Alfabetización en IA - Qué obliga el artículo 4 del AI Act y a quién aplica
Desde el 2 de febrero de 2025, el Reglamento Europeo de IA (UE 2024/1689, el "AI Act") obliga a toda empresa de la Unión Europea a garantizar que su personal tenga un "nivel suficiente de alfabetización en inteligencia artificial". No hay excepciones por tamaño ni sector. Una pyme española de 12 empleados está tan obligada como una multinacional.
No se trata de un requisito futuro. Ya aplica.
Lo que sigue no es interpretación mía. Son los artículos 3.56, 4 y 6 del reglamento 2024/1689, traducidos a lo que de verdad significa para una empresa, qué inspectores buscan cuando auditan, y cuáles son las sanciones si no se cumple.
Qué dice exactamente el artículo 4
El reglamento define alfabetización en IA como "el conjunto de capacidades, conocimientos y comprensión que permite a una persona entender cómo funcionan los sistemas de IA, valorar sus efectos y tomar decisiones informadas sobre su uso".
Luego obliga a que los proveedores y usuarios de sistemas de IA adopten "medidas apropiadas para garantizar que el personal que trata directamente con el sistema tenga un nivel suficiente de alfabetización en IA".
Eso es todo lo que dice. Sin certificado obligatorio, sin horas mínimas, sin formato prescrito. Pero ya volveremos a "nivel suficiente".
A quién obliga en tu PYME
Aquí empieza el lío. "Usuario de un sistema de IA" no significa solo quien lo construye. Significa quien lo despliega, lo usa o se ve afectado por su funcionamiento.
| Rol / Situación | ¿Debe formarse? | Nivel mínimo |
|---|---|---|
| Tu equipo de marketing que usa ChatGPT para redactar | Sí, usuario directo | Saber qué información sube, riesgos de alucinación, cómo revisar el output |
| Administrativo que carga datos en una IA para clasificación documental | Sí, usuario directo | Entender entrada, proceso, output; saber validar |
| Responsable legal que revisa documentos generados por IA | Sí, afectado por decisiones | Conocer capacidades y límites; cómo verificar |
| Director general (no usa IA directamente) | Depende. Si supervisa equipos que la usan o es responsable legal del cumplimiento: sí | Conocimiento de gobernanza, riesgos, responsabilidad de su empresa |
| Personal administrativo en empresa que no usa IA | No formalmente obligado | Pero si mañana usa una herramienta con IA (p.ej. un CRM con recomendaciones): sí |
La distinción está en el contexto previsto de uso. Si tu CRM tiene un módulo de "predicción de cierre de ventas con IA" y tu equipo lo usa, ese equipo debe formarse. Si no lo usa, no.
Nota crítica: el reglamento no obliga a que la formación sea uniforme. El abogado de la empresa y el comercial no necesitan el mismo nivel. Eso es "proporcionalidad"; es lo que inspectores buscan.
Qué significa "nivel suficiente" de verdad
Es la pregunta que más preocupa a las empresas. ¿Hay un baremo? ¿Una rúbrica?
No. El reglamento exige determinar el nivel "ad hoc en cada contexto concreto teniendo en cuenta los conocimientos técnicos, experiencia, educación y formación previa del personal, así como el contexto previsto de uso de los sistemas de IA".
Traducción: nivel suficiente no es una etiqueta universal. Es proporcional.
Ejemplos de lo que sí es "nivel suficiente":
Para un usuario genérico de ChatGPT: saber qué es un modelo de lenguaje, cómo funciona (analiza patrones, genera texto), qué no hace (no entiende como un humano, alucinaciona), qué riesgos hay (datos sensibles en la entrada, hallazgos falsos en la salida). Una sesión de 2 horas con material escrito es suficiente.
Para quien sube información sensible (financiera, médica, legal): además de lo anterior, entender la diferencia entre datos públicos y privados, saber si la herramienta que usa encripta o si guarda los datos, qué contrato de datos tiene la empresa de IA.
Para un director que gestiona equipos usando IA: conocer qué sistemas usa su empresa, qué riesgos tienen, quién es responsable ante ley si algo falla, cómo supervisa que se cumple.
Lo que NO es "nivel suficiente":
- Leer un artículo de LinkedIn sobre IA.
- Ver un vídeo de TikTok sobre ChatGPT.
- Un PowerPoint genérico de "El futuro es la IA".
