La trampa oculta en tu stack de IA
Muchas startups están construyendo productos sobre modelos de propósito general a través de APIs como las de OpenAI, Google o Anthropic. En la práctica, se ven a sí mismas como usuarias avanzadas de tecnología, no como desarrolladoras de un sistema de IA propio. Sin embargo, el Reglamento de Inteligencia Artificial de la UE (AI Act) introduce un punto crítico: bajo ciertas condiciones, una empresa que integra y amplía el comportamiento de un modelo puede pasar a ser considerada “proveedora” de un sistema de IA. Y ese cambio implica un régimen jurídico mucho más exigente del que suelen prever los equipos de producto y tecnología.
La distinción entre “responsable del despliegue” y “proveedor” es clara en el reglamento. El responsable del despliegue utiliza un sistema bajo su propia autoridad, mientras que el proveedor introduce en el mercado un sistema de IA con su propio nombre o marca. Esta frontera se mantiene estable mientras la empresa emplea el sistema tal como fue concebido. El problema surge cuando el reglamento considera aplicable la figura del proveedor: si una empresa modifica sustancialmente un sistema de alto riesgo, o altera su finalidad hasta convertirlo en uno sujeto a obligaciones reforzadas, pasa automáticamente a ser considerada proveedora.
El ejemplo de la selección de personal
Consideremos una startup que utiliza un modelo de propósito general para generar descripciones de puestos de trabajo como programadores de aplicaciones móviles Android o iOs. En este caso actúa como responsable del despliegue. Pero si evoluciona este servicio y construye un sistema que preselecciona candidatos de manera automatizada y cuya recomendación influye de forma significativa en las decisiones de contratación, está entrando en el ámbito de alto riesgo. A partir de ese momento, el sistema pasa a ser de esa categoría y la startup puede ser considerada proveedora, aunque no haya modificado el modelo base en sentido técnico. Lo que importa es la finalidad con la que se pone en el mercado ese sistema final.
Las obligaciones del proveedor de un sistema de alto riesgo
Asumir el rol de proveedor implica cumplir un conjunto de obligaciones formales que incluyen la implantación de un sistema de gestión de calidad, la elaboración de documentación técnica detallada, el mantenimiento de registros automáticos y la realización de una evaluación de conformidad que, en muchos casos, culmina en el marcado CE. Si el sistema de alto riesgo utiliza un modelo de propósito general, el proveedor de ese modelo debe proporcionar información suficiente para permitir el cumplimiento. El Reglamento de Inteligencia Artificial de la UE (AI Act) no obliga a compartir datos de entrenamiento ni secretos comerciales, pero sí exige documentación que permita una integración adecuada y responsable.
Cómo debería responder una startup
Antes de ampliar funcionalidades, una empresa debería revisar con precisión para qué utiliza el sistema y si esa función encaja en alguno de los supuestos que la normativa considera de especial supervisión. También conviene analizar si existe realmente una modificación sustancial, especialmente cuando se realizan reentrenamientos, ajustes de diseño o cambios que afectan al comportamiento global del sistema. Por último, es esencial comprobar qué documentación ofrece el proveedor del modelo y si es suficiente para sostener el cumplimiento de las obligaciones propias del sistema desarrollado. Esta revisión, aunque no evita la carga regulatoria cuando se entra en terreno de alto riesgo, permite anticiparse, tomar decisiones informadas y construir productos alineados con la normativa sin asumir riesgos innecesarios.
En este otro post comentamos cómo una Prueba de Concepto (PoC) puede ayudar a las starutps.
Consecuencias legales y económicas del incumplimiento
El incumplimiento de las obligaciones que corresponden a un proveedor de un sistema de IA de alto riesgo puede derivar en sanciones administrativas de gran magnitud, con multas que alcanzan hasta 15 millones de euros o el 3 % del volumen de negocio mundial anual de la empresa en casos de infracciones graves relacionadas con la falta de documentación técnica, la ausencia de evaluación de conformidad o la inexistencia de un sistema de gestión de calidad adecuado. Además, proporcionar información incorrecta o engañosa a las autoridades competentes puede acarrear penalizaciones adicionales de hasta 7,5 millones de euros o el 1,5 % de la facturación global. Estas sanciones, sumadas a la posible retirada del sistema del mercado, los costes de subsanación y el impacto reputacional, pueden comprometer seriamente la viabilidad económica de una empresa, especialmente en el caso de startups o compañías en fase de crecimiento.
