Voy a ir directo al grano: si tu empresa utiliza cualquier sistema de inteligencia artificial (y probablemente lo hace, aunque no lo sepa), desde el 2 de febrero de 2025 tienes una obligación legal nueva. No futura. Vigente. Ahora mismo.
Se llama Artículo 4 del Reglamento Europeo de Inteligencia Artificial (EU AI Act, Reglamento 2024/1689), y establece algo que a muchas empresas les ha pillado completamente desprevenidas: la obligación de garantizar que todo el personal que trabaje con IA tenga un nivel suficiente de alfabetización en inteligencia artificial.
No es una recomendación. No es una buena práctica. Es una obligación legal con sanciones millonarias. Y, sin embargo, la mayoría de empresas en España ni siquiera saben que existe.
En las últimas semanas he recibido varias llamadas de clientes preguntando exactamente lo mismo: "Carlos, nos han dicho que tenemos que formar a nuestro equipo en IA por ley. ¿Es verdad?"
Sí. Es verdad. Y en este artículo te voy a explicar exactamente qué dice la norma, a quién afecta, cuáles son las consecuencias de no cumplir y, lo más importante, qué puedes hacer hoy para ponerte al día.
Qué dice exactamente el Artículo 4
El Artículo 4 del EU AI Act se titula "Alfabetización en materia de IA" y es sorprendentemente corto. En esencia dice lo siguiente:
"Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen del funcionamiento y la utilización de sistemas de IA en su nombre tengan un nivel suficiente de alfabetización en materia de IA."
Vamos a desgranar esto punto por punto, porque cada palabra cuenta:
"Proveedores y responsables del despliegue": no solo afecta a quien desarrolla IA. Afecta a cualquier empresa que la utilice. Si tu equipo comercial usa un CRM con funciones de IA predictiva, tu empresa es "responsable del despliegue".
"Adoptarán medidas": esto es un mandato, no una sugerencia. La norma exige que tomes acciones concretas y documentables.
"Personal y demás personas": incluye empleados, colaboradores externos, subcontratas y cualquier persona que interactúe con sistemas de IA dentro de tu organización.
"Nivel suficiente de alfabetización": aquí está la clave. No se trata de convertir a todos en ingenieros de machine learning. Se trata de que cada persona entienda los fundamentos, los riesgos y las limitaciones de la IA que utiliza en su trabajo diario.
La norma añade que este nivel debe ser "teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto en el que se van a utilizar los sistemas de IA". Es decir: la formación debe ser proporcional al rol y al riesgo.
A quién afecta: no es solo para tech
Este es el punto donde la mayoría de empresas se equivocan. Cuando escuchan "regulación de IA" piensan en startups de Silicon Valley o en grandes tecnológicas. La realidad es muy diferente.
El Artículo 4 afecta a cualquier organización que use sistemas de IA, independientemente de su tamaño o sector. Y en 2026, eso incluye prácticamente a todas las empresas:
Despachos de abogados que usan herramientas de revisión documental con IA. Clínicas y hospitales con sistemas de apoyo al diagnóstico. Empresas de logística con optimización de rutas automatizada. Departamentos de RRHH que filtran CV con algoritmos. Equipos de marketing que generan contenido con herramientas de IA generativa. Departamentos financieros con modelos de predicción o scoring.
Si alguien en tu empresa usa ChatGPT, Copilot, Gemini o cualquier otra herramienta de IA (aunque sea la versión gratuita), el Artículo 4 te aplica.
En nuestras auditorías, la media de herramientas de IA no documentadas que encontramos por empresa es de entre 5 y 12. La mayoría instaladas por empleados de forma autónoma, sin conocimiento de TI ni de dirección. Cada una de esas herramientas genera una obligación de alfabetización.
Qué es la alfabetización en IA
El propio EU AI Act define el término en su Artículo 3, apartado 56:
"Las capacidades, los conocimientos y la comprensión que permiten a los proveedores, responsables del despliegue y las personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos de la IA, así como de los posibles perjuicios que puede causar."
