⚠ Estado a 17 de julio de 2026: las obligaciones de proveedor (art. 16), desplegador (art. 26), importador (art. 23) y distribuidor (art. 24) que explica esta guía ya están en vigor para los sistemas de alto riesgo del Anexo III desde el 2 de agosto de 2026 (artículo 113 del Reglamento (UE) 2024/1689). El Digital Omnibus sobre IA, firmado el 8 de julio de 2026 y aún pendiente de publicación en el DOUE, trasladaría la exigibilidad del Anexo III al 2 de diciembre de 2027 —y con ella, la fecha real en que estas obligaciones aplican a cada rol—, pero mientras no se publique no es derecho aplicable.

Proveedor, desplegador, importador, distribuidor: quién debe hacer qué en el AI Act

El Reglamento (UE) 2024/1689 —el AI Act europeo— no impone las mismas obligaciones a todo el que toca un sistema de IA. Reparte la responsabilidad en cuatro roles distintos —proveedor, desplegador, importador y distribuidor— y cada uno responde ante artículos distintos, con cargas de cumplimiento muy diferentes. Confundir tu rol es el error más caro que puede cometer una pyme española: aplicar las obligaciones de desplegador cuando en realidad eres proveedor (o al revés) deja huecos de cumplimiento reales frente al régimen sancionador del artículo 99.

Esta guía explica qué le toca a cada rol con el texto exacto del Reglamento, y aterriza el matiz que más confunde a las pymes: el artículo 25, que puede convertir a un desplegador, importador o distribuidor en proveedor de la noche a la mañana —con todas sus obligaciones— sin que la empresa se dé cuenta de que ha cruzado esa línea.

En resumen: el AI Act reconoce 4 roles con obligaciones propias. El proveedor (art. 16) desarrolla el sistema y responde de la evaluación de conformidad, la documentación técnica y el marcado CE. El desplegador (art. 26-27) lo usa bajo su autoridad y responde de la supervisión humana, la calidad de los datos que introduce y, en algunos casos, de una evaluación de impacto en derechos fundamentales (FRIA). El importador (art. 23) mete el sistema de un tercer país en la UE y verifica que el proveedor ha cumplido antes de comercializarlo. El distribuidor (art. 24) lo comercializa en la cadena de suministro sin ser proveedor ni importador. Y el matiz clave: según el artículo 25, si pones tu marca en un sistema ajeno, lo modificas sustancialmente o cambias su finalidad hasta volverlo de alto riesgo, pasas a ser proveedor con todas las obligaciones del artículo 16, aunque nunca lo hayas "fabricado". Compruébalo con el clasificador de riesgo AI Act, gratis y sin registro.

¿No tienes claro qué rol te corresponde ni qué obligaciones te tocan? Consulta el servicio de cumplimiento del AI Act.

¿Cuántos roles reconoce el AI Act y en qué se diferencian?

El artículo 3 del Reglamento define cada rol por lo que la empresa hace con el sistema, no por su tamaño ni por el sector. Un proveedor (art. 3.3) desarrolla un sistema de IA o lo hace desarrollar y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca, sea de pago o gratis. Un desplegador (art. 3.4) es quien usa el sistema bajo su propia autoridad, salvo que lo use en una actividad personal no profesional. Un importador (art. 3.6) es la persona física o jurídica establecida en la UE que introduce en el mercado europeo un sistema con el nombre de una empresa establecida fuera de la UE. Un distribuidor (art. 3.7) es cualquier otro eslabón de la cadena de suministro, distinto de proveedor o importador, que hace disponible un sistema en el mercado de la UE.

La mayoría de pymes españolas son desplegadoras: contratan un ATS de selección, un scoring de riesgo o un chatbot ya construido por un tercero. Pero basta con revender ese mismo sistema bajo tu marca, integrarlo en tu propio producto o traerlo de un proveedor de fuera de la UE para que tu rol cambie —y con él, tus obligaciones.

¿Qué obligaciones tiene el proveedor de un sistema de IA de alto riesgo?

El artículo 16 recae sobre quien desarrolla el sistema y lo introduce en el mercado bajo su marca. Sus obligaciones principales, listadas letra por letra en el propio artículo:

Casi ninguna pyme española es proveedora de un sistema comprado a un tercero sin modificarlo. Si tu empresa desarrolla software con IA que vende a otras empresas, o si haces alguna de las tres cosas que explica el artículo 25 más abajo, este es tu rol —con las doce obligaciones anteriores.

¿Qué debe hacer el desplegador (deployer) que usa un sistema de alto riesgo?

El desplegador es la empresa que usa el sistema bajo su autoridad —tu pyme, si contratas un ATS o un scoring ya construidos por otro—. El artículo 26 le impone obligaciones que no puede delegar en el proveedor:

El artículo 27 añade una obligación que muchas pymes desconocen: organismos públicos, prestadores de servicios públicos esenciales y desplegadores que usan sistemas de crédito o de seguros (puntos 5.b y 5.c del Anexo III) deben hacer una evaluación de impacto en derechos fundamentales (FRIA) antes de poner el sistema en servicio. La guía de clasificación de riesgo y el Anexo III detalla cuándo aplica esta evaluación y qué debe documentar.

¿Qué obligaciones tiene el importador de un sistema de IA?

El importador (art. 3.6) es quien introduce en el mercado de la UE un sistema de alto riesgo que lleva el nombre o la marca de una empresa establecida fuera de la Unión Europea. Es un rol frecuente si tu pyme distribuye en España un producto con IA de un fabricante estadounidense, británico o asiático. El artículo 23 le exige, antes de comercializar el sistema:

¿Y el distribuidor? (artículo 24)

El distribuidor (art. 3.7) es cualquier otro eslabón de la cadena de suministro —distinto de proveedor e importador— que hace disponible un sistema de IA en el mercado de la UE, normalmente un revendedor, integrador de sistemas o canal comercial. El artículo 24 le exige:

Importador y distribuidor comparten filosofía —ambos verifican antes de mover el sistema, ambos vigilan después— pero el importador es siempre el primer eslabón cuando el proveedor está fuera de la UE, con la obligación adicional de conservar documentación 10 años que el distribuidor no tiene.

¿Cuándo un desplegador, importador o distribuidor se convierte en proveedor?

Este es el matiz que más confunde a las pymes, y el que más cuesta de corregir después: el artículo 25 ("Responsabilidades a lo largo de la cadena de valor de la IA") dice que un distribuidor, importador, desplegador u otro tercero se considera proveedor de un sistema de alto riesgo —y queda sujeto a todas las obligaciones del artículo 16 anterior— en cualquiera de estas tres circunstancias (art. 25.1):

  1. Rebranding: pones tu nombre o tu marca en un sistema de alto riesgo ya comercializado o ya puesto en servicio por otro proveedor (art. 25.1.a). Ejemplo: compras un ATS de selección genérico y lo lanzas al mercado como producto propio.
  2. Modificación sustancial: modificas de forma sustancial un sistema de alto riesgo ya comercializado, de manera que sigue siendo de alto riesgo (art. 25.1.b). Ejemplo: reentrenas con tus propios datos un modelo de scoring crediticio que compraste a un tercero, cambiando su comportamiento de forma relevante.
  3. Cambio de finalidad: modificas la finalidad de un sistema —incluido un sistema de IA de propósito general (GPAI)— que no estaba clasificado como de alto riesgo, hasta el punto de que pasa a serlo (art. 25.1.c). Ejemplo: coges un modelo de lenguaje genérico y lo adaptas para automatizar decisiones de contratación de personal.

Si te encuentras en cualquiera de los tres casos, el Reglamento no te deja media posición: pasas a ser proveedor completo, con las doce obligaciones del artículo 16 —evaluación de conformidad, documentación técnica, sistema de gestión de calidad, registro, marcado CE— aunque nunca hayas "creado" el sistema desde cero. El proveedor original queda liberado de esas obligaciones concretas, pero el artículo 25.2 le exige seguir cooperando estrechamente con el nuevo proveedor y facilitarle la información y el acceso técnico razonablemente necesarios para cumplir. El artículo 25.4 obliga a que esa cooperación quede recogida en un acuerdo escrito entre ambas partes —salvo si el componente se ofrece bajo licencia libre y de código abierto—, y prevé que la Oficina de IA pueda publicar modelos de cláusulas voluntarias.

Para las pymes que integran modelos de terceros (GPAI, APIs de proveedores externos) en su propio producto, este es el punto de mayor riesgo de cumplimiento del cluster completo: es fácil cruzar la línea del artículo 25 sin darse cuenta, sobre todo en el supuesto (c) de cambio de finalidad. La guía de GPAI y modelos fundacionales profundiza en cuándo integrar un modelo de propósito general te convierte en proveedor "downstream".

Tabla comparativa de obligaciones por rol

Rol Artículo clave Antes de comercializar / usar Mientras el sistema opera ¿Puede pasar a ser proveedor?
Proveedor Art. 16 Evaluación de conformidad, documentación técnica, sistema de gestión de calidad, marcado CE, registro UE. Logs bajo su control, acciones correctivas, cooperación con autoridades. Ya lo es —punto de partida.
Desplegador Art. 26-27 Asignar supervisión humana competente; en su caso, FRIA (art. 27). Vigilar datos de entrada, monitorizar funcionamiento, conservar logs 6 meses, informar a la plantilla. — si modifica sustancialmente o cambia la finalidad (art. 25.1).
Importador Art. 23 Verificar conformidad del proveedor extra-UE, marcado CE y representante autorizado. Conservar documentación 10 años, condiciones de transporte, cooperar con autoridades. — mismos supuestos del art. 25.1.
Distribuidor Art. 24 Verificar marcado CE, declaración de conformidad e instrucciones de uso. Condiciones de almacenamiento, retirada/recuperación si detecta incumplimiento. — mismos supuestos del art. 25.1.

¿Cómo sé cuál es mi rol paso a paso?

Antes de aplicar cualquiera de los bloques de obligaciones anteriores, resuelve estas preguntas en orden:

  1. ¿Has desarrollado el sistema o lo has hecho desarrollar bajo tu marca? Si sí, eres proveedor (art. 16) desde el origen.
  2. ¿Lo usas tal cual te lo entrega un tercero, sin modificarlo ni ponerle tu marca? Eres desplegador (art. 26-27).
  3. ¿Lo traes a la UE con la marca de una empresa de fuera de la Unión? Eres importador (art. 23), además de desplegador si también lo usas.
  4. ¿Lo comercializas en España sin ser quien lo desarrolló ni quien lo importó? Eres distribuidor (art. 24).
  5. ¿Le has puesto tu marca, lo has modificado sustancialmente o le has cambiado la finalidad hasta volverlo de alto riesgo? Pasas a ser proveedor (art. 25), sea cual sea tu rol de partida.

El clasificador de riesgo AI Act te guía por estas preguntas junto con la clasificación de tu sistema, gratis y sin registro. Si además tienes dudas sobre RGPD, ENS, NIS2 o DORA, el wizard "¿qué normativa me aplica?" lo aclara en diez preguntas.

¿Prefieres que determinemos tu rol juntos y salgas con un plan de acción por artículo? Reserva una sesión de diagnóstico.

¿Cambia el reparto de roles con el Digital Omnibus?

No directamente. El Digital Omnibus sobre IA (COM(2025) 836, procedimiento 2025/0359(COD)), adoptado por el Consejo el 29 de junio de 2026 y firmado el 8 de julio de 2026, aplaza el calendario de exigibilidad del Anexo III al 2 de diciembre de 2027 y del Anexo I al 2 de agosto de 2028 —pero no toca el texto de los artículos 16, 23, 24, 25, 26 ni 27, que definen los roles y sus obligaciones sin fecha de caducidad propia. Lo que cambia con el aplazamiento es cuándo esas obligaciones se vuelven exigibles para un sistema concreto del Anexo III, no quién tiene que cumplir cada bloque.

A fecha de esta guía, el Omnibus sigue pendiente de publicación en el DOUE, así que la fecha vigente para los sistemas de alto riesgo del Anexo III es el 2 de agosto de 2026 (art. 113), no diciembre de 2027. El calendario completo, con lo que sí está en vigor hoy sin excepción —prácticas prohibidas desde febrero de 2025, obligaciones de GPAI desde agosto de 2025, transparencia del artículo 50 sin cambios—, está en AI Act 2026: calendario de cumplimiento tras el Digital Omnibus.

Preguntas frecuentes sobre los roles del AI Act

¿Puedo ser proveedor y desplegador a la vez?

Sí. Si tu empresa desarrolla un sistema de IA y además lo usa internamente —por ejemplo, un scoring de riesgo que construyes y usas tú mismo para conceder crédito—, acumulas las obligaciones del artículo 16 (proveedor) y las del artículo 26 (desplegador) sobre el mismo sistema. No son roles excluyentes: dependen de qué haces con cada sistema concreto, no de una etiqueta única para toda la empresa.

¿Qué pasa si soy una pyme y modifico sustancialmente un sistema de un tercero?

Pasas a ser proveedor de ese sistema conforme al artículo 25.1.b, con las doce obligaciones del artículo 16 —evaluación de conformidad, documentación técnica, sistema de gestión de calidad, marcado CE y registro incluidos— aunque seas una empresa pequeña. El Reglamento no prevé una obligación reducida para pymes en este punto; sí existe un tramo de sanción menor si incumples (artículo 99.6), pero la obligación de fondo es la misma que para cualquier proveedor.

¿El importador y el distribuidor tienen las mismas obligaciones?

No exactamente. Ambos verifican el sistema antes de moverlo y actúan si detectan un riesgo después, pero el importador —que introduce el sistema desde fuera de la UE— tiene la obligación adicional de conservar documentación y certificados durante 10 años (art. 23.5) y de comprobar que el proveedor ha nombrado un representante autorizado en la UE (art. 23.1.d), algo que el distribuidor no verifica porque no es su función.

¿Qué sanciones hay por incumplir las obligaciones de mi rol?

El régimen del artículo 99 no distingue mucho por rol: hasta 15 millones de euros o el 3 % de la facturación global anual por incumplir las obligaciones de proveedor, desplegador, importador, distribuidor u organismo notificado, con el importe menor de los dos como techo si eres pyme (art. 99.6). Los detalles completos, con los tramos de 35 M€/7 % y 7,5 M€/1 %, están en la guía de sanciones del AI Act y la AESIA.

¿Estas obligaciones se aplazan con el Digital Omnibus?

El texto de los artículos que definen cada rol y sus obligaciones (16, 23, 24, 25, 26, 27) no cambia con el Digital Omnibus. Lo que se aplazaría —si se publica en el DOUE— es la fecha en que un sistema del Anexo III se considera de alto riesgo, y con ella cuándo empiezan a exigirse estas obligaciones en la práctica: del 2 de agosto de 2026 al 2 de diciembre de 2027. Mientras no haya publicación oficial, la fecha que obliga hoy sigue siendo agosto de 2026.