Formación en alfabetización en IA según el artículo 4 del Reglamento de IA
Artículo 4 del RIA: a quién cubre la alfabetización en IA, qué es el nivel "suficiente" y qué evidencia conservar. En vigor desde el 2 de febrero de 2025.
El artículo 4 del Reglamento (UE) 2024/1689 (el Reglamento de IA) obliga a proveedores y responsables del despliegue a adoptar medidas para garantizar, en la mayor medida posible, un nivel suficiente de alfabetización en IA entre su personal y cualquier otra persona que opere y use sistemas de IA en su nombre. La obligación se aplica desde el 2 de febrero de 2025, así que está viva hoy: no es un plazo futuro que puedas aplazar.
El texto es breve, pero el deber es real y examinable. Está orientado al resultado: la ley exige personas competentes, no un curso, un certificado ni un número de horas concretos. Se aplica a todo sistema de IA que uses, sea cual sea su nivel de riesgo, de modo que incluso una empresa que solo tenga un chatbot o una herramienta de resumen de documentos la asume.
Esta guía explica con exactitud qué te obliga a hacer el artículo 4: quién entra en el ámbito, qué significa la competencia "suficiente", cómo dimensionar un programa proporcionado, qué evidencia esperan los reguladores y qué pasa si te quedas corto. Para la imagen de fondo, empieza por qué exige el Reglamento de IA; para la propia cláusula, consulta la obligación de alfabetización en IA del artículo 4.
Qué exige realmente el artículo 4 — y por qué ya te vincula
La obligación en una frase — artículo 4
Proveedores y responsables del despliegue deben adoptar medidas para garantizar, en la mayor medida posible, un nivel suficiente de alfabetización en IA de su personal y de las demás personas que se ocupen del funcionamiento y el uso de los sistemas de IA en su nombre. "En la mayor medida posible" apunta a un estándar de esfuerzo proporcionado, no a una garantía de perfección, pero es un deber positivo de actuar, no una opción.
La obligación se aplica a todos los sistemas de IA, sea cual sea su nivel de riesgo, no solo a los de alto riesgo. Una empresa que use una única herramienta de redacción asistida por IA debe a su personal la alfabetización suficiente para saber qué puede y qué no puede hacer esa herramienta con fiabilidad.
Distingue el artículo 4 del artículo 13. El artículo 4 rige la competencia de las personas; el artículo 13, por separado, exige que los proveedores de sistemas de alto riesgo faciliten a los responsables del despliegue instrucciones de uso que cubran capacidades, limitaciones y medidas de supervisión humana. Uno es un deber de suministro de información que recae en el proveedor; el otro, un deber de competencia que recae tanto en el proveedor como en el responsable del despliegue. No los mezcles.
Por qué importa que esté "en vigor" — 2 de febrero de 2025
El artículo 4 se aplica desde el 2 de febrero de 2025, la misma fecha que el régimen de prácticas prohibidas del artículo 5. Eso lo convierte en una obligación viva, no futura. Un regulador puede examinar tus registros de alfabetización en IA con retroactividad hasta esa fecha, y por eso construir un programa documentado desde principios de 2025 demuestra una postura sostenida, en lugar de improvisada a última hora.
El retraso del Ómnibus Digital no le afecta
El Ómnibus Digital alcanzó un acuerdo político provisional el 6-7 de mayo de 2026, con el texto del COREPER confirmado en torno al 13 de mayo de 2026. Acordó aplazar las obligaciones autónomas de alto riesgo del anexo III (artículo 6(2)) del 2 de agosto de 2026 al 2 de diciembre de 2027, y los sistemas de alto riesgo integrados en productos del anexo I (artículo 6(1)) del 2 de agosto de 2027 al 2 de agosto de 2028. No toca el artículo 4, que sigue vivo.
