El Reglamento de Inteligencia Artificial no impone las mismas obligaciones a todos los actores. Las exigencias dependen del rol que cada organización desempeña en el ciclo de vida del sistema de IA y del nivel de riesgo asociado a su uso.
Entender las obligaciones según el rol es clave para evitar dos errores muy comunes. Pensar que no existe ninguna obligación porque el sistema es de un tercero, o asumir responsabilidades que en realidad corresponden a otro actor.
Por qué el AI Act distribuye las obligaciones por roles
El AI Act parte de una idea práctica. No todas las organizaciones controlan el sistema de la misma manera ni en el mismo momento.
Quien diseña y desarrolla un sistema tiene capacidad para intervenir sobre su arquitectura. Quien lo utiliza controla el contexto de uso y las decisiones finales. Por eso el reglamento asigna obligaciones distintas, pero complementarias.
Este reparto busca que el riesgo esté controlado en todas las fases, desde el diseño hasta el uso diario.
Obligaciones generales del proveedor
El proveedor asume la mayor carga de obligaciones, especialmente en sistemas de IA de alto riesgo.
Debe diseñar el sistema conforme a los requisitos del AI Act, integrando la gestión de riesgos desde el inicio.
Tiene la obligación de establecer y mantener un sistema de gestión de la calidad, elaborar la documentación técnica exigida y realizar la evaluación de conformidad cuando proceda.
También debe garantizar que el sistema cumple durante todo su ciclo de vida, lo que incluye actualizaciones, correcciones y vigilancia postcomercialización.
En caso de incidentes graves, el proveedor debe actuar y comunicar conforme a lo previsto en el reglamento.
Obligaciones generales del usuario o deployer
El usuario tiene obligaciones que están directamente relacionadas con el uso efectivo del sistema.
Debe utilizar el sistema conforme a las instrucciones del proveedor y dentro de la finalidad prevista.
Tiene la obligación de garantizar la supervisión humana cuando el reglamento lo exige y de asegurarse de que las personas que interactúan con el sistema están formadas y saben cómo intervenir.
El usuario también es responsable de la calidad de los datos de entrada que introduce en el sistema y de controlar que el sistema no se utilice de forma indebida.
Cuando detecta problemas relevantes o incidentes, debe comunicarlo al proveedor y, en determinados casos, a las autoridades.
Obligaciones del importador
El importador actúa como punto de entrada del sistema en el mercado europeo.
Debe verificar que el sistema de IA cumple el AI Act antes de introducirlo en la Unión. Esto incluye comprobar que existe evaluación de conformidad, documentación técnica y marcado correspondiente cuando aplica.
No puede comercializar sistemas que claramente no cumplan el reglamento, incluso si el proveedor original está fuera de la Unión.
Su obligación principal es actuar como garante mínimo del cumplimiento en el mercado europeo.
Obligaciones del distribuidor
El distribuidor tiene un rol más limitado, pero no irrelevante.
Debe actuar con diligencia y no poner a disposición sistemas de IA que sepa o deba saber que incumplen el reglamento.
También debe conservar determinada información y cooperar con las autoridades cuando sea necesario.
El distribuidor no es responsable del diseño del sistema, pero sí de no facilitar incumplimientos evidentes.
Qué ocurre cuando se modifica el sistema o su uso
Un punto crítico del AI Act es el tratamiento de las modificaciones.
Si un usuario o distribuidor modifica de forma sustancial un sistema de IA, o lo utiliza fuera de su finalidad prevista, puede asumir obligaciones propias del proveedor.
Esto ocurre con más frecuencia de lo que parece, por ejemplo al reentrenar modelos, cambiar reglas de decisión o integrar el sistema en procesos nuevos con impacto relevante.
El reglamento busca evitar vacíos de responsabilidad cuando el sistema cambia de manos o de contexto.
Errores habituales al interpretar las obligaciones
Un error común es pensar que basta con firmar un contrato con el proveedor para trasladar todas las obligaciones.
Otro error es asumir que las obligaciones solo existen en sistemas de alto riesgo. Incluso en otros niveles pueden existir deberes de transparencia o de uso responsable.
También es frecuente infravalorar las obligaciones del usuario, que en la práctica son esenciales para el control del riesgo.
Relación de las obligaciones con el cumplimiento efectivo
Las obligaciones del AI Act no funcionan de forma aislada. Se refuerzan entre sí.
El proveedor diseña y documenta, el usuario controla el uso, el importador verifica y el distribuidor actúa con diligencia.
Cuando cada rol asume su parte, el sistema de IA puede utilizarse de forma controlada y conforme al reglamento.
Comprender las obligaciones generales según el rol permite a las organizaciones situarse correctamente en el ciclo de vida del sistema y tomar decisiones informadas sobre desarrollo, compra y uso de inteligencia artificial.