Los proveedores rara vez ofrecen respuestas claras sin preguntas concretas. Un sólido cuestionario para proveedores de IA permite clarificar roles, obtener evidencias reales y mantener conversaciones prácticas sobre la implementación desde las primeras etapas de la adquisición.

Un sólido cuestionario para proveedores de IA aclara roles, clasificación, medidas de transparencia, apoyo a la alfabetización en IA y disponibilidad de documentación desde las primeras fases de la adquisición. Convierte las vagas afirmaciones de marketing en evidencias concretas alineadas con las obligaciones actuales del Reglamento de IA de la UE para proveedores y desplegadores. Utilízalo en RFPs, evaluaciones de proveedores, incorporación y renovaciones para detectar lagunas antes de firmar contratos.[1][2]

Esta plantilla se centra en la diligencia debida operativa: clasificación del producto (sistema de IA frente a modelo GPAI), reparto de responsabilidades entre proveedor y desplegador, obligaciones de transparencia del Artículo 50 (cuando proceda), medidas de alfabetización en IA (Artículo 4), documentación técnica y registros, representantes autorizados para proveedores no establecidos en la UE, subcontratistas, procedencia del modelo y limitaciones conocidas. Incluye un banco de preguntas listo para usar, rúbrica de puntuación, orientación sobre señales de alerta, ejemplos reales y lenguaje para solicitar evidencias, de modo que los equipos de compras puedan actuar con decisión sin prometer cumplimiento ni ofrecer asesoramiento jurídico.

Estado normativo actual (mayo de 2026) El Artículo 4 (alfabetización en IA) y las prohibiciones son aplicables desde el 2 de febrero de 2025. Las obligaciones para modelos GPAI (documentación técnica, información a proveedores posteriores, política de derechos de autor, resumen del contenido de entrenamiento y requisitos de representante autorizado) son aplicables desde el 2 de agosto de 2025. Las obligaciones de transparencia del Artículo 50 para determinados sistemas de IA (interactivos, marcado o etiquetado de contenido generado y divulgación de deepfakes) serán aplicables a partir del 2 de agosto de 2026. Las normas para sistemas de alto riesgo entrarán en vigor poco después. Este cuestionario ayuda a las organizaciones a recopilar evidencias de las obligaciones ya vigentes y las que están a punto de serlo. Consulta siempre las fuentes primarias, como el texto consolidado del Reglamento y las orientaciones oficiales del Service Desk del Reglamento de IA. No se reflejan aquí posibles modificaciones futuras ni propuestas del Digital Omnibus.[1][2]

La incertidumbre jurídica en torno a la IA se transforma rápidamente en riesgo compartido. Cuando un proveedor introduce un sistema de IA o un modelo GPAI en el mercado de la UE, asume normalmente las obligaciones de proveedor; tu organización, como desplegadora, hereda deberes relativos al uso, la supervisión, la transparencia y la alfabetización en IA. La ambigüedad sobre quién es el “proveedor bajo cuyo nombre se introduce en el mercado” puede dejar a tu equipo expuesto a lagunas de documentación, marcado inadecuado de contenido generado por IA o formación insuficiente del personal.[3]

Un cuestionario específico resulta útil en tres momentos clave del proceso de adquisición:

• Evaluación de proveedores y RFP: Detecta afirmaciones sobre clasificación y capacidades antes de la preselección.
• Incorporación y contratación: Exige responsables nombrados, artefactos de evidencia y transmisión de obligaciones a subcontratistas.
• Renovaciones y seguimiento: Permite comprobar si la implementación del proveedor ha madurado conforme se acerca la plena aplicación de las normas de transparencia del Artículo 50.

Sin preguntas estructuradas, los proveedores rara vez revelan de forma voluntaria sus limitaciones, detalles de procedencia o apoyo concreto a tus obligaciones de alfabetización en IA del Artículo 4. Las solicitudes tempranas de evidencias reducen el trabajo posterior, respaldan las evaluaciones internas de riesgo y demuestran una diligencia debida razonable ante auditores o autoridades nacionales de vigilancia del mercado. No se trata de certificaciones superficiales, sino de preparación práctica y recopilación de evidencias.

