El Reglamento de Inteligencia Artificial asigna responsabilidades muy concretas a las personas y organizaciones que intervienen en el ciclo de vida de un sistema de IA. Para entender qué exige realmente el AI Act, es imprescindible saber quién es quién y qué implica cada rol en la práctica.
Uno de los errores más comunes es pensar que el reglamento solo afecta a quien desarrolla modelos de IA. En realidad, el AI Act reparte obligaciones entre distintos actores, y muchas organizaciones asumen responsabilidades sin ser conscientes de ello.
Por qué el AI Act define roles y no solo tecnologías
El AI Act no regula empresas por su tamaño ni por su sector. Regula funciones.
Una misma organización puede desempeñar varios roles a la vez, y un mismo sistema de IA puede pasar por distintos actores antes de llegar a las personas afectadas.
Definir roles permite al reglamento asignar obligaciones de forma proporcionada y evitar que toda la carga recaiga en un único punto de la cadena.
El proveedor del sistema de IA
El proveedor es quien desarrolla un sistema de IA o lo hace desarrollar y lo introduce en el mercado o lo pone en servicio bajo su nombre o marca.
Este rol es central en el AI Act. El proveedor es responsable de diseñar el sistema conforme a los requisitos del reglamento, realizar la evaluación de conformidad cuando procede y mantener la documentación técnica.
También debe garantizar que el sistema sigue cumpliendo una vez está en uso, gestionando riesgos, actualizaciones e incidencias.
Un aspecto importante es que no solo son proveedores las grandes empresas tecnológicas. Una empresa que desarrolla un sistema de IA para uso interno también puede ser proveedor a efectos del reglamento.
El usuario o deployer del sistema de IA
El usuario, a veces denominado deployer, es quien utiliza el sistema de IA en el ejercicio de su actividad profesional o institucional.
Este rol incluye empresas que usan herramientas de IA para tomar decisiones internas, administraciones públicas y organizaciones que aplican sistemas de IA de terceros en sus procesos.
El usuario no es un actor pasivo. Debe utilizar el sistema conforme a las instrucciones del proveedor, garantizar la supervisión humana cuando sea obligatoria y controlar los datos que introduce en el sistema.
Si el usuario modifica el sistema de forma sustancial o lo utiliza fuera de su finalidad prevista, puede asumir responsabilidades adicionales.
Importadores y distribuidores
El importador es quien introduce en el mercado europeo un sistema de IA procedente de fuera de la Unión Europea.
Su responsabilidad principal es asegurarse de que el sistema cumple el AI Act antes de comercializarlo en la Unión. No puede asumir que el cumplimiento es solo responsabilidad del proveedor original.
El distribuidor, por su parte, es quien pone el sistema a disposición en el mercado sin modificarlo. Aunque sus obligaciones son más limitadas, también debe actuar con diligencia y no comercializar sistemas que claramente incumplen el reglamento.
Estos roles son especialmente relevantes en cadenas de suministro complejas.
Autoridades competentes
Las autoridades nacionales competentes son los organismos públicos encargados de supervisar y hacer cumplir el AI Act en cada Estado miembro.
Pueden solicitar información, realizar inspecciones, investigar incumplimientos y, en su caso, imponer sanciones.
Su papel no es solo sancionador. También proporcionan orientación y coordinan la aplicación del reglamento a nivel europeo.
Organismos notificados
Los organismos notificados son entidades independientes designadas por los Estados miembros para realizar evaluaciones de conformidad en determinados casos.
Intervienen cuando el reglamento exige una validación externa antes de que un sistema de IA pueda ponerse en el mercado o en servicio.
Su función es aportar una garantía adicional en sistemas especialmente sensibles o complejos.
Cuando una organización asume varios roles
En la práctica, muchas organizaciones desempeñan más de un rol.
Una empresa puede ser proveedor de un sistema interno y, al mismo tiempo, usuario de sistemas de terceros. También puede importar y distribuir herramientas de IA desarrolladas fuera de la Unión.
El AI Act no prohíbe esta acumulación de roles, pero sí exige que se comprendan y asuman las responsabilidades correspondientes en cada caso.
Errores habituales al identificar los roles
Un error muy frecuente es pensar que usar un sistema de IA de un proveedor externo exime de responsabilidades.
Otro error es no reconocer cuándo una modificación convierte al usuario en proveedor a efectos del reglamento.
También es habitual confundir roles técnicos con roles jurídicos. El AI Act se fija en quién controla el sistema y su uso, no en quién escribe el código.
Relación de los roles con el cumplimiento del AI Act
Identificar correctamente los roles es un paso previo imprescindible para cualquier estrategia de cumplimiento.
Sin esta claridad, es imposible saber qué obligaciones aplican, quién debe realizar evaluaciones, quién debe documentar y quién responde ante una incidencia.
Entender quién es quién en el Reglamento de IA permite pasar del texto legal a decisiones operativas claras y responsables en el uso de sistemas de inteligencia artificial.