Checklist de obligaciones del proveedor para fundadores y responsables de compliance

Las obligaciones del proveedor deben revisarse antes de vender, lanzar, cambiar materialmente o presentar una funcion de IA a un cliente enterprise. La checklist decide si la empresa actua como proveedor, identifica el activo de IA, define el riesgo, mapea deberes, recoge evidencias y fija cuando reabrir la decision.

1. Confirma el activo de IA

No revises "IA en el producto" como bloque unico. Identifica sistema, integracion de modelo, modulo de scoring, recomendador, API, herramienta interna o modelo GPAI. Registra area, owner, fase, usuarios, afectados, datos, fuente del modelo, proveedor y experiencia cliente.

2. Decide el rol AI Act

Documenta si la empresa es proveedor, deployer, importador, distribuidor, fabricante, proveedor de modelo GPAI o varios roles. Explica quien define la finalidad, comercializa la funcion, controla la experiencia, cambia umbrales y entrega instrucciones a clientes.

3. Revisa la cadena de valor

Articulo 25 importa si el equipo white-labela, fine-tunea, reconfigura o vende un sistema tercero como propio. Pregunta si el cliente ve al proveedor, si usas tu marca, si cambia la finalidad o el comportamiento y si la documentacion del vendor basta.

4. Clasifica el riesgo

Conecta la checklist con la clasificacion del sistema de IA. Registra si parece prohibido, alto riesgo, transparencia, riesgo minimo, GPAI o fuera del alcance actual. Para posible alto riesgo, documenta caso, finalidad, personas afectadas, supervision humana y consecuencia del output.

5. Mapea deberes de alto riesgo

Para sistemas de alto riesgo, Articulo 16 exige owners operativos: cumplimiento de requisitos, sistema de calidad, documentacion tecnica, logs bajo control del proveedor, evaluacion de conformidad, declaracion UE, marcado CE, registro, acciones correctivas, cooperacion con autoridades y accesibilidad cuando aplique.

6. Separa GPAI

Si la empresa puede proporcionar un modelo GPAI, evalua Articulo 53 aparte: documentacion tecnica, informacion para proveedores downstream, politica copyright, resumen publico de entrenamiento, cooperacion con autoridades y codigos o estandares. Usar un modelo tercero no te convierte automaticamente en proveedor GPAI.

7. Crea el paquete de evidencias

Incluye rol, clasificacion, documentos del vendor, documentacion tecnica, pruebas, supervision humana, logging, seguridad, instrucciones cliente, ticket de release, riesgo residual, monitorizacion, incidentes y reevaluacion. Ordena por decisiones, no solo por PDFs o capturas.

8. Prepara documentacion cliente

Los clientes pueden necesitar finalidad, limites, supervision, monitorizacion, usos admitidos, dependencias de modelo, datos, avisos de cambio y soporte. Sales, trust center, ayuda, contratos y cuestionarios deben usar la misma fuente aprobada.

9. Define monitorizacion y correccion

Asigna responsable para incidentes, quejas, cambios del vendor, deriva del modelo, escalados y acciones correctivas. Define cuando pausar, avisar a clientes, actualizar instrucciones o escalar a legal y compliance.

10. Fija disparadores de reevaluacion

Reabre la checklist ante nueva finalidad, nuevo segmento, mas automatizacion, menos revision humana, nuevos datos, cambio de modelo vendor, contexto de alto riesgo, nueva documentacion cliente, incidentes o nueva guia oficial.

FAQ

Cual es el objetivo practico?

Mostrar rol, deberes, evidencias, instrucciones cliente, monitorizacion y reevaluacion del sistema de IA ofrecido o modificado.

Cuando aplica a SaaS?

Cuando el equipo desarrolla o encarga un sistema de IA, lo vende bajo su nombre, modifica materialmente un sistema de alto riesgo, cambia la finalidad o proporciona un modelo GPAI.

Que documentar primero?

Un registro por workflow de IA: rol, clasificacion, deberes, owner de evidencias, documentos tecnicos, documentacion cliente, monitorizacion, bloqueos de lanzamiento y reevaluacion.