Dos matices importan para la exactitud. Primero, a junio de 2026 el aplazamiento del Ómnibus está acordado pero aún no es ley: todavía necesita una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial, así que el texto vigente fija el 2 de agosto de 2026 para el alto riesgo del anexo III hasta que ese trámite culmine. Segundo, las nuevas fechas son fechas de calendario fijas: la propuesta de "parar el reloj" que ligaba el retraso a la disponibilidad de normas armonizadas fue rechazada. Nada de esto cambia la fecha del artículo 4, que nunca estuvo dentro del alcance del retraso.
A quién se aplica el requisito de alfabetización en IA
El artículo 4 nombra dos roles de actor y alcanza más allá de los empleados directos.
Proveedores — quienes desarrollan sistemas de IA y los introducen en el mercado o los ponen en servicio con su propio nombre o marca — asumen el deber respecto de las personas que construyen y operan esos sistemas.
Responsables del despliegue — quienes usan sistemas de IA bajo su autoridad en un contexto profesional — asumen el deber respecto de su personal operativo.
Personal y "otras personas que operan en tu nombre". La cláusula cubre a las "demás personas que se ocupen del funcionamiento y el uso de los sistemas de IA en su nombre", lo que abarca a contratistas, operadores externos y trabajadores de agencia que tengan las manos sobre el sistema. La obligación se ata a la función, no al contrato laboral. Si alguien fuera de tu nómina opera un sistema de IA por ti, tu deber del artículo 4 se extiende a esa persona, normalmente mediante cláusulas de formación en el contrato y evidencia de que la formación se impartió antes del acceso.
Empresas que son a la vez proveedor y responsable del despliegue. Una empresa que construye una herramienta interna para su propio uso es simultáneamente proveedor y responsable del despliegue. Debe atender ambas vías de alfabetización: profundidad técnica del lado del proveedor para quienes la construyen, y competencia operativa del lado del responsable del despliegue para quienes la usan.
Un punto que pilla por sorpresa a los compradores: la obligación no se transfiere al proveedor del producto. Comprar un sistema a un proveedor competente no extingue tu propio deber del artículo 4 sobre tu personal. Para el significado jurídico preciso del término, consulta qué es la alfabetización en IA.
Qué significa un "nivel suficiente" de alfabetización en IA
El resultado que busca la ley — artículo 3(56)
La alfabetización en IA se define como las capacidades, los conocimientos y la comprensión que permiten a proveedores, responsables del despliegue y personas afectadas hacer un despliegue informado de los sistemas de IA, así como ser conscientes de las oportunidades, los riesgos y los posibles perjuicios que pueden causar. El objetivo es la competencia, no las credenciales. El considerando 20 plantea la alfabetización como algo que permite a proveedores, responsables del despliegue y personas afectadas tomar decisiones informadas, reforzando que la meta es la comprensión genuina, no un curso para marcar una casilla.
Los factores de proporcionalidad que nombra el Reglamento — artículo 4
El artículo 4 exige expresamente que las medidas tengan en cuenta:
- los conocimientos técnicos, la experiencia, la educación y la formación de las personas;
- el contexto en que vayan a utilizarse los sistemas; y
- las personas o grupos sobre los que vayan a utilizarse los sistemas.
El estándar es, por tanto, proporcional al riesgo y al rol. Un científico de datos que construye un modelo necesita una alfabetización distinta a la de un tramitador de siniestros que actúa sobre su resultado, y un sistema que afecta a grupos vulnerables eleva el listón para todo el que lo toque.
Orientado al resultado, no a un temario
No hay temario prescrito, ni horas lectivas obligatorias, ni certificado exigido en ningún punto del Reglamento (UE) 2024/1689. Una insignia de un tercero es, como mucho, evidencia de apoyo: nunca es la sustancia del cumplimiento. La pregunta que hace un regulador es si las personas implicadas son genuinamente competentes para su rol, y si puedes demostrar cómo llegaste a ese juicio.
