Skip to content
Confir.
Prueba gratuita
Blog

Plantilla de política de alfabetización en IA: un esqueleto listo para copiar y cumplir el artículo 4 de la Ley de IA

Template20 May 2026· 20 min de lectura

Plantilla lista para copiar de política de alfabetización en IA (artículo 4): finalidad, definiciones, formación por rol, registros y revisión.

El artículo 4 del Reglamento (UE) 2024/1689 (la Ley de IA de la UE) obliga a los proveedores y a los responsables del despliegue a adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de IA entre su personal y cualquier otra persona que opere o utilice sistemas de IA en su nombre. Se aplica desde el 2 de febrero de 2025: es una obligación vigente, no un plazo futuro, y muerde con independencia de que tus sistemas sean de alto riesgo o no.

El Reglamento no te da ningún temario, ninguna certificación ni un mínimo de horas de formación. Esa apertura es precisamente la razón por la que importa tener una política escrita: es el vehículo práctico que convierte un deber de contornos abiertos en algo que puedes enseñar a un auditor o a una autoridad de vigilancia del mercado. Esta página te ofrece un esqueleto de ocho secciones listo para copiar, más una tabla que asigna roles a formación y que puedes adaptar hoy mismo. Un revisor jurídico competente debería localizarlo a tu jurisdicción y a tu cartera de IA antes de que entre en vigor.

Esta plantilla refleja la estructura de la plantilla de política de IA, pero es el artefacto centrado en el artículo 4 —el documento de alfabetización— en lugar de una política de gobernanza que abarque toda la Ley.

Por qué necesitas una política de alfabetización en IA (y por qué ayuda una plantilla)

El artículo 4 está vigente ahora, no es un plazo futuro

El artículo 4 se aplica desde el 2 de febrero de 2025, la misma fecha en que entraron en vigor las prohibiciones del artículo 5. No está ligado al calendario de alto riesgo. El deber recae sobre los proveedores y los responsables del despliegue de cualquier sistema de IA, sea cual sea su nivel de riesgo, de modo que una empresa de diez personas que use una sola herramienta de facturación de un tercero está dentro del ámbito tanto como un proveedor de un sistema del anexo III. Los reguladores pueden pedir registros de alfabetización que se remonten a febrero de 2025, y por eso documentar desde el principio, en lugar de improvisarlo después, demuestra una obligación sostenida.

Una política es como un deber de contornos abiertos se vuelve demostrable

El artículo 4 se basa en resultados: no impone ningún curso, insignia ni recuento de horas concretos. Liga la suficiencia a tres cosas: el conocimiento técnico y la formación de las personas implicadas, el contexto en el que se usan los sistemas, y las personas sobre las que se usan. Una política escrita es la forma organizativa que adopta ese deber. Sin ella, «garantizamos la alfabetización en IA» es una afirmación sin nada detrás; con ella, tienes la asignación de roles, los registros de formación y un juicio documentado sobre qué significaba una alfabetización proporcionada para tus sistemas y tus personas.

Quién debería adoptar esta plantilla

Este esqueleto sirve a cualquier empresa que sea responsable del despliegue (que use herramientas de IA de terceros), proveedor (que construya o reetiquete sistemas de IA), o ambas cosas. Es deliberadamente un punto de partida —marcadores entre corchetes, bandas opcionales, una tabla de asignación— y no un instrumento jurídico acabado. Las empresas pequeñas pueden adoptarlo en una tarde y refinarlo con el tiempo; las organizaciones más grandes deberían alinearlo con sus procesos existentes de incorporación de personal y de gestión de incidentes, en lugar de construir procesos paralelos. Consulta la definición de alfabetización en IA para entender el concepto de fondo.

Qué exige realmente el artículo 4 antes de redactar la política

Los factores de proporcionalidad — artículo 4

El artículo 4 nombra tres factores que determinan qué significa «suficiente» para tu organización:

  1. El conocimiento técnico, la experiencia, la educación y la formación de las personas que vayan a operar o utilizar los sistemas.
  2. El contexto en el que se usen los sistemas de IA.
  3. Las personas o grupos de personas sobre los que se usen los sistemas.

