Skip to content
Confir.
Prueba gratuita
Blog

Artículo 4 de la Ley de IA de la UE: obligaciones de alfabetización en materia de IA para proveedores y responsables del despliegue

Annex Guide14 May 2026· 20 min de lectura

El Artículo 4 de la Ley de IA de la UE exige alfabetización en materia de IA a proveedores y responsables del despliegue desde el 2 de febrero de 2025. Ámbito, factores de proporcionalidad, registros y un ejemplo práctico.

El Artículo 4 del Reglamento (UE) 2024/1689 está en vigor desde el 2 de febrero de 2025. No es una obligación futura. Si su organización proporciona o despliega sistemas de IA — cualesquiera sistemas de IA, no solo los de alto riesgo —, ya está sujeta a él.

El deber tiene una formulación deliberadamente abierta: los proveedores y los responsables del despliegue deben adoptar medidas para garantizar, en la mayor medida posible, un nivel suficiente de alfabetización en materia de IA de su personal y de las demás personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre. El reglamento vincula esa obligación a los conocimientos técnicos, la experiencia, la educación y la formación de las personas implicadas, al contexto en el que se utilizan los sistemas y a las personas o los grupos en los que se utilizan dichos sistemas. En términos sencillos: competencia proporcionada y adecuada al rol — no un temario fijo, no una certificación, y no algo que solo entra en juego cuando se despliega un sistema de alto riesgo.

Antes de seguir: el Artículo 4 no es el Artículo 10. El Artículo 10 rige los datos y la gobernanza de datos de los sistemas de alto riesgo. El Artículo 4 rige la competencia de las personas que operan y despliegan la IA. Las antiguas guías de cumplimiento confunden ambos; esa confusión es la razón por la que tantas organizaciones tienen en el radar la obligación equivocada.

A quién comprende el Artículo 4

El ámbito es más amplio de lo que la mayoría de las organizaciones suponen inicialmente. Tanto los proveedores (quienes desarrollan e introducen en el mercado o ponen en servicio sistemas de IA con su propio nombre) como los responsables del despliegue (quienes utilizan sistemas de IA bajo su autoridad en un contexto profesional) soportan el deber del Artículo 4. Las autoridades competentes — los organismos nacionales de ejecución — lo soportan también, aunque esa dimensión es principalmente una preocupación del sector público.

Para la mayoría de las empresas, la pregunta es: ¿proporciona usted sistemas de IA, los despliega, o ambas cosas? Una empresa de software que comercializa una herramienta de análisis de contratos asistida por IA es un proveedor. Un bufete que se suscribe a esa herramienta y la utiliza en el trabajo con clientes es un responsable del despliegue. Una empresa que construye una herramienta interna de cribado de currículos para su propio equipo de RR. HH. es proveedor y responsable del despliegue simultáneamente. Los tres entran en el ámbito.

La expresión «las demás personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre» extiende el deber más allá de los empleados directos. Los contratistas, los operadores externos y los encargados del tratamiento de terceros que manejan el sistema necesitan también una alfabetización adecuada. La obligación se vincula a la función, no al contrato laboral.

Qué significa «suficiente» en la práctica

El Artículo 4 no establece un formato prescrito, ni una certificación obligatoria, ni un número mínimo de horas de formación. Esa flexibilidad es intencionada — una asesoría contable de 10 personas que despliega una herramienta básica de procesamiento de facturas se enfrenta a un análisis de proporcionalidad distinto del de una aseguradora de 500 personas que despliega un modelo de calificación crediticia con arreglo al Anexo III.