Tabla de correspondencia rol-alfabetización
La forma más rápida de dimensionar la cobertura es asignar a cada rol su foco de alfabetización, anclarlo al artículo pertinente y nombrar el artefacto de evidencia que conservarás. La correspondencia reutiliza el inventario de IA y el trabajo de clasificación de riesgo que ya haces para los artículos 5 y 6: no es esfuerzo duplicado.
| Rol | Ejemplos típicos | Foco de alfabetización | Ancla en el artículo | Artefacto de evidencia |
|---|---|---|---|---|
| Personal técnico / desarrolladores | Científicos de datos, ingenieros de ML | Comportamiento del modelo y modos de fallo, gobernanza de datos, clasificación de riesgo, documentación técnica | Artículos 5-6, 10, anexo IV | Registro de formación de incorporación + lista de comprobación de revisión de diseño |
| Usuarios operativos | Cribadores de RR. HH., analistas de crédito, redactores | Qué puede y qué no puede hacer el sistema con fiabilidad, limitaciones conocidas, cuándo y cómo anular, vía de escalado | Artículo 14 (vía 26) | Briefing de rol + firma fechada |
| Decisores / gobernanza | Responsables de riesgo, aprobadores, patrocinadores del consejo | Lo suficiente para ejercer una supervisión significativa, aprobar despliegues y hacer las preguntas correctas | Artículo 26 | Registro de briefing anual de gobernanza |
| Usuarios ligeros / ocasionales | Usuarios esporádicos de la herramienta | Qué es la herramienta, límites de confidencialidad, vía básica de escalado | Artículo 4 | Acuse de recibo breve por escrito |
Lee las bandas como profundidad de competencia, no como título del puesto. El personal de la banda 1 debe entender su parte en la documentación técnica del anexo IV; el de la banda 2, las limitaciones y la vía de anulación; el de la banda 3, la competencia que el artículo 26 presupone para la supervisión humana de sistemas de alto riesgo; el de la banda 4, solo una concienciación proporcionada.
Cómo implementar un programa proporcionado en cuatro pasos
- Evalúa los roles frente a tu inventario de IA. Inventaría los sistemas de IA en uso, identifica qué equipos los operan y sobre qué decisiones actúan, y luego segmenta al personal en bandas de competencia. Este mismo trabajo alimenta tu clasificación de riesgo de los artículos 5/6, así que hazlo una vez y reutilízalo.
- Adapta la formación al riesgo y al rol. Diseña contenido apropiado para cada banda. Obligar a un usuario operativo a pasar por un módulo de gobernanza de datos malgasta esfuerzo; dar a un desarrollador solo un resumen de "qué es la IA" deja una laguna de competencia. La profundidad escala con lo que está en juego.
- Documenta a quién se formó, en qué y cuándo. Registra la fecha de la sesión, los asistentes, el material cubierto, quién la impartió, cualquier comprobación de competencia y la próxima fecha de actualización. La demostración del cumplimiento vive en estos registros, no en una insignia de proveedor.
- Actualiza periódicamente y por activadores. Fija una actualización de referencia anual, más actualizaciones desencadenadas cuando se despliegue un sistema nuevo, cuando un sistema existente sufra una modificación sustancial (una modificación al amparo del artículo 3(23) puede cambiar la clase de riesgo), o cuando ocurra un incidente material.
Mantenlo ligero donde lo que está en juego es bajo. Para una pyme, un taller breve diferenciado por rol, una comprobación con escenarios y un registro de finalización son defendibles: la proporcionalidad corta en ambas direcciones. Para puntos de partida listos para usar, utiliza la plantilla de política de alfabetización en IA, diseña el programa más profundo con la formación de empleados en IA y dimensiona tu cobertura realizando una evaluación de preparación.
Cómo evidenciar la alfabetización en IA
El conjunto mínimo de registros
Como el artículo 4 se evalúa frente a la evidencia, conserva, para cada sistema y rol: registros de formación, listas de asistencia, los materiales empleados, las fechas de impartición y la fecha de actualización programada. Los registros no tienen por qué ser sofisticados: un registro estructurado vinculado a la incorporación de RR. HH. sirve. La cuestión es demostrar que la formación fue sistemática y apropiada al rol, no improvisada.