El efecto práctico es que no hay una única respuesta correcta. Un científico de datos que construye un modelo necesita una alfabetización más profunda que un compañero que redacta correos de vez en cuando con un asistente genérico. La política de abajo codifica esa proporcionalidad mediante bandas de competencia, en lugar de un único módulo que valga para todos.

Ámbito: el personal y las personas que actúan en tu nombre

El artículo 4 alcanza más allá de los empleados directos. La expresión «otras personas que se encarguen del funcionamiento y la utilización de sistemas de IA en su nombre» comprende a contratistas, consultores y operadores externos. La obligación se vincula a la función, no al contrato de trabajo: si alguien toca las entradas o las salidas de tus sistemas de IA en tu nombre, está dentro del ámbito.

Sin temario ni certificación obligatorios

No existe una certificación de alfabetización en IA de la Ley de IA. Una insignia de un tercero o un módulo genérico de teleformación son, como mucho, prueba de apoyo, nunca la sustancia del cumplimiento. «Suficiente» significa que las personas entienden qué hace cada sistema, qué no puede hacer de forma fiable, cuándo cuestionar sus resultados y cómo escalar, no que tengan una credencial.

Para los sistemas de alto riesgo, el artículo 4 se afina con otras dos disposiciones. El artículo 26(2) obliga a los responsables del despliegue a encomendar la supervisión humana a personas con la competencia, la formación y la autoridad necesarias; el artículo 14 fija el estándar sustantivo de supervisión que el sistema debe estar diseñado para sostener. Todo el detalle en los requisitos de alfabetización en IA explicados y en el artículo 4.

La plantilla de política de alfabetización en IA (esqueleto para copiar)

Lo siguiente es un único bloque limpio que puedes copiar, pegar y rellenar. Sustituye cada marcador entre corchetes, como [Nombre de la organización] y [Rol/Función], y elimina cualquier banda que no exista en tu organización.

1. Finalidad y ámbito

Finalidad. Esta Política de alfabetización en IA expone cómo [Nombre de la organización] garantiza un nivel suficiente de alfabetización en IA entre su personal y las demás personas que operan o utilizan sistemas de IA en su nombre, en cumplimiento de la obligación del artículo 4 del Reglamento (UE) 2024/1689 (la Ley de IA de la UE).

Ámbito. Esta política se aplica a todos los empleados, contratistas, consultores y terceros que desarrollen, adquieran, operen o utilicen cualquier sistema de IA en nombre de [Nombre de la organización], tanto si el sistema lo proporciona un tercero como si se ha construido internamente. La obligación se vincula a la función desempeñada, no a la forma de contratación.

2. Definiciones

Alfabetización en materia de IA son las capacidades, los conocimientos y la comprensión que permiten a las personas cubiertas por esta política realizar un despliegue y un uso informados de los sistemas de IA, así como tomar conciencia de las oportunidades y los riesgos de la IA y de los posibles perjuicios que puede causar (artículo 3(56)).

Sistema de IA es un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación y que, para objetivos explícitos o implícitos, infiere de la información de entrada cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales (artículo 3(1)).

3. Funciones y responsabilidades

  • Responsable de alfabetización en IA / gobernanza: rinde cuentas de esta política, del programa de alfabetización y de los registros de formación. Mantiene la asignación de roles a formación y el calendario de actualización.
  • Delegado de protección de datos (DPD): asesora sobre la intersección con el RGPD y sobre la formación cuando se tratan datos personales.
  • Contactos de IA de cada unidad de negocio: identifican quién, dentro de su función, toca cada sistema y los proponen para la banda correspondiente.
  • Todo el personal: completa la formación que exige su rol y escala los incidentes y las incertidumbres al responsable de alfabetización en IA.

4. Requisitos de alfabetización por rol y nivel de riesgo

La profundidad de la alfabetización exigida es proporcional a (a) el nivel de riesgo del sistema de IA y (b) la banda de personal implicada. [Nombre de la organización] utiliza la tabla de asignación de roles a formación del anexo para asignar a cada persona una banda de competencia —constructores técnicos, usuarios operativos o responsables de gobernanza y decisión— y un módulo correspondiente. El personal que trabaja con sistemas de alto riesgo (anexo III) requiere competencia de grado artículo 26; el personal que solo usa herramientas de riesgo mínimo requiere una concienciación básica proporcionada.

5. Programa de formación y modalidad de impartición

  • Concienciación básica para todo el que use IA en su actividad profesional: qué es la alfabetización en IA, las normas de uso aprobado de la organización, los límites de los resultados de la IA y cómo escalar.
  • Módulos específicos por rol asignados a las bandas de la sección 4.
  • La modalidad de impartición puede ser taller, teleformación o sesión informativa, según convenga a la banda.
  • Una comprobación de competencia basada en escenarios opcional (no un examen formal) confirma la comprensión en las bandas superiores.

6. Incorporación y cadencia de reciclaje

  • Las personas que se incorporan completan la formación requerida antes de que se les conceda acceso a los sistemas de IA dentro del ámbito.
  • Todo el personal completa, como mínimo, un reciclaje básico anual.
  • Se exige un reciclaje desencadenado al desplegar un nuevo sistema, ante una modificación sustancial de un sistema existente (artículo 3(23)) o tras un incidente material de IA.

7. Conservación de registros y prueba

Para cada actividad de formación, [Nombre de la organización] registra: la fecha de la sesión, los asistentes, el contenido tratado, quién la impartió, cualquier comprobación de competencia realizada y la fecha del próximo reciclaje programado. Estos registros se conservan como prueba principal del cumplimiento del artículo 4 y se ponen a disposición para la auditoría.

8. Revisión y gobernanza

Esta política se revisa al menos anualmente, con una revisión desencadenada ante un cambio regulatorio material (por ejemplo, orientaciones de la Oficina de IA o modificaciones del Ómnibus Digital). El responsable de alfabetización en IA es el dueño de la revisión; la aprobación recae en [Alta dirección / Consejo].

Tabla de asignación de roles a formación

La tabla de abajo es el corazón de la política: es donde la proporcionalidad deja de ser un principio y se convierte en una nómina. Rellénala a partir de tu inventario de sistemas de IA.

Rol / BandaRoles de ejemploExposición al riesgoAlfabetización requeridaMódulo de formaciónCadencia de reciclaje
Banda 1 — Constructores técnicosDesarrolladores, científicos de datos, ingenieros de MLConstruyen/modifican sistemas, incl. de alto riesgoComportamiento del modelo, modos de fallo, gobernanza de datos (artículo 10), gestión de riesgos (artículo 9), documentación técnica del anexo IVMódulo técnico + regulatorio profundoAnual + ante modificación sustancial
Banda 2 — Usuarios operativosResponsables de RR. HH. que actúan sobre listas de preselección, peritos de siniestros que leen puntuaciones de riesgoUsan resultados del sistema, incl. de alto riesgoQué predice el sistema concreto, sus limitaciones documentadas, la ruta de escalado, el derecho a anularMódulo operativo específico por rolAnual + ante nuevo sistema
Banda 3 — Gobernanza / responsables de decisiónCumplimiento, alta dirección, comprasSupervisión y validaciónDisparadores de clasificación del artículo 6, deberes de supervisión, cómo cuestionar a los compañeros técnicosSesión informativa de gobernanzaAnual
Básico — Todos los usuarios de IACualquier personal que use herramientas de riesgo mínimoBajoNormas de uso aprobado, límites de los resultados de la IA, escaladoConcienciación básicaAnual

Asignación de bandas a niveles de riesgo

Coteja cada banda con el nivel de riesgo del sistema. El personal que toca sistemas de alto riesgo del anexo III necesita la competencia más profunda, de grado artículo 26, de las bandas 1 y 2; el personal que solo usa herramientas de riesgo mínimo se sitúa en la banda básica. La banda determina el suelo de la alfabetización requerida; el nivel de riesgo lo eleva.

Cómo rellenar la tabla para tu organización

Parte de un inventario de sistemas de IA, enumera quién toca los resultados de cada sistema y, luego, asigna la banda y el módulo. Esta asignación sirve también como insumo de tu trabajo de clasificación del riesgo, así que no es esfuerzo duplicado: la misma nómina que demuestra la alfabetización también te dice quién depende de cada sistema. Enlaza esto con la impartición de la formación de empleados en IA.

Cómo adaptar la plantilla a tu organización

Ajústala al tamaño de tu cartera de IA y de tu plantilla

La proporcionalidad corta en ambos sentidos. Una empresa de diez personas que despliega una sola herramienta de facturación se enfrenta a un análisis mucho más ligero que una aseguradora de 500 personas que opera un modelo de puntuación de crédito del anexo III. Ajusta las bandas, los módulos y la cadencia en consecuencia: elimina las bandas que no tengas y no inventes obligaciones que el Reglamento no impone.

La autocomprobación de tres preguntas

Antes de diseñar un módulo para cualquier sistema, pregúntate:

  1. ¿Quién actúa sobre los resultados de este sistema?
  2. ¿Qué podría salir mal si los malinterpretan?
  3. ¿Qué esperaría un responsable de cumplimiento sénior y razonable que supieran primero?

Las respuestas te dicen la banda y el contenido. Si los resultados de un sistema alimentan una decisión de peso sobre una persona, el listón de alfabetización sube.

Que un revisor jurídico la localice

Sustituye todos los marcadores entre corchetes, alinea la política con tus procesos existentes de incorporación de personal y de gestión de incidentes, y haz que un revisor jurídico competente confirme las definiciones de los roles y la jurisdicción antes de que entre en vigor. La plantilla es un punto de partida, no asesoramiento jurídico.

Cuando finalmente se adopten especificaciones comunes o normas armonizadas sobre alfabetización en IA con arreglo al artículo 40, la conformidad con ellas crea una presunción de conformidad con el requisito correspondiente, así que sigue las publicaciones de la Oficina de IA e incorpóralas al ciclo de revisión. Empieza la adaptación a partir de un inventario de sistemas y una clasificación de referencia; confirma dónde te encuentras con la evaluación de preparación.

Cómo produce la política prueba para una auditoría

Qué pedirá un regulador o un auditor

En un contexto de aplicación, la respuesta a «enséñame tu cumplimiento del artículo 4» no es «usamos un proveedor certificado». Son los registros: la asignación de roles, los registros de formación y el juicio documentado sobre qué significaba una alfabetización proporcionada para tus sistemas y tus personas. Una insignia de certificación no sobrevive a esa pregunta; un registro fechado y atribuible sí.

La cadena de prueba, de la política al registro

Cada sección de la plantilla está diseñada para dejar un artefacto. La cadena va:

Política → asignación de roles → formación impartida → registros de finalización → calendario de reciclaje.

Los registros deben mostrar que la formación fue sistemática y adecuada al rol, en lugar de improvisada. Los campos mínimos son fecha, asistentes, contenido, quien la impartió, comprobación de competencia y fecha del próximo reciclaje.

Conectar los registros de alfabetización con las obligaciones de supervisión

Los registros del artículo 4 no viven aislados. Alimentan la evaluación de supervisión humana del artículo 26 —no puedes encomendar de forma creíble la supervisión a una persona cuya competencia no has evidenciado— y apoyan la evaluación de impacto sobre los derechos fundamentales del artículo 27 cuando se requiere. Como el artículo 4 entró en vigor en febrero de 2025, los reguladores pueden pedir registros que se remonten a esa fecha, así que documentar desde el principio demuestra una obligación sostenida, no de última hora.

