Proveedor vs implantador en el Reglamento de IA de la UE: cuál es tu SaaS
# Proveedor vs implantador en el Reglamento de IA de la UE: cuál es tu SaaS
El Reglamento de IA de la UE asigna obligaciones diferentes en función de si eres proveedor o implantador de un sistema de IA. La mayoría de las empresas SaaS son una cosa o la otra. Algunas son ambas. Equivocarse en esto significa o bien asumir demasiado trabajo de cumplimiento o, lo que es peor, demasiado poco.
Las definiciones
Proveedor (artículo 3(3)): Persona física o jurídica que desarrolla un sistema de IA o un modelo de IA de uso general y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca comercial.
Implantador (artículo 3(4)): Persona física o jurídica que utiliza un sistema de IA bajo su propia autoridad, excepto cuando el sistema de IA se utilice en el transcurso de una actividad personal de carácter no profesional.
En términos sencillos: si construiste la IA, probablemente eres proveedor. Si utilizas la IA de terceros dentro de tu producto, probablemente eres implantador.
Cómo clasifican habitualmente las empresas SaaS
Eres proveedor si:
- Entrenaste tu propio modelo de IA y lo distribuyes como parte de tu producto
- Realizaste un ajuste fino (fine-tuning) de un modelo fundacional y sirves predicciones a través de tu producto
- Construiste un sistema de IA y vendes acceso a él bajo tu marca
- Tomas un modelo de código abierto, lo modificas y lo despliegas comercialmente
Eres implantador si:
- Llamas a la API de OpenAI y muestras el resultado en tu producto
- Usas Claude de Anthropic para impulsar una funcionalidad de tu SaaS
- Integras la API de Gemini de Google para la generación de contenido
- Incorporas un servicio de IA de terceros sin modificar el modelo en sí
Podrías ser ambos si:
- Utilizas un modelo de terceros pero lo envuelves en un sistema que toma decisiones de forma autónoma (eres el proveedor del sistema e implantador del modelo)
- Realizas un ajuste fino de un modelo de terceros en medida suficiente como para que se convierta en un nuevo sistema de IA conforme a las definiciones del Reglamento
Por qué es importante
Los proveedores tienen obligaciones más exigentes que los implantadores. Para los sistemas de IA de alto riesgo (Anexo III), los proveedores deben:
- Implantar un sistema de gestión de riesgos (artículo 9)
- Cumplir los requisitos de gobernanza de datos (artículo 10)
- Mantener la documentación técnica (artículo 11)
- Diseñar para el registro y la conservación de registros (artículo 12)
- Garantizar la transparencia y proporcionar instrucciones a los implantadores (artículo 13)
- Habilitar la supervisión humana (artículo 14)
- Cumplir las normas de exactitud, solidez y ciberseguridad (artículo 15)
- Realizar evaluaciones de conformidad antes de introducir el sistema en el mercado (artículo 43)
Los implantadores de sistemas de alto riesgo tienen un conjunto de obligaciones más reducido, aunque igualmente real:
- Utilizar el sistema de acuerdo con las instrucciones facilitadas por el proveedor (artículo 26(1))
- Garantizar la supervisión humana por parte de personas con la competencia adecuada (artículo 26(2))
- Supervisar el sistema y notificar los incidentes graves (artículo 26(5))
- Realizar una evaluación de impacto sobre los derechos fundamentales para determinados casos de uso (artículo 27)
- Conservar los registros generados por el sistema durante al menos 6 meses (artículo 26(6))
En lo que respecta a las obligaciones de transparencia del artículo 50, tanto los proveedores como los implantadores tienen deberes. Si tu producto dispone de un chatbot, genera contenido, crea deepfakes o realiza reconocimiento de emociones, debes comunicárselo a los usuarios independientemente de si eres proveedor o implantador.
El error habitual
La mayoría de las empresas SaaS que llaman a la API de OpenAI dan por sentado que no tienen ninguna obligación porque no construyeron el modelo. Error.
