Ser proveedor o desplegador no es mera semántica. La respuesta cambia tus obligaciones, tu expediente de evidencia y tu hoja de ruta.

Proveedor vs. Desplegador en el Reglamento de IA de la UE: Cómo clasificar tu rol por cada sistema de IA

Ser proveedor o desplegador no es mera semántica. La respuesta cambia tus obligaciones, tu expediente de evidencia y tu hoja de ruta.[1]

Esta distinción es operativa, no teórica. Determina quién debe mantener la documentación técnica, realizar evaluaciones de conformidad, implementar sistemas de gestión de calidad, efectuar la monitorización posterior a la comercialización, garantizar la supervisión humana o, por el contrario, centrarse principalmente en seguir instrucciones, monitorizar el funcionamiento e informar de incidentes graves.

La normativa actual aplica ya las definiciones principales. Las obligaciones para modelos de IA de propósito general (GPAI) entraron en vigor el 2 de agosto de 2025. La mayoría de las disposiciones sobre sistemas de IA de alto riesgo están previstas para el 2 de agosto de 2026 (con posibles ajustes derivados de la propuesta de Omnibus Digital). Esta página refleja la legislación vigente a abril de 2026 y se basa exclusivamente en fuentes oficiales de la UE.

Estado de la ley vigente Las definiciones de proveedor y desplegador están en vigor (Artículo 3). Se aplican las obligaciones para proveedores de GPAI. Las obligaciones para sistemas de alto riesgo (incluida la diferenciación detallada entre proveedor y desplegador) aún no son plenamente aplicables. La Comisión ha publicado orientaciones sobre la definición de sistema de IA y las prácticas prohibidas para favorecer su aplicación anticipada. Los plazos para las normas de alto riesgo podrían modificarse según la disponibilidad de normas y herramientas de apoyo. Verifica siempre la información más reciente en el Servicio de Atención del Reglamento de IA. Esta página no ofrece certificación ni garantías de cumplimiento: solo orientación operativa.

Clasifica tu rol por cada sistema de IA, no a nivel de empresa. Formúlate cuatro preguntas prácticas por orden:

1. ¿Desarrollaste el sistema (o encargaste su desarrollo)?
2. ¿Se pone el sistema en el mercado o en servicio bajo tu nombre o marca?
3. ¿Realizaste una modificación sustancial que mantiene su clasificación de alto riesgo o transforma un sistema no de alto riesgo en uno de alto riesgo?
4. ¿Estás simplemente utilizando un sistema de terceros bajo tu autoridad sin incurrir en lo anterior?

Responder «sí» a las tres primeras te convierte normalmente en proveedor para ese sistema. Responder «sí» solo a la cuarta te convierte en desplegador. Los contratos pueden asignar responsabilidades entre las partes, pero no pueden modificar la clasificación legal si cumples los criterios de proveedor (por ejemplo, al aplicar tu marca o realizar una modificación sustancial).[1]

Una startup que integra un modelo externo como OpenAI mediante API en un producto orientado al cliente suele ser el proveedor del sistema de IA resultante, aunque siga siendo desplegador (o usuario posterior) del modelo GPAI subyacente. Una empresa que compra una herramienta de cribado de reclutamiento de un tercero es normalmente el desplegador. Una compañía que aplica marca blanca, cambia la marca y modifica de forma sustancial un modelo de un proveedor suele convertirse en el proveedor del sistema modificado.

Clasificar correctamente evita dedicar esfuerzos inútiles a documentación equivocada, suposiciones erróneas sobre obligaciones de transparencia o contratos de adquisición defectuosos que dejen lagunas en tu expediente de evidencia.

Usa esta matriz como lista de verificación reutilizable para cada sistema de IA o funcionalidad de tu inventario. Aplícala sistema por sistema, porque los roles no se definen a nivel de empresa.

Matriz proveedor frente a desplegador

Una misma empresa puede —y suele hacerlo— ostentar ambos roles simultáneamente en su cartera. Un proveedor de SaaS es proveedor para sus clientes, pero desplegador cuando utiliza modelos GPAI o herramientas externas en sus propias operaciones. Documenta la clasificación y el razonamiento de apoyo para cada sistema; esto constituye la base de tu expediente de evidencia.[3]

Enlace a guías relacionadas: consulta Sistema de IA frente a modelo GPAI en el Reglamento de IA de la UE: Marco de clasificación e impacto operativo para la distinción entre el modelo subyacente y el sistema integrado, y Obligaciones de los proveedores de modelos de IA de propósito general según el Reglamento de IA de la UE para las obligaciones específicas de los proveedores de GPAI.

Las implementaciones reales rara vez encajan nítidamente en «lo construimos» o «solo lo usamos». El Reglamento de IA anticipa esta realidad con los conceptos de modificación sustancial, aplicación de marca propia, responsabilidades en la cadena de valor y el tratamiento diferenciado de modelos GPAI frente a los sistemas de IA construidos sobre ellos.

Herramientas de marca blanca: Si tomas un chatbot de un proveedor, aplicas tu marca y lo ofreces a tus clientes como «Nuestro Asistente de IA», es probable que lo estés poniendo en el mercado bajo tu nombre y seas, por tanto, el proveedor. Las cláusulas contractuales que afirmen que el proveedor original sigue siendo responsable no cambian la clasificación legal, aunque pueden aclarar los acuerdos prácticos de soporte.

Modificación sustancial: Las orientaciones oficiales la vinculan a cambios que afecten el perfil de riesgo, el propósito previsto o el cumplimiento de los requisitos esenciales. Ejemplos incluyen reentrenar con datos específicos de dominio que alteren de forma significativa la precisión o los sesgos, modificar umbrales de decisión en una herramienta de reclutamiento de alto riesgo, o cambiar el caso de uso de análisis interno a recomendaciones para clientes generando nuevos riesgos para derechos fundamentales. La ingeniería de prompts menor, la configuración o la integración vía API generalmente no califican. Para modelos GPAI, las directrices de la Comisión indican que solo las modificaciones significativas generan nuevas obligaciones de proveedor.[4]

Integradores de sistemas: Si combinas múltiples componentes (por ejemplo, un modelo GPAI, un sistema de recuperación y una interfaz de usuario) pero no modificas sustancialmente el modelo subyacente ni cambias su propósito previsto, generalmente eres el proveedor del sistema de IA integrado mientras sigues siendo usuario posterior del modelo GPAI original. Esta es una de las distinciones de mayor relevancia comercial: el proveedor del modelo te suministra información técnica; tú gestionas el cumplimiento a nivel de sistema.

Herramientas internas construidas sobre modelos externos: Usar internamente un modelo GPAI o API de terceros para redacción de marketing, análisis de datos o cribado de RRHH suele convertirte en desplegador. Debes seguir las instrucciones del proveedor, mantener supervisión humana cuando proceda y monitorizar usos prohibidos o de alto riesgo. Si realizas un ajuste fino intensivo con datos propios y despliegas la versión afinada a escala interna, evalúa si la modificación es lo bastante sustancial como para cambiar tu rol.

Mercados y plataformas: Una tienda de aplicaciones o marketplace de modelos suele ser distribuidor y no proveedor, salvo que aplique su propia marca, modifique los sistemas u ofrezca productos bajo su nombre. Los desarrolladores que integran modelos de estos mercados suelen ser proveedores de sus aplicaciones finales.

Fabricantes de productos: Cuando la IA es un componente de seguridad en un producto ya regulado por legislación sectorial (dispositivos médicos, maquinaria, vehículos), el fabricante del producto suele considerarse proveedor del sistema de IA según las reglas de interacción del Reglamento de IA. Las obligaciones se alinean con la evaluación de conformidad existente en esa normativa sectorial.

Ejemplos de casos límite

Estos ejemplos muestran por qué la clasificación de roles debe basarse en evidencias y documentarse. Una startup que integra un modelo externo en su producto suele ser el proveedor del sistema de IA orientado al cliente y debe preparar la documentación técnica pertinente, aunque aproveche la información del proveedor del modelo para elaborar parte de ese expediente.

Una clasificación errónea genera problemas prácticos inmediatos:

• Solicitudes de documentación equivocadas: Puedes pedir a un proveedor documentación técnica detallada que solo tú, como proveedor del sistema integrado, estás obligado a mantener. Por el contrario, como desplegador puedes no solicitar la información necesaria para realizar una evaluación de impacto en derechos fundamentales o garantizar una supervisión humana adecuada.
• Suposiciones erróneas sobre transparencia: Los desplegadores de ciertos sistemas interactivos tienen obligaciones del Artículo 50 de informar a los usuarios de que interactúan con IA. Si crees erróneamente que solo eres desplegador cuando en realidad estás proporcionando el sistema a clientes, puedes omitir las divulgaciones requeridas o el marcado CE.
• Enfoque equivocado en adquisiciones: Las empresas que asumen que «el proveedor lo maneja todo» descubren demasiado tarde que su caso de uso, ajuste fino o cambio de marca las ha convertido en proveedor. Esto genera lagunas en la gestión de riesgos, los sistemas de calidad y los procedimientos de notificación de incidentes.
• Lagunas en evidencia y auditorías: Las autoridades nacionales y la Oficina de IA buscarán una clasificación coherente por sistema, con razonamiento fundamentado. Los documentos internos inconsistentes o los contratos que contradigan el rol legal aumentan el riesgo de ejecución y ralentizan las auditorías.

Operativamente, el coste se traduce en trabajo desperdiciado en los artefactos equivocados, retrasos en la hoja de ruta y contratos de adquisición que asignan responsabilidades de forma incorrecta. Las disposiciones sobre cadena de valor del Reglamento de IA (Artículo 25) y el Considerando 84 existen precisamente para evitar que las partes eludan obligaciones mediante contratos creativos cuando sus acciones cumplen la definición de proveedor.[1]

¿Podemos ser tanto proveedor como desplegador? Sí. Los roles se determinan por sistema de IA. La mayoría de las organizaciones serán proveedor de los sistemas que desarrollan o modifican sustancialmente y ofrecen al mercado, y desplegador de las herramientas y modelos externos que usan internamente. Documenta ambos roles de forma clara en tu inventario.

