Proveedor — Definición, obligaciones y el cambio de función del Artículo 25 en la Ley de IA de la UE

En virtud del Reglamento (UE) 2024/1689, un proveedor es toda persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolle un sistema de IA o un modelo de IA de uso general — o para quien se desarrolle uno — y lo introduzca en el mercado o ponga en servicio el sistema de IA bajo su propio nombre o marca, ya sea a título oneroso o gratuito. El proveedor se sitúa en la cúspide del conjunto de obligaciones de la Ley de IA de la UE. Si su organización entra en esta categoría respecto de un sistema de alto riesgo, la carga de cumplimiento es considerable y comienza mucho antes del lanzamiento.

La definición de la Ley de IA de la UE

El artículo 3, punto 3, del Reglamento (UE) 2024/1689 define al proveedor como:

«una persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolle un sistema de IA o un modelo de IA de uso general, o para quien se desarrolle un sistema de IA o un modelo de IA de uso general, y los introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o de forma gratuita»

Tres elementos determinan si usted es proveedor. Primero, el desarrollo — usted construyó el sistema de IA, o contrató a un tercero para que lo construyera en su nombre. Segundo, la comercialización — usted lo introduce en el mercado o lo pone en servicio. Tercero, la atribución — sale al mercado bajo su nombre o marca.

Ese último elemento es el que más confusión genera en la práctica. Si una empresa de software integra un modelo de un tercero en su producto y entrega ese producto a sus clientes bajo su propia marca, la empresa de software es el proveedor del sistema de IA resultante, aunque no haya entrenado ella misma el modelo subyacente. La Ley sigue el nombre que figura en la caja, no el origen de los pesos del modelo.

La definición abarca también los modelos de IA de uso general (GPAI), que se rigen por el Capítulo V (Artículos 51 a 56). Esta entrada de glosario se centra en las obligaciones del proveedor que se aplican a los sistemas de IA, en particular a los clasificados como de alto riesgo con arreglo al Artículo 6 y al Anexo III.

Qué debe hacer un proveedor

Para los sistemas de IA de alto riesgo, el Artículo 16 establece el conjunto completo de obligaciones del proveedor. No es una lista breve.

Sistema de gestión de riesgos (Artículo 9). Antes de que un sistema de alto riesgo salga al mercado, debe establecer, implantar, documentar y mantener un sistema de gestión de riesgos que abarque todo el ciclo de vida. El sistema debe identificar y analizar los riesgos conocidos y razonablemente previsibles, estimar la probabilidad y la gravedad del perjuicio, y especificar las medidas de mitigación de riesgos. Se trata de una obligación continua — no de una casilla que se marca antes del lanzamiento.

Documentación técnica (Artículo 11 y Anexo IV). Debe elaborar la documentación técnica antes de introducir el sistema en el mercado, abarcando las nueve áreas de contenido especificadas en el Anexo IV: la descripción del sistema y su finalidad prevista, el proceso de diseño y desarrollo, los datos y la metodología de entrenamiento, los resultados de validación y pruebas, el plan de vigilancia y poscomercialización, y más. Esta documentación debe mantenerse actualizada a lo largo de todo el ciclo de vida del sistema y conservarse durante diez años después de que el último sistema se haya introducido en el mercado (Artículo 18).

Datos y gobernanza de datos (Artículo 10). Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad: deben ser pertinentes, suficientemente representativos y, en la medida de lo posible, carecer de errores y lagunas. Se aplican requisitos específicos cuando se utilizan datos personales sensibles para la detección de sesgos.

Conservación de registros (Artículo 12). Los sistemas de alto riesgo deben poder generar registros automáticamente — la capacidad técnica de reconstruir las circunstancias que rodean a los incidentes o las no conformidades.

Transparencia hacia los responsables del despliegue (Artículo 13). El sistema debe ser lo suficientemente transparente como para que los responsables del despliegue comprendan sus capacidades y limitaciones y lo utilicen según lo previsto. Debe facilitar instrucciones de uso que, entre otras cosas, especifiquen la finalidad prevista, el nivel de exactitud y los riesgos conocidos cuando se utiliza según lo previsto.

Supervisión humana (Artículo 14). Los sistemas deben diseñarse de modo que las personas físicas puedan supervisar eficazmente su funcionamiento, intervenir en tiempo real y anularlos o detenerlos. Es un requisito de diseño, no un mero compromiso de política interna.