Sanciones: por qué importan los registros

El artículo 4 en sí no lleva aparejada una multa propia, pero se inserta en un régimen de aplicación donde los vacíos de alfabetización afloran como fallos de supervisión y de información. Los tramos del artículo 99 son:

Categoría de infracciónMulta máximaArtículo
Prácticas prohibidas (artículo 5)35 000 000 € o el 7 % del volumen de negocios anual total mundial, lo que sea mayorArtículo 99(3)
La mayoría de las demás obligaciones de los operadores15 000 000 € o el 3 % del volumen de negocios anual total mundial, lo que sea mayorArtículo 99(4)
Información incorrecta, incompleta o engañosa a autoridades u organismos notificados7 500 000 € o el 1 % del volumen de negocios anual total mundial, lo que sea mayorArtículo 99(5)

Para las pymes y las empresas emergentes, cada multa se limita al menor de los dos: el porcentaje o el importe fijo (artículo 99(6)). Aquí importa el tercer tramo: si no puedes evidenciar la alfabetización y das a una autoridad una versión inexacta de tus medidas de formación, esa declaración errónea es por sí misma sancionable. Unos registros honestos y fechados son el seguro más barato contra el tramo de fallo de información.

Sobre los plazos: tanto las prohibiciones del artículo 5 como el deber de alfabetización del artículo 4 se aplican desde el 2 de febrero de 2025. El acuerdo político provisional del Ómnibus Digital del 6-7 de mayo de 2026 (texto del COREPER confirmado en torno al 13 de mayo de 2026) aplazaría los sistemas autónomos de alto riesgo del anexo III, con arreglo al artículo 6(2), del 2 de agosto de 2026 al 2 de diciembre de 2027. A junio de 2026 esto está acordado pero aún no es ley: todavía necesita una votación en el Pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial, de modo que el texto vigente fija el 2 de agosto de 2026, y el deber de alfabetización del artículo 4 no se ve afectado y ya está vivo.

Cómo ayuda Confir

Una política de alfabetización solo es tan buena como el inventario de sistemas y la clasificación que la sustentan. Necesitas saber qué sistemas de IA están dentro del ámbito y cuál es el nivel de riesgo de cada uno antes de que la asignación de roles tenga peso alguno.

El flujo de trabajo basado en reglas de Confir registra cada sistema de IA con su nivel de riesgo y su rol de actor con arreglo a los artículos 5 y 6 con la lógica del anexo III, lo que es la base natural para asignar qué personal necesita qué nivel de formación. Para cada sistema, puedes luego registrar los roles del personal dentro del ámbito, la formación impartida, las fechas de finalización y los ciclos de reciclaje programados, produciendo el rastro de auditoría documentado que exige el artículo 4. Esos registros de alfabetización quedan junto a la evaluación de supervisión del artículo 26 y la EIDF del artículo 27 en el mismo expediente de cumplimiento, de modo que la dependencia entre competencia y supervisión queda visible en un solo lugar.

El motor es determinista y basado en reglas: la misma entrada produce la misma conclusión, siempre, sin inferencia de ningún modelo y sin alucinaciones, y cada resultado se escribe en un registro de auditoría inmutable. Confir estructura la política, la asignación de roles y el registro de pruebas; no imparte la formación en sí. El contenido de la formación y su impartición siguen siendo responsabilidad de tu organización.

Preguntas frecuentes

¿Qué es una política de alfabetización en IA? Una política de alfabetización en IA es un documento interno que expone cómo una organización garantiza que el personal y los contratistas que operan o utilizan sistemas de IA tengan la competencia para hacerlo con responsabilidad. Define roles, requisitos de formación por rol, cadencia de reciclaje y conservación de registros, y aporta la prueba documentada que demuestra el cumplimiento del artículo 4 de la Ley de IA.

¿Exige la Ley de IA una política de alfabetización en IA? La Ley de IA no exige un documento titulado «política de alfabetización en IA», pero el artículo 4 —vigente desde el 2 de febrero de 2025— obliga a los proveedores y a los responsables del despliegue a garantizar una alfabetización en IA suficiente entre el personal. Una política escrita es la forma práctica de hacer demostrable y auditable ese deber de contornos abiertos, así que la mayoría de las organizaciones adoptan una.