Los factores de proporcionalidad que nombra el reglamento son:

  • Los conocimientos técnicos, la experiencia, la educación y la formación de la persona. Un científico de datos del equipo de desarrollo necesita una alfabetización distinta de la de un agente de atención al cliente que recibe los resultados del sistema.
  • El contexto de uso. Un sistema utilizado para generar textos de boletines para clientes se sitúa en un contexto de riesgo distinto del de un sistema utilizado para priorizar el envío de servicios de emergencia.
  • Las personas o los grupos en los que se utiliza el sistema. Cuando el sistema afecta a poblaciones vulnerables — menores, personas con discapacidad, personas en situaciones económicamente precarias —, el deber de garantizar la competencia es correspondientemente mayor.

«Suficiente» no significa «perfecto» ni «certificado». Significa que las personas que operan o utilizan el sistema en su nombre comprenden qué hace el sistema, qué no puede hacer de forma fiable, cuándo cuestionar sus resultados y cómo escalar las inquietudes. Un responsable del despliegue que implanta Microsoft Copilot entre sesenta empleados sin ninguna preparación no puede satisfacer el Artículo 4. Un responsable del despliegue que imparte una incorporación diferenciada por roles de dos horas, la documenta y la actualiza anualmente casi con seguridad sí puede.

Una autoverificación útil antes de diseñar cualquier programa es plantear tres preguntas por cada sistema: ¿quiénes son las personas que actúan sobre los resultados o las decisiones de este sistema? ¿Qué podría salir mal si los malinterpretan o confían ciegamente en ellos? ¿Qué esperaría un responsable de cumplimiento sénior razonable que supieran antes de sentarse ante esa consola?

Si puede responder a esas tres preguntas con concreción — no con generalidades —, está en condiciones de diseñar una formación que sea genuinamente proporcionada en lugar de nominalmente conforme.

El Artículo 4 no es un requisito de certificación

Vale la pena enunciarlo con claridad porque el mercado ha llenado el vacío con esquemas de certificación. No existe ninguna certificación de la Ley de IA de la UE para la alfabetización en materia de IA. El Artículo 4 no remite a ninguna cualificación, credencial o norma de auditoría específicas. Pagar a un tercero para que emita una insignia no constituye, por sí solo, cumplimiento — ni tampoco completar un módulo genérico de aprendizaje en línea que aborde la «ética de la IA» en abstracto.

Lo que la obligación exige realmente es que las organizaciones puedan demostrar, de forma concreta, que sus personas tienen la competencia adecuada a sus roles y a los sistemas con los que trabajan. Esa demostración reside en los registros: registros de formación, agendas de sesiones, comprobaciones de competencia, fechas de actualización. La forma es suya a elegir; el fondo, no.

Una consecuencia práctica: si un regulador o auditor le pide que demuestre el cumplimiento del Artículo 4, la respuesta no es «utilizamos un proveedor de formación certificado». La respuesta son los registros, la asignación de roles y el juicio documentado que usted formuló sobre cómo era la alfabetización proporcionada para sus sistemas y personas concretos. La certificación, si decidió utilizarla, es prueba de apoyo — no el fondo del cumplimiento en sí.

Qué significa el Artículo 4 específicamente para los proveedores

Gran parte de la conversación sobre el cumplimiento en torno al Artículo 4 se centra en los responsables del despliegue, en parte porque los fallos del lado del responsable del despliegue son los más visibles — un empleado que actúa ciegamente sobre un resultado defectuoso, un directivo que no tiene idea de lo que realmente hace el sistema que supervisa. Pero los proveedores soportan una obligación del Artículo 4 igualmente importante que opera en una dirección distinta.

Los proveedores deben garantizar que las personas que construyen, entrenan, evalúan y mantienen los sistemas de IA tengan la alfabetización técnica adecuada a ese rol. No es lo mismo que la alfabetización del responsable del despliegue. Una desarrolladora de una empresa que construye una herramienta de cribado para contratación necesita comprender cómo se propagan los sesgos de los datos de entrenamiento a través de los resultados del modelo, qué le exige específicamente el proceso de gestión de riesgos del Artículo 9 y qué significan las normas de gobernanza de datos del Artículo 10 para los conjuntos de datos con los que trabaja. Un gestor de producto de la misma empresa necesita comprender la lógica de clasificación del Artículo 6 lo suficiente como para señalar cuándo una nueva funcionalidad empuja al sistema hacia una clasificación de mayor riesgo.