Ver también: Proveedor vs. Desplegador en el Reglamento de IA de la UE: Cómo clasificar tu rol por cada sistema de IA y Sistema de IA frente a modelo GPAI en el Reglamento de IA de la UE: Marco de clasificación e impacto operativo.

Agrupa las preguntas por tema y solicita siempre artefactos de apoyo (documentación técnica, extractos de políticas, ejemplos de salida, materiales formativos o resúmenes). Pide a los proveedores que identifiquen al responsable de cada área.

¿Se trata de un sistema de IA, un modelo GPAI o ambos? ¿Quién es el proveedor bajo cuyo nombre se introduce en el mercado?

Utiliza las directrices de la Comisión sobre la definición de sistema de IA y los criterios de los modelos GPAI (por ejemplo, grado significativo de generalidad, amplio abanico de tareas o umbrales indicativos de computación en el entrenamiento). Aclara si el proveedor desarrolla el modelo, lo ajusta de forma sustancial o solo lo integra y distribuye.

¿Qué obligaciones del Artículo 50 son relevantes para este producto y cómo se implementan? ¿Cómo apoyáis a los desplegadores en el marcado, etiquetado o notificaciones a usuarios para salidas generativas o interactivas?

Relevante para chatbots, generadores de imágenes, herramientas de deepfakes o sistemas de texto a contenido. Solicita detalles sobre el marcado legible por máquina (metadatos, marcas de agua, huellas), detectabilidad y excepciones invocadas. Refiérete al Código de prácticas en desarrollo sobre el marcado y etiquetado de contenido generado por IA.[4]

¿Qué formación, guías o materiales proporcionáis a nuestro personal y a otras personas que operan o supervisan el sistema? ¿Cómo se adapta el contenido a nuestro caso de uso, nivel de conocimiento técnico y a los riesgos identificados?

Esto respalda directamente tus obligaciones del Artículo 4. Las buenas respuestas mencionan competencias, conocimiento de oportunidades y riesgos, limitaciones y necesidades de supervisión humana. No se exige ningún certificado: céntrate en materiales prácticos y adaptados al contexto.[3]

¿Qué documentación técnica, registros generados automáticamente, fichas de modelo, resúmenes del contenido de entrenamiento u otros materiales podéis compartir bajo condiciones de confidencialidad adecuadas?

Para proveedores de modelos GPAI, esto incluye el resumen obligatorio del contenido de entrenamiento y la documentación técnica disponible para la Oficina de IA o para proveedores posteriores. En contextos de alto riesgo, solicita artefactos de registro y monitorización poscomercialización.

Si estáis establecidos fuera de la UE, ¿qué representante autorizado o estructura de distribución existe en la Unión? ¿Cómo gestionáis subcontratistas o subprocesadores y qué visibilidad ofrecéis sobre la procedencia del modelo y las fuentes de datos?

El Artículo 54 exige representantes autorizados para proveedores GPAI no europeos. Solicita la transmisión de obligaciones y detalles de la política de derechos de autor.

¿Cuáles son las limitaciones conocidas, características de rendimiento, sesgos potenciales y riesgos residuales de este sistema o modelo?

Solicita respuestas basadas en evidencias, con datos de pruebas o informes de evaluación, en lugar de descargos de responsabilidad genéricos.

Matriz del cuestionario para proveedores

Amplía esta matriz en tu plantilla de compras con filas adicionales sobre subcontratistas, notificación de incidentes y monitorización poscomercialización, según la clasificación del proveedor.

Evalúa cada respuesta de forma independiente antes de cualquier conversación con el proveedor. Exige la entrega de evidencias en un plazo definido (por ejemplo, 10 días hábiles). Combina las puntuaciones en una visión general de semáforo.

Rúbrica de puntuación

Documenta la puntuación, las evidencias recibidas y las preguntas de seguimiento. Reevalúa en renovaciones o tras cambios significativos del proveedor.

Los proveedores rara vez mienten abiertamente; suelen recurrir a lenguaje de marketing que oscurece las obligaciones.

• Texto de marketing sin artefactos: “Nuestra plataforma es totalmente conforme y transparente.” (Sin documentación técnica, sin detalles de marcado ni materiales de alfabetización adjuntos.)
• Confusión de roles: “Somos a la vez proveedor y desplegador: no tenéis que preocuparos por nada.” Esto difumina el reparto de responsabilidades y deja a tu organización expuesta a obligaciones de desplegador en virtud del Artículo 50 o el Artículo 4 sin apoyo. Ver Proveedor vs. Desplegador en el Reglamento de IA de la UE: Cómo clasificar tu rol por cada sistema de IA.
• Evasivas de “no es IA”: “Esto es solo automatización / software basado en reglas.” A pesar de emplear aprendizaje automático para clasificación, generación o apoyo a decisiones. Contradice la definición funcional de sistema de IA de las directrices oficiales.
• Respuestas vagas sobre deepfakes y transparencia: “Los usuarios sabrán que es IA” o “Usamos marcas de agua estándar del sector” sin describir formatos legibles por máquina, pruebas de detectabilidad, colocación del etiquetado para deepfakes o gestión de las divulgaciones del Artículo 50(4) para texto de interés público. Especialmente arriesgado en proveedores de generación de imágenes o chatbots.
• Ausencia de responsable nombrado: Todas las preguntas contestadas por “nuestro equipo jurídico” sin un único punto de contacto para seguimiento técnico o de cumplimiento.

Ejemplo 1: Proveedor de chatbot Deficiente: “Nuestro chatbot de IA es intuitivo y los usuarios lo adoran. La transparencia viene de serie.” Adecuada: Nombra al proveedor del modelo GPAI, facilita el resumen del contenido de entrenamiento, describe cómo el sistema interactivo informa a los usuarios de que no es humano (salvo que sea obvio), comparte registros de conversación de muestra y ofrece módulos de alfabetización en IA sobre riesgos de ingeniería de prompts y verificación de resultados.

Ejemplo 2: Proveedor de cribado para RRHH Deficiente: “Nuestra herramienta ayuda a los reclutadores a ahorrar tiempo y está libre de sesgos.” Adecuada (o al menos ámbar que evoluciona a verde): Aclara si el sistema se considera de alto riesgo según el Anexo III (reclutamiento), aporta detalles de gobernanza de datos, comparte documentación técnica sobre pruebas de equidad, ofrece formación sobre requisitos de supervisión humana y nombra al responsable de cumplimiento. Rojo si niega cualquier relevancia del Reglamento de IA pese a realizar perfiles o adoptar decisiones automatizadas.

Ejemplo 3: Proveedor de generación de imágenes para equipos de marketing Deficiente: “Todas las salidas están claramente marcadas y son seguras para uso comercial.” Adecuada: Detalla la implementación del marcado legible por máquina del Artículo 50(2) y los mecanismos de detección (metadatos más icono de la UE visible cuando proceda), aporta evidencias de pruebas de robustez, comparte limitaciones (por ejemplo, sesgos de estilo o incapacidad para generar determinado contenido con precisión), facilita materiales de alfabetización sobre obligaciones de divulgación para deepfakes o contenido publicitario y confirma la existencia de representante autorizado si no es europeo. Las respuestas vagas sobre la colocación del etiquetado o las excepciones para obras artísticas constituyen señales de alerta.[4]

• Aceptar respuestas narrativas sin artefactos ni responsables nombrados.
• Aplicar el mismo cuestionario a todos los proveedores en lugar de adaptarlo según la clasificación (GPAI, sistema de IA específico o alto riesgo).
• Pasar por alto las implicaciones del Artículo 50 para herramientas generativas utilizadas en marketing o comunicaciones internas.
• No vincular las respuestas del proveedor a tu propio programa de alfabetización en IA ni a tus obligaciones de transparencia.
• No revisar las respuestas en las renovaciones de contrato una vez que entre en vigor la obligación de transparencia en agosto de 2026.
• Confundir la afirmación “el proveedor dice que es conforme” con evidencias reales de implementación.

