Alfabetización en IA: la obligación del AI Act ya vigente

·

El artículo 4 del Reglamento (UE) 2024/1689 (AI Act) no es una obligación futura: es exigible desde el 2 de febrero de 2025, junto con el resto del capítulo I. Mientras la conversación se concentra en el 2 de agosto de 2026 (aplicación general del Reglamento; las obligaciones plenas de alto riesgo del Anexo III quedan aplazadas al 2 de diciembre de 2027 por el Digital Omnibus), la alfabetización en materia de IA es, ahora mismo, la obligación del Reglamento que más empresas incumplen sin saberlo.

Qué dice exactamente el artículo 4

El texto literal del artículo 4, verificado sobre el Reglamento (UE) 2024/1689, dice así:

«Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas».

Tres cosas se desprenden de esa redacción. Primera: obliga tanto a proveedores como a implementadores (responsables del despliegue) —no es una obligación exclusiva de quien desarrolla IA, también de quien simplemente la usa en su empresa—. Segunda: no exige un curso genérico, sino un nivel de alfabetización «suficiente» y proporcionado al puesto, la experiencia y el contexto de cada persona: no es lo mismo formar a quien supervisa un sistema de selección de personal que a quien usa un asistente de redacción. Tercera: el listón se mide «en la mayor medida posible», una obligación de medios, no de resultado, pero que exige poder demostrar que se ha hecho el esfuerzo razonable.

Por qué esta obligación ya está vigente y casi nadie la ha implementado

El artículo 113 del Reglamento establece una entrada en vigor escalonada. El capítulo I (disposiciones generales, donde vive el artículo 4) y el capítulo II (prácticas prohibidas) aplican desde el 2 de febrero de 2025. El resto del calendario —gobernanza y modelos de uso general desde el 2 de agosto de 2025, aplicación general desde el 2 de agosto de 2026, y los sistemas del Anexo I desde el 2 de agosto de 2027— corresponde a otros capítulos. Las obligaciones plenas de alto riesgo del Anexo III, originalmente fijadas también para el 2 de agosto de 2026, quedan aplazadas al 2 de diciembre de 2027 por el Digital Omnibus (acuerdo de 7-may-2026, aprobado por el Parlamento Europeo el 16-jun-2026 y el Consejo el 29-jun-2026, pendiente de publicación en el DOUE).

En la práctica, esto significa que la alfabetización en IA lleva año y medio siendo exigible cuando la mayoría de las pymes españolas todavía la sitúa mentalmente «para dentro de dos semanas», confundiéndola con la fecha del 2 de agosto de 2026. Es un matiz que conviene corregir cuanto antes: si una autoridad de vigilancia de mercado revisara hoy el cumplimiento de una empresa, el artículo 4 ya sería exigible, mientras que las obligaciones plenas del Anexo III no lo serán hasta el 2 de diciembre de 2027, según el aplazamiento del Digital Omnibus.

Qué significa «alfabetización en materia de IA» según el Reglamento

El considerando 20 del propio Reglamento aclara el objetivo de esta obligación: la alfabetización en materia de IA debe dotar a los proveedores, responsables del despliegue y personas afectadas de los conceptos necesarios para tomar decisiones con conocimiento de causa en relación con los sistemas de IA. No se trata de convertir a toda la plantilla en especialista técnico, sino de que quien opera, supervisa o se ve afectado por un sistema de IA entienda, al nivel que le corresponde, qué hace ese sistema, qué puede fallar y qué riesgos conlleva su uso incorrecto.

Eso da a la obligación un alcance más amplio de lo que suele asumirse. No basta con formar al equipo técnico que integra la IA: también hace falta un nivel adecuado de alfabetización para quien la supervisa en el día a día (por ejemplo, quien revisa las recomendaciones de un sistema de scoring o de selección de personal) y, en determinados contextos, información suficiente para las personas afectadas por sus decisiones.

A quién obliga en la práctica

Si tu empresa todavía no tiene claro si actúa como proveedora o como implementadora frente a un sistema concreto —el punto de partida antes incluso de plantearse la alfabetización—, esa clasificación de rol se resuelve con el clasificador AI Act.

Qué hay que documentar para acreditar el cumplimiento

El artículo 4 no fija un formato concreto de evidencia, pero cualquier auditoría o inspección va a buscar algo más que una afirmación genérica de «ya formamos a la gente». Un expediente mínimo razonable incluye:

Quién debe liderar esta obligación dentro de la empresa

El artículo 4 no exige una figura equivalente al delegado de protección de datos, pero sin un responsable claro la alfabetización tiende a quedar repartida entre RR. HH. y tecnología sin que nadie la documente de forma sistemática. Analizamos con más detalle quién debería asumir esta función —y cuándo conviene ampliar el rol del DPO frente a nombrar una figura distinta— en ¿Quién debe encargarse del AI Act en tu empresa? DPO o no.

Qué pasa si no se cumple

El artículo 4 no está entre las prohibiciones del artículo 5, así que su incumplimiento no activa las sanciones más severas del régimen (hasta 35 millones de euros o el 7 % de la facturación mundial). Pero el régimen sancionador del artículo 99, vigente desde el 2 de agosto de 2025, sí cubre el incumplimiento del resto de obligaciones del Reglamento —incluida la alfabetización— dentro del tramo de hasta 15 millones de euros o el 3 % de la facturación mundial, con importes reducidos para pymes. No alfabetizar al personal no es, por tanto, un simple descuido de buenas prácticas: es un incumplimiento normativo con un rango sancionador real y ya exigible. Para estimar el orden de magnitud según el tipo de infracción y el tamaño de la empresa, puede consultarse la calculadora de sanciones del AI Act (herramienta orientativa; no sustituye asesoramiento profesional).

Checklist rápido

Preguntas frecuentes

¿La alfabetización en IA exige un curso homologado o un certificado oficial?

No. El artículo 4 no exige ningún formato, proveedor o certificación concretos. Lo que exige es que el nivel de formación sea «suficiente» para el puesto y el contexto de cada persona, y que la empresa pueda acreditar que ha adoptado medidas razonables para conseguirlo.

¿Una pyme pequeña que solo usa ChatGPT internamente tiene que cumplir el artículo 4?

Sí. El artículo 4 no distingue por tamaño de empresa ni exime a quien usa herramientas de terceros de bajo riesgo aparente. El nivel de formación exigido será proporcionalmente menor que el de una empresa que opera sistemas de alto riesgo, pero la obligación de garantizar un nivel suficiente de alfabetización sigue aplicando como implementadora.

¿Esta obligación sustituye a la formación en protección de datos o en ciberseguridad?

No. Es una obligación adicional y específica del AI Act, centrada en la comprensión de los sistemas de IA y sus riesgos. Puede coordinarse con los programas de formación en RGPD o seguridad de la información ya existentes en la empresa, pero no los sustituye ni viceversa.

¿Quién comprueba que se cumple el artículo 4 en España?

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es la autoridad de referencia para la aplicación del Reglamento en España, junto con las autoridades sectoriales que correspondan según el sistema de IA de que se trate.

Summum Consultoría ayuda a inventariar los sistemas de IA en uso, mapear al personal por nivel de exposición y dejar documentado el programa de alfabetización exigido por el artículo 4, dentro del plan de adecuación general al AI Act.