Esta alfabetización interna del lado del proveedor es también la condición previa para producir la documentación técnica del Artículo 11 / Anexo IV en la que confían los responsables del despliegue. Si el equipo de desarrollo no entiende qué información necesita un responsable del despliegue para ejercer la supervisión con arreglo al Artículo 26, la documentación que produzca estará incompleta — y los responsables del despliegue de la cadena posterior no podrán formar adecuadamente a su propio personal. Un fallo del Artículo 4 a nivel del proveedor se propaga, por tanto, a fallos del Artículo 26 a nivel del responsable del despliegue.

Los proveedores que también son responsables del despliegue — empresas que construyen herramientas de IA y las utilizan internamente — soportan ambas dimensiones simultáneamente. El equipo de despliegue interno necesita alfabetización del lado del responsable del despliegue; el equipo de desarrollo necesita profundidad técnica del lado del proveedor. Son itinerarios de formación distintos y deben diseñarse por separado.

La relación con el Artículo 26 y el Artículo 14

El Artículo 4 es general — se aplica a todos los sistemas de IA con independencia del nivel de riesgo. Dos disposiciones conexas afinan la obligación para los sistemas de alto riesgo.

El Artículo 26 exige a los responsables del despliegue de sistemas de IA de alto riesgo que garanticen que las personas físicas asignadas a las tareas de supervisión humana tengan la competencia, la formación y la autoridad necesarias para ejercer esa supervisión. Esta es la operacionalización específica del Artículo 4 para el responsable del despliegue en el contexto de alto riesgo: no basta con tener documentación sobre el sistema; las personas responsables de la supervisión deben ser realmente capaces de ejercerla.

El Artículo 14 — el requisito de supervisión humana para los sistemas de alto riesgo — establece qué significa esa supervisión en la práctica: la capacidad de comprender las capacidades y limitaciones del sistema, de interpretar sus resultados y de decidir no utilizarlo o anularlo. No se puede satisfacer el Artículo 14 con personal sin formación. El Artículo 4 es, por tanto, la condición previa para que el Artículo 14 funcione.

La cadena lógica: el Artículo 4 crea el deber de alfabetización de base para todos los sistemas; el Artículo 26 enfoca ese deber hacia los responsables del despliegue de alto riesgo; el Artículo 14 fija el criterio de competencia que las personas asignadas deben cumplir.

El Artículo 4 frente al Artículo 13: dos obligaciones distintas

El Artículo 13 de la Ley de IA de la UE exige a los proveedores de sistemas de IA de alto riesgo que diseñen sus sistemas de modo que sean lo suficientemente transparentes para que los responsables del despliegue comprendan cómo utilizarlos adecuadamente, y que faciliten a los responsables del despliegue determinada información — instrucciones de uso, capacidades y limitaciones, métricas de rendimiento, medidas de supervisión humana y vida útil prevista.

Los dos artículos abordan problemas distintos. El Artículo 13 es una obligación de suministro de información: el proveedor debe producir y entregar documentación específica para que el responsable del despliegue disponga de lo que necesita. El Artículo 4 es una obligación de competencia: el proveedor y el responsable del despliegue deben garantizar, cada uno, que las personas adecuadas de sus propias organizaciones hayan asimilado realmente la comprensión suficiente para desempeñar su trabajo de forma responsable.

Se puede satisfacer el Artículo 13 a la perfección — producir documentación completa, exacta y bien estructurada — y aun así incumplir el Artículo 4 si el personal del responsable del despliegue nunca la leyó, o nunca dispuso del tiempo o el contexto para comprender lo que significa para su forma de trabajar. A la inversa, se puede tener personal exhaustivamente formado que incumpla el Artículo 13 porque la propia documentación es inadecuada.