• Integra la matriz y la rúbrica de puntuación en tus plantillas estándar de RFP y de incorporación de proveedores.
• Exige la carga de evidencias con cada respuesta; establece un plazo predeterminado de 10 días hábiles.
• Designa un revisor multifuncional (compras, jurídico, responsable de IA) para la puntuación.
• Vincula las respuestas del proveedor a tu registro interno de riesgos y a tu plan de alfabetización en IA.
• Programa revisiones automáticas: actualizaciones importantes de modelos, renovaciones contractuales o hitos regulatorios (por ejemplo, tras agosto de 2026).
• Almacena los artefactos de forma centralizada para facilitar la preparación de auditorías.
• Comparte internamente las lecciones aprendidas de forma anonimizada para mejorar futuros cuestionarios.
• Para proveedores prometedores, propone un taller conjunto sobre implementación del Artículo 50 o apoyo a la alfabetización en IA.

Siguiente paso Utiliza el Escáner de Evidencia para subir las respuestas de los proveedores y recibir un análisis automático de lagunas frente a los requisitos vigentes del Reglamento de IA, o descarga la plantilla completa editable del cuestionario para proveedores de IA junto con la hoja de cálculo de puntuación. Comienza a construir tu base de evidencias hoy mismo en EU AI Act Evidence Scanner.

Preguntas frecuentes

¿Debe gestionarse esto desde el área de compras? Sí. El equipo de compras es quien mejor puede integrarlo en las RFP, los criterios de puntuación y los contratos, con el apoyo de los departamentos jurídico, de cumplimiento y de riesgos de IA. No se trata de un ejercicio exclusivamente jurídico.

¿Pueden los proveedores pequeños responder correctamente? Muchos sí. Los buenos proveedores pequeños suelen ofrecer respuestas más claras, honestas y acompañadas de artefactos concretos, precisamente porque tienen menos carga de marketing. La negativa a participar ya es, por sí misma, una información relevante.

¿Qué ocurre si un proveedor se niega a compartir documentación? Trátalo como señal de alerta. Solicita versiones anonimizadas o resúmenes bajo acuerdo de confidencialidad. Una negativa persistente en relación con la documentación técnica o los resúmenes de contenido de entrenamiento (para GPAI) debe llevar a considerar proveedores alternativos o a reforzar las protecciones contractuales y el seguimiento.

¿Cómo se relaciona esto con el Artículo 50 y la alfabetización en IA? Las obligaciones de transparencia del Artículo 50 recaen tanto en los proveedores (marcado de salidas) como en los desplegadores (informar a los usuarios en determinados casos). El Artículo 4 exige garantizar un nivel suficiente de alfabetización en IA del personal y de terceros relevantes. Las respuestas del proveedor aportan los materiales básicos —contenido formativo, divulgación de limitaciones y guías de marcado— que te permiten cumplir eficazmente esas obligaciones. Ver también Obligaciones de transparencia del Artículo 50 del Reglamento de IA de la UE, Chatbots y el Reglamento de IA de la UE: Guía práctica de transparencia del Artículo 50 y IA en Reclutamiento: Sistemas de Alto Riesgo según el Reglamento de IA de la UE.

Fuentes (oficiales y primarias exclusivamente)

• Reglamento (UE) 2024/1689 (texto consolidado) – eur-lex.europa.eu
• Service Desk del Reglamento de IA: cronograma y páginas de los Artículos 50, 54 y 113 – ai-act-service-desk.ec.europa.eu
• Directrices sobre obligaciones de los proveedores de modelos de IA de propósito general y preguntas frecuentes relacionadas – digital-strategy.ec.europa.eu
• Preguntas frecuentes sobre alfabetización en IA y página de talento y competencias – digital-strategy.ec.europa.eu
• Directrices sobre la definición de sistema de IA y prácticas prohibidas – digital-strategy.ec.europa.eu
• Materiales del Código de prácticas sobre marcado y etiquetado de contenido generado por IA – digital-strategy.ec.europa.eu

Todas las afirmaciones jurídicas se derivan de estas fuentes primarias. Esta página tiene como único objetivo facilitar la preparación operativa y no constituye asesoramiento jurídico.