Proveedor

Un proveedor bajo el EU AI Act es cualquier persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolla un sistema de IA o encarga su desarrollo con vistas a ponerlo en el mercado o ponerlo en servicio bajo su propio nombre o marca, con o sin pago. Los proveedores asumen las obligaciones de cumplimiento más amplias, ya que son responsables de garantizar que el sistema cumple los requisitos aplicables desde el diseño hasta el despliegue.

El rol de proveedor conlleva la mayor carga regulatoria. Los artículos 8 a 25 establecen obligaciones extensas para proveedores de sistemas de alto riesgo: gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, precisión y robustez, evaluaciones de conformidad y vigilancia posterior. Muchas organizaciones se convierten en proveedores sin darse cuenta. La definición incluye no solo quienes entrenan modelos desde cero, sino quienes modifican sustancialmente sistemas existentes, integran componentes en productos bajo su marca o encargan desarrollo a terceros. Usar un modelo fundacional de OpenAI, Anthropic u otro no exime del estatus de proveedor si se construye una capa de aplicación y se ofrece a usuarios. Entender la diferencia entre proveedor y entidad usuaria es clave: el proveedor responde por el sistema; la entidad usuaria lo utiliza. Una organización puede ser proveedor en unos sistemas y entidad usuaria en otros.

Las organizaciones deben evaluar honestamente su estatus de proveedor en todos los sistemas que desarrollan, personalizan u ofrecen. Preguntas clave: ¿ofrece capacidades de IA bajo su marca? ¿ha modificado sustancialmente un sistema de terceros? ¿encarga desarrollo de IA que luego desplegará o distribuirá?

Las obligaciones son intensivas. La gestión de riesgos debe mantenerse durante todo el ciclo de vida. La documentación técnica del Anexo IV requiere registros detallados de decisiones de diseño, datos de entrenamiento, resultados de pruebas y parámetros operativos. El sistema de gestión de la calidad debe sostener el cumplimiento. La supervisión humana debe diseñarse en el sistema. La evaluación de conformidad, interna o con organismo notificado, debe completarse antes de comercializar. La vigilancia posterior e incidentes deben estar operativos. Para proveedores de alto riesgo, el cumplimiento no puede ser un añadido; debe integrarse desde el inicio en el desarrollo y la operación.