El artículo 4 del AI Act: alfabetización en IA obligatoria para empresas

El artículo 4 del Reglamento (UE) 2024/1689 obliga a todas las empresas europeas —sin excepción por tamaño— a garantizar que su personal tenga un nivel suficiente de alfabetización en IA. Está en vigor desde el 2 de febrero de 2025. Esta guía explica qué exige, a quién afecta, qué contenidos debe cubrir la formación y cómo documentar el cumplimiento.

Última actualización: 19 de abril de 2026 · Autora: Ana María González · Licencia: CC BY-SA 4.0

Resumen en 30 segundos

  • El artículo 4 obliga a todas las empresas que usen o desplieguen IA a garantizar la alfabetización de su personal.
  • Está en vigor desde el 2 de febrero de 2025. Las empresas sin medidas están en incumplimiento.
  • Exige formación adaptada al perfil del trabajador y al contexto de uso de la IA.
  • El cumplimiento debe ser demostrable: documentación, evaluación y certificados.

Índice

  1. Texto literal y ficha normativa
  2. A quién obliga: árbol de decisión
  3. Qué significa “nivel suficiente de alfabetización”
  4. Los seis bloques temáticos obligatorios
  5. Perfiles profesionales y duración orientativa
  6. Plan formativo: pasos para cumplir
  7. Documentación mínima para una inspección
  8. Casos prácticos ilustrativos
  9. Errores frecuentes
  10. Preguntas frecuentes

1. Texto literal y ficha normativa

Norma
Reglamento (UE) 2024/1689
Nombre común
AI Act · Reglamento de Inteligencia Artificial
Artículo
4 — Alfabetización en materia de IA
En vigor desde
2 de febrero de 2025
Supervisa en España
AESIA (Agencia Española de Supervisión de la IA)
Texto oficial
DOUE · CELEX 32024R1689

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

Una frase, cinco obligaciones: (1) adoptar medidas activas, (2) garantizar un nivel suficiente, (3) cubrir a todo el personal implicado, (4) incluir a colaboradores externos que actúen en nombre de la empresa, y (5) adaptar el contenido al contexto de uso. No dice “procurar” ni “intentar”. Dice garantizar.

2. A quién obliga: árbol de decisión

El artículo 4 se aplica a proveedores (desarrollan o comercializan IA) y responsables del despliegue (usan IA bajo su autoridad en actividad profesional). Este diagrama determina si tu empresa está obligada:

Árbol de decisión: ¿Te aplica el artículo 4? Tu empresa ¿Usa algún sistema de IA en su actividad profesional? No No aplica ¿El uso es estrictamente personal y no profesional? No aplica No ¿El sistema tiene una excepción específica en el reglamento? Verificar excepción No El artículo 4 te aplica Debes garantizar la alfabetización en IA de tu personal En la práctica, exceptuar a una empresa del artículo 4 es casi imposible en la economía actual

Ejemplos de “responsable del despliegue” en España

Si tu empresa da licencias de ChatGPT, Claude, Copilot o Gemini a empleados; usa un chatbot con IA en su web; utiliza un ATS con filtrado automático de CVs; aplica IA en análisis financiero, predicción de ventas o evaluación de clientes; o tiene cualquier herramienta “AI-powered” que el personal use profesionalmente — es responsable del despliegue.

El matiz “en nombre de”

El texto extiende la obligación a quienes trabajen en nombre de la empresa con sistemas IA: autónomos, becarios, consultores externos, proveedores subcontratados. Si tu asesoría externa redacta informes para ti usando IA, tú eres responsable de garantizar su alfabetización.

Quién está exento

Uso estrictamente personal y no profesional. Sistemas amparados por excepciones específicas del reglamento (I+D no comercializada, seguridad nacional). En la práctica, exceptuar a una empresa del artículo 4 es casi imposible en la economía actual.

3. Qué significa “nivel suficiente de alfabetización”

El reglamento no define un nivel numérico ni horas mínimas. Deja flexibilidad para que cada empresa adapte el nivel al contexto. Los criterios objetivos se interpretan a partir del propio texto, las directrices de la Oficina Europea de IA y los pronunciamientos de la AESIA.

El estándar mínimo defendible: una acción formativa estructurada con evaluación y certificado, adaptada al perfil del trabajador. Un PDF enviado por correo no es formación acreditable. Una charla de 15 minutos sin evaluación tampoco.