- Asumir que porque se usa ChatGPT, la gente ya sabe de IA.
Qué evidencia acepta una inspección
Aquí es donde muchas empresas fallan. Dicen "formamos en IA" pero cuando llega la AESIA o la AEPD no tienen nada que mostrar.
El reglamento no exige un certificado de terceros. Pero sí requiere que demuestres que pasó.
Evidencia que inspectores aceptan:
Temario documentado (mínimo)
- Qué se enseñó. Puede ser un documento, diapositivas, o un correo que diga "el 15 de enero todos en ventas asistieron a una sesión sobre alucinaciones de IA".
- No hace falta que sea formal. Una hoja de cálculo con temas cubre.
Registro de asistencia
- Quién asistió, cuándo, cuánto tiempo.
- Firmas, lista de correo o captura de pantalla de la videollamada sirven.
Evaluación o verificación de comprensión
- Un quiz de 5 preguntas sobre qué hace ChatGPT.
- Un email de confirmación: "He leído el material y entiendo que no debo subir contraseñas a ChatGPT".
- Una rúbrica simple: "El usuario demuestra que sabe qué información es segura subir".
Política interna documentada
- Qué herramientas de IA se usan en la empresa.
- Cuáles están prohibidas, cuáles permitidas.
- Quién es responsable de actualizar esto.
Periodicidad
- El reglamento exige que sea "suficiente" pero también "continua o periódica".
- Una formación única en 2025 probablemente no cumpla en 2026.
- Refrescar anualmente o cuando cambias de herramientas es estándar.
Ejemplo de expediente que aguanta auditoría:
- Correo de la empresa, febrero 2025: "A partir de hoy, todos usamos ChatGPT con límites. Tema: cómo usarlo sin riesgos."
- Presentación de 15 minutos sobre qué no subir (contraseñas, datos bancarios, nombres de clientes).
- Lista de correo con quién vio la grabación y cuándo.
- Un cuestionario: "¿Es seguro subir un contrato de cliente a ChatGPT?" Respuesta documentada.
- Registro anual: "Enero 2026, actualización. Ya tenemos Gemini. Sesión sobre diferencias."
Eso es suficiente para demostrar cumplimiento ante un inspector.
Lo que no lo es:
- "La gente ya lo usa, debe saber".
- "Pusimos un artículo en el grupo de WhatsApp".
- "Uno de nuestros colegas hizo un curso en Udemy".
- Ningún registro de quién asistió o cuándo.
Sanciones si no se cumple
La supervisión activa y las sanciones empiezan formalmente el 2 de agosto de 2026. Eso no significa que sea legal incumplir hasta entonces. Significa que es cuando inspectores pueden multar.
El reglamento europeo fija multas de hasta 15 millones de euros o el 3% del volumen de negocio mundial anual, lo que sea mayor.
En España, la Ley Orgánica de IA estructura las infracciones en niveles. Para el artículo 4 específicamente aún hay ambigüedad sobre si es "grave" o "muy grave", pero el máximo en la ley española llega a 35 millones de euros o el 7% del volumen anual.
Perspectiva real: una empresa de 50 personas en Madrid que usa ChatGPT pero no documenta formación no va a recibir una multa de 35 millones. Pero sí puede enfrentar una amonestación, una inspección de seguimiento y, si no remedia en 6 meses, multas progresivas.
Si el incumplimiento coincide con un daño (p.ej. una brecha de datos porque un empleado subió información sensible sin saber que no debía), la sanción escala.
Contexto: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña) y la AEPD ya tienen competencia para inspeccionar. En 2026 habrá las primeras auditorías. Los sectores regulados (finanzas, salud) y grandes empresas serán los primeros objetivos.
Ruta mínima de cumplimiento en 4 pasos
Para que tu empresa esté cubierta ante una inspección.
Paso 1: Inventario de sistemas de IA (1 semana).
Qué herramientas usa tu empresa. ChatGPT, Gemini, LinkedIn Sales Navigator, un CRM con predicción automática, un chatbot en la web. No te olvides de los pequeños.
Quién las usa. Equipo de marketing, ventas, soporte.
Paso 2: Análisis de riesgos por rol (1 semana).
Para cada equipo: ¿qué información maneja? ¿Es sensible? ¿Qué podría salir mal?
Ventas: subir datos de clientes a una IA sin cifrado. Riesgo alto.
Marketing: redactar copy con ChatGPT. Riesgo bajo si no sube datos reales.
