Proveedor, implementador, importador: quién es quién en el AI Act

·

Cuando una empresa se pregunta si el AI Act le afecta, suele empezar por la pregunta equivocada: "¿mi IA es de alto riesgo?". Esa pregunta importa, pero hay una anterior que determina qué artículos del reglamento tienes que leer siquiera: ¿qué papel ocupas tú en la cadena de valor de ese sistema de IA? El Reglamento (UE) 2024/1689, el AI Act, no impone las mismas obligaciones a quien desarrolla un sistema de IA que a quien simplemente lo usa en su empresa. Confundir estos roles —o no saber en cuál encajas— es el primer error que vemos al analizar la situación de una pyme frente al AI Act.

Las cinco figuras que define el AI Act

El artículo 3 del Reglamento (UE) 2024/1689 define varios agentes de la cadena de IA. Los cinco que afectan a la inmensa mayoría de empresas son:

La mayoría de las pymes españolas que usan IA —un CRM con scoring de leads, un ERP con un módulo de previsión, una herramienta de selección de personal— no son proveedoras, son implementadoras. Compran o contratan un sistema ya desarrollado por un tercero y lo ponen a trabajar dentro de su organización. Pero el matiz importa: si una empresa coge un modelo de uso general, lo modifica sustancialmente o lo integra bajo su propia marca, puede pasar a tener obligaciones de proveedor sobre ese sistema modificado, aunque no lo haya construido desde cero.

Qué obligaciones tiene un proveedor de un sistema de alto riesgo

El artículo 16 del AI Act concentra las obligaciones de los proveedores de sistemas de IA de alto riesgo. En síntesis, un proveedor debe:

Qué obligaciones tiene un implementador (deployer)

Aquí está el cambio de perspectiva que más pymes pasan por alto: ser "solo" usuario de una IA de alto riesgo no te exime de obligaciones. El artículo 26 del AI Act detalla lo que debe hacer un implementador (responsable del despliegue), entre otras cosas:

En la práctica, esto significa que una pyme que usa una herramienta de selección de personal basada en IA (habitualmente considerada de alto riesgo por el Anexo III) tiene que documentar quién supervisa el sistema, formar a esa persona, informar a los candidatos y guardar los registros del sistema, aunque no haya escrito una sola línea de código.

Importador y distribuidor: menos frecuentes, pero relevantes

El importador y el distribuidor entran en juego sobre todo cuando la empresa española comercializa un sistema de IA desarrollado fuera de la UE (importador) o lo revende sin haberlo desarrollado ni ser el primer punto de entrada en el mercado europeo (distribuidor). Ambos tienen obligaciones de verificación: comprobar que el sistema lleva el marcado CE, que el proveedor ha completado la documentación técnica y la evaluación de conformidad, y que la información y las instrucciones de uso acompañan al producto. Si detectan que un sistema no es conforme, no pueden introducirlo o comercializarlo hasta que se corrija.

El calendario de aplicación, fecha a fecha

El artículo 113 del Reglamento (UE) 2024/1689 establece una entrada en vigor escalonada, no una fecha única. Esto es lo que hay que tener en el calendario:

FechaQué entra en vigor
1 de agosto de 2024Entrada en vigor del reglamento (a los veinte días de su publicación en el DOUE).
2 de febrero de 2025Aplican el capítulo I (disposiciones generales) y el capítulo II (prácticas de IA prohibidas).
2 de agosto de 2025Aplican las obligaciones sobre modelos de IA de uso general (capítulo V), gobernanza (capítulo VII), régimen sancionador (capítulo XII) y el artículo 78 sobre confidencialidad.
2 de agosto de 2026Aplicación general del resto del reglamento, incluidas las obligaciones de proveedores e implementadores de sistemas de alto riesgo del Anexo III (los "casos de uso" como selección de personal, scoring crediticio, educación, justicia, etc.).
2 de agosto de 2027Aplica el artículo 6, apartado 1, y las obligaciones correspondientes para los sistemas de alto riesgo del Anexo I (productos regulados por otra legislación de armonización de la UE, como maquinaria o dispositivos médicos).