Esta distinción importa para dimensionar el esfuerzo de cumplimiento. El Artículo 13 es una obligación de los sistemas de alto riesgo; no se aplica a los sistemas de riesgo limitado o de riesgo mínimo. El Artículo 4 se aplica a todos los niveles de riesgo. Una empresa que despliega únicamente herramientas de riesgo mínimo — una función de autocompletado de texto, un motor de recomendación básico — sigue teniendo una obligación del Artículo 4, y no puede satisfacerla remitiéndose a una documentación del Artículo 13 que no existe para esas herramientas.

Una forma útil de enmarcar la división: el Artículo 13 rige qué información fluye entre el proveedor y el responsable del despliegue; el Artículo 4 rige si las personas de cada lado tienen la competencia para utilizar esa información. Ambos son necesarios. Ninguno sustituye al otro.

Construir un programa proporcionado de alfabetización en materia de IA

No hay plantilla obligatoria. A continuación, una estructura práctica que encaja bien con la forma en que los reguladores evaluarán probablemente el cumplimiento.

Asigne su inventario de IA a los roles del personal

No se puede diseñar la formación en alfabetización sin saber qué sistemas se utilizan y quién los maneja. Empiece con un inventario: ¿qué herramientas de IA están en uso, qué equipos las operan y sobre qué decisiones o resultados actúan esos equipos? Este ejercicio de asignación alimenta también su trabajo de clasificación con arreglo a los Artículos 5/6 — no es esfuerzo duplicado.

Una vez que tenga el mapa, segmente al personal en tres grandes bandas de competencia:

  • Desarrolladores y personal técnico que construyen, configuran o modifican sistemas de IA. Necesitan profundidad: comportamiento del modelo, modos de fallo, calidad de los datos y las obligaciones técnicas de los Artículos 4/10/11.
  • Usuarios operativos que reciben y actúan sobre los resultados de la IA (el responsable de RR. HH. que ve una preselección de currículos, el gestor de siniestros que ve una puntuación de riesgo). Necesitan comprender qué significa el resultado, qué no puede decirles y cuándo anularlo.
  • Responsables de la toma de decisiones y personal de gobernanza encargados de aprobar el despliegue de la IA o de supervisar el cumplimiento. Necesitan lo suficiente para ejercer una supervisión significativa y plantear las preguntas adecuadas a los colegas técnicos.

Diseñe contenidos de formación adecuados a cada rol

Cada banda necesita contenidos distintos. Obligar al gestor de siniestros a pasar por un módulo de gobernanza de datos de entrenamiento desperdicia tiempo y no aborda su exposición real al riesgo. Dar al científico de datos solo una visión general básica de «qué es la IA» lo deja sin la alfabetización técnica que la Ley espera.

Para los usuarios operativos, el contenido más importante es:

  • Qué hace el sistema concreto y qué se entrenó para predecir
  • Limitaciones conocidas y modos de fallo documentados
  • El procedimiento de escalado de la organización si un resultado parece erróneo
  • Su derecho legal — y obligación — de cuestionar y anular

Para los desarrolladores, añada:

  • Cómo funciona la clasificación de riesgos de la Ley de IA de la UE (Artículos 5, 6, Anexo III)
  • Los requisitos de gobernanza de datos del Artículo 10
  • Cómo funciona el sistema de gestión de riesgos del Artículo 9
  • Su papel en el mantenimiento de la documentación técnica del Anexo IV

Conserve registros

El Artículo 4 crea un deber que, en cualquier contexto de ejecución, se evaluará frente a las pruebas. Como mínimo, conserve:

  • Fecha de la sesión de formación, asistentes y material cubierto
  • Quién diseñó o impartió el contenido
  • Cualquier comprobación de competencia realizada (un breve cuestionario basado en escenarios, por ejemplo)
  • La fecha de la próxima actualización programada

Los registros no necesitan ser elaborados. Una hoja de cálculo compartida vinculada a los registros de incorporación de RR. HH. es viable para la mayoría de las empresas. La cuestión es disponer de algo que demuestre que la formación fue sistemática, no improvisada.