En términos prácticos, esto se traduce en que las personas de tu organización deben ser capaces de:
Entender qué es y qué no es IA: distinguir entre automatización simple y sistemas de IA reales, y comprender los conceptos básicos de cómo funcionan.
Identificar riesgos: saber que la IA puede generar resultados incorrectos (alucinaciones), que puede tener sesgos, que los datos pueden filtrarse y que hay implicaciones legales en su uso.
Conocer el marco regulatorio: tener nociones básicas del AI Act, del RGPD aplicado a la IA y de las políticas internas de la empresa.
Usar la IA de forma responsable: aplicar buenas prácticas de seguridad, no introducir datos sensibles en herramientas no autorizadas y saber cuándo escalar una decisión que involucre IA.
Supervisar resultados: nunca aceptar un resultado de IA sin revisión humana, especialmente si afecta a personas o a decisiones críticas del negocio.
No estamos hablando de un máster en ciencia de datos. Estamos hablando de un nivel básico pero sólido de comprensión que permita a cada persona de tu equipo usar la IA con criterio. Eso sí: tiene que estar documentado, ser verificable y adaptado al perfil de cada trabajador.
Plazos y sanciones
Aquí es donde muchas empresas se relajan pensando que "ya habrá tiempo". Error.
El Artículo 4 está en vigor desde el 2 de febrero de 2025. No es una obligación futura: es una obligación presente. Si hoy no tienes un plan de alfabetización en IA para tu personal, ya estás en incumplimiento.
Para poner esto en perspectiva, el calendario del AI Act tiene varias fases:
Febrero 2025: prácticas prohibidas + alfabetización (Art. 4)
Ya en vigor. Las prohibiciones de IA (scoring social, manipulación subliminal, etc.) y la obligación de alfabetización aplican desde esta fecha.
Agosto 2025: obligaciones para modelos de IA de propósito general
Entran en vigor las normas para proveedores de modelos fundacionales (OpenAI, Google, Meta, etc.).
Agosto 2026: obligaciones de alto riesgo
Las empresas que usen IA de alto riesgo (RRHH, scoring crediticio, sanitario, educación, justicia) deberán cumplir con todo el catálogo de obligaciones: evaluaciones de impacto, documentación técnica, supervisión humana, transparencia y más.
En cuanto a sanciones, el AI Act establece tres niveles de multas:
Hasta 35 millones de euros o el 7% de la facturación global anual (lo que sea mayor): para prácticas prohibidas de IA.
Hasta 15 millones de euros o el 3% de la facturación global: para incumplimiento de las obligaciones principales del Reglamento, incluyendo las de alto riesgo.
Hasta 7,5 millones de euros o el 1,5% de la facturación global: para suministrar información incorrecta a las autoridades.
¿Dónde encaja el Artículo 4? Aunque el reglamento no especifica un nivel de sanción exclusivo para la falta de alfabetización, las autoridades de supervisión pueden considerar el incumplimiento del Artículo 4 como circunstancia agravante en cualquier infracción. Es decir: si tu empresa tiene un incidente de IA y se demuestra que no habías formado a tu equipo, la sanción será significativamente mayor.
Además, hay un factor que muchas empresas pasan por alto: la responsabilidad civil. Si un empleado sin formación adecuada causa un daño usando IA (filtra datos de clientes, toma decisiones discriminatorias basadas en un algoritmo, etc.), la empresa será responsable. Y la ausencia de un programa de alfabetización documentado hará muy difícil cualquier defensa.
Cómo cumplir: plan de acción
Después de ayudar a decenas de empresas a prepararse para el AI Act, hemos desarrollado un enfoque práctico en cinco pasos que funciona para organizaciones de cualquier tamaño.
Inventario de IA y perfiles de exposición
Antes de formar a nadie, necesitas saber qué herramientas de IA se usan en tu organización y quién las usa. Haz un inventario completo: herramientas oficiales, plugins, extensiones de navegador, APIs integradas en tus sistemas. Después, clasifica a tu personal según su nivel de interacción con IA: usuarios básicos, usuarios avanzados, responsables de despliegue y equipo directivo. Cada grupo necesita un nivel de formación diferente.
