LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi LA LEY, por y para profesionales del Derecho

10/07/2026. 10:12:08
10/07/2026. 10:12:08

LegalToday

Por y para profesionales del Derecho

Alfabetización en IA: la obligación del artículo 4 del RIA que ya afecta al uso diario de la IA generativa en tu empresa

Ulises David González López

Abogado y Consultor especializado en Protección de Datos, Seguridad de la Información y Regulación Digital.

Redactar un correo con ChatGPT, resumir un acta de reunión con Copilot, preparar el borrador de una oferta comercial, traducir una respuesta a un proveedor o cribar candidaturas con ayuda de un asistente de IA. Escenas cotidianas en los departamentos de administración y finanzas, recursos humanos, IT, atención al cliente, operaciones o compras de cualquier organización. La inteligencia artificial generativa se ha integrado en las tareas ordinarias con una rapidez que ninguna otra tecnología había alcanzado antes.

Lo que muchas organizaciones aún no han interiorizado es que ese uso cotidiano activa una obligación jurídica concreta: la alfabetización en IA del artículo 4 del Reglamento Europeo de Inteligencia Artificial (RIA), aplicable desde el 2 de febrero de 2025 y cuya supervisión por las autoridades de vigilancia del mercado comienza en agosto de 2026.

¿Qué exige exactamente el artículo 4 del RIA?

El artículo 4 obliga a los proveedores y a los responsables del despliegue (los deployers, es decir, quienes utilizan sistemas de IA bajo su propia autoridad) a adoptar medidas para garantizar que su personal, y cualquier otra persona que opere o utilice sistemas de IA en su nombre, cuente con un nivel suficiente de alfabetización en materia de IA.

El propio Reglamento define el concepto en su artículo 3.56: capacidades, conocimientos y comprensión que permiten hacer un despliegue informado de los sistemas de IA y tomar conciencia de sus oportunidades, riesgos y posibles perjuicios. El considerando 20 completa la idea: no se trata de convertir a toda la plantilla en expertos técnicos, sino de que cada persona sepa interpretar correctamente los resultados del sistema que utiliza y comprenda las consecuencias de las decisiones adoptadas con su ayuda, algo que alienta la necesidad de supervisión humana.

Dos matices importantes. Primero, la obligación no se limita a los empleados: alcanza también a contratistas y prestadores de servicios que usen IA por cuenta de la organización. Segundo, no es una formación genérica e idéntica para todos: debe adaptarse a los conocimientos técnicos, la experiencia y la formación de cada colectivo, al contexto de uso y a las personas sobre las que el sistema despliega sus efectos.

“Solo usamos ChatGPT”: también te aplica.

Es el equívoco más extendido. Muchas empresas asumen que, al no desarrollar sistemas de IA ni utilizar sistemas de alto riesgo, el RIA les resulta ajeno. El artículo 4 desmiente esa percepción: se aplica a cualquier proveedor o responsable del despliegue, con independencia del nivel de riesgo del sistema.

La Comisión Europea lo ha confirmado expresamente en su documento de preguntas y respuestas sobre alfabetización en IA: una empresa cuyos empleados utilizan ChatGPT para redactar textos publicitarios o traducir documentos debe cumplir con el artículo 4 e informarles de los riesgos específicos, por ejemplo, las alucinaciones, necesidad de supervisión humana de los outputs, etc. Y añade algo relevante: limitarse a remitir al personal a las instrucciones de uso de la herramienta será, en la mayoría de los casos, ineficaz e insuficiente.

A ello se suma un fenómeno que cualquier DPO o responsable de cumplimiento conoce bien: la shadow AI, el uso de herramientas de IA generativa no autorizadas por la organización, frecuentemente en cuentas personales gratuitas. Que la empresa no haya aprobado la herramienta no la exime de la obligación; al contrario, evidencia la ausencia de las medidas que el artículo 4 exige.

El criterio de la Comisión: cuatro elementos mínimos.

La Oficina de IA ha renunciado deliberadamente a imponer requisitos rígidos, pero ha fijado un contenido mínimo para todo programa de alfabetización:

  • Asegurar una comprensión general de la IA en la organización: qué es, cómo funciona, qué herramientas se usan internamente y cuáles son sus oportunidades y peligros.
  • Considerar el rol de la organización: no es lo mismo desarrollar sistemas de IA que limitarse a utilizarlos.
  • Considerar el riesgo de los sistemas utilizados: qué debe saber el personal al manejarlos y qué riesgos debe conocer y mitigar.
  • Construir acciones a medida sobre ese análisis, atendiendo al nivel de conocimiento de cada colectivo y al contexto y sector de uso.

Igual de relevante es lo que la Comisión aclara que no se exige: ni certificados, ni evaluación obligatoria del nivel de conocimientos de los empleados, ni la designación de un “AI Officer” o la creación de un comité de gobernanza específico. Ahora bien, sí recomienda conservar un registro interno de las formaciones e iniciativas realizadas, que será la evidencia natural de cumplimiento ante una eventual inspección. Como fuente de inspiración, la Comisión mantiene un repositorio vivo de prácticas de alfabetización en IA con ejemplos reales de organizaciones de todos los tamaños y sectores, y la AESIA ha publicado una página de recursos formativos gratuitos sobre la materia.

Aterrizando la obligación departamento a departamento.

La clave del artículo 4 está en la proporcionalidad y el contexto: la formación debe responder al uso real que cada departamento hace de la IA generativa. Algunos ejemplos de cómo modular el contenido:

  • Administración y finanzas. Riesgo de volcado de información financiera y contractual confidencial en herramientas no corporativas, y de errores numéricos o alucinaciones en resúmenes, conciliaciones o borradores de informes. La pauta esencial: verificación humana de toda cifra y dato antes de su uso, y prohibición de introducir información confidencial en versiones gratuitas o no autorizadas.
  • Recursos humanos. Es el departamento más sensible: el uso de IA en selección de personal o en decisiones que afecten a la relación laboral puede constituir un sistema de alto riesgo del anexo III del RIA, además de un tratamiento de datos personales con exigencias reforzadas bajo el RGPD. El personal de RRHH debe conocer los riesgos de sesgo, los límites de las prácticas prohibidas del artículo 5 y la necesidad de supervisión humana efectiva.
  • IT. Más allá de su competencia técnica, necesita formación en las implicaciones jurídicas: criterios para aprobar herramientas, configuración de instancias corporativas que impidan el uso de los datos para entrenamiento, medidas frente a la shadow AI y trazabilidad de los usos.
  • Atención al cliente y operaciones. Si se emplean chatbots o asistentes que interactúan con clientes, entran en juego las obligaciones de transparencia del artículo 50 del RIA (informar de que se interactúa con una IA). El personal debe saber revisar las respuestas generadas antes de remitirlas y cuándo escalar a intervención humana.
  • Compras y proveedores. La obligación alcanza a quienes usan IA «en nombre de» la organización: procede incorporar cláusulas contractuales que exijan a los prestadores de servicios un nivel adecuado de alfabetización de su personal, y advertir de los riesgos de analizar ofertas o documentación de terceros con herramientas generativas.

¿Qué ocurre si no se cumple?

La obligación es exigible desde el 2 de febrero de 2025, y las autoridades nacionales de vigilancia del mercado comenzarán a supervisar y sancionar su incumplimiento a partir de agosto de 2026, conforme a los regímenes sancionadores nacionales. En España, ese papel corresponderá con carácter general a la AESIA, según el modelo de supervisión que articula el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA, actualmente en tramitación parlamentaria.

La Comisión ha apuntado, además, dos vías de riesgo adicionales. La primera, la aplicación privada: quien sufra un daño derivado del uso de un sistema de IA podrá invocar la falta de formación del personal como elemento de la responsabilidad de la organización. La segunda, el efecto agravante: la sanción será más probable y más severa cuando exista un incidente atribuible a la falta de formación y orientación adecuadas. Y no conviene olvidar la dimensión RGPD: un empleado sin pautas que vuelque datos personales en una herramienta generativa no autorizada puede materializar una brecha de seguridad con consecuencias ante la AEPD, en términos de responsabilidad proactiva y del deber de seguridad del artículo 32.

El Digital Omnibus: la obligación se flexibiliza, pero no desaparece.

Conviene cerrar con una precisión de actualidad. El paquete de simplificación digital (Digital Omnibus), cuyo texto ha sido aprobado por el Parlamento Europeo y el Consejo en junio de 2026 y está pendiente de publicación en el DOUE, reformula el artículo 4: la obligación pasa a configurarse expresamente como una obligación de medios, consistente en adoptar medidas apropiadas para apoyar el desarrollo de la alfabetización en IA del personal, sin exigir un nivel garantizado o medible por persona.

Sería un error leer esta flexibilización como una derogación. La obligación de actuar se mantiene para proveedores y responsables del despliegue; para quienes desplieguen sistemas de alto riesgo, subsiste íntegramente el deber del artículo 26 de garantizar que el personal está suficientemente formado para manejar el sistema y asegurar la supervisión humana. Lo que cambia es el estándar de exigencia, no su existencia. Hasta la publicación del texto definitivo, la referencia operativa sigue siendo los criterios de la Comisión expuestos más arriba.

¿Cómo empezar a articular el plan para cumplir con la Alfabetización de la IA?

  1. Inventariar los usos reales de IA en la organización, incluida la shadow AI, e identificar qué departamentos usan qué herramientas y para qué.
  2. Aprobar una política de uso de IA generativa: herramientas autorizadas, información que nunca debe introducirse, obligación de verificación humana y canal de consulta.
  3. Diseñar la formación por perfiles: una base común para toda la plantilla y módulos específicos por departamento según el riesgo de sus usos.
  4. Extender la exigencia a terceros que usen IA en nombre de la organización, mediante cláusulas contractuales y verificaciones proporcionadas.
  5. Documentar y actualizar: registro interno de acciones formativas y revisión periódica ante nuevas herramientas, nuevos usos y novedades normativas.

En definitiva, la alfabetización en IA no es un trámite formativo más, sino la primera pieza del sistema de gobernanza de la IA que toda organización deberá construir. Igual que ocurrió con la protección de datos, la ventaja competitiva no estará en esperar a la primera inspección, sino en integrar cuanto antes una cultura de uso informado y responsable de la IA generativa en el día a día de cada departamento. La obligación ya está en vigor; el margen para llegar tarde se agota en agosto de 2026.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.

Resumen de privacidad

Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en tu navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. Estas cookies no requieren el consentimiento del usuario. También utilizamos cookies de terceros: analíticas, que nos ayudan a analizar y comprender cómo utilizas este sitio web, y publicitarias, para generar audiencias y ofrecer publicidad personalizada a través de los hábitos de navegación de los usuarios. Estas cookies se almacenarán en tu navegador solo con tu consentimiento. También tienes la opción de optar por no recibir estas cookies. La exclusión voluntaria de algunas de estas cookies puede afectar a tu experiencia de navegación.