[00]
Recurso 01 · AI Act · Reglamento (UE) 2024/1689
_
Por Alejandro Rios Calera, CTO
Alejandro Rios Calera es CTO y cofundador de The AI Business, donde lidera la implementación técnica del cumplimiento del AI Act en proyectos reales de IA.
Lectura: 5 min · The AI Business · Julio 2026
El reglamento europeo de IA no exige un curso. Exige que puedas demostrar que tu equipo entiende la IA que usa, qué puede hacer, qué no puede hacer y qué riesgos implica. Estas siete preguntas te dicen si lo tienes o solo lo crees.
El Artículo 4 del Reglamento (UE) 2024/1689 establece algo más concreto de lo que parece: no basta con que tus empleados usen sistemas de IA. Tu organización tiene que poder demostrar que entienden lo que usan, qué puede hacer, qué no, y qué consecuencias tiene confiar en su resultado sin criterio propio. A partir del 2 de agosto de 2026, la AESIA (la Agencia Española de Supervisión de la Inteligencia Artificial) puede verificar ese cumplimiento con plenas competencias.
La pregunta que más escuchamos ya no es «¿qué dice la ley?». Es: «¿cómo sé si lo que tenemos es suficiente?» Este checklist sirve exactamente para eso: siete preguntas que revelan dónde está el trabajo hecho y dónde quedan huecos reales.
[01] ¿Tenéis un inventario de los sistemas de IA que usa la empresa?
La obligación afecta a quienes despliegan sistemas de IA, no solo a quienes los desarrollan. Eso incluye cualquier herramienta que use tu equipo: asistentes de escritura, análisis predictivo, herramientas de contratación con IA, generadores de contenido, también las que usan por su cuenta sin que IT lo sepa. Sin inventario no puedes saber quién necesita formarse ni en qué.
Lo que deberías tener: Un registro actualizado de qué sistemas de IA están en uso, en qué departamentos y para qué funciones. Una hoja de cálculo sirve. Lo que no sirve es no tenerlo.
[02] ¿Sabéis a qué nivel de riesgo pertenece cada sistema?
El reglamento clasifica los sistemas en cuatro categorías: riesgo inaceptable (prohibidos), alto riesgo, riesgo limitado y riesgo mínimo. Las exigencias crecen con la categoría, y los sistemas que tocan selección de personal, crédito, acceso a servicios o infraestructura crítica suelen caer en alto riesgo.
Lo que deberías tener: Una clasificación básica de cada sistema del inventario. Para los de alto riesgo, la exigencia de competencia documentada, y el tipo de formación, es mayor.
[03] ¿Habéis definido quiénes deben formarse y a qué profundidad?
«Alfabetización suficiente» no significa lo mismo para todos. El técnico que integra un modelo, el comercial que usa una herramienta de análisis y el manager que decide sobre recomendaciones automatizadas necesitan niveles distintos. Formar a toda la plantilla con el mismo módulo genérico cubre la obligación en papel, no en sustancia.
Lo que deberías tener: Una matriz de roles y competencias: para cada perfil, qué debe entender de los sistemas que usa y con qué detalle.
[04] ¿La formación cubre capacidades, limitaciones y riesgos, no solo instrucciones de uso?
Aquí es donde la mayoría se queda corta sin saberlo. La norma pide que la gente entienda tres dimensiones: qué puede hacer el sistema, qué no puede hacer y qué riesgos implica usarlo. Un onboarding de herramienta («cómo iniciar sesión, cómo consultar») no cubre la dimensión crítica: cuándo se equivoca, qué sesgos arrastra, qué pasa si te fías a ciegas.
Lo que deberías tener: Contenido formativo con, como mínimo, un bloque de limitaciones conocidas y otro de riesgos de mal uso o sobreconfianza por cada sistema.
[05] ¿Tenéis registros que demuestren quién se formó, cuándo y con qué resultado?
Tener un sistema de formación no es lo mismo que tener evidencia lista para auditoría. En una inspección no se audita la plataforma, se audita la persona. «María García, de operaciones, completó el módulo de alfabetización en IA el 15 de mayo con un 85%» es evidencia. «Tenemos un curso en la intranet» no lo es. Un PDF enviado por email tampoco genera registro.
Lo que deberías tener: Registros individualizados por empleado, módulo, fecha y resultado, generados automáticamente y exportables en un formato que soporte auditoría.
[06] ¿Está previsto revisar la formación cuando cambien las herramientas o la norma?
El reglamento entiende la alfabetización como una competencia continua, no un certificado puntual. Las herramientas se actualizan, las guías de aplicación se publican de forma progresiva y tu catálogo de sistemas cambiará. Una formación diseñada una sola vez para cumplir en agosto puede quedar obsoleta antes de fin de año.
Lo que deberías tener: Un mecanismo de revisión periódica, mínimo anual, y un proceso claro para actualizar módulos cuando entra o cambia un sistema de IA.
[07] ¿Podríais responder todo esto ante una inspección hoy mismo?
No dentro de tres meses. Hoy. Esta pregunta revela si el cumplimiento está hecho o solo planificado. Si el inventario, la clasificación, la matriz de roles, los registros o el plan de actualización existen solo como intención, el cumplimiento no está completo.
La AESIA no evalúa planes. Evalúa evidencias.
Siete preguntas. En la mayoría de organizaciones, dos o tres quedan sin respuesta sólida. Eso no es un fracaso, es un diagnóstico útil. El orden del trabajo importa: primero el inventario (sin él no puedes hacer nada), después la clasificación de riesgo, después la matriz de roles, y desde ahí la formación con trazabilidad desde el primer módulo.
Lo que no funciona es tratarlo como un proyecto para «después del verano». La fecha límite es este verano. Si quieres el diagnóstico completo hecho por nosotros, inventario, clasificación, exposición en euros y roadmap, lo tienes en 72 horas.
¿El Artículo 4 obliga solo a quien desarrolla IA?
No. Aplica a cualquier organización que use sistemas de IA en su actividad: si tu empresa usa una herramienta de IA para selección de personal, análisis de clientes o gestión operativa, te aplica.
¿Qué pasa si no cumplo antes del 2 de agosto de 2026?
La AESIA puede abrir procedimientos de supervisión. Las sanciones por infringir las obligaciones aplicables a operadores llegan a 15 millones de euros o el 3% de la facturación global anual, y el techo general del reglamento, para las infracciones más graves, alcanza los 35 millones o el 7%.
¿Un curso genérico de «IA para todos» cumple?
En la mayoría de casos, no. La formación debe ser proporcional al rol y a los sistemas concretos que usa cada empleado. Un módulo introductorio puede ser el punto de partida, no el punto final.
Referencias: Reglamento (UE) 2024/1689 · artificialintelligenceact.eu
Fuentes: Reglamento (UE) 2024/1689 (texto oficial) · artificialintelligenceact.eu · AESIA (aesia.es). Este contenido es divulgativo y no constituye asesoramiento jurídico.
Diagnóstico de exposición al AI Act en 72 horas: inventario, clasificación de riesgo, tu exposición en euros y el plan para cerrarla. Sin compromiso.
1 vídeo · 3 guías · 20 min de lectura
R·02 · Guía completa
Artículo 4: el plan de formación obligatorio antes del 2 de agosto
Qué exige la ley, las 7 competencias, el modelo de 3 niveles, los 4 documentos y cómo bonificarlo con FUNDAE.
Leer →
R·03 · Estrategia
El AI Act no se cumple una vez: mantenlo al día sin rehacerlo todo
Cómo diseñar un cumplimiento que sobrevive a cambios de normativa, herramientas y procesos.
Leer →
GDPR · BY CONTRACT
EU AI ACT · BY CONTRACT