Qué pedirá un auditor
Cuando una autoridad nacional te pida demostrar cumplimiento, la respuesta son los registros, la correspondencia de roles y tu juicio documentado de proporcionalidad, no "usamos un proveedor certificado". La ausencia de registros no es un argumento de proporcionalidad; se lee como ausencia de programa.
Conectar la alfabetización con los deberes de supervisión
La evidencia de alfabetización debe situarse junto a dos obligaciones relacionadas, porque ambas dependen de personal competente:
- el deber de supervisión humana del artículo 26, que exige que los responsables del despliegue de sistemas de alto riesgo garanticen que las personas físicas asignadas a la supervisión tienen la competencia, la formación y la autoridad necesarias; y
- para los sistemas de alto riesgo pertinentes, la evaluación de impacto relativa a los derechos fundamentales del artículo 27.
Conforme al artículo 14, el personal de supervisión debe entender las capacidades y limitaciones del sistema, interpretar su resultado y poder decidir no usarlo o anularlo: competencias que solo produce una formación deliberada.
Supervisión: cómo se supervisa y se sanciona el artículo 4
Las autoridades nacionales competentes supervisan — artículos 70 y 74
La supervisión y el control del cumplimiento de las obligaciones de los operadores, incluido el artículo 4, recaen en las autoridades nacionales competentes / de vigilancia del mercado. La obligación está viva ya, aunque la capacidad de control en los Estados miembros aún esté madurando.
Cómo alimentan los incumplimientos el régimen sancionador del artículo 99
El artículo 4 no tiene una multa propia. Pero un fallo de alfabetización alimenta el régimen sancionador del artículo 99: agrava tu exposición cuando se investiga un incumplimiento relacionado y señala una gobernanza débil en conjunto. Los tramos son precisos:
| Incumplimiento | Multa máxima | Referencia |
|---|---|---|
| Prácticas prohibidas del artículo 5 | 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, lo que sea mayor | Artículo 99(3) |
| La mayoría de las obligaciones de los operadores | 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, lo que sea mayor | Artículo 99(4) |
| Información incorrecta, incompleta o engañosa a las autoridades | 7 500 000 EUR o el 1 % del volumen de negocios anual mundial total, lo que sea mayor | Artículo 99(5) |
Para pymes y empresas emergentes, cada multa se limita al importe menor entre el porcentaje aplicable y la cifra fija, conforme al artículo 99(6): la proporcionalidad está incorporada en el diseño de la sanción.
El cuadro realista del riesgo
Las quejas de empleados son un segundo canal. El artículo 85 permite a los trabajadores y a sus representantes plantear preocupaciones sobre sistemas de IA ante las autoridades, y un empleado sin formación perjudicado por un resultado que nunca le enseñaron a cuestionar da a una autoridad una base fáctica para mirar de cerca. Trata la documentación del artículo 4 como una base de referencia que los reguladores leen como indicador de la seriedad con que te tomas la gobernanza de la IA, que es exactamente por lo que merece la pena mantener un registro que se remonte a febrero de 2025.
Cómo ayuda Confir
Confir hace seguimiento de la alfabetización en IA y de su evidencia como parte del módulo de gobernanza. Cada sistema de tu inventario de IA lleva asociados los roles en alcance, la formación impartida, las fechas de finalización y el ciclo de actualización, generando un rastro de auditoría estructurado y con marca de tiempo que asigna personas a sistemas.
La lógica de síntesis es determinista y basada en reglas: el mismo perfil de sistema y la misma correspondencia de roles producen siempre la misma estructura de registro y los mismos activadores de actualización — la misma lógica cada vez, sin inferencia de modelos, sin alucinaciones. Esa reproducibilidad es lo que hace que el resultado sea defendible ante una auditoría. El registro hace seguimiento de la alfabetización y su evidencia; no genera automáticamente contenido formativo ni certifica al personal. Lo que te da es el registro organizativo que el artículo 4 implica, mantenido al día a medida que cambian tu inventario de IA y tus roles.