Paso 3: Plan de formación documentado (2 semanas).
Qué tema. Qué rol. Cuándo. Quién da la formación (puede ser una videollamada tuya).
Ejemplo:
- Enero 2026: todos en la empresa, sesión general "Qué es IA, cómo usamos en la empresa".
- Febrero 2026: equipo de ventas, sesión específica "No subas datos de clientes a ChatGPT".
- Trimestral: refrescar si hay cambios en herramientas.
Paso 4: Documentación y registro (contínuo).
Cada vez que haces una sesión:
- Guarda la presentación.
- Nota quién vino.
- Pide confirmación de asistencia (firma digital, lista, email).
- Si es online, captura la pantalla con nombres.
- Guarda en una carpeta de compartido (Drive, OneDrive) que muestre que está auditada.
Listo. Si llegas inspección, sacas la carpeta y muestras que cumpliste.
Errores frecuentes al montar un plan de alfabetización
Porque no todas las empresas lo hacen bien.
Error 1: Formación genérica.
Traes a un consultor externo que habla una hora sobre "el futuro de la IA en la industria". Suena importante. No vale para auditoría. El inspector busca que tu gente sepa qué herramienta usa, qué riesgos tiene, qué no hacer.
Solución: sesiones específicas por rol. 20 minutos. Sobre la herramienta que realmente usa tu empresa.
Error 2: Una única formación.
"Ya formamos en 2025, no hay que volver a hacerlo". Las herramientas cambian. Los riesgos evolucionan. El reglamento pide "continua o periódica". Anual mínimo.
Solución: calendario de refrescos. Enero, todas las empresas hacen revisión. Si añades una herramienta nueva, formación rápida en esa.
Error 3: No documentar.
La formación fue real, pero nadie anotó quién asistió o cuándo. Al inspector: "Pues mire, la gente la recibió". No sirve.
Solución: formulario de Google Forms de 2 minutos. "Confirmó su asistencia a la sesión de IA del 15/01". Guarda las respuestas.
Error 4: Delegar sin supervisar.
"Que cada responsable forme a su equipo" y luego no pides reportes. Algunos equipos se forman, otros no. El inspector pregunta en profundidad a tres personas aleatorias de tu empresa. Una sabe, dos no. Incumplimiento.
Solución: responsable de cumplimiento (puede ser TI, RRHH o tú). Que confirme que cada equipo lo hizo y que guarde evidencia.
Error 5: Sobrecumplimiento innecesario.
Gastar 20.000 euros en un curso de Udemy para todos. No lo pide la ley. Está bien si lo haces, pero no es proporcional para una PYME. El reglamento acepta formación interna.
Solución: empieza mínimo (sesión de 30 minutos, cuestionario). Amplía si después ves que hay gaps.
Cierre
El artículo 4 del AI Act es concreto y fiscalizable. No es interpretable. Las empresas tienen que documentar que su personal que usa IA sabe mínimamente qué está pasando, qué riesgos hay y qué no hacer.
No es complicado. Es disciplina.
Si tu empresa:
- Tiene un inventario de herramientas de IA.
- Documentó quién las usa.
- Hizo al menos una sesión de formación con asistencia registrada.
- Actualiza eso cada año o cuando cambian las herramientas.
Sobrevives a una inspección.
Si no tienes nada de eso, 2026 será un año incómodo cuando llegue la auditoría.
Si necesitas ayuda para diseñar un plan de alfabetización proporcional a tu empresa, revisar qué herramientas de IA usas sin saberlo o entender cómo documentarlo todo: reserva una cita. En la sesión mapeamos riesgos concretos, definimos qué formación necesitas de verdad (no más de la necesaria) y te dejamos una plantilla para la carpeta de evidencia que toca en auditoría.
Si prefieres formación directa con tu equipo sobre cómo funciona un modelo de IA, alucinaciones, privacidad en herramientas públicas y políticas internas de uso: esto es el capítulo 2 de la serie y lo puedes adaptar a tu empresa.
Próximos artículos en esta serie
- Cap 2: Nivel básico. Cómo funciona un LLM sin jerga técnica.
- Cap 3: Datos y privacidad al usar IA generativa.
- Cap 4: Alfabetización por rol (marketing, ventas, RRHH, finanzas).
- Cap 5: Prompt engineering aplicado. 7 patrones para el equipo.
- Cap 6: Shadow AI, política interna y auditoría del artículo 4.