Exactitud, robustez y ciberseguridad (Artículo 15). Los sistemas de alto riesgo deben alcanzar niveles de exactitud adecuados para su finalidad prevista y ser resistentes frente a errores, fallos e intentos de terceros de alterar sus resultados.

Sistema de gestión de la calidad (Artículo 17). Debe implantar un sistema de gestión de la calidad que abarque las políticas, técnicas, acciones sistemáticas y procedimientos para la IA de alto riesgo — documentado y proporcionado a su tamaño.

Evaluación de la conformidad (Artículo 43). Antes de introducir un sistema de alto riesgo en el mercado, debe someterlo a una evaluación de la conformidad. Para la mayoría de las categorías del Anexo III (puntos 2 a 8: infraestructuras críticas, educación, empleo, acceso a servicios, garantía del cumplimiento del Derecho, migración, justicia), la vía es el procedimiento de control interno establecido en el Anexo VI. Para la biometría (Anexo III, punto 1), cuando no se aplican normas armonizadas, se exige la vía del organismo notificado con arreglo al Anexo VII.

Declaración UE de conformidad (Artículo 47). Una vez completada la evaluación de la conformidad, debe elaborar una declaración de conformidad que confirme que el sistema cumple los requisitos del Reglamento. El contenido de esa declaración se establece en el Anexo V.

Registro (Artículo 49). Antes de introducir un sistema de alto riesgo en el mercado, debe registrarlo en la base de datos de la UE creada en virtud del Artículo 71, salvo que una autoridad de vigilancia del mercado haya concedido una exención.

Vigilancia poscomercialización (Artículo 72). Debe establecer y mantener un sistema de vigilancia poscomercialización que recopile y analice activamente datos de los responsables del despliegue y de los usuarios a lo largo de toda la vida operativa del sistema. Los datos se retroalimentan en el sistema de gestión de riesgos con arreglo al Artículo 9.

Notificación de incidentes (Artículo 73). Debe notificar los incidentes graves — definidos en el artículo 3, punto 49 — a la autoridad de vigilancia del mercado del Estado miembro en que se haya producido el incidente. Los plazos son ajustados: 15 días desde que se tiene conocimiento en la mayoría de los casos, 2 días para los incidentes que impliquen una infracción generalizada o una perturbación grave e irreversible de infraestructuras críticas, y 10 días cuando haya fallecido una persona.

La exposición sancionadora de los proveedores que incumplen estas obligaciones es real. En virtud del Artículo 99, apartado 4, el incumplimiento de la mayoría de las obligaciones del proveedor acarrea una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor. Para las empresas que sean pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija — una protección de proporcionalidad, no una exención.

Una nota práctica sobre los plazos: en virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de alto riesgo se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, y desde el 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados con arreglo al Anexo I. El plazo original del 2 de agosto de 2026 se ha aplazado. Es una prórroga significativa, pero la documentación técnica del Anexo IV, el sistema de gestión de riesgos del Artículo 9 y la evaluación de la conformidad del Artículo 43 requieren todos meses para reunirse adecuadamente. Empezar ahora no es empezar pronto.

Proveedor frente a responsable del despliegue (y el cambio de función del Artículo 25)

La Ley de IA de la UE traza una línea nítida entre proveedores y responsables del despliegue. Un responsable del despliegue (Artículo 26) es una persona física o jurídica que utiliza un sistema de IA de alto riesgo bajo su autoridad en un contexto profesional, con fines distintos del uso personal no profesional. Los responsables del despliegue tienen obligaciones reales — deben seguir las instrucciones de uso del proveedor, garantizar que exista supervisión humana, vigilar el funcionamiento del sistema y conservar los registros durante al menos seis meses. Un responsable del despliegue que presta servicios al público lleva a cabo una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27. Pero el responsable del despliegue no soporta el conjunto de obligaciones del Artículo 16: ni evaluación de la conformidad, ni documentación técnica del Anexo IV, ni declaración UE de conformidad, ni obligación de registro.