Formación base para toda la organización
Todo el personal necesita un nivel mínimo de alfabetización: qué es la IA, cuáles son sus riesgos, qué dice la normativa, cuáles son las políticas internas de uso. Esta formación no tiene que ser larga (4-6 horas suele ser suficiente para el nivel base), pero tiene que ser práctica, con casos reales y adaptada a vuestro sector. Un curso genérico de "introducción a la IA" no cumple los requisitos del Artículo 4 si no aborda los riesgos y el marco regulatorio.
Formación especializada por perfil
Los responsables de despliegue de IA, los equipos técnicos y el equipo directivo necesitan formación adicional y específica. El equipo técnico debe entender las evaluaciones de riesgo y la documentación técnica. La dirección debe comprender sus responsabilidades legales y cómo supervisar el uso de IA en la organización. Departamentos como RRHH, legal o atención al cliente que usan IA de forma intensiva necesitan formación específica sobre los riesgos de su área.
Documentación y evidencias
El AI Act es un reglamento basado en la rendición de cuentas. No basta con formar a tu equipo: tienes que poder demostrarlo. Registra la asistencia, los contenidos impartidos, las evaluaciones realizadas y las fechas. Guarda las evidencias como mínimo durante el tiempo que uses los sistemas de IA (y preferiblemente más). Si alguna autoridad te pide acreditar que has cumplido con el Artículo 4, necesitas un dossier sólido.
Actualización continua
La IA evoluciona cada semana. Un programa de alfabetización no puede ser un curso único que se imparte una vez y se archiva. Necesitas un plan de actualización periódica: como mínimo, una revisión semestral de los contenidos y una sesión de actualización anual para todo el personal. Cuando incorpores nuevas herramientas de IA, la formación debe actualizarse para cubrir esas herramientas.
Lo importante es empezar. Si hoy no tienes nada, lo peor que puedes hacer es esperar a tener el plan perfecto. Un programa básico documentado es infinitamente mejor que no tener nada.
En Delbion hemos diseñado nuestro curso Aplicación Segura de IA en la Empresa precisamente para cubrir esta necesidad. Es un programa práctico que aborda los conceptos esenciales de la IA, el marco regulatorio del AI Act, los riesgos de ciberseguridad y las buenas prácticas de uso, todo adaptable al sector y al perfil de cada organización. Cumple con los requisitos del Artículo 4 y genera la documentación y evidencias necesarias para acreditar el cumplimiento.
No te voy a decir que es la única opción. Hay consultoras, plataformas de e-learning y programas universitarios que pueden servir. Lo que sí te digo es que, sea cual sea la vía que elijas, asegúrate de que el programa:
- Cubra específicamente los riesgos y el marco regulatorio (no solo "cómo usar ChatGPT")
- Esté adaptado a los perfiles de tu organización
- Genere evidencias documentales verificables
- Incluya un componente de actualización periódica
La obligación del Artículo 4 no va a desaparecer. Y con las obligaciones de alto riesgo llegando en agosto de 2026, las empresas que no tengan cubierta la base de alfabetización van a tener un problema mucho mayor cuando les toque documentar supervisiones humanas, evaluaciones de impacto y sistemas de gestión de calidad. Si tu empresa ya tiene o necesita certificaciones como ISO 27001 o cumplimiento NIS2, la formación en IA se integra naturalmente en esos marcos.
La formación en IA no es un coste: es el primer paso para cumplir con el AI Act sin sobresaltos. Y el momento de empezar era hace un año. El segundo mejor momento es hoy.
Formación Certificada
Aplicación Segura de IA en la Empresa: cumple con el Artículo 4
Nuestro programa de alfabetización en IA cubre los requisitos del Artículo 4 del EU AI Act: conceptos esenciales, riesgos, marco regulatorio y buenas prácticas. Adaptado a tu sector, con evaluación y documentación incluida.
Ver programa completo →