4. Los seis bloques temáticos obligatorios

Una formación conforme al artículo 4 debe cubrir, adaptados al perfil del alumno, estos seis bloques:

BloqueContenido esencial
🧠1. Conceptos fundamentalesQué es un sistema de IA, diferencia IA tradicional / generativa, qué es un LLM, alucinaciones, sesgos algorítmicos.
🔍2. Capacidades y limitacionesQué puede y qué no puede hacer la herramienta. Reconocer cuándo la IA miente con confianza.
⚠️3. Riesgos del contexto laboralFuga de datos confidenciales, sesgos en decisiones críticas, dependencia excesiva, responsabilidad por errores.
⚖️4. Obligaciones del AI ActCuatro niveles de riesgo, sistemas prohibidos, qué cambia en agosto 2026, documentación exigible.
🛡️5. RGPD aplicado a IADatos que nunca se incorporan sin anonimizar, consentimiento, derechos de los afectados, documentación del tratamiento.
👁️6. Supervisión humanaNunca copiar-pegar sin revisar, cuándo descartar la respuesta de la IA, cómo documentar la intervención humana.

5. Perfiles profesionales y duración orientativa

El artículo 4 exige adaptación por perfil. Un curso idéntico para todos no cumple. Estos rangos son propuestas de Ciberaula basadas en 28 años de experiencia en formación corporativa, no cifras oficiales:

PerfilQuiénContenido claveHoras
A · GeneralistaEmpleados con uso ocasional de IABloques 1-3 + política interna4-6 h
B · IntensivoMarketing, ventas, atención al cliente, análisisA + prompt engineering + supervisión de outputs10-15 h
C · MandosJefes de departamento, coordinadoresB + gobernanza + auditoría del equipo13-19 h
D · IT/SeguridadSysadmin, CISO, DevOps, desarrolloSeguridad IA, prompt injection, evaluación de proveedores20-30 h
E · DirecciónCEO, comité ejecutivo, consejerosEstrategia IA + responsabilidad jurídica + sanciones3-5 h
F · CumplimientoDPO, asesoría jurídica, complianceAI Act artículo por artículo + FRIA + RGPD-IA25-40 h

El principio del reglamento es proporcionalidad: una hora no basta, 500 horas es desproporcionado.

6. Plan formativo: pasos para cumplir

Un plan formativo conforme al artículo 4 no es “enviar un curso a todos”. Es un documento estructurado que la empresa debe poder presentar ante una inspección.

  1. Inventario de perfiles con exposición a IA (directa o indirecta).
  2. Asignación de perfil formativo (A-F) a cada puesto.
  3. Selección del formato: formación interna documentada o entidad formativa externa.
  4. Ejecución con evaluación y certificado por participante.
  5. Archivo de documentación permanente como evidencia de cumplimiento.
  6. Actualización cíclica: al menos anual para perfiles de mayor exposición.

Financiación. Esta formación es bonificable con el crédito FUNDAE de la empresa. La gestión operativa (comunicación de inicio, plazos, requisitos técnicos, porcentajes de bonificación) se detalla en nuestra Guía completa de formación bonificada FUNDAE.

7. Documentación mínima para una inspección

Si llega una inspección, estos documentos deben estar organizados y accesibles:

  1. Plan formativo de alfabetización en IA firmado por dirección, con fecha y versión.
  2. Inventario de sistemas de IA utilizados y clasificación de riesgo.
  3. Asignación de perfiles formativos por puesto o persona.
  4. Registros de formación: nombre, fecha, duración, contenidos, tutor, evaluación, certificado.
  5. Política interna de uso de IA firmada por cada empleado.
  6. Designación de responsable del cumplimiento del artículo 4.
  7. Registro de incidentes relacionados con IA, con gestión documentada.
  8. Plan de actualización con calendario de reciclajes.

Sin estos documentos, una inspección puede concluir que la empresa “no ha adoptado medidas” en el sentido del artículo 4, incluso si el equipo está formado de facto. El cumplimiento es demostrable o no lo es.

8. Casos prácticos ilustrativos

Escenarios construidos a partir de patrones de incumplimiento habituales en empresas españolas. No corresponden a clientes concretos.

Caso 1 · Asesoría fiscal, 28 empleados

La asesoría da acceso corporativo a ChatGPT Plus a toda la plantilla. Un cliente detecta que en su declaración aparecen datos de otro cliente: el asesor había pegado datos fiscales en ChatGPT.

Incumplimiento: ausencia de formación documentada (art. 4) + transferencia no consentida de datos personales a tercero (RGPD).

Resolución tipo: plan formativo urgente por perfiles, política interna firmada, contrato con proveedor IA actualizado a versión sin entrenamiento sobre datos. Implementación: 4-6 semanas.

Caso 2 · Empresa industrial, 180 empleados

RRHH usa un ATS con IA para preseleccionar CVs. Un candidato rechazado ejerce su derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD). La empresa no puede justificar el rechazo.

Incumplimiento: triple. (1) Art. 4 — personal RRHH sin formación sobre el sistema. (2) Supervisión humana ausente — alto riesgo desde agosto 2026. (3) Art. 22 RGPD — falta de información al candidato.

Resolución tipo: parada del ATS, formación específica para RRHH, reconfiguración del proceso con supervisión humana genuina, actualización de cláusulas informativas.

Caso 3 · Consultoría tecnológica, 8 empleados

El CEO piensa que "somos técnicos, no necesitamos formación". Una inspección de la AEPD pregunta cómo se cumple el artículo 4 dado que usan Copilot, Claude API y ChatGPT Team. No hay formación documentada.

Incumplimiento: el artículo 4 no reconoce la "alfabetización implícita por ser técnico". La obligación es demostrable con documentación.

Resolución tipo: formación con módulo técnico avanzado (seguridad IA, prompt injection, auditoría de código generado), certificados individuales, política interna.

9. Errores frecuentes

ErrorPor qué es un problema
Formar solo a ITEl art. 4 cubre a todo el personal que use IA, no solo al técnico.
Un único curso para todosEl reglamento exige adaptación al perfil. Sin personalización no hay cumplimiento.
Webinar de 1 hora sin evaluaciónNo constituye formación acreditable. El mínimo defendible es acción formativa estructurada con certificado.
No documentar la formación internaSin documentación, es como si no hubiera existido ante una inspección.
Olvidar a externosAutónomos, consultores y proveedores que usen IA "en nombre de" la empresa están cubiertos.
No actualizar nuncaUna formación de 2024 está desactualizada en 2026. Reciclaje bianual mínimo.
No firmar política de usoFormación sin política interna firmada no cierra el círculo.
Confiar solo en el proveedorQue OpenAI cumpla como proveedor no te exime como responsable del despliegue.

10. Preguntas frecuentes

¿Cuándo empezaron las obligaciones?

El artículo 4 está en vigor desde el 2 de febrero de 2025. Las empresas sin medidas están en incumplimiento ya hoy.

¿Qué sanciones hay?

El artículo 99 del AI Act remite a los Estados miembros la fijación del régimen sancionador para infracciones como el incumplimiento del artículo 4. La cuantía concreta en España dependerá del desarrollo normativo nacional. Para PYMES, el artículo 99.6 establece que la multa será la menor entre el porcentaje y el importe absoluto.

¿Vale una formación anterior a febrero 2025?

Si documentó un nivel suficiente para el perfil correspondiente, sí. Pero prácticamente ninguna formación anterior cubre todos los bloques que el reglamento exige.

¿Los cursos gratuitos de Google, Microsoft y OpenAI cuentan?

Son apoyo, pero no suelen bastar solos: generalmente no tienen evaluación formal, son específicos de una herramienta y no cubren el marco regulatorio completo.

¿Si cambio de herramienta IA necesito nueva formación?

Sí. El artículo 4 exige alfabetización adaptada al sistema que se usa. Cada transición requiere actualización formativa.

¿Puede mi empresa impartir la formación internamente?

Sí. Pero requiere docente con nivel técnico suficiente, documentación exhaustiva y evaluación del alumno.

¿Cómo demuestro que la formación funcionó?

Evaluaciones de aprendizaje (tests) y, más allá, evaluaciones de transferencia al puesto (encuestas a los 3-6 meses, indicadores de uso responsable). No es obligatorio medir transferencia, pero refuerza enormemente la defensa ante inspección.

¿Necesitas cumplir el artículo 4?

Ciberaula diseña planes formativos por perfiles para cumplir el AI Act, con documentación auditable. La formación es bonificable con FUNDAE — consulta nuestra guía de formación bonificada para los detalles operativos.

Ver cursos →

Recursos relacionados

Publicado bajo licencia CC BY-SA 4.0. Libre uso con atribución a Ciberaula.

© 2026 Ana María González · Directora de Ciberaula · Formación online para empresas desde 1997.