La distinción importa sobre todo a las empresas que compran y despliegan herramientas de IA de terceros. Un banco regional que licencia un modelo de evaluación de la solvencia de un proveedor especializado y lo ejecuta siguiendo las instrucciones de ese proveedor es, casi con seguridad, un responsable del despliegue, no un proveedor. El proveedor que construyó y comercializa el modelo es el proveedor y soporta la carga completa del Artículo 16.

Esa línea puede desplazarse, y el Artículo 25 es el mecanismo. Tres situaciones convierten a un responsable del despliegue, importador o distribuidor en proveedor, arrastrando consigo el conjunto completo de obligaciones del proveedor:

1. Cambio de marca. Introduce un sistema de IA de alto riesgo en el mercado o lo pone en servicio bajo su propio nombre o marca.
2. Modificación sustancial. Definida en el artículo 3, punto 23, una modificación sustancial cambia el rendimiento o la finalidad prevista del sistema de un modo que afecta a su cumplimiento de los requisitos de alto riesgo. Si modifica sustancialmente un sistema que obtuvo de un tercero, se convierte en el proveedor del sistema modificado.
3. Cambio de finalidad prevista. Si pone un sistema en servicio para una finalidad distinta de la finalidad de alto riesgo para la que ya se había introducido en el mercado, y esa nueva finalidad es en sí misma de alto riesgo, adquiere las obligaciones del proveedor para ese nuevo despliegue.

El Artículo 25 también asigna las responsabilidades residuales del proveedor: cuando un proveedor tiene su sede fuera de la UE y no ha designado un representante autorizado en la UE con arreglo al Artículo 22, el importador asume esas responsabilidades en el mercado de la UE.

En la práctica, el cambio de función del Artículo 25 atrapa a las empresas que comercializan sistemas de IA con marca blanca, integran modelos de terceros en sus propios productos y entregan esos productos bajo su propio nombre, o reutilizan una herramienta general para una finalidad regulada. Una empresa de SaaS que integra un asistente de IA para la contratación en su software de RR. HH. y lo entrega a sus clientes es el proveedor de ese asistente de contratación — con independencia del modelo subyacente sobre el que funcione el asistente.

Ejemplos

Empresa A: empresa de tecnología de RR. HH. que comercializa una función de cribado de currículos. Una empresa de tecnología de RR. HH. de 60 personas construye una función que criba y puntúa automáticamente las solicitudes de empleo, y luego vende su plataforma de RR. HH. a los empleadores bajo su propia marca. La función de cribado de currículos entra en el Anexo III, punto 4, letra a) — contratación y selección. La empresa es el proveedor. Debe completar una evaluación de la conformidad (autoevaluación del Anexo VI), elaborar la documentación técnica del Anexo IV, redactar una declaración de conformidad con arreglo al Artículo 47 y registrar el sistema en la base de datos de la UE en virtud del Artículo 49. Debe mantener un sistema de vigilancia poscomercialización con arreglo al Artículo 72. El plazo de cumplimiento es el 2 de diciembre de 2027 en virtud del Ómnibus Digital. Los clientes de la empresa — los empleadores que utilizan la función — son responsables del despliegue con arreglo al Artículo 26.

Empresa B: un responsable del despliegue que cambia la marca de un sistema de un proveedor. Una empresa de servicios financieros licencia un modelo de riesgo de crédito de un proveedor de IA especializado. El modelo ya lleva el marcado CE del proveedor (el proveedor). La empresa de servicios financieros despliega el modelo internamente, siguiendo las instrucciones del proveedor, sin introducirlo en el mercado bajo su propio nombre. Es un responsable del despliegue. Se aplican sus obligaciones con arreglo al Artículo 26: seguir las instrucciones, asignar supervisión humana, vigilar y registrar, notificar incidentes al proveedor. No le corresponde la evaluación de la conformidad ni la documentación del Anexo IV.

Ahora la empresa decide empaquetar el modelo y ofrecerlo como servicio a prestamistas más pequeños bajo su propia marca. En el momento en que introduce el modelo en el mercado bajo su nombre, se activa el Artículo 25: se convierte en proveedor. Ahora debe asumir el conjunto de obligaciones del Artículo 16 — incluida una nueva evaluación de la conformidad, porque el marcado CE original era del proveedor, no suyo.

Preguntas frecuentes

P: Hemos construido una herramienta de IA solo para uso interno, no se vende a nadie. ¿Seguimos siendo proveedor?