¿El uso de marca blanca nos convierte en proveedores? Generalmente sí, si pones el sistema en el mercado bajo tu nombre o marca. El Considerando 84 aborda expresamente la acción de poner tu nombre en un sistema existente. Un cambio cosmético menor sin asumir responsabilidad de diseño puede tratarse de forma diferente, pero las autoridades atenderán a la sustancia por encima de la forma.

¿Qué cuenta como modificación significativa (sustancial)? Cambios que afecten el perfil de riesgo, el propósito previsto o el cumplimiento de los requisitos esenciales —como reentrenamiento que altera materialmente sesgos o precisión, pasar de análisis interno a puntuación de clientes o modificaciones arquitectónicas que aumentan la autonomía—. La configuración menor, el ajuste de prompts o la integración vía APIs documentadas generalmente no califican. Las directrices de la Comisión sobre la definición de sistema de IA y proveedores de GPAI aportan criterios prácticos adicionales. Documenta siempre tu evaluación.

¿Usar una API nos convierte siempre solo en desplegadores? No. Si envuelves la API en un producto o servicio que ofreces a clientes bajo tu propio nombre, normalmente eres el proveedor de ese sistema de IA. Sigues siendo usuario posterior del modelo GPAI subyacente. La distinción entre proveedor del modelo y proveedor del sistema es una de las divisiones operativas más importantes del Reglamento de IA.

• Tratar el rol como un estatus fijo de la empresa en lugar de evaluarlo por sistema.
• Asumir que todo uso de API o servicio en la nube te mantiene automáticamente como desplegador, incluso cuando comercializas el resultado como tu propia funcionalidad de IA.
• Basarse exclusivamente en contratos con proveedores para determinar el rol legal en lugar de los criterios legales (desarrollo, denominación, modificación sustancial).
• No solicitar ni conservar la información técnica que los proveedores upstream deben facilitar en virtud del Artículo 53 (para GPAI) o el Artículo 13 (para sistemas de alto riesgo).
• No actualizar la clasificación cuando se realizan ajustes finos materiales, se cambian los casos de uso o se aplica nueva marca —especialmente al pasar de uso interno de bajo riesgo a uso orientado al cliente o de alto riesgo—.
• Pasar por alto que un desplegador puede convertirse en proveedor al modificar el propósito previsto de modo que active clasificación de alto riesgo.
• Mantener documentación incoherente entre los equipos de adquisiciones, jurídico, producto y cumplimiento.

• Inventaría todos los sistemas de IA, funcionalidades e integraciones relevantes de GPAI en tu organización.
• Aplica el árbol de decisiones y la matriz anterior a cada uno; registra fecha, razonamiento y evidencias utilizadas.
• Para los sistemas en los que eres proveedor, mapea las obligaciones específicas (documentación técnica, gestión de riesgos, conformidad, instrucciones para desplegadores).
• Para los sistemas en los que eres desplegador, mapea controles de uso, medidas de supervisión, procesos de monitorización y canales de notificación de incidentes.
• Revisa todos los contratos con proveedores y clientes frente a la clasificación legal; actualiza plantillas para reflejar una asignación precisa de roles y requisitos de intercambio de información.
• Documenta las evaluaciones de modificación sustancial con análisis antes-después del perfil de riesgo y propósito previsto.
• Asigna responsables para el seguimiento continuo de cambios de rol (nuevo ajuste fino, nuevos casos de uso, cambio de marca de productos).
• Ejecuta un análisis estructurado de lagunas de evidencia sobre tu inventario actual.

¿Listo para convertir esta clasificación en un registro vivo y auditable? Usa el Escáner de Evidencia para mapear tus roles de proveedor y desplegador en toda tu cartera de IA, generar automáticamente las listas de evidencia adecuadas y mantener una visión actualizada del cumplimiento a medida que evolucionan tus productos y casos de uso.

Inicia escaneo gratuito del Escáner de Evidencia

Fuentes (solo oficiales de la UE)

• Reglamento (UE) 2024/1689 (Reglamento de IA de la UE), especialmente Artículos 3, 25, Considerando 84 y Capítulo V (eur-lex.europa.eu).
• Cronograma, FAQ y páginas de artículos del Servicio de Atención del Reglamento de IA (ai-act-service-desk.ec.europa.eu).
• Directrices de la Comisión sobre la definición de un sistema de inteligencia artificial y sobre prácticas prohibidas (digital-strategy.ec.europa.eu).
• Directrices para proveedores de modelos de IA de propósito general (digital-strategy.ec.europa.eu).

Todas las afirmaciones legales están ancladas en estas fuentes primarias. Esta página no constituye asesoramiento jurídico.