¿Cuándo entró en vigor el artículo 4 de la Ley de IA? El artículo 4 se aplica desde el 2 de febrero de 2025, la misma fecha que las prohibiciones del artículo 5. No está ligado al plazo de alto riesgo. Cualquier organización que proporcione o despliegue sistemas de IA está sujeta al deber de alfabetización en IA desde entonces, y los reguladores pueden examinar registros que se remonten a esa fecha.

¿Quién necesita formación en alfabetización en IA con arreglo al artículo 4? Cualquiera que opere o utilice sistemas de IA en nombre de la organización: empleados, contratistas, consultores y operadores externos. El deber se vincula a la función, no al contrato de trabajo. La profundidad de la formación es proporcional: los constructores técnicos necesitan más que los usuarios operativos ocasionales de herramientas de riesgo mínimo.

¿Exige el artículo 4 una certificación de alfabetización en IA? No. La Ley de IA no prescribe ninguna certificación, credencial ni mínimo de horas de formación para la alfabetización en IA. Una insignia de un tercero puede ser prueba de apoyo, pero no es la sustancia del cumplimiento. Lo que importa son medidas documentadas y proporcionadas: asignación de roles, registros de formación, comprobaciones de competencia y fechas de reciclaje adecuadas a tus sistemas y tus personas.

¿Cómo se redacta una política de alfabetización en IA? Parte de tu inventario de sistemas de IA, identifica quién toca cada sistema y asigna bandas de competencia. Luego redacta ocho secciones: finalidad y ámbito, definiciones, funciones, requisitos por rol y nivel de riesgo, formación e impartición, incorporación y cadencia de reciclaje, conservación de registros, y revisión. Adapta una plantilla, sustituye los marcadores y haz que un revisor jurídico la localice.

¿Qué registros demuestran el cumplimiento de la alfabetización en IA? Como mínimo: las fechas de las sesiones de formación, los asistentes, el contenido tratado, quién la impartió, cualquier comprobación de competencia realizada y la fecha del próximo reciclaje programado. Los registros no tienen por qué ser elaborados: un registro estructurado ligado a la incorporación de personal sirve. El objetivo es mostrar que la formación fue sistemática y adecuada al rol, no improvisada, ya que estos registros son tu prueba principal del artículo 4.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Plantilla de política de uso de IA: un punto de partida compacto para el cumplimiento de la Ley de IA de la UE

Una plantilla de política de uso de IA para rellenar que cubre las prohibiciones del artículo 5, el control de la IA en la sombra, la supervisión del artículo 14, la información del artículo 50 y la alfabetización del artículo 4.

Template

Plantilla de registro de riesgos de IA: estructura de columnas y cumplimiento del artículo 9

Plantilla de registro de riesgos de IA: todas las columnas que necesita su registro del artículo 9: ID de riesgo, categoría, puntuación, controles, riesgo residual, aceptación. Dic. 2027.

Template

Plantilla de registro de sistemas de IA: el primer artefacto del cumplimiento del Reglamento de IA

Plantilla lista para copiar: 10 columnas y guía campo por campo, la columna vertebral de los artículos 11 y 12. Plazo de alto riesgo: 2 dic 2027.

Template

Plantilla de cuestionario para proveedores de IA: diligencia debida de la Ley de IA de la UE para responsables del despliegue

Formule las preguntas correctas antes de incorporar a un proveedor de IA. Más de 35 preguntas asociadas a los Artículos 6, 13, 14, 43, 47, 53, 72, 73 — plazo: 2 de diciembre de 2027.

Template

Plantilla de evaluación de riesgo de proveedores de IA: puntúa herramientas de IA de terceros bajo el Reglamento de IA

Plantilla lista para copiar: clasifica, puntúa y decide go/no-go sobre IA de terceros bajo el RIA. Multas del art. 99(4): hasta 15 M€ / 3 %.

Template

La plantilla de documentación técnica del anexo IV para sistemas de IA de alto riesgo

Plantilla lista para copiar de documentación técnica del anexo IV: cubre los 9 requisitos del artículo 11 y se conserva 10 años para las autoridades.

Más sobre este tema