Hay una obligación legal sobre inteligencia artificial que casi ninguna empresa española sabe que está incumpliendo. No es la de los sistemas de alto riesgo. No es la multa de 35 millones que sale en los titulares. Es formar a tu plantilla. El Artículo 4 del Reglamento Europeo de IA lo exige, y lleva siendo aplicable desde febrero de 2025.
Y aquí está la confusión que vende cursos: medio mercado anuncia "fórmate antes de agosto de 2026". Esa fecha es real, pero no significa lo que parece. La obligación de formar ya existe. Lo que llega en agosto de 2026 es la maquinaria que puede sancionarte por no haberla cumplido. No tienes hasta agosto: ya vas tarde.
Te explico qué exige exactamente el Artículo 4, a quién, desde cuándo de verdad, y cómo distinguir una formación que cumple de un taller de prompts con sello de subvención que no te va a servir de nada ante una inspección.
¿Qué dice el Artículo 4 del Reglamento de IA?
El Artículo 4 del Reglamento (UE) 2024/1689 obliga a proveedores y deployers de sistemas de IA a garantizar "un nivel suficiente de alfabetización en materia de IA" de su personal y de cualquier otra persona que opere esos sistemas en su nombre. Es una frase corta con consecuencias largas.
Lo primero que conviene aclarar es a quién obliga, porque casi todo el mundo se cree fuera. Un deployer es cualquier organización que usa un sistema de IA con fines profesionales, no quien lo fabrica. Si tu empresa usa un copiloto, un sistema de cribado o cualquier herramienta de IA, eres deployer y el Artículo 4 te aplica. No es una obligación de las grandes tecnológicas: es de cualquiera que use IA en la Unión Europea. Si te pierdes con los roles, los repaso en qué es el EU AI Act y a quién aplica.
Lo segundo es el alcance de "personal". No son solo los empleados en nómina. La obligación cubre también a contratistas, consultores y equipos externos que manejen IA en tu nombre. El que subcontrata no externaliza la responsabilidad de que esa gente sepa lo que hace.
Alfabetización en IA no es saber usar ChatGPT
El malentendido más caro del mercado es equiparar "formación en IA" con "taller de prompts". Son cosas distintas, y solo una cumple la ley. Saber escribir una buena instrucción para ChatGPT es una habilidad de productividad. La alfabetización en IA que exige el reglamento es otra cosa: comprender qué puede y qué no puede hacer un sistema de IA, qué riesgos introduce, qué sesgos arrastra y qué implica usarlo en cada contexto.
Un curso de "saca más partido a la IA generativa" enseña a usar la herramienta. No enseña a un responsable de recursos humanos que un sistema de cribado de currículos es de alto riesgo y por qué. No enseña a un analista a reconocer cuándo el resultado de un modelo no es fiable. No enseña a nadie a reportar un incidente relacionado con IA. Y esas son, exactamente, las competencias que el Artículo 4 busca instalar en la plantilla.
¿Desde cuándo es obligatoria la formación en IA?
Esta es la parte donde el marketing y la ley no coinciden, y conviene tener los dos datos claros porque cambian tu situación de cumplimiento.
| Hito | Fecha | Qué significa |
|---|---|---|
| Obligación aplicable | 2 de febrero de 2025 | El deber de formar ya existe. Si no has formado, ya estás en incumplimiento |
| Régimen sancionador operativo | Agosto de 2026 | Las autoridades que pueden multarte deben estar establecidas. Es cuando el incumplimiento se vuelve sancionable en la práctica |
La distinción importa más de lo que parece. La mayoría de las academias venden la urgencia de agosto de 2026 como si fuera la fecha en la que nace la obligación. No lo es. La obligación nació en febrero de 2025. Agosto de 2026 es, simplemente, el momento a partir del cual hay quien puede ponerte la multa. Tratar la primera fecha como una cuenta atrás cómoda es un error de lectura que sale caro: significa acumular dieciocho meses de incumplimiento creyendo que vas con tiempo.
Qué debe cubrir una formación para cumplir el Artículo 4
El reglamento no impone un temario ni un formato concreto, lo que deja un vacío que el mercado ha llenado con cursos de calidad muy desigual. Para no comprar humo, estos son los criterios con los que yo evaluaría cualquier formación, sea la mía o la de otro. Si una formación no marca la mayoría de estas casillas, no te va a servir ante una inspección.
- Adaptada al rol. No es lo mismo lo que necesita saber quien firma decisiones que quien teclea instrucciones. Una formación de café para todos no cumple.
- Cubre riesgos y límites, no solo uso. Sesgos, alucinaciones, fuga de datos, dependencia. La parte incómoda, no solo la productiva.
- Incluye el marco legal. Qué obliga el reglamento, los cuatro niveles de riesgo y qué cae en cada uno.
- Aterriza la gobernanza. Clasificación de sistemas, supervisión humana, quién responde de qué. La IA sin gobierno es donde empiezan los problemas.
- Genera evidencia documental. Quién se formó, en qué y cuándo. Sin un registro que enseñar, ante la autoridad es como si no hubieras formado.
- Adaptada al sector. Los riesgos de un banco no son los de un hospital ni los de una ingeniería. El ejemplo genérico vale poco.
- La imparte alguien que lo aplica. La diferencia entre quien ha gobernado IA en producción y quien ha leído el reglamento se nota en la primera pregunta difícil.
Fíjate en que el sello de bonificable, que tanto se anuncia, no está en la lista. Que una formación se pueda financiar no dice nada de si cubre estos contenidos. Lo que cumple el Artículo 4 no es de dónde sale el dinero, es el temario y la evidencia que deja.
Curso, consultoría o formación interna: cuál te conviene
No hay una respuesta única, y desconfía de quien te diga que siempre es la suya. Depende de lo que ya tengas dentro.
La consultoría a medida tiene sentido si necesitas que alguien diseñe el programa completo adaptado a tus procesos y te acompañe en la implantación. Es la opción más cara y la justifica una organización grande con sistemas de IA complejos. La formación interna funciona si ya tienes a alguien con el conocimiento para construirla y mantenerla, algo más raro de lo que la gente cree. Y un curso estructurado es la vía cuando necesitas que tú y tu equipo entendáis el marco, los riesgos y la gobernanza de forma rápida, con criterio práctico y a un coste razonable. Para la mayoría de las empresas medianas, es el punto de partida sensato antes de plantearse nada más caro.
¿Qué pasa si no formas a tu plantilla?
El incumplimiento de las obligaciones del reglamento, incluida la de formación, entra en el régimen sancionador general, con multas que llegan hasta 15 millones de euros o el 3% de la facturación mundial. El detalle de los tramos lo desgloso en las multas y sanciones del EU AI Act, y quien las impone en España es la AESIA.
Pero la multa es el riesgo pequeño. El grande es estructural: sin alfabetización, todo lo demás del cumplimiento se derrumba. Una plantilla que no reconoce un sistema de alto riesgo no lo va a clasificar. Quien no entiende los límites de un modelo no va a supervisar su salida. Quien no sabe qué es un incidente de IA no lo va a reportar. La formación no es una casilla aparte del cumplimiento: es el cimiento sobre el que se sostiene el resto.
Mi opinión como CISO
El mercado está tratando la formación obligatoria como la casilla más barata de marcar, y eso es exactamente lo que la hace inútil. Un curso de dos horas con un certificado bonito tranquiliza a Dirección y no cambia nada en el comportamiento de nadie. Cumple en el papel y falla en la realidad, que es la peor combinación posible.
Trabajo en el sector nuclear, un entorno donde demostrar que tu gente está formada y es competente para su función es parte del cumplimiento operativo, no un anexo administrativo. Allí la formación se diseña por rol, se evalúa y se documenta, porque la competencia del personal es una barrera de seguridad más. Esa es la vara con la que miro la alfabetización en IA, y por eso me chirría verla reducida a un trámite.
El que forma de verdad construye su primera línea de defensa: gente que detecta el uso peligroso, que reporta, que supervisa. El que marca la casilla compra papel para enseñar a un inspector. La diferencia entre las dos cosas no se ve hasta que pasa algo. Y cuando pasa, ya es tarde para descubrir cuál tenías.
Curso · Ciberseguridad de la IA para CISOs
Esto es lo que cubro en mi curso, porque es lo que aplico como CISO. Marca los criterios de arriba: riesgos y gobernanza reales, el marco del EU AI Act, NIST e ISO 42001, y caso práctico, no un taller de prompts. 5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos + manual completo + autoevaluación. Acceso durante un año. Diploma al finalizar, que te sirve como evidencia documental de la formación.
Ver el cursoPor dónde empezar
Si me preguntas por el primer movimiento, no es comprar la primera formación que te aparezca. Es ordenar el problema en cuatro pasos.
- Inventaría quién usa IA en la organización, incluidos los equipos externos. No puedes formar a quien no sabes que está usando IA.
- Define el nivel por rol. Quien decide con IA necesita más que quien la usa de forma puntual. Ajusta la profundidad.
- Elige una formación que marque los criterios de más arriba. Compárala con la vara, no con el precio ni con el sello.
- Documenta la evidencia. Registro de quién se formó, en qué y cuándo. Esto es lo que enseñas si llaman a la puerta.
La pregunta no es si formar antes de agosto de 2026. Es si, hoy, que la obligación ya existe, tu plantilla sabría reconocer un uso de IA de alto riesgo o reportar un incidente. Si la respuesta es no, ya estás incumpliendo, multa aparte. Y la primera tarea no es comprar un curso: es contar a cuánta gente de tu organización le pasaría eso ahora mismo.
¿Quieres este tipo de análisis cada lunes?
Newsletter semanal con análisis CISO como este: lecciones de revisiones reales, herramientas prácticas y los movimientos de regulación de IA en España y la Unión Europea. Escribo sobre seguridad de la IA para CISOs. Si te sirve, suscríbete.
Suscribirme a la newsletterPreguntas frecuentes sobre la formación obligatoria en IA
¿Es obligatoria por ley la formación en IA para las empresas en España?
Sí. El Artículo 4 del Reglamento Europeo de IA obliga a proveedores y deployers de sistemas de IA a garantizar un nivel suficiente de alfabetización en IA de su personal y de quienes operan IA en su nombre. Aplica a cualquier organización que use IA en la Unión Europea, no solo a las grandes tecnológicas, e incluye a empleados, contratistas y consultores.
¿Desde cuándo hay que formar al personal según el AI Act?
La obligación de alfabetización en IA del Artículo 4 es aplicable desde el 2 de febrero de 2025, así que ya está vigente. Lo que llega más tarde es la capacidad de sancionarla: las autoridades de vigilancia que pueden imponer multas deben estar operativas en agosto de 2026. La obligación existe hoy; la exigibilidad sancionadora plena llega después.
¿Qué debe incluir una formación para cumplir el Artículo 4 del Reglamento de IA?
Una formación válida va más allá de enseñar a usar herramientas. Debe cubrir las capacidades y límites de la IA, sus riesgos y sesgos, el marco legal y los niveles de riesgo, la gobernanza (clasificación, supervisión humana, responsabilidades), estar adaptada al rol y al sector, y generar evidencia documental de quién se formó, en qué y cuándo, para poder demostrarlo ante una inspección.
¿Vale un curso de IA de prompts o bonificado de FUNDAE para cumplir la obligación?
No necesariamente. Un curso centrado en sacar partido a ChatGPT enseña a usar la herramienta, pero la alfabetización en IA que exige el Artículo 4 incluye comprender riesgos, límites, sesgos y gobernanza. Que una formación sea bonificable no garantiza que cubra esos contenidos. Lo que cumple no es el sello de financiación, sino el temario y la evidencia que genera.
¿Qué pasa si no formo a mi plantilla en IA?
Incumplir las obligaciones del Reglamento de IA, incluida la de formación, conlleva sanciones administrativas que llegan hasta 15 millones de euros o el 3 por ciento de la facturación anual mundial. Más allá de la multa, sin alfabetización el resto del cumplimiento se cae: el personal no reconoce un sistema de alto riesgo, no reporta incidentes y no supervisa lo que debe.
¿Necesito ISO 42001 además de la formación en IA?
Son cosas distintas. La formación del Artículo 4 es una obligación legal directa del Reglamento de IA. La ISO 42001 es un estándar voluntario de sistema de gestión de IA que ayuda a organizar todo el cumplimiento, incluida la formación, pero no es obligatorio. Puedes cumplir el Artículo 4 sin certificarte en ISO 42001, aunque la norma facilita demostrar que lo haces de forma sistemática.
Fuentes
- Artículo 4: AI literacy · EU Artificial Intelligence Act. Texto del artículo que establece la obligación de alfabetización en IA para proveedores y deployers.
- Reglamento (UE) 2024/1689 (EU AI Act) · EUR-Lex. Texto oficial consolidado del Reglamento Europeo de Inteligencia Artificial, incluido el calendario de aplicación.
- Regulatory framework on AI · Comisión Europea. Página oficial de la Comisión sobre el marco regulatorio y la alfabetización en IA.
- AESIA · Agencia Española de Supervisión de la Inteligencia Artificial. Autoridad nacional competente para la supervisión del AI Act en España.