Si tu SaaS utiliza un modelo de IA de terceros y lo implanta de forma que quede comprendido en el Anexo III (por ejemplo, usando IA para filtrar candidatos a un empleo, evaluar la solvencia crediticia o clasificar solicitudes de seguros), eres implantador de un sistema de IA de alto riesgo. Las obligaciones del implantador te son aplicables.
Y si tu producto envuelve la llamada a la API en un sistema que toma decisiones de forma autónoma, es posible que hayas cruzado la línea del implantador hacia la categoría de proveedor para el sistema en su conjunto, aunque no hayas entrenado el modelo subyacente.
Cómo determinar tu clasificación
Paso 1: Enumera cada funcionalidad de IA de tu producto. Incluye cada llamada a la API de un servicio de IA, cada modelo que ejecutes y cada decisión automatizada que use IA.
Paso 2: Para cada funcionalidad, pregúntate: ¿desarrollaste tú este sistema de IA o estás usando uno desarrollado por un tercero?
Paso 3: Comprueba si modificaste un sistema de terceros en medida suficiente como para convertirte en proveedor de un nuevo sistema. El ajuste fino (fine-tuning), la incorporación de generación aumentada por recuperación (retrieval augmented generation) o la construcción de un agente autónomo en torno a una llamada a la API pueden cruzar esa línea.
Paso 4: Para cada funcionalidad, comprueba si está comprendida en alguna categoría del Anexo III. Si lo está, la distinción proveedor/implantador determina tus obligaciones de cumplimiento específicas.
Paso 5: Documenta el razonamiento de tu clasificación. Esto es lo que mostrarás a una autoridad de supervisión o a un cliente empresarial que lo solicite.
Ejemplos
Ejemplo 1: SaaS con chat de atención al cliente impulsado por IA
Utilizas la API de Claude de Anthropic para impulsar un chatbot de soporte en tu producto. No entrenaste ni realizaste un ajuste fino del modelo.
Clasificación: Implantador. Anthropic es el proveedor del modelo de IA de uso general. Tú lo implantas como chatbot.
Obligaciones: Divulgación de transparencia conforme al artículo 50(1) (informar a los usuarios de que están hablando con una IA). Si el chatbot toma decisiones que afectan a los derechos de los usuarios o al acceso a servicios, revisa el Anexo III para comprobar si procede la clasificación como alto riesgo.
Ejemplo 2: SaaS con cribado de currículums impulsado por IA
Creaste un algoritmo de puntuación que utiliza IA para clasificar a los candidatos a un empleo. Entrenaste el modelo con datos históricos de contratación.
Clasificación: Proveedor de un sistema de IA de alto riesgo. El cribado de currículums está comprendido en el Anexo III, punto 4(a) (sistemas de IA utilizados para filtrar solicitudes o evaluar candidatos en procesos de contratación).
Obligaciones: Obligaciones completas del proveedor para sistemas de alto riesgo. Gestión de riesgos, gobernanza de datos, documentación técnica, evaluación de conformidad.
Ejemplo 3: SaaS que usa OpenAI para generar textos de marketing
Llamas a GPT para generar textos publicitarios y publicaciones en redes sociales para tus usuarios.
Clasificación: Implantador. OpenAI es el proveedor del modelo. Tú lo implantas para la generación de contenido.
Obligaciones: Transparencia conforme al artículo 50(2). Marca el contenido generado por IA con metadatos legibles por máquina que indiquen que fue generado por IA.
Qué hacer a continuación
Clasifica cada funcionalidad de IA de tu producto. Anota si eres proveedor o implantador para cada una. Revisa el Anexo III. Después, implementa las obligaciones que correspondan a tu rol.
Si deseas una guía estructurada, nuestra lista de verificación de código abierto cubre los 47 elementos de cumplimiento: github.com/GatisOzols/eu-ai-act-checklist
Si prefieres que alguien realice la clasificación por ti y te entregue un informe de cumplimiento en 5 días hábiles: disclos.eu/audit
Last updated: 2026-06-04