Situación normativa actual del IA Act - Entrada 5 — Obligaciones de importadores, distribuidores y desplegadores de sistemas de alto riesgo

 

Situación normativa actual del IA Act

Entrada 5 — Obligaciones de importadores, distribuidores y desplegadores de sistemas de alto riesgo

Importadores: qué exige el Artículo 23

El importador es quien introduce en el mercado de la UE un sistema de IA de alto riesgo desarrollado fuera de la Unión. Sus obligaciones incluyen:

·       Verificar que el sistema cumple los requisitos esenciales del IA Act y que el proveedor ha cumplido sus obligaciones.

·       Comprobar que el sistema lleva marcado CE, va acompañado de la declaración UE de conformidad y de las instrucciones de uso.

·       No introducir el sistema en el mercado si existen dudas razonables sobre su conformidad.

·       Garantizar que las condiciones de almacenamiento y transporte no comprometen la conformidad.

·       Adoptar medidas correctoras, incluida retirada o recuperación, si detectan no conformidad.

·       Cooperar con autoridades y proporcionar documentación cuando se solicite.

Estas obligaciones están recogidas en el artículo 23 del reglamento y forman parte de la cadena de responsabilidad que asegura que ningún sistema no conforme entre en la UE.

 

Distribuidores: qué exige el Artículo 24

El distribuidor es cualquier actor de la cadena que pone un sistema de IA a disposición en el mercado sin ser proveedor ni importador. Sus obligaciones son:

·       Verificar, antes de comercializar, que el sistema lleva marcado CE, incluye la declaración UE de conformidad y las instrucciones de uso.

·       Asegurarse de que el proveedor e importador han cumplido sus obligaciones.

·       No comercializar el sistema si existen indicios de no conformidad.

·       Mantener condiciones adecuadas de almacenamiento y transporte para no comprometer la conformidad.

·       Adoptar medidas correctoras (retirada, recuperación o corrección) si detectan no conformidad.

·       Cooperar con autoridades y facilitar información cuando se requiera.

El artículo 24 detalla estas obligaciones y establece que el distribuidor debe actuar si detecta riesgos o incumplimientos.

 

Desplegadores: qué exige el Artículo 26

El desplegador es quien usa un sistema de IA de alto riesgo en el ejercicio de su actividad profesional. Es la figura más frecuente en empresas y administraciones. Sus obligaciones incluyen:

·       Utilizar el sistema conforme a las instrucciones de uso proporcionadas por el proveedor.

·       Implementar medidas técnicas y organizativas adecuadas para garantizar un uso seguro.

·       Monitorizar el funcionamiento del sistema y comunicar al proveedor cualquier anomalía relevante.

·       Suspender el uso si tienen motivos para creer que el sistema puede afectar negativamente a la salud, seguridad o derechos fundamentales.

·       Notificar a autoridades y proveedores cualquier incidente grave o riesgo significativo.

·       Realizar una evaluación de impacto en derechos fundamentales (FRIA) cuando el sistema se utilice en ámbitos donde sea obligatoria.

Estas obligaciones están recogidas en el artículo 26 y se consideran esenciales para garantizar un uso responsable del sistema.

 

Cómo encajan estas obligaciones en la cadena de valor

El IA Act distribuye responsabilidades para evitar vacíos regulatorios:

·       El proveedor garantiza el diseño, la calidad y la conformidad.

·       El importador asegura que lo que entra en la UE cumple la ley.

·       El distribuidor evita que sistemas no conformes circulen en el mercado.

·       El desplegador garantiza un uso seguro y conforme en la práctica.

Cada actor debe cumplir sus obligaciones independientemente de los demás. Si una organización desempeña varios roles, debe cumplir todas las obligaciones correspondientes.

 

Qué debe hacer una organización en la práctica

·       Identificar qué rol o roles desempeña en cada sistema de IA.

·       Establecer procedimientos internos para verificación, documentación y reporting.

·       Formar a los equipos que intervienen en la adquisición, integración y uso de IA.

·       Documentar decisiones, controles y comunicaciones con proveedores o autoridades.

·       Preparar protocolos de suspensión de uso y notificación de incidentes.

 

La siguiente entrada abordará la Evaluación de Impacto en Derechos Fundamentales (FRIA), una obligación clave para desplegadores en determinados casos y un elemento central del enfoque basado en riesgos del IA Act.