Incorpore ciclos de actualización

La alfabetización en materia de IA no es estática. Los sistemas cambian, surgen nuevos casos de uso y se acumulan las orientaciones regulatorias. Una cadencia de actualización sensata es:

  • Actualización de base anual para todo el personal comprendido.
  • Actualización desencadenada siempre que se despliegue un nuevo sistema de IA, se modifique sustancialmente un sistema existente o se produzca un incidente significativo.
  • Concienciación continua — una breve actualización siempre que se publiquen orientaciones regulatorias o decisiones de ejecución pertinentes.

Desencadenar una actualización tras una modificación sustancial es especialmente importante, porque la modificación sustancial con arreglo al Artículo 3, apartado 23, puede cambiar la clasificación de riesgo de un sistema, lo que a su vez cambia la competencia necesaria.

Ejemplo práctico: una empresa de 60 personas que implanta Copilot

Apex Advisory es una consultoría de gestión de 60 personas. En marzo de 2025 implantó Microsoft 365 Copilot en toda la firma para redactar, resumir documentos de clientes y generar diapositivas de presentación. Apex es un responsable del despliegue, no un proveedor. El modelo subyacente es de Microsoft; Apex ni lo desarrolla ni pone en él su nombre.

El Artículo 4 se aplica desde el momento en que Apex da acceso al personal a la herramienta. Así es como se ve un programa proporcionado.

Apex divide a sus 60 empleados en tres grupos. Los socios sénior (8 personas) utilizan Copilot para redactar entregables dirigidos a clientes y necesitan comprender el riesgo de errores factuales, de alucinación y de exposición de la confidencialidad al introducir datos de clientes en la herramienta. Los analistas junior (24 personas) son grandes usuarios para la investigación documental y los borradores de presentaciones — necesitan los mismos fundamentos de riesgo más la política concreta de Apex sobre qué datos pueden tratarse. El personal de operaciones (28 personas) la utiliza de forma ligera para la programación y el correo interno — una cobertura más ligera es proporcionada.

Apex imparte dos sesiones: un taller en línea diferenciado por roles de 90 minutos (personal sénior y analistas juntos, operaciones por separado), seguido de un breve cuestionario de escenarios. El cuestionario no es un examen formal; comprueba que el personal puede identificar una situación que les exija verificar un resultado de Copilot antes de entregárselo al cliente. Todas las finalizaciones se registran en el sistema de RR. HH. con fecha e identificador de sesión.

Apex programa una actualización anual. Cuando Microsoft actualiza Copilot con nuevas capacidades a finales de 2025, Apex distribuye un módulo de actualización de 20 minutos que cubre los cambios y recuerda al personal el procedimiento de escalado.

Inversión total: aproximadamente cuatro horas de tiempo de personal por persona en el primer año, dos horas al año a partir de entonces. El resultado es un registro documentado y auditable de que Apex se tomó en serio el Artículo 4 — que, en la práctica, es lo que un regulador querría ver.

Postura de ejecución y riesgo práctico

Las infracciones del Artículo 4 no conllevan un tramo sancionador propio. La exposición a la ejecución proviene principalmente de dos direcciones.

En primer lugar, si una investigación sobre el despliegue de un sistema de alto riesgo revela que el personal carecía de alfabetización adecuada, el fallo del Artículo 4 agrava la infracción principal. Un responsable del despliegue que operó un sistema de control de asistencia biométrico sin ninguna formación para el personal de RR. HH. que confiaba en sus resultados tiene un perfil de cumplimiento más gravoso que uno que operó el mismo sistema con formación documentada.