Preguntas frecuentes
¿Es obligatoria la formación en alfabetización en IA según el Reglamento de IA?
Sí. El artículo 4 del Reglamento de IA exige a proveedores y responsables del despliegue garantizar un nivel suficiente de alfabetización en IA entre el personal y otras personas que operen IA en su nombre. Se aplica desde el 2 de febrero de 2025 y cubre todos los sistemas de IA, no solo los de alto riesgo. La ley exige el resultado — personas competentes — pero no un curso, certificado ni número de horas concretos.
¿Cuándo entró en vigor el requisito de alfabetización en IA?
El artículo 4 se aplica desde el 2 de febrero de 2025, el mismo día que las prohibiciones del artículo 5. Es una obligación viva, no futura, y no se vio afectada por el retraso del Ómnibus Digital que aplazaría los deberes de alto riesgo del anexo III al 2 de diciembre de 2027. Los reguladores pueden examinar tus registros de alfabetización en IA con retroactividad hasta febrero de 2025.
¿A quién se aplica la obligación de alfabetización en IA?
Se aplica tanto a proveedores como a responsables del despliegue de sistemas de IA, cubriendo a su personal y a cualquier otra persona que opere o use los sistemas en su nombre, incluidos contratistas y operadores externos. Una empresa que construye una herramienta para su propio uso es a la vez proveedor y responsable del despliegue. Comprar a un proveedor competente no extingue tu propio deber sobre tu personal.
¿Qué es un nivel suficiente de alfabetización en IA?
Suficiente significa las capacidades, los conocimientos y la comprensión necesarios para tomar decisiones informadas sobre el despliegue y el uso de la IA y para reconocer sus riesgos. El artículo 4 ata el nivel a los conocimientos técnicos, la experiencia y la educación de cada persona, al contexto de uso y a a quién afecta el sistema. Es proporcionado y basado en el rol: un desarrollador necesita más profundidad que un usuario operativo ligero.
¿Exige el Reglamento de IA un certificado de alfabetización en IA?
No. El artículo 4 no prescribe ningún certificado, titulación ni temario fijo. La obligación está orientada al resultado: debes lograr una competencia genuina y apropiada al rol y poder evidenciarla mediante registros de formación, asistencia, materiales y fechas. Una certificación de un tercero puede ser evidencia de apoyo, pero por sí sola no constituye cumplimiento y el Reglamento no la exige.
¿Cómo demuestro a un regulador el cumplimiento de la alfabetización en IA?
Conserva evidencia: registros de formación, listas de asistencia, los materiales empleados, las fechas de impartición, quién la impartió, cualquier comprobación de competencia y la próxima fecha de actualización, asignados a roles y sistemas. Cuando una autoridad pregunte, la respuesta son esos registros y tu juicio documentado de proporcionalidad, no una insignia de proveedor. Un registro estructurado vinculado a la incorporación de RR. HH. basta para la mayoría de las pymes.
¿Cuál es la sanción por incumplir las obligaciones de alfabetización en IA?
El artículo 4 no tiene multa autónoma, pero los incumplimientos alimentan el régimen del artículo 99 supervisado por las autoridades nacionales. La mayoría de los incumplimientos de obligaciones de los operadores llegan hasta 15 millones EUR o el 3 % del volumen de negocios anual mundial (artículo 99(4)); los del artículo 5 llegan a 35 millones EUR o el 7 %. Una laguna de alfabetización agrava la exposición cuando se investiga un incumplimiento relacionado y señala una gobernanza débil.
Guías relacionadas
- obligación de alfabetización en IA del artículo 4
- qué es la alfabetización en IA
- formación de empleados en IA
- la plantilla de política de alfabetización en IA
- realiza una evaluación de preparación
- qué exige el Reglamento de IA
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →