[00]
Recurso 02 · AI Act · Reglamento (UE) 2024/1689
_
Por Alejandro Rios Calera, CTO
Alejandro Rios Calera es CTO y cofundador de The AI Business, donde lidera la implementación técnica del cumplimiento del AI Act en proyectos reales de IA.
Lectura: 9 min · The AI Business · Julio 2026
El 2 de agosto de 2026 no es la fecha en que empieza la obligación. Es la fecha en que empieza la inspección. La obligación de formar a tu equipo está en vigor desde febrero de 2025, y casi nadie la ha cumplido.
El Artículo 4 del Reglamento Europeo de Inteligencia Artificial lleva en vigor desde el 2 de febrero de 2025. Desde ese día, cualquier empresa que utilice sistemas de IA, y eso incluye herramientas tan extendidas como ChatGPT, Copilot o cualquier software con funciones automáticas de decisión, tiene la obligación legal de garantizar que sus empleados cuentan con un nivel adecuado de alfabetización en IA. Lo que cambia el 2 de agosto de 2026 es que la AESIA adquiere plenas competencias de inspección y sanción.
Si eres responsable de una empresa que usa IA, quedan semanas para tener el plan documentado. Esta guía te explica exactamente qué exige la ley, cómo estructurar el plan y qué documentación necesitas tener lista.
El texto es deliberadamente amplio: proveedores y usuarios de sistemas de IA deben adoptar medidas para garantizar «un nivel suficiente de alfabetización en IA de su personal y de las demás personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre». Tres claves:
· No hay umbral de tamaño. Afecta a autónomos, pymes y multinacionales por igual. Da igual si tienes 5 empleados o 5.000.
· La formación debe ser proporcional al contexto. No exige horas ni formato concretos, exige que esté adaptada al nivel técnico del empleado, al sector y a los sistemas que usa en su puesto.
· Documentar no es opcional. Un curso genérico sin registros de asistencia, evaluación ni evidencia no cumple. Tienes que poder demostrarlo ante una inspección.
Lo que no es suficiente: saber usar ChatGPT, que un empleado haya hecho un curso por su cuenta, o colgar un PDF de políticas en la intranet.
Las guías publicadas por la Comisión Europea y la AESIA identifican siete bloques de referencia. La profundidad en cada uno depende del uso real de IA en tu empresa:
#
Competencia
Qué significa en la práctica
1
Comprensión general de la IA
Qué es, cómo funciona, qué sistemas usa tu empresa, oportunidades y riesgos
2
Rol organizativo
Si tu empresa desarrolla o despliega IA, y qué implica legalmente cada posición
3
Evaluación de riesgos
Riesgos de los sistemas que cada empleado utiliza: alucinaciones, sesgos, filtraciones
4
Formación técnica contextual
Adaptada al nivel, sector y herramientas concretas del empleado
5
Uso responsable
Protección de datos, qué no compartir con herramientas públicas, supervisión humana
6
Interpretación de outputs
Revisión humana de las recomendaciones de la IA, verificación de resultados
7
Marco legal básico
AI Act, RGPD en contexto de IA, obligaciones de la empresa
No todos necesitan la misma profundidad: un operario que usa mantenimiento predictivo necesita dominar los bloques 5 y 6; un director legal o de RRHH, también el 2, el 3 y el 7. De ahí la importancia de estructurar por niveles.
La aproximación más práctica, la que recogen las guías europeas y las implementaciones que estamos viendo en España, es dividir el plan según la exposición de cada rol a la IA:
Nivel
Audiencia
Contenido principal
Duración
Básico
Toda la plantilla
Qué es la IA, uso ético y seguro, cuándo no confiar en el output, datos personales y privacidad
2–4 h
Intermedio
Usuarios intensivos (marketing, RRHH, atención al cliente, operaciones)
Prompts aplicados al rol, detección de sesgos, evaluación crítica de outputs, herramientas del puesto
6–10 h
Avanzado
Managers, legal, IT, RRHH estratégico
Gestión de riesgos, AI Act en profundidad, auditoría interna, gobernanza, documentación
10–20 h
El nivel básico aplica al 100% de la plantilla. Los niveles intermedio y avanzado se asignan por rol, no por voluntariedad. Qué constituye «nivel suficiente» para cada perfil lo define cada organización según sus sistemas y riesgos, no existe una tabla universal.
Tener la formación hecha no basta si no puedes demostrarlo. Ante una inspección, la AESIA puede solicitar evidencia. Estos son los cuatro documentos que deben existir:
1. Inventario de sistemas de IA en uso. Todas las herramientas con funciones de IA que la empresa utiliza, clasificadas por departamento y nivel de riesgo. Incluye software de terceros con IA integrada.
2. Política de uso de IA por rol. Qué sistemas puede usar cada tipo de empleado, para qué tareas y con qué restricciones (por ejemplo, qué datos no pueden introducirse en herramientas públicas). No tiene que ser extensa, tiene que existir y ser accesible.
3. Registros de formación. Quién ha recibido qué formación, cuándo y con qué resultado. Mínimo: asistencia, fechas, contenido y alguna evaluación del aprendizaje.
4. Evaluación de riesgos de sistemas de alto impacto. Para los sistemas del Anexo III (RRHH, acceso a servicios esenciales, infraestructura crítica…), la evaluación específica y las medidas de mitigación adoptadas.
Si ya tienes procesos de documentación para el RGPD o una ISO, estos documentos son en gran parte extensiones de lo que ya gestionas. Los cuatro salen de nuestro diagnóstico de 72 horas, es literalmente lo que entregamos.
La formación en competencias digitales e IA puede acogerse a bonificación a través de FUNDAE. Para aplicarla, la acción formativa debe comunicarse antes de su inicio, impartirse a través de una entidad organizadora autorizada y cumplir los requisitos de documentación. Los créditos orientativos según plantilla:
· Menos de 10 empleados: desde ~430 €
· 10–49 empleados: desde ~1.650 €
· 50–249 empleados: desde ~3.750 €
· 250+ empleados: hasta 15.000 € o más
La formación online se bonifica en torno a 7,50 € por hora y alumno. Si aún no has usado tu crédito FUNDAE este año, el plan del Artículo 4 es un caso de uso directo: el cumplimiento puede salirte casi gratis.
Si partes de cero hoy, este es el esquema que recomendamos hasta el 2 de agosto:
Semana
Qué hacer
1
Inventariar los sistemas de IA en uso · asignar cada empleado a su nivel · revisar el crédito FUNDAE disponible
2
Redactar la política de uso por rol · crear los módulos del nivel básico (prioridad máxima: afecta a toda la plantilla)
3
Lanzar el nivel básico y registrar completado · desarrollar el contenido intermedio
4
Completar intermedio y avanzado · consolidar los 4 documentos de evidencia · cerrar evaluaciones de alto riesgo si aplican
En la práctica, el cuello de botella no suele ser producir el contenido, sino decidir: quién aprueba la política, quién valida el inventario, quién empuja el proceso. Lo importante es poder mostrar progreso documentado antes del 2 de agosto: un inventario iniciado, una política en borrador, un primer módulo lanzado ya es una posición radicalmente mejor que no tener nada.
¿Qué pasa si no cumplo antes del 2 de agosto?
El Artículo 4 no tiene una sanción directa asignada, pero el incumplimiento agrava cualquier otra infracción del reglamento, cuyas multas generales llegan a 35 millones de euros o el 7% de la facturación global. Y es razonable anticipar que la formación estará entre lo primero que la AESIA examine al supervisar el uso de IA.
¿La formación tiene que ser presencial?
No. El reglamento no fija formato. La formación online es válida, y si genera registros de completado automáticos, la parte de documentación se resuelve sola.
¿Afecta a empresas que solo usan IA de terceros?
Sí. La obligación aplica a proveedores y a usuarios. Si usas Copilot, Gemini o un software de RRHH con IA integrada, eres «usuario» bajo el reglamento y te aplica.
¿Puedo usar cursos de plataformas externas?
Sí, siempre que el contenido esté adaptado al contexto real de tu empresa y puedas acreditar asistencia y aprendizaje. Un curso genérico sin evidencia de completado no es suficiente.
Referencias: Reglamento (UE) 2024/1689 · artificialintelligenceact.eu
Fuentes: Reglamento (UE) 2024/1689 (texto oficial) · artificialintelligenceact.eu · AESIA (aesia.es). Este contenido es divulgativo y no constituye asesoramiento jurídico.
Diagnóstico de exposición al AI Act en 72 horas: inventario, clasificación de riesgo, tu exposición en euros y el plan para cerrarla. Sin compromiso.
1 vídeo · 3 guías · 20 min de lectura
R·01 · Checklist
Checklist AI Act: 7 preguntas que tu empresa debe poder responder hoy
La herramienta de diagnóstico: dónde está el trabajo hecho y dónde quedan huecos reales antes de agosto.
Leer →
R·03 · Estrategia
El AI Act no se cumple una vez: mantenlo al día sin rehacerlo todo
Cómo diseñar un cumplimiento que sobrevive a cambios de normativa, herramientas y procesos.
Leer →
GDPR · BY CONTRACT
EU AI ACT · BY CONTRACT