La definición del artículo 3, punto 3, se refiere a introducir un sistema «en el mercado» o ponerlo «en servicio». El despliegue interno — utilizar su propio sistema de IA dentro de su propia organización, por su propio personal — cuenta como puesta en servicio. Si el sistema entra en las categorías de alto riesgo (Artículo 6 y Anexo III), usted soporta las obligaciones del proveedor aunque no haya ninguna venta comercial. No obstante, las autoridades públicas que desplieguen sistemas de alto riesgo únicamente para sus propios fines pueden estar sujetas a un procedimiento simplificado en determinadas circunstancias — verifique las exclusiones específicas en los Artículos 16 y 17.

P: Integramos un modelo de IA externo en nuestro producto de SaaS. ¿Somos el proveedor o lo es el proveedor del modelo?

Usted es el proveedor del sistema de IA que entrega a sus clientes, aunque funcione sobre un modelo de un tercero. El Artículo 25 es claro: introducir un sistema en el mercado bajo su nombre le convierte en el proveedor de ese sistema. El proveedor del modelo conserva sus propias obligaciones como proveedor de un modelo de IA de uso general con arreglo a los Artículos 53 y 55, pero el proveedor de su producto de SaaS — responsable del cumplimiento del Artículo 16 — es usted.

P: Hemos modificado sustancialmente un sistema de IA de un tercero. ¿Sigue cubriéndonos el marcado CE original del proveedor?

No. En virtud del Artículo 25, una modificación sustancial (definida en el artículo 3, punto 23) transfiere la condición de proveedor a la entidad que realizó la modificación. La evaluación de la conformidad y el marcado CE originales cubren el sistema sin modificar. Debe llevar a cabo su propia evaluación de la conformidad para la versión modificada, redactar una nueva declaración de conformidad con arreglo al Artículo 47 y volver a registrar el sistema en virtud del Artículo 49.

P: ¿Cuál es la exposición sancionadora si incumplimos nuestras obligaciones de proveedor?

Para el incumplimiento de los requisitos de alto riesgo y de la mayoría de las demás obligaciones del proveedor (Artículos 16, 17, 22, 23, 24, 25, 26), el máximo con arreglo al Artículo 99, apartado 4, es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Facilitar información incorrecta o engañosa a un organismo notificado o a una autoridad competente es un tramo independiente e inferior: 7 500 000 EUR o el 1 % con arreglo al Artículo 99, apartado 5.

P: Nuestro sistema podría reunir los requisitos para la exención del Artículo 6, apartado 3, de la clasificación de alto riesgo. ¿Afecta eso a nuestras obligaciones de proveedor?

Sí, sustancialmente. El filtro del Artículo 6, apartado 3, significa que un sistema del Anexo III que no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, porque desempeña una tarea procedimental limitada o se limita a mejorar el resultado de una actividad ya realizada por un humano — no se trata como de alto riesgo. Si puede documentar esa evaluación, el conjunto de obligaciones del Artículo 16 no se aplica. Pero de ello se derivan dos condiciones: debe documentar la evaluación por escrito y registrar el sistema en la base de datos de la UE en virtud del Artículo 49. Y todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de la evaluación del Artículo 6, apartado 3.

P: ¿Cuándo se aplican realmente las obligaciones del proveedor?

Para los sistemas de IA clasificados como de alto riesgo con arreglo al Anexo III (la lista autónoma — contratación, crédito, biometría, garantía del cumplimiento del Derecho, etc.), las obligaciones se aplican desde el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados cubiertos por la legislación de seguridad de los productos del Anexo I (productos sanitarios, máquinas, vehículos), la fecha es el 2 de agosto de 2028. Ambas fechas sustituyen al plazo original del 2 de agosto de 2026, que se aplazó. Las prohibiciones del Artículo 5 — incluidos los usos prohibidos de la biometría y la puntuación social — están en vigor desde el 2 de febrero de 2025.

Términos relacionados

• Proveedor frente a responsable del despliegue — comparación de funciones
• Obligaciones del proveedor con arreglo al Artículo 16
• Artículo 16 — obligaciones del proveedor explicadas
• Responsable del despliegue — definición y obligaciones
• Operador — cómo emplea el término la Ley de IA de la UE
• Modificación sustancial — el artículo 3, punto 23, y el desencadenante del cambio de función