador, que comercializa un sistema de IA de alto riesgo en el mercado de la UE sin introducirlo él mismo en el mercado. Los distribuidores soportan una obligación más ligera pero real: verificar que el marcado CE y la documentación están presentes, y no suministrar un sistema que tengan motivos para creer que no es conforme. Se aplica el Artículo 24. Consulte /glossary/distributor.

Fabricante de productos — Cuando un sistema de IA de alto riesgo es un componente de seguridad de un producto regulado por la legislación de armonización de la UE enumerada en el Anexo I (máquinas, productos sanitarios, automoción, aviación civil, etc.), el fabricante de ese producto asume la función de proveedor del componente de IA si introduce el producto combinado en el mercado con su propio nombre. La vía de evaluación de la conformidad para estos sistemas discurre con arreglo al Artículo 6, apartado 1, y al procedimiento integrado del Anexo I, con un plazo del 2 de agosto de 2028 en virtud del Ómnibus Digital acordado en mayo de 2026.

Puede ocupar más de una función de operador

La Ley contempla explícitamente la ocupación de múltiples funciones. El Artículo 25 es la disposición clave: establece las circunstancias en las que un responsable del despliegue, distribuidor o importador asume el papel del proveedor y hereda toda la pila de obligaciones de este.

Esto ocurre en tres situaciones. Primera, si introduce en el mercado un sistema de IA de alto riesgo con su propio nombre o marca. Segunda, si realiza una modificación sustancial de un sistema de alto riesgo — es decir, una modificación que cambia la finalidad prevista del sistema o su diseño fundamental de tal manera que necesitaría una nueva evaluación de la conformidad (el Artículo 3, punto 23, define la modificación sustancial). Tercera, si modifica la finalidad prevista de un sistema de alto riesgo más allá de lo que cubría la evaluación de la conformidad del proveedor original.

Fuera de los escenarios de cambio de función del Artículo 25, puede ser simultáneamente importador y responsable del despliegue, o representante autorizado y distribuidor, sin transformación alguna de obligaciones — simplemente soporta en paralelo los deberes de cada función que ocupa.

Un ejemplo concreto: una empresa de software alemana compra una herramienta de cribado de IA desarrollada en EE. UU. para su propio departamento de RR. HH. (lo que la convierte en responsable del despliegue) y la revende a otras empresas alemanas (lo que la convierte en distribuidor). Ocupa ambas funciones a la vez y debe cumplir los requisitos del Artículo 26 para su uso interno y los del Artículo 24 para la reventa.

Identificar todas las funciones que ocupa de entrada — para cada sistema de IA de su inventario — es lo que una evaluación de cumplimiento debe resolver antes que cualquier otra cuestión.

Cómo determina Confir su función de operador

El flujo de trabajo de clasificación de Confir formula preguntas de escenario en lenguaje sencillo sobre cada sistema de IA de su inventario: ¿lo desarrolló usted? ¿Lo introduce en el mercado con su nombre? ¿Lo utiliza bajo su propia autoridad sin haberlo construido? ¿Lo introdujo en la UE desde un proveedor de un tercer país?

El motor determinista y basado en reglas asigna sus respuestas a las definiciones de funciones del Artículo 3 y a las disposiciones de responsabilidad del Artículo 25. El resultado es una función derivada — o combinación de funciones — para cada sistema, con las obligaciones de cumplimiento asociadas enumeradas por número de artículo. No interviene ninguna inferencia de IA; la misma admisión produce siempre el mismo resultado.

Preguntas frecuentes

P: ¿Tiene «operador» alguna obligación independiente, o solo describe una categoría?

El término «operador» funciona principalmente como un colectivo. La mayoría de las obligaciones sustantivas del Reglamento (UE) 2024/1689 recaen sobre las funciones concretas — proveedor, responsable del despliegue, importador, etc. El término paraguas aflora en disposiciones transversales (acceso de la vigilancia del mercado, deberes de cooperación, derechos de información) donde el Reglamento se dirige a todos los agentes de la cadena de valor a la vez. Su pila de cumplimiento concreta se deriva de cualquiera de las seis funciones subyacentes que ocupe.

P: Utilizamos internamente varias herramientas de IA de terceros, pero no hemos construido ninguna. ¿Somos operadores?

Sí. Utilizar un sistema de IA de alto riesgo en un contexto profesional bajo su propia autoridad le convierte en responsable del despliegue con arreglo al artículo 3, punto 8 — que entra dentro de la definición de operador. Sus obligaciones se establecen en el Artículo 26. Muchas empresas que nunca han desarrollado un sistema de IA son, no obstante, operadores porque ejecutan herramientas de terceros para la selección de personal, decisiones crediticias u otros fines que entran en el Anexo III.

P: ¿Puede una empresa ser a la vez proveedor y responsable del despliegue?

Sí, para sistemas distintos. Una empresa podría desarrollar y comercializar un sistema de IA de alto riesgo (proveedor con arreglo al Artículo 16) y también ejecutar internamente una herramienta de IA de un tercero con un fin distinto (responsable del despliegue con arreglo al Artículo 26). Cada sistema se evalúa por separado. Las funciones no entran en conflicto — simplemente se aplican a distintos elementos del inventario de IA.

P: ¿Qué ocurre si rebautizamos un sistema de IA de un tercero con nuestro propio nombre?

Se convierte en el proveedor. El Artículo 25 es explícito: introducir en el mercado o poner en servicio un sistema de IA de alto riesgo con su propio nombre o marca traslada toda la pila de obligaciones del proveedor a usted, con independencia de quién haya desarrollado originalmente el sistema. Hereda el Artículo 16, el Artículo 17, el Artículo 9, el Artículo 11, el Artículo 43 y el resto — aun cuando no haya realizado ningún cambio en el modelo subyacente.

P: La Ley habla de «fabricantes de productos» — ¿se aplica eso a las empresas de software?

Solo si su software es un componente de seguridad de un producto enumerado en el Anexo I (la lista de legislación de armonización de la UE: máquinas, productos sanitarios, equipos de ascensores, aviación civil, automoción y otros). Los productos de software puro que no son componentes de seguridad de bienes regulados por el Anexo I siguen la vía de clasificación del Anexo III. Si desarrolla SaaS autónomo y este entra en el Anexo III, su función es la de proveedor — el Artículo 6, apartado 1, y la vía integrada del Anexo I no se aplican.

P: ¿Cuándo se convierte la obligación de un distribuidor en obligación de un proveedor?

En virtud del Artículo 25, un distribuidor pasa a ser proveedor si introduce el sistema en el mercado con su propio nombre, realiza una modificación sustancial (Artículo 3, punto 23) o cambia la finalidad prevista más allá del alcance de la evaluación de la conformidad existente. Salvo esos tres desencadenantes, las obligaciones del distribuidor siguen siendo los deberes de verificación más ligeros del Artículo 24 — comprobar que el marcado CE y la documentación están presentes y no suministrar un sistema que tenga motivos para creer que no es conforme.

Términos relacionados

• Proveedor — obligaciones del Artículo 16
• Responsable del despliegue — obligaciones del Artículo 26
• Importador — obligaciones del Artículo 23
• Distribuidor — obligaciones del Artículo 24
• Representante autorizado — Artículo 22
• Proveedor frente a responsable del despliegue: cómo determinar su función