Ley de IA de la UE: Desplegador vs Proveedor — Quién Asume Qué Obligación
La Ley de IA de la UE asigna obligaciones por rol, no por empresa. La misma organización puede ser proveedor de un sistema de IA y desplegador de otro — y un desplegador puede convertirse silenciosamente en proveedor. Esta página explica las definiciones del Artículo 3, cómo determinar qué rol tiene, y los desencadenantes del Artículo 25 que transfieren las obligaciones más pesadas del proveedor al desplegador.
Ley de IA de la UE: Desplegador vs Proveedor — Quién Asume Qué Obligación
La Ley de IA de la UE asigna obligaciones por rol, no por empresa. La misma organización puede ser proveedor de un sistema de IA y desplegador de otro — y un desplegador puede convertirse silenciosamente en proveedor. Esta página explica las definiciones del Artículo 3, cómo determinar qué rol tiene, y los desencadenantes del Artículo 25 que transfieren las obligaciones más pesadas del proveedor al desplegador.
Última actualización: 4 de julio de 2026
¿Qué es un Proveedor? (Artículo 3(3))
Un proveedor desarrolla un sistema de IA o un modelo de IA de propósito general — o lo hace desarrollar — y lo pone en el mercado o lo pone en servicio bajo su propio nombre o marca, ya sea a cambio de pago o de forma gratuita.
- Desarrolla o encarga el sistema de IA o el modelo de IA de propósito general
- Lo pone en el mercado de la UE o lo pone en servicio bajo su propio nombre o marca
- Asume la mayor parte de las obligaciones de alto riesgo: gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11 / Anexo IV), registro (Artículo 12), transparencia para los desplegadores (Artículo 13), diseño de supervisión humana (Artículo 14), y evaluación de conformidad
- Se aplica tanto si el sistema se suministra comercialmente como si es gratuito
¿Qué es un Desplegador? (Artículo 3(4))
Un desplegador utiliza un sistema de IA bajo su propia autoridad — excepto cuando el sistema se utiliza en el curso de una actividad personal, no profesional.
- Utiliza el sistema en un contexto profesional, bajo su propia autoridad (anteriormente llamado 'usuario' en borradores anteriores)
- Debe utilizar el sistema de acuerdo con las instrucciones de uso del proveedor
- Asume deberes específicos del desplegador: asignar supervisión humana competente, monitorear la operación, mantener los registros generados automáticamente que controla, e informar a las personas afectadas cuando sea necesario
- Ciertos desplegadores también deben realizar una Evaluación de Impacto en los Derechos Fundamentales (Artículo 27) antes del primer uso
Cómo Determinar Qué Rol Tiene
Trabaje en la distinción en lugar de asumir. La prueba es quién puso el sistema en el mercado bajo su nombre versus quién lo está operando:
- ¿Construyó o comercializó el sistema? Si se pone en el mercado bajo su nombre o marca, es el proveedor — incluso si un tercero escribió el código para usted.
- ¿Está solo ejecutando el sistema de alguien más? Si opera un sistema puesto en el mercado por otra empresa, bajo su nombre, es el desplegador.
- Puede ser ambos al mismo tiempo. Una empresa que construye un agente interno (proveedor) mientras también utiliza una plataforma de agente de un proveedor (desplegador) tiene ambos roles para diferentes sistemas.
- Las obligaciones del proveedor son más pesadas; las obligaciones del desplegador son operativas — supervisión, monitoreo, registro que controla, y transparencia para las personas afectadas.
Los importadores, distribuidores y fabricantes de productos son roles de operador separados con sus propias obligaciones — consulte la página de alcance para la lista completa.
Cuándo un Desplegador se Convierte en Proveedor (Artículo 25)
El Artículo 25 establece las situaciones en las que un desplegador, distribuidor, importador u otra parte tercera asume las obligaciones completas de un proveedor para un sistema de IA de alto riesgo ya en el mercado:
- Recomercialización — pone su propio nombre o marca en un sistema de alto riesgo ya puesto en el mercado, a menos que un contrato asigne las obligaciones de otra manera
- Modificación sustancial — hace una modificación sustancial a un sistema de alto riesgo de una manera que siga siendo de alto riesgo
- Cambio del propósito previsto — modifica el propósito previsto de un sistema (incluido un sistema de IA de propósito general) que no se clasificó como de alto riesgo para que ahora se convierta en de alto riesgo
- Cuando se produzca cualquiera de estos desencadenantes, el proveedor original debe cooperar, y usted hereda las obligaciones del proveedor — evaluación de conformidad, documentación técnica, registro y el resto
Esta es la trampa para los equipos que afinan, redefinen o blanquean un sistema de IA comprado: la documentación que pensaron que el proveedor poseía puede transferirse a usted.
Cómo AIAgentree Ayuda
AIAgentree está diseñado para servir a ambos roles desde el mismo registro de decisiones, por lo que existe evidencia independientemente de qué lado del Artículo 25 se encuentre:
- Para proveedores: registros de decisiones que evidencian la manipulación, apoyan el registro del Artículo 12 y la evidencia técnica que espera un archivo de conformidad, exportable a través de REST, MCP, A2A y OpenTelemetry
- Para desplegadores: flujos de trabajo de supervisión y aprobación humanas, así como retención de auditoría (seis meses o más), producen la evidencia de supervisión que los desplegadores se espera que mantengan
- Residencia de datos de la UE en Alemania mantiene esos registros dentro de la UE, y los SDK de Python y TypeScript permiten que cualquier rol capture decisiones sin volver a configurar su pila
Preguntas Frecuentes
¿Puede una empresa ser a la vez proveedor y desplegador?
Sí. Los roles se asignan por sistema de inteligencia artificial, no por empresa. Una organización que construye y comercializa su propio agente es un proveedor para ese sistema, mientras que simultáneamente es un desplegador de cualquier sistema de inteligencia artificial de terceros que opere. Las obligaciones se aplican a cada rol por separado.
¿Cuál es la diferencia entre las obligaciones del proveedor y del desplegador?
Los proveedores llevan las obligaciones de diseño y comercialización: gestión de riesgos, gobernanza de datos, documentación técnica, evaluación de conformidad y transparencia hacia los desplegadores. Los desplegadores llevan las obligaciones operativas: utilizar el sistema según las instrucciones, asignar supervisión humana, monitorear, mantener los registros que controlan, y, para algunos, una Evaluación de Impacto en los Derechos Fundamentales.
¿Cuándo un desplegador se convierte en un proveedor según el Artículo 25?
En tres situaciones: poner su propio nombre o marca comercial en un sistema de alto riesgo ya en el mercado, realizar una modificación sustancial en un sistema de alto riesgo, o cambiar el propósito previsto del sistema de manera que se convierta en de alto riesgo. Cualquiera de estas situaciones lo convierte en un proveedor con las obligaciones completas de proveedor.
Si ajusto un modelo de un proveedor, ¿soy ahora el proveedor?
Potencialmente. Si el cambio es una modificación sustancial de un sistema de alto riesgo, o cambia el propósito previsto de un sistema no de alto riesgo de manera que se convierta en de alto riesgo, el Artículo 25 puede hacer de usted el proveedor. Lea el contrato del proveedor y la declaración de propósito previsto cuidadosamente antes de asumir que el proveedor todavía posee las obligaciones.
¿AIAgentree decide nuestro rol por nosotros?
No. Clasificar su rol es un juicio legal y organizacional sobre cómo construye, marca y utiliza cada sistema. AIAgentree produce los registros de decisión y la evidencia de supervisión que cualquiera de los roles necesita para demostrar —no reemplaza el análisis del rol en sí mismo.
Continúa explorando la guía de la Ley de IA de la UE
Guía de cumplimiento de la Ley de IA de la UE
La guía completa para el cumplimiento de la Ley de IA de la UE para agentes de IA — comienza aquí.
Artículo 12 — Registro y registro de eventos
Qué debe registrar cada sistema de IA de alto riesgo y cómo capturar la información.
Artículo 14 — Supervisión humana
Diseñar controles efectivos de supervisión humana para decisiones de IA.
Anexo III — Sistemas de IA de alto riesgo
Qué casos de uso de IA clasifica la Ley como de alto riesgo.
Lista de verificación de cumplimiento de la Ley de IA de la UE
Una lista de verificación paso a paso para alcanzar y documentar el cumplimiento.
Calculadora de costos de cumplimiento
Estima el esfuerzo y el costo de cumplimiento de la Ley de IA de la UE.
Plazos y cronograma
Fechas clave de aplicación, incluido el plazo del 2 de agosto de 2026.
Multas y sanciones
Niveles de sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual global.
Obligaciones de transparencia (Art. 13 y 50)
Deberes de divulgación para sistemas de IA y sus resultados.
Gestión de riesgos y evaluación de conformidad
Construya un sistema de gestión de riesgos y evalúe la conformidad.
Obligaciones de GPAI
Reglas para proveedores de modelos de IA de propósito general.
Ley de IA de la UE para empresas estadounidenses
Alcance extraterritorial y qué deben hacer los proveedores estadounidenses.
Actualización omnibus
Los últimos cambios en el cronograma y las reglas de la Ley de IA de la UE.
Calculadora de Penalizaciones
Estima tu multa máxima bajo los niveles del Artículo 99.
Artículo 11 + Anexo IV
Qué documentación técnica requiere la Ley de IA de la UE.
Artículo 26: Obligaciones del Desplegado
Qué deben hacer los desplegadores de IA de alto riesgo, incluyendo la retención de registros.
Artículo 17: Gestión de la Calidad
El SGQ que los proveedores de IA de alto riesgo deben documentar.
Artículo 10: Gobernanza de Datos
Calidad de los datos, mitigación de sesgos y deberes de gobernanza.
Artículo 4: Alfabetización en IA
El deber de alfabetización en IA del personal en vigor desde febrero de 2025.
FRIA (Artículo 27)
Quién debe realizar una Evaluación de Impacto en los Derechos Fundamentales, y cómo.
¿A quién se aplica?
Alcance, operadores y alcance extraterritorial de la Ley de IA de la UE.
Monitoreo Post-Mercado
Artículos 72–73: monitoreo continuo y notificación de incidentes.
ISO 42001 vs Ley de IA de la UE
Cómo se relaciona el estándar voluntario con la ley vinculante.
NIST AI RMF vs Ley de IA de la UE
Un cruce práctico entre el marco y la ley.
Ley de IA de la UE para la Atención Médica
IA médica de alto riesgo, interacción con MDR/IVDR y supervisión clínica.
Ley de IA de la UE para Servicios Financieros
Puntuación crediticia, precios de seguros y regulación financiera existente.
Ley de IA de la UE para Recursos Humanos y Empleo
Contratación de IA como alto riesgo, más la superposición de NYC LL144 y EEOC.