El detalle importa porque muchas empresas asumen que "el AI Act entra en vigor en agosto de 2026" y dejan de prestar atención a las prácticas prohibidas y a las obligaciones de transparencia, que ya son exigibles desde febrero de 2025.

Por qué merece la pena clasificar tu rol antes de clasificar el riesgo

Determinar si un sistema de IA es de alto riesgo (Anexo III) es un ejercicio necesario, pero incompleto si antes no sabes qué rol ocupas frente a él. Las obligaciones de un proveedor (documentación técnica, conformidad, marcado CE) son sustancialmente distintas de las de un implementador (supervisión humana, información a las personas afectadas, registros). Una pyme que se prepara para las obligaciones equivocadas —por ejemplo, intentando montar un sistema de gestión de calidad como si fuera proveedora cuando en realidad es implementadora de una herramienta de terceros— pierde tiempo y presupuesto en lo que no le corresponde, mientras deja sin cubrir lo que sí es exigible.

Para resolver esta primera clasificación de forma rápida y orientativa, puedes comprobar tu caso en nuestro clasificador interactivo de roles del AI Act. Respondiendo a un pequeño cuestionario sobre cómo tu empresa desarrolla, modifica, comercializa o usa un sistema de IA, obtienes tu rol probable, un listado de las obligaciones asociadas y las fechas del calendario que te afectan. Como toda herramienta orientativa, en los casos que no se ajustan con claridad a un único rol te lo indica expresamente: ahí hace falta un análisis individual del sistema concreto y de cómo se usa.

Preguntas frecuentes

¿Puedo ser proveedor e implementador al mismo tiempo?

Sí. Es habitual que una empresa desarrolle un sistema de IA para uso interno (siendo entonces proveedora, porque lo pone en servicio bajo su propio nombre) y a la vez lo use en su actividad diaria (siendo también implementadora de ese mismo sistema). El artículo 25 del AI Act también contempla que un distribuidor, importador, implementador u otro tercero pase a considerarse proveedor si pone su nombre o marca en un sistema de alto riesgo ya introducido en el mercado, si modifica sustancialmente un sistema de alto riesgo, o si modifica la finalidad prevista de un sistema que no era de alto riesgo de forma que pase a serlo.

¿Qué pasa si mi empresa solo usa ChatGPT o Copilot dentro de sus procesos?

Usar un modelo de IA de uso general (como los que integran estas herramientas) para tareas internas normalmente sitúa a la empresa como implementadora de un sistema que, en la mayoría de los casos de uso ofimático, no es de alto riesgo. Las obligaciones se concentran entonces en la transparencia: informar de que se usa IA cuando el reglamento lo exige (artículo 50), por ejemplo en contenidos generados o manipulados que pudieran confundirse con contenido humano. La situación cambia si esa misma tecnología se usa para casos del Anexo III, como evaluar candidatos a un puesto o decidir sobre solicitudes de crédito.

¿Las obligaciones de implementador aplican también a las pymes pequeñas?

El AI Act no exime por tamaño de empresa a los implementadores de sistemas de alto riesgo; las obligaciones de los artículos 26 y siguientes aplican con independencia del tamaño, aunque el reglamento sí prevé apoyo específico a pymes y startups (por ejemplo, en el acceso a entornos de pruebas regulatorias del capítulo VI). Lo que sí varía según el tamaño y el riesgo real del caso de uso es el esfuerzo proporcional para cumplir: no es lo mismo documentar la supervisión humana de un sistema puntual que la de varios sistemas de alto riesgo en paralelo.

¿Desde cuándo puede sancionar la autoridad española por incumplir estas obligaciones?

El régimen sancionador (capítulo XII) es de aplicación desde el 2 de agosto de 2025, aunque las obligaciones materiales de proveedores e implementadores de sistemas de alto riesgo del Anexo III no son plenamente exigibles hasta el 2 de agosto de 2026. En España, la autoridad de vigilancia de mercado es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada para coordinar la aplicación del reglamento junto con las autoridades sectoriales.