En segundo lugar, los fallos del Artículo 4 pueden aflorar en auditorías y actividades de vigilancia del mercado incluso para sistemas que no son de alto riesgo. La autoridad nacional competente no necesita encontrar un sistema de alto riesgo para examinar si usted se ha tomado en serio sus obligaciones de alfabetización en materia de IA.

La ausencia de una multa fija solo para el Artículo 4 no es una invitación a tratarlo como opcional. Es una obligación de base que los reguladores leerán como indicador de lo en serio que una organización se toma la gobernanza de la IA en su conjunto.

Existe también un canal de ejecución menos obvio: las denuncias de los empleados. Con arreglo al Artículo 85 de la Ley, los Estados miembros deben garantizar que los trabajadores y sus representantes puedan plantear inquietudes sobre los sistemas de IA sin sufrir perjuicio. Un empleado al que no se le impartió ninguna formación sobre un sistema y que después sufrió consecuencias adversas — una evaluación de desempeño impulsada por un resultado que nunca se le enseñó a cuestionar — tiene una base fáctica creíble para denunciar ante la autoridad nacional competente. El cumplimiento del Artículo 4, en ese escenario, es también gestión del riesgo laboral.

La postura de ejecución actual en los distintos Estados miembros de la UE se encuentra todavía en su fase inicial. Las autoridades nacionales competentes están desarrollando capacidad, y la Oficina Europea de IA sigue estableciendo el aparato de gobernanza en torno a los modelos de IA de uso general (GPAI). Pero el Artículo 4 entró en vigor hace dieciséis meses. Cuando la actividad de ejecución se intensifique — probablemente a partir de 2026, a medida que pase la fecha general de aplicación y entren en juego más obligaciones —, los reguladores pedirán registros que se remonten a febrero de 2025. Documentar su programa de alfabetización desde el principio es la única manera de demostrar una obligación sostenida, no una de última hora.

Cómo apoya Confir el cumplimiento del Artículo 4

El flujo de trabajo de cumplimiento de Confir incluye un registro de competencia y formación junto a la evaluación del sistema. Para cada sistema de IA de su inventario, puede registrar los roles del personal comprendidos, la formación impartida, las fechas de finalización y los ciclos de actualización programados — creando el rastro de auditoría documentado que exige el Artículo 4. El registro se sitúa junto a la evaluación de la supervisión humana del Artículo 26 y la Evaluación de Impacto relativa a los Derechos Fundamentales del Artículo 27, de modo que su documentación de alfabetización conecta directamente con las obligaciones de supervisión que dependen de ella.

El motor es determinista y basado en reglas: la misma admisión, la misma conclusión, totalmente explicable. Partiendo de cero, el paso del inventario de IA — registrar cada sistema con su nivel de riesgo y su rol de actor — es también la base natural para asignar qué personal necesita qué nivel de formación. Primero la clasificación, luego el diseño de la formación: el flujo de trabajo sigue la lógica que pretendía el reglamento.

Las tres cosas que el Artículo 4 realmente le pide

Despojado del comentario, el Artículo 4 se reduce a tres requisitos.

Sepa cuáles de su personal y contratistas se ocupan de los sistemas de IA. Garantice que tengan una competencia adecuada a su rol y al nivel de riesgo del sistema. Conserve pruebas de que lo hizo.

La Ley no le dice el formato, las horas ni el temario. Confía en usted — como proveedor o responsable del despliegue — para formular un juicio proporcionado. Ese juicio, documentado, es su cumplimiento.

Un punto a vigilar para 2026 y en adelante: se espera que la Oficina Europea de IA publique orientaciones y posiblemente especificaciones comunes sobre la alfabetización en materia de IA a medida que la Ley madure. Siga esas publicaciones. Cuando se adopten especificaciones comunes con arreglo al Artículo 40, crean una presunción de conformidad que simplifica considerablemente su posición de cumplimiento.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.