Proveedor, desplegador, importador, distribuidor: quién debe hacer qué en el AI Act
El Reglamento (UE) 2024/1689 —el AI Act europeo— no impone las mismas obligaciones a todo el que toca un sistema de IA. Reparte la responsabilidad en cuatro roles distintos —proveedor, desplegador, importador y distribuidor— y cada uno responde ante artículos distintos, con cargas de cumplimiento muy diferentes. Confundir tu rol es el error más caro que puede cometer una pyme española: aplicar las obligaciones de desplegador cuando en realidad eres proveedor (o al revés) deja huecos de cumplimiento reales frente al régimen sancionador del artículo 99.
Esta guía explica qué le toca a cada rol con el texto exacto del Reglamento, y aterriza el matiz que más confunde a las pymes: el artículo 25, que puede convertir a un desplegador, importador o distribuidor en proveedor de la noche a la mañana —con todas sus obligaciones— sin que la empresa se dé cuenta de que ha cruzado esa línea.
En resumen: el AI Act reconoce 4 roles con obligaciones propias. El proveedor (art. 16) desarrolla el sistema y responde de la evaluación de conformidad, la documentación técnica y el marcado CE. El desplegador (art. 26-27) lo usa bajo su autoridad y responde de la supervisión humana, la calidad de los datos que introduce y, en algunos casos, de una evaluación de impacto en derechos fundamentales (FRIA). El importador (art. 23) mete el sistema de un tercer país en la UE y verifica que el proveedor ha cumplido antes de comercializarlo. El distribuidor (art. 24) lo comercializa en la cadena de suministro sin ser proveedor ni importador. Y el matiz clave: según el artículo 25, si pones tu marca en un sistema ajeno, lo modificas sustancialmente o cambias su finalidad hasta volverlo de alto riesgo, pasas a ser proveedor con todas las obligaciones del artículo 16, aunque nunca lo hayas "fabricado". Compruébalo con el clasificador de riesgo AI Act, gratis y sin registro.
¿Cuántos roles reconoce el AI Act y en qué se diferencian?
El artículo 3 del Reglamento define cada rol por lo que la empresa hace con el sistema, no por su tamaño ni por el sector. Un proveedor (art. 3.3) desarrolla un sistema de IA o lo hace desarrollar y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca, sea de pago o gratis. Un desplegador (art. 3.4) es quien usa el sistema bajo su propia autoridad, salvo que lo use en una actividad personal no profesional. Un importador (art. 3.6) es la persona física o jurídica establecida en la UE que introduce en el mercado europeo un sistema con el nombre de una empresa establecida fuera de la UE. Un distribuidor (art. 3.7) es cualquier otro eslabón de la cadena de suministro, distinto de proveedor o importador, que hace disponible un sistema en el mercado de la UE.
La mayoría de pymes españolas son desplegadoras: contratan un ATS de selección, un scoring de riesgo o un chatbot ya construido por un tercero. Pero basta con revender ese mismo sistema bajo tu marca, integrarlo en tu propio producto o traerlo de un proveedor de fuera de la UE para que tu rol cambie —y con él, tus obligaciones.
¿Qué obligaciones tiene el proveedor de un sistema de IA de alto riesgo?
El artículo 16 recae sobre quien desarrolla el sistema y lo introduce en el mercado bajo su marca. Sus obligaciones principales, listadas letra por letra en el propio artículo:
- Cumplir la Sección 2 del capítulo III: gestión de riesgos, gobernanza de datos, documentación técnica, logs, transparencia frente al desplegador, supervisión humana, precisión, robustez y ciberseguridad (art. 16.a).
- Identificarse en el sistema, su embalaje o su documentación con nombre, marca registrada y dirección de contacto (art. 16.b).
- Implantar un sistema de gestión de calidad conforme al artículo 17 (art. 16.c).
- Conservar la documentación técnica exigida por el artículo 18 (art. 16.d).
- Conservar los logs generados automáticamente bajo su control, conforme al artículo 19 (art. 16.e).
- Superar la evaluación de conformidad del artículo 43 antes de comercializar el sistema (art. 16.f).
- Redactar la declaración UE de conformidad conforme al artículo 47 (art. 16.g).
- Colocar el marcado CE en el sistema o, si no es posible, en su embalaje o documentación (art. 16.h).
- Registrar el sistema en la base de datos de la UE conforme al artículo 49.1 (art. 16.i).
- Aplicar acciones correctivas e informar según exige el artículo 20 (art. 16.j).
- Demostrar la conformidad a la autoridad de vigilancia del mercado si la piden (art. 16.k).
- Cumplir accesibilidad conforme a las directivas (UE) 2016/2102 y (UE) 2019/882 (art. 16.l).
Casi ninguna pyme española es proveedora de un sistema comprado a un tercero sin modificarlo. Si tu empresa desarrolla software con IA que vende a otras empresas, o si haces alguna de las tres cosas que explica el artículo 25 más abajo, este es tu rol —con las doce obligaciones anteriores.
¿Qué debe hacer el desplegador (deployer) que usa un sistema de alto riesgo?
El desplegador es la empresa que usa el sistema bajo su autoridad —tu pyme, si contratas un ATS o un scoring ya construidos por otro—. El artículo 26 le impone obligaciones que no puede delegar en el proveedor:
- Usar el sistema según las instrucciones de uso del proveedor y asignar supervisión humana a personas con competencia, formación y autoridad suficientes (art. 26.1 y 26.2).
- Garantizar la calidad de los datos de entrada que estén bajo su control y sean pertinentes para la finalidad del sistema (art. 26.4).
- Monitorizar el funcionamiento conforme a las instrucciones y, ante un riesgo, informar sin demora indebida al proveedor o distribuidor y a la autoridad de vigilancia del mercado, suspendiendo el uso si hace falta (art. 26.5).
- Conservar los logs generados automáticamente, al menos seis meses salvo que otra norma exija más (art. 26.6).
- Informar a los trabajadores y sus representantes antes de poner en servicio el sistema en el puesto de trabajo, cuando la normativa laboral lo exija (art. 26.7).
- Registrar el uso en la base de datos de la UE del artículo 71, si el desplegador es un organismo público (art. 26.8).
- Cooperar con las autoridades competentes en cualquier actuación relacionada con el sistema (art. 26.12).
El artículo 27 añade una obligación que muchas pymes desconocen: organismos públicos, prestadores de servicios públicos esenciales y desplegadores que usan sistemas de crédito o de seguros (puntos 5.b y 5.c del Anexo III) deben hacer una evaluación de impacto en derechos fundamentales (FRIA) antes de poner el sistema en servicio. La guía de clasificación de riesgo y el Anexo III detalla cuándo aplica esta evaluación y qué debe documentar.
¿Qué obligaciones tiene el importador de un sistema de IA?
El importador (art. 3.6) es quien introduce en el mercado de la UE un sistema de alto riesgo que lleva el nombre o la marca de una empresa establecida fuera de la Unión Europea. Es un rol frecuente si tu pyme distribuye en España un producto con IA de un fabricante estadounidense, británico o asiático. El artículo 23 le exige, antes de comercializar el sistema:
- Verificar que el proveedor ha hecho los deberes: que ha superado la evaluación de conformidad del artículo 43, que ha elaborado la documentación técnica del artículo 11 y el Anexo IV, que el sistema lleva el marcado CE y va acompañado de la declaración UE de conformidad, y que ha nombrado un representante autorizado (art. 23.1).
- No comercializar el sistema si sospecha incumplimiento —o si el sistema está falsificado— hasta que se corrija; y si el sistema presenta un riesgo, informar sin demora al proveedor, a su representante y a las autoridades (art. 23.2).
- Identificarse con su nombre, marca registrada y dirección de contacto en el sistema, su embalaje o su documentación (art. 23.3).
- Garantizar condiciones de almacenamiento y transporte que no comprometan el cumplimiento de los requisitos de la Sección 2 (art. 23.4).
- Conservar copias de la declaración de conformidad y la documentación relevante durante 10 años desde que el sistema se comercializa (art. 23.5).
- Facilitar toda la información y documentación que pida una autoridad competente, y cooperar con ella (art. 23.6 y 23.7).
¿Y el distribuidor? (artículo 24)
El distribuidor (art. 3.7) es cualquier otro eslabón de la cadena de suministro —distinto de proveedor e importador— que hace disponible un sistema de IA en el mercado de la UE, normalmente un revendedor, integrador de sistemas o canal comercial. El artículo 24 le exige:
- Verificar antes de distribuir que el sistema lleva el marcado CE, que va acompañado de la declaración UE de conformidad y de las instrucciones de uso, y que el proveedor y, en su caso, el importador han cumplido sus obligaciones respectivas (art. 24.1).
- No distribuir el sistema si sospecha incumplimiento hasta que se corrija, e informar al proveedor o al importador si presenta un riesgo (art. 24.2).
- Garantizar condiciones de almacenamiento y transporte adecuadas mientras el sistema esté bajo su responsabilidad (art. 24.3).
- Tomar acciones correctivas —incluida la retirada o recuperación del sistema— si detecta una no conformidad después de haberlo distribuido, e informar de inmediato al proveedor o importador y a las autoridades (art. 24.4).
- Facilitar información y documentación a una autoridad competente que lo pida de forma motivada, y cooperar con ella (art. 24.5 y 24.6).
Importador y distribuidor comparten filosofía —ambos verifican antes de mover el sistema, ambos vigilan después— pero el importador es siempre el primer eslabón cuando el proveedor está fuera de la UE, con la obligación adicional de conservar documentación 10 años que el distribuidor no tiene.
¿Cuándo un desplegador, importador o distribuidor se convierte en proveedor?
Este es el matiz que más confunde a las pymes, y el que más cuesta de corregir después: el artículo 25 ("Responsabilidades a lo largo de la cadena de valor de la IA") dice que un distribuidor, importador, desplegador u otro tercero se considera proveedor de un sistema de alto riesgo —y queda sujeto a todas las obligaciones del artículo 16 anterior— en cualquiera de estas tres circunstancias (art. 25.1):
- Rebranding: pones tu nombre o tu marca en un sistema de alto riesgo ya comercializado o ya puesto en servicio por otro proveedor (art. 25.1.a). Ejemplo: compras un ATS de selección genérico y lo lanzas al mercado como producto propio.
- Modificación sustancial: modificas de forma sustancial un sistema de alto riesgo ya comercializado, de manera que sigue siendo de alto riesgo (art. 25.1.b). Ejemplo: reentrenas con tus propios datos un modelo de scoring crediticio que compraste a un tercero, cambiando su comportamiento de forma relevante.
- Cambio de finalidad: modificas la finalidad de un sistema —incluido un sistema de IA de propósito general (GPAI)— que no estaba clasificado como de alto riesgo, hasta el punto de que pasa a serlo (art. 25.1.c). Ejemplo: coges un modelo de lenguaje genérico y lo adaptas para automatizar decisiones de contratación de personal.
Si te encuentras en cualquiera de los tres casos, el Reglamento no te deja media posición: pasas a ser proveedor completo, con las doce obligaciones del artículo 16 —evaluación de conformidad, documentación técnica, sistema de gestión de calidad, registro, marcado CE— aunque nunca hayas "creado" el sistema desde cero. El proveedor original queda liberado de esas obligaciones concretas, pero el artículo 25.2 le exige seguir cooperando estrechamente con el nuevo proveedor y facilitarle la información y el acceso técnico razonablemente necesarios para cumplir. El artículo 25.4 obliga a que esa cooperación quede recogida en un acuerdo escrito entre ambas partes —salvo si el componente se ofrece bajo licencia libre y de código abierto—, y prevé que la Oficina de IA pueda publicar modelos de cláusulas voluntarias.
Para las pymes que integran modelos de terceros (GPAI, APIs de proveedores externos) en su propio producto, este es el punto de mayor riesgo de cumplimiento del cluster completo: es fácil cruzar la línea del artículo 25 sin darse cuenta, sobre todo en el supuesto (c) de cambio de finalidad. La guía de GPAI y modelos fundacionales profundiza en cuándo integrar un modelo de propósito general te convierte en proveedor "downstream".
Tabla comparativa de obligaciones por rol
| Rol | Artículo clave | Antes de comercializar / usar | Mientras el sistema opera | ¿Puede pasar a ser proveedor? |
|---|---|---|---|---|
| Proveedor | Art. 16 | Evaluación de conformidad, documentación técnica, sistema de gestión de calidad, marcado CE, registro UE. | Logs bajo su control, acciones correctivas, cooperación con autoridades. | Ya lo es —punto de partida. |
| Desplegador | Art. 26-27 | Asignar supervisión humana competente; en su caso, FRIA (art. 27). | Vigilar datos de entrada, monitorizar funcionamiento, conservar logs 6 meses, informar a la plantilla. | Sí — si modifica sustancialmente o cambia la finalidad (art. 25.1). |
| Importador | Art. 23 | Verificar conformidad del proveedor extra-UE, marcado CE y representante autorizado. | Conservar documentación 10 años, condiciones de transporte, cooperar con autoridades. | Sí — mismos supuestos del art. 25.1. |
| Distribuidor | Art. 24 | Verificar marcado CE, declaración de conformidad e instrucciones de uso. | Condiciones de almacenamiento, retirada/recuperación si detecta incumplimiento. | Sí — mismos supuestos del art. 25.1. |
¿Cómo sé cuál es mi rol paso a paso?
Antes de aplicar cualquiera de los bloques de obligaciones anteriores, resuelve estas preguntas en orden:
- ¿Has desarrollado el sistema o lo has hecho desarrollar bajo tu marca? Si sí, eres proveedor (art. 16) desde el origen.
- ¿Lo usas tal cual te lo entrega un tercero, sin modificarlo ni ponerle tu marca? Eres desplegador (art. 26-27).
- ¿Lo traes a la UE con la marca de una empresa de fuera de la Unión? Eres importador (art. 23), además de desplegador si también lo usas.
- ¿Lo comercializas en España sin ser quien lo desarrolló ni quien lo importó? Eres distribuidor (art. 24).
- ¿Le has puesto tu marca, lo has modificado sustancialmente o le has cambiado la finalidad hasta volverlo de alto riesgo? Pasas a ser proveedor (art. 25), sea cual sea tu rol de partida.
El clasificador de riesgo AI Act te guía por estas preguntas junto con la clasificación de tu sistema, gratis y sin registro. Si además tienes dudas sobre RGPD, ENS, NIS2 o DORA, el wizard "¿qué normativa me aplica?" lo aclara en diez preguntas.
¿Cambia el reparto de roles con el Digital Omnibus?
No directamente. El Digital Omnibus sobre IA (COM(2025) 836, procedimiento 2025/0359(COD)), adoptado por el Consejo el 29 de junio de 2026 y firmado el 8 de julio de 2026, aplaza el calendario de exigibilidad del Anexo III al 2 de diciembre de 2027 y del Anexo I al 2 de agosto de 2028 —pero no toca el texto de los artículos 16, 23, 24, 25, 26 ni 27, que definen los roles y sus obligaciones sin fecha de caducidad propia. Lo que cambia con el aplazamiento es cuándo esas obligaciones se vuelven exigibles para un sistema concreto del Anexo III, no quién tiene que cumplir cada bloque.
A fecha de esta guía, el Omnibus sigue pendiente de publicación en el DOUE, así que la fecha vigente para los sistemas de alto riesgo del Anexo III es el 2 de agosto de 2026 (art. 113), no diciembre de 2027. El calendario completo, con lo que sí está en vigor hoy sin excepción —prácticas prohibidas desde febrero de 2025, obligaciones de GPAI desde agosto de 2025, transparencia del artículo 50 sin cambios—, está en AI Act 2026: calendario de cumplimiento tras el Digital Omnibus.
Herramienta gratuita
¿Cuál es tu rol y qué obligaciones te tocan? Responde unas preguntas sobre tu sistema y tu empresa y descubre al instante tu rol, tus obligaciones y los plazos que te aplican — gratis y sin registro.
Preguntas frecuentes sobre los roles del AI Act
¿Puedo ser proveedor y desplegador a la vez?
Sí. Si tu empresa desarrolla un sistema de IA y además lo usa internamente —por ejemplo, un scoring de riesgo que construyes y usas tú mismo para conceder crédito—, acumulas las obligaciones del artículo 16 (proveedor) y las del artículo 26 (desplegador) sobre el mismo sistema. No son roles excluyentes: dependen de qué haces con cada sistema concreto, no de una etiqueta única para toda la empresa.
¿Qué pasa si soy una pyme y modifico sustancialmente un sistema de un tercero?
Pasas a ser proveedor de ese sistema conforme al artículo 25.1.b, con las doce obligaciones del artículo 16 —evaluación de conformidad, documentación técnica, sistema de gestión de calidad, marcado CE y registro incluidos— aunque seas una empresa pequeña. El Reglamento no prevé una obligación reducida para pymes en este punto; sí existe un tramo de sanción menor si incumples (artículo 99.6), pero la obligación de fondo es la misma que para cualquier proveedor.
¿El importador y el distribuidor tienen las mismas obligaciones?
No exactamente. Ambos verifican el sistema antes de moverlo y actúan si detectan un riesgo después, pero el importador —que introduce el sistema desde fuera de la UE— tiene la obligación adicional de conservar documentación y certificados durante 10 años (art. 23.5) y de comprobar que el proveedor ha nombrado un representante autorizado en la UE (art. 23.1.d), algo que el distribuidor no verifica porque no es su función.
¿Qué sanciones hay por incumplir las obligaciones de mi rol?
El régimen del artículo 99 no distingue mucho por rol: hasta 15 millones de euros o el 3 % de la facturación global anual por incumplir las obligaciones de proveedor, desplegador, importador, distribuidor u organismo notificado, con el importe menor de los dos como techo si eres pyme (art. 99.6). Los detalles completos, con los tramos de 35 M€/7 % y 7,5 M€/1 %, están en la guía de sanciones del AI Act y la AESIA.
¿Estas obligaciones se aplazan con el Digital Omnibus?
El texto de los artículos que definen cada rol y sus obligaciones (16, 23, 24, 25, 26, 27) no cambia con el Digital Omnibus. Lo que se aplazaría —si se publica en el DOUE— es la fecha en que un sistema del Anexo III se considera de alto riesgo, y con ella cuándo empiezan a exigirse estas obligaciones en la práctica: del 2 de agosto de 2026 al 2 de diciembre de 2027. Mientras no haya publicación oficial, la fecha que obliga hoy sigue siendo agosto de 2026.