Cómo construir un programa de formación en alfabetización en IA conforme al Artículo 4 de la Ley de IA de la UE
La alfabetización en IA del Artículo 4 de la Ley de IA de la UE se aplica desde el 2 de febrero de 2025. Construya un programa de formación basado en roles, reúna pruebas y mantenga su registro al día.
El Artículo 4 del Reglamento (UE) 2024/1689 se aplica desde el 2 de febrero de 2025. Abarca a toda organización que proporcione o despliegue sistemas de IA en la UE, con independencia del nivel de riesgo. El requisito es engañosamente breve: los proveedores y los responsables del despliegue deben adoptar medidas para garantizar que su personal, y cualquier otra persona que opere sistemas de IA en su nombre, tenga un nivel suficiente de alfabetización en IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación, su formación y el contexto en el que se utilizará el sistema.
Esa cláusula de proporcionalidad es el principio de diseño que su programa de formación tiene que operativizar. La alfabetización no es un módulo único impartido una sola vez a todo el mundo — un patrocinador a nivel de la dirección necesita una comprensión distinta de la del ingeniero que despliega un modelo de selección de personal, y ambos necesitan más que el auxiliar de cuentas por pagar que utiliza una herramienta de gastos.
Esta guía explica qué significa «alfabetización suficiente en IA» en la práctica, cómo estructurar un currículo basado en roles, dónde se conecta el Artículo 4 con la competencia de supervisión humana exigida por el Artículo 14 y las obligaciones del responsable del despliegue del Artículo 26, y qué pruebas debería conservar.
Qué significa realmente «alfabetización suficiente en IA»
La Ley no define un currículo mínimo, no especifica horas lectivas ni exige certificación alguna. El Artículo 4 está centrado en los resultados: debe producir una plantilla capaz de relacionarse con los sistemas de IA con los que trabaja de un modo acorde con su rol. Tres criterios de anclaje importan:
Conocimientos técnicos y experiencia. Se espera que un científico de datos que configura un modelo de alto riesgo comprenda la arquitectura del modelo, las limitaciones de los datos de entrenamiento y la cuantificación de la incertidumbre. Un agente de atención al cliente que utiliza una herramienta de IA de enrutamiento de colas necesita comprender qué hace y qué no hace la herramienta, no cómo se construyó.
Contexto y finalidad. Un sistema de IA que produce una recomendación de contratación se sitúa en una categoría regulada de alto riesgo (Anexo III, punto 4). El requisito de alfabetización para cualquiera que lo opere es, en consecuencia, mayor — necesita comprender no solo qué resultados produce la herramienta, sino por qué el Artículo 14 exige que un humano siga siendo capaz de anularla.
Personas afectadas. Cuando los sistemas de IA toman o informan decisiones sobre personas físicas — empleados, pacientes, solicitantes de crédito —, la Ley espera que el operador comprenda las consecuencias humanas. Esto es lo que hace del Artículo 4 algo más que una prueba de competencia técnica.
El Artículo 4 se aplica a todos los sistemas de IA, no solo a los de alto riesgo. Una empresa que despliega un chatbot de riesgo mínimo para preguntas frecuentes internas sigue debiendo a su personal una alfabetización suficiente para saber qué puede y qué no puede responder con fiabilidad la herramienta. La profundidad es proporcional a lo que está en juego, pero la obligación existe.
La conexión con el Artículo 14: competencia de supervisión humana
El Artículo 14 obliga a la supervisión humana de los sistemas de IA de alto riesgo. Exige que las personas físicas a las que se asignan funciones de supervisión sean capaces de:
- comprender las capacidades y limitaciones del sistema (Art. 14, apdo. 4, letra a));
- detectar anomalías, fallos de funcionamiento o resultados inesperados (Art. 14, apdo. 4, letra b));
- mantenerse alerta ante el sesgo de automatización — la tendencia a confiar en exceso en los resultados del sistema (Art. 14, apdo. 4, letra c));
- interpretar correctamente los resultados del sistema (Art. 14, apdo. 4, letra d));
- decidir no utilizar el sistema o anularlo en casos concretos (Art. 14, apdo. 4, letra e)).
Ninguna de esas competencias puede existir sin una formación deliberada. El Artículo 26 hace al responsable del despliegue responsable de garantizar que el personal con funciones de supervisión tenga la competencia necesaria. Leídos conjuntamente, el Artículo 4 es la obligación de alfabetización y el Artículo 14 (a través del Artículo 26) es la obligación específica de competencia de supervisión para los sistemas de alto riesgo. Su programa de formación debe satisfacer ambos: alfabetización general en IA para la plantilla en general, y formación específica de competencia de supervisión para cualquiera que tenga un rol de seguimiento o de revisión de decisiones sobre sistemas de alto riesgo.
Un currículo basado en roles
Un programa proporcionado suele asignarse a cuatro categorías de personal. La profundidad escala con el rol; la amplitud abarca toda la organización.
Dirección y patrocinadores a nivel de consejo
Los directivos y los miembros del consejo no operan sistemas de IA. Pero fijan el apetito de riesgo, aprueban los despliegues y son responsables de la exposición regulatoria. Su requisito de alfabetización abarca: los cuatro niveles de riesgo (Artículo 5 prohibido, Artículo 6 alto riesgo, Artículo 50 riesgo limitado, mínimo) y qué exige cada uno; la exposición financiera en virtud del Artículo 99, apartado 4 — hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total por los incumplimientos de las obligaciones de alto riesgo, si esta última cifra es mayor; el inventario de IA actual de la organización y su distribución por niveles de riesgo; y las estructuras de gobernanza que exige la Ley (SGC en virtud del Artículo 17, gestión de riesgos en virtud del Artículo 9, vigilancia poscomercialización en virtud del Artículo 72).
El Ómnibus Digital trasladó el plazo de los sistemas autónomos del Anexo III de agosto de 2026 al 2 de diciembre de 2027 — margen adicional, no una absolución, porque las obligaciones de documentación y alfabetización ya están en marcha.
Formato: una sesión informativa estructurada al año, de noventa minutos, actualizada según los cambios regulatorios. Lo que importa es la especificidad: el consejo debería saber cuáles de los sistemas de la organización son de alto riesgo.
Constructores y equipos técnicos
Los desarrolladores, los científicos de datos y los ingenieros de aprendizaje automático que diseñan, entrenan o modifican sustancialmente los sistemas de IA son proveedores a efectos de la Ley (Artículo 16). Modificar la finalidad prevista del modelo de un proveedor puede desplazar a la empresa al rol de proveedor en virtud del Artículo 25.
Su currículo necesita profundidad: la clasificación de riesgos en virtud de los Artículos 5 y 6 (incluido el filtro del Artículo 6, apartado 3 — un sistema que toca un ámbito del Anexo III no es automáticamente de alto riesgo, pero la empresa debe documentar esa evaluación y no puede acogerse al filtro si el sistema elabora perfiles de personas físicas); las obligaciones técnicas para los sistemas de alto riesgo (gestión de riesgos del Artículo 9, gobernanza de datos del Artículo 10, documentación técnica del Artículo 11, conservación de registros del Artículo 12, exactitud y robustez del Artículo 15); y la supervisión humana desde el diseño — el Artículo 14, apartado 3, exige a los proveedores diseñar los sistemas de modo que las medidas de supervisión puedan implementarse realmente.
Formato: formación estructurada en la incorporación y cuando la organización adopta un tipo de sistema materialmente nuevo. Complementar con una lista de comprobación de revisión de diseño que incorpore los puntos de control de los Artículos 9 y 14 en el ciclo de vida del desarrollo.
Responsables del despliegue y usuarios operativos
Este suele ser el grupo más numeroso: profesionales de RR. HH. que utilizan un sistema de apoyo a la contratación, agentes de préstamos que trabajan con un modelo de solvencia, agentes de atención al cliente que utilizan herramientas asistidas por IA. Su requisito de alfabetización abarca lo que el sistema hace en su flujo de trabajo: qué entradas procesa, qué representan sus resultados, las limitaciones documentadas señaladas en la documentación técnica del Artículo 11 y cuándo ejercer el criterio de anulación (Artículo 14, apartado 4, letra e) — deben poder decidir no utilizar el resultado). El personal que opera IA relacionada con el empleo necesita saber específicamente que el reconocimiento de emociones en el lugar de trabajo está prohibido en virtud del Artículo 5, apartado 1, letra f), no es meramente de alto riesgo.
Para los sistemas de alto riesgo, documente la formación y mantenga los registros. Para los sistemas de riesgo mínimo, una breve sesión informativa por escrito más un acuse de recibo suele ser defendible.
Personal de supervisión y cumplimiento
Los responsables de riesgos, los gestores de cumplimiento, los DPD y los equipos de auditoría interna necesitan toda la pila regulatoria. Las competencias específicas incluyen: vigilar los sistemas de alto riesgo desplegados y señalar incidentes al proveedor en virtud del Artículo 26; ejecutar o coordinar la EIDF del Artículo 27 cuando proceda (responsables del despliegue que son organismos públicos y responsables del despliegue de IA de solvencia del Anexo III 5, letra b), o de IA de seguros de vida/salud del 5, letra c)); mantener la obligación de registro del Artículo 26 (al menos seis meses); y gestionar la cadena de notificación de incidentes del Artículo 73 — el responsable del despliegue lo señala al proveedor; el proveedor lo notifica a la autoridad de vigilancia del mercado. La EIDF del Artículo 27, apartado 4, puede basarse en una EIPD existente del Artículo 35 del RGPD.
Formato: un taller estructurado que abarque todo el conjunto de obligaciones del responsable del despliegue, complementado con la participación en cualquier proceso de EIDF o de evaluación de la conformidad. Reciclajes anuales vinculados a las actualizaciones regulatorias.
Pruebas y registros: qué conservar
No se exige certificación alguna. La Ley está centrada en los resultados: debe demostrar que el personal tiene un nivel suficiente de alfabetización. En la práctica, eso significa registros que sobrevivan a una auditoría.
Documentación mínima para los roles de sistemas de alto riesgo: un registro de formación por persona y por sistema (nombre, rol, identificador y versión del sistema, fecha, contenido, método de impartición); pruebas de comprensión (un ejercicio práctico, una breve evaluación o un acuse de recibo — el formato es su elección, la existencia de pruebas no lo es); un registro de qué cambió y cuándo; y una cadencia de reciclaje anual por defecto para los sistemas de alto riesgo, con desencadenantes anticipados cuando el proveedor publica una actualización material de la documentación técnica.
Para los sistemas de riesgo mínimo, una sesión informativa por escrito con un acuse de recibo fechado es defendible.
Un apunte práctico: la documentación técnica y las instrucciones de uso del Artículo 11 que los proveedores deben suministrar son el fundamento del contenido formativo de cada sistema. Si un proveedor no puede suministrar documentación adecuada, documente esa laguna y escálela. Un responsable del despliegue que forma a su personal con documentación deficiente del proveedor tiene una posición de cumplimiento más débil que uno que señaló la deficiencia y se adaptó en consecuencia.
Construir y mantener el registro de alfabetización en IA
El hogar lógico de las pruebas de alfabetización en IA es un registro de alfabetización en IA: un registro que vincula cada sistema de IA de su inventario con los roles que lo operan, la formación impartida y las evaluaciones de competencia archivadas. Esto no es un requisito legal con ese nombre, pero es el artefacto de cumplimiento natural que el Artículo 4 implica, y es lo que buscaría una auditoría.
Una entrada mínima del registro para cada sistema debería recoger:
| Campo | Contenido |
|---|---|
| Identificador del sistema | ID interno o nombre y versión del proveedor |
| Nivel de riesgo | Prohibido / Alto / Limitado / Mínimo |
| Roles operativos | Lista de tipos de rol con acceso |
| Programa de formación | Título del módulo, versión del contenido, fecha de impartición |
| Prueba de competencia | Tipo de evaluación, fecha, referencia almacenada |
| Próxima revisión | Activada por: fecha, actualización del sistema o cambio regulatorio |
Mantenga el registro al día a medida que cambia el inventario de IA. Los nuevos despliegues requieren un ciclo de formación antes de que el personal entre en funcionamiento. Los cambios de rol requieren una revisión de si la persona entrante tiene una competencia equivalente. Las actualizaciones del sistema — en particular las que afectan a las capacidades, las limitaciones o el perfil de riesgo — requieren una reevaluación activada en lugar de esperar al siguiente reciclaje programado.
Cómo ayuda Confir
El registro de alfabetización en IA de Confir forma parte del módulo de gobernanza. Se vincula directamente al inventario de IA: cada sistema que su organización haya registrado en Confir lleva su nivel de riesgo y sus roles operativos, y el registro rastrea el programa de alfabetización vinculado a él — fechas, referencias de pruebas y desencadenantes de reciclaje. La lógica es determinista y basada en reglas; el mismo perfil de sistema produce la misma estructura de registro, de modo que el resultado es reproducible y defendible en una auditoría.
El registro se limita al seguimiento de la alfabetización (una funcionalidad de alcance ≤2): no genera automáticamente contenido formativo ni certifica al personal. Lo que le ofrece es el registro organizativo que el Artículo 4 implica — un vínculo estructurado y con marca de tiempo entre sus sistemas de IA y la prueba de que las personas que los operan han sido formadas.
Preguntas frecuentes
¿Se aplica el Artículo 4 únicamente a los sistemas de IA de alto riesgo?
No. El Artículo 4 se aplica a todos los sistemas de IA — los proveedores y los responsables del despliegue deben garantizar una alfabetización suficiente en IA con independencia del nivel de riesgo. La profundidad de la alfabetización exigida es proporcional al contexto, al rol y a las personas afectadas, de modo que la carga práctica es más ligera para las herramientas de riesgo mínimo que para los sistemas de alto riesgo. Pero la obligación existe en todos los casos, y está en vigor desde el 2 de febrero de 2025.
¿Existe una certificación obligatoria de la UE para la alfabetización en IA?
No se exige certificación alguna en ninguna parte del Reglamento (UE) 2024/1689. La Ley exige un resultado — que el personal tenga alfabetización suficiente —, no una credencial o un examen concretos. Las organizaciones son libres de utilizar proveedores de formación externos, programas internos o una combinación, siempre que puedan documentar qué se impartió y demostrar que el personal pertinente lo comprendió.
¿Cuál es la diferencia entre la obligación de alfabetización del Artículo 4 y el requisito de competencia de supervisión humana del Artículo 14?
El Artículo 4 es la obligación básica de alfabetización que abarca a todas las personas de la organización que trabajan con sistemas de IA. El Artículo 14 fija un listón más alto y más específico para el personal con funciones de supervisión sobre sistemas de alto riesgo — debe poder detectar anomalías, interpretar correctamente los resultados, reconocer el sesgo de automatización y decidir anular el sistema. El Artículo 26 sitúa sobre el responsable del despliegue la responsabilidad de garantizar que exista esa competencia del Artículo 14. Piense en el Artículo 4 como el suelo; el Artículo 14 es la norma específica para los roles de supervisión.
¿Con qué frecuencia debe reciclarse la formación en alfabetización en IA?
La Ley no fija una cadencia concreta. Una opción por defecto razonable para los sistemas de alto riesgo es anual, con reciclajes activados cuando el proveedor publica una actualización material de la documentación técnica o la evaluación de riesgos del sistema, cuando se identifica un nuevo patrón de riesgo o cuando hay una rotación significativa de personal en un rol operativo. Para los sistemas de riesgo mínimo, una sesión informativa en la incorporación más actualizaciones cuando el sistema o su uso cambien será, por lo general, proporcionado.
¿Puede un único programa de formación en IA de toda la organización satisfacer el Artículo 4?
Solo si está genuinamente diferenciado por roles y es proporcionado. Un único módulo de concienciación que abarque el mismo contenido para todos no satisfará el Artículo 4 para el personal en roles de supervisión de alto riesgo, que necesita competencia en ámbitos concretos — detectar anomalías, interpretar resultados, ejercer el criterio de anulación — que la formación de concienciación genérica no aborda. La palabra «suficiente» del Artículo 4 está calibrada al rol y al contexto; es improbable que un programa de talla única supere ese listón para todo el abanico de roles de la mayoría de las organizaciones.
¿Qué pruebas debemos conservar para demostrar el cumplimiento del Artículo 4?
Como mínimo: un registro de formación (quién recibió qué formación, sobre qué sistema, en qué fecha), pruebas de comprensión (una evaluación, un ejercicio práctico o un acuse de recibo estructurado) y un registro de los ciclos de reciclaje. Para los sistemas de alto riesgo, estas pruebas deben estar en buen orden — los auditores y las autoridades de vigilancia del mercado las buscarán. Para los sistemas de riesgo mínimo, un enfoque proporcionado (una sesión informativa por escrito con acuse de recibo fechado) es defendible. No hay un formato prescrito, pero la ausencia de registros no es un argumento de proporcionalidad.
¿Obliga el Artículo 4 a formar a los contratistas externos que operan sistemas de IA en nuestro nombre?
Sí. La obligación abarca a las «personas que operan sistemas de IA en su nombre» — no solo a los empleados directos. Si contratistas, equipos externalizados o trabajadores de agencia operan sistemas de IA como parte de su prestación de servicios, debe garantizar que tengan un nivel suficiente de alfabetización en IA para esos roles. Esto puede exigir cláusulas de formación en los contratos y pruebas de que la formación se impartió antes de conceder el acceso.
Guías relacionadas
- obligaciones de alfabetización en IA del Artículo 4
- requisitos de supervisión humana del Artículo 14
- obligaciones del responsable del despliegue del Artículo 26
- sistema de gestión de riesgos del Artículo 9
- documentación técnica del Anexo IV
- niveles de clasificación de riesgo de la IA
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →