Calle Vitoria 17, Burgos
(+34) 614 53 17 18
Logo blanco de Iacta Studio

Blog AI Act y compliance Artículo 4 del AI Act: qué obliga exactamente a las pymes

Artículo 4 del AI Act: qué obliga exactamente a las pymes

El 2 de febrero de 2025 entró en vigor la primera obligación real del Reglamento europeo de inteligencia artificial. No salió en prensa. Afecta a cualquier empresa española con empleados usando ChatGPT, Copilot, Gemini o cualquier otra IA generativa. Hablo del artículo 4.

Claudia Taracena Calonge Actualizado el 21 junio 2026 17 min
Índice del artículo

En resumen: El artículo 4 del AI Act obliga, desde el 2 de febrero de 2025, a toda empresa que use inteligencia artificial —aunque sea un simple ChatGPT de pago— a garantizar que su personal tenga un nivel suficiente de alfabetización en IA. No hay umbral de tamaño: una pyme de 12 empleados también está obligada. No exige un certificado oficial ni un número mínimo de horas, pero sí conservar evidencias (temario, asistentes, evaluaciones) proporcionales al riesgo. La supervisión y las posibles sanciones del régimen general empiezan el 2 de agosto de 2026, y el acuerdo del Digital Ómnibus de 2026 mantiene la obligación de formar.

El 2 de febrero de 2025 entró en vigor la primera obligación real del Reglamento europeo de inteligencia artificial. No salió en prensa. Afecta a cualquier empresa española con empleados usando ChatGPT, Copilot, Gemini o cualquier otra IA generativa. Hablo del artículo 4.

Yo llevo meses explicándolo a CEOs de pymes de entre diez y doscientos empleados, y sigo encontrándome la misma escena: la persona al otro lado del escritorio no tiene ni idea de que su empresa está legalmente obligada a formar al equipo en IA. Y no lo sabe porque nadie se lo ha contado claro. Los competidores grandes lo escriben en inglés. Los medios jurídicos lo escriben para otros juristas. Y los vendedores de formación lo escriben para venderte un curso.

Este post va a otra cosa. Te voy a contar qué dice exactamente el artículo 4, a quién obliga de verdad, qué documentación tienes que conservar y cómo empezar esta semana. También voy a explicarte qué ha ocurrido con el Ómnibus de IA: la propuesta inicial de la Comisión pretendía trasladar la obligación a las instituciones, pero el acuerdo alcanzado en 2026 mantiene el deber directo de proveedores y empresas usuarias de adoptar medidas de alfabetización. Mientras el nuevo texto completa su aprobación y publicación, continúa aplicándose íntegramente el artículo 4 vigente.

1. Qué dice exactamente el artículo 4 del AI Act

El texto es inusualmente corto para un reglamento europeo, y la brevedad es intencionada.

El artículo 4 del Reglamento (UE) 2024/1689 establece, en la versión consolidada en español de EUR-Lex, que los proveedores y los responsables del despliegue de sistemas de IA deben adoptar medidas para garantizar que el personal que los utiliza tenga un «nivel suficiente de alfabetización en materia de IA». Nada más. No hay anexo con temario. No hay número mínimo de horas. No hay formato obligatorio.

La aparente laxitud es deliberada. El considerando 20 del Reglamento aclara que ese «nivel suficiente» depende del contexto: qué sistemas se usan, quién los usa, para qué, y sobre quién recaen sus efectos. La Comisión Europea quería un deber modulable, no una tabla de cursos.

Para entender por qué esto es importante basta con mirar cómo se articula el Reglamento. El AI Act es un reglamento basado en el riesgo. La mayoría de sus obligaciones materiales (sistemas prohibidos, alto riesgo, transparencia de contenido generado) entraron o entrarán en vigor de forma escalonada entre agosto de 2025 y agosto de 2028. La excepción es este artículo. Entró en vigor antes que casi ningún otro porque la Comisión lo considera requisito previo para que todo lo demás funcione: si la gente no entiende qué está usando, el resto del marco regulatorio se viene abajo.

La definición técnica de «alfabetización en materia de IA» está en el artículo 3 apartado 56 del propio Reglamento: conjunto de capacidades, conocimientos y comprensión que permiten a las personas entender cómo funcionan los sistemas de IA que utilizan, valorar sus efectos y tomar decisiones informadas sobre su uso. Escrito así suena abstracto. En la práctica significa que tu equipo sabe qué hace la herramienta que tiene delante, identifica cuándo puede estar fallando y reconoce el momento de apagarla y pedir ayuda.

2. A quién obliga realmente: proveedor, responsable del despliegue y tu pyme

Aquí es donde la mayoría de empresas se pierde. Y donde pierde también la mayor parte de los posts que he leído sobre este artículo.

El Reglamento distingue dos figuras principales: el proveedor (quien desarrolla o pone en el mercado un sistema de IA, como OpenAI, Microsoft o Google) y el responsable del despliegue (deployer en inglés: cualquier persona física o jurídica que utilice un sistema de IA bajo su propia autoridad). La obligación del artículo 4 recae sobre ambos.

La pregunta que me llega los viernes por WhatsApp casi siempre es esta: «¿Mi pyme, que usa ChatGPT para redactar correos, es responsable del despliegue?». La respuesta es sí. Sin matices. Si tu empresa utiliza un sistema de IA bajo su propia autoridad (lo paga, decide para qué se usa, lo integra en un flujo de trabajo), es responsable del despliegue a efectos del Reglamento. Da igual que OpenAI sea el proveedor y que tú sólo uses su interfaz. Tu empresa tiene obligaciones propias.

A diferencia del RGPD, aquí no existe un umbral de empleados por debajo del cual te libras. No hay mínimo exento. Lo dice el Reglamento y lo confirma la FAQ oficial de la Comisión Europea sobre AI Literacy, actualizada el 19 de noviembre de 2025: la obligación se aplica a todas las organizaciones, incluidos autónomos, que usen sistemas de IA en su actividad profesional.

Sí hay un matiz importante: el artículo 4 se aplica al personal que utiliza los sistemas de IA «en nombre de» el responsable del despliegue. Si eres autónomo sin empleados y eres tú mismo quien usa la herramienta, la obligación se traduce en que tú tengas esa alfabetización suficiente. Si tienes cinco empleados que usan ChatGPT, los cinco tienen que estar alfabetizados. Si tienes cincuenta que usan Copilot integrado en Microsoft 365, los cincuenta. El volumen cambia el esfuerzo, no la obligación.

3. Qué entiende Bruselas por «nivel suficiente» (FAQ 19 noviembre 2025)

La Comisión publicó en su FAQ actualizada de noviembre de 2025 algo que hace tres meses no estaba tan claro: el artículo 4 se interpreta con un principio de proporcionalidad y no exige una certificación formal.

Lo que la FAQ enumera son cinco criterios para valorar si la alfabetización es «suficiente»:

  • El contexto técnico en el que se utilizan los sistemas de IA en la empresa.
  • El propósito para el que se utilizan (uso interno administrativo, cara a cliente, decisiones que afectan a derechos fundamentales).
  • La formación previa y la experiencia del personal involucrado.
  • La posición del trabajador en la organización (decisión, uso operativo, revisión humana).
  • Las personas sobre las que pueden tener efectos los sistemas (clientes, empleados, pacientes, estudiantes).

Traducido a pyme: no es lo mismo formar a un equipo de administración que usa ChatGPT para redactar actas que a un equipo de RRHH que utiliza un sistema de selección automatizada de currículos. El primero necesita sensibilización básica; el segundo necesita, además, comprensión de sesgos, requisitos del artículo 22 del RGPD y conocimiento de los sistemas de alto riesgo del anexo III del AI Act.

La Comisión aclara que el artículo 4 no establece un certificado oficial obligatorio. Aun así, conservar el certificado, el temario, las fechas, los asistentes y las evaluaciones permite acreditar que la empresa ha adoptado medidas de formación proporcionales a sus riesgos. Esa evidencia es la que permite demostrar ante la autoridad competente que la empresa actuó.

4. Matriz operativa: quién necesita qué formación en tu pyme

Este es el apartado que no he encontrado en ningún post español sobre el artículo 4 y que en mi práctica diaria es el que más ayuda a un CEO a ver claro.

Pienso en una pyme de 10 a 200 empleados donde toda la plantilla usa IA generativa (ChatGPT, Copilot o Gemini) y donde algunos roles la aplican a tareas sensibles. Con ese perfil medio, estos son los niveles de formación que recomendamos desde Iacta Studio como criterio operativo. Son rangos orientativos adaptables a las herramientas, los roles y los riesgos de cada empresa; el Reglamento no establece un número mínimo de horas.

Rol en la pyme Horas / formato Contenido mínimo
CEO / Dirección 4 a 6 h
sesión ejecutiva + briefing		 Marco legal del AI Act, riesgos reputacionales, responsabilidad civil y gobernanza IA.
RRHH y compliance 12 a 20 h
curso monográfico		 Artículo 4, art. 22 RGPD, sistemas de alto riesgo del anexo III, política de uso y gestión de incidencias.
Técnicos e IT 16 a 25 h
curso técnico + lab		 Arquitectura de modelos, integración por API, logs, trazabilidad y ciberseguridad aplicada a IA.
Plantilla general 3 a 5 h
online asíncrona + test		 Qué es la IA generativa, qué no subir (datos personales, secretos, código propietario), cuándo parar y política interna.
Ventas, atención, marketing 4 a 6 h
taller aplicado		 Uso responsable, transparencia ante cliente, artículo 50 del AI Act sobre contenido generado y reputación de marca.

Orientación práctica de Iacta Studio sobre el artículo 4 del AI Act. No es asesoramiento legal individualizado.

El coste depende de si la formación es externa o interna y de la profundidad del temario. Si tu empresa factura por encima del umbral FUNDAE, una parte de la inversión es bonificable vía crédito de formación. Si usas formación interna liderada por alguien de tu equipo, el coste baja pero la evidencia documental se complica, porque hay que demostrar que el formador tiene competencia acreditable.

No es un temario cerrado. Es un punto de partida. Lo que la Comisión pide es proporcionalidad, no un plan maestro. Una pyme con cinco empleados que sólo usan Copilot para correos necesita bastante menos que una clínica con sistema de triaje automatizado. Pero la distinción por roles, que es la clave del artículo 4, tiene que estar.

5. Documentación que debes conservar para demostrar cumplimiento

Si AESIA llama mañana, tu empresa no se defiende enseñando un curso en YouTube. Se defiende enseñando papel (o pdf).

El artículo 4 exige adoptar medidas de alfabetización y la empresa necesita poder acreditar qué ha hecho. El Reglamento no impone un expediente con formato cerrado. En la práctica, estos cuatro documentos permiten construir una evidencia sólida y llegar mucho mejor preparado ante una inspección, reclamación o incidente:

  1. Un inventario de sistemas de IA en uso en la organización. Herramienta, proveedor, finalidad, responsables internos, categoría de datos procesados, fecha de alta. Puede ser una hoja de cálculo. Conviene revisarlo trimestralmente.
  2. Un plan de alfabetización documentado. Define qué roles existen, qué formación necesita cada uno, periodicidad y responsable de ejecutarlo. Es el equivalente a un plan de formación laboral, pero con foco en IA.
  3. Registro de asistencia y evaluación. Firmas de asistencia o registros del LMS si es online, pruebas de comprensión básicas, fecha de superación. Es la prueba de que la formación existió.
  4. Política interna de uso de IA comunicada al equipo. Debe indicar qué herramientas están autorizadas, qué información puede introducirse, cómo se supervisan los resultados y cómo se notifican los incidentes. La firma o aceptación expresa refuerza la trazabilidad y permite acreditar que la empresa informó al personal.

Si quieres arrancar con los tres últimos, empieza por detectar el shadow AI que ya puede existir en tu empresa y baja después esa foto a una política interna de uso de IA. La política no debería ser una plantilla rellena: debería recoger tus herramientas reales, tus datos sensibles y tus criterios de supervisión.

6. Sanciones del AI Act y futuro régimen español

La pregunta con la que aterriza el tema en la dirección suele ser ésta: «¿Cuánto nos pueden multar?». El artículo 99 del AI Act establece tres grandes niveles de multas:

  • Hasta 35 millones de euros o el 7 % de la facturación global anual por utilizar prácticas prohibidas del artículo 5.
  • Hasta 15 millones de euros o el 3 % por incumplir las obligaciones de operadores y organismos notificados expresamente enumeradas en el artículo 99.4.
  • Hasta 7,5 millones de euros o el 1 % por facilitar información incorrecta, incompleta o engañosa a las autoridades.

Estas cuantías son máximos y se gradúan según la gravedad, la duración, la intencionalidad, los daños y las medidas adoptadas. Para las pymes, el Reglamento ordena tener en cuenta su viabilidad económica.

El artículo 4 no aparece citado dentro de la lista concreta del artículo 99.4. Aun así, el artículo 99.1 obliga a los Estados miembros a establecer sanciones y otras medidas de ejecución para las infracciones del Reglamento. La Comisión Europea confirma expresamente que las autoridades nacionales pueden sancionar el incumplimiento del artículo 4 y advierte de que una sanción será más probable cuando exista un incidente causado por falta de formación o instrucciones adecuadas.

España está tramitando el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. El texto publicado fija máximos de hasta 15 millones de euros o el 3 % para determinadas infracciones muy graves de operadores, hasta 7,5 millones o el 1 % para las graves y hasta 500.000 euros o el 0,5 % para las leves. La versión actual todavía no clasifica expresamente el incumplimiento del artículo 4 dentro de una de esas categorías y puede cambiar durante la tramitación parlamentaria.

La obligación y el riesgo sancionador son reales. La cuantía concreta dependerá de la infracción tipificada y de las circunstancias del caso. Una empresa que ha formado al equipo y conserva evidencias llega en una posición muy distinta a otra que no adoptó ninguna medida.

7. El Ómnibus de IA: qué cambia y qué mantiene

El 19 de noviembre de 2025 la Comisión Europea presentó la propuesta COM(2025) 836. Su redacción inicial trasladaba la promoción de la alfabetización a la Comisión y a los Estados miembros.

El acuerdo interinstitucional alcanzado en mayo de 2026 cambió ese planteamiento y mantiene una obligación directa. La nueva redacción establece que proveedores y responsables del despliegue deberán adoptar medidas para apoyar el desarrollo de la alfabetización en IA de su personal y de otras personas que utilicen los sistemas en su nombre.

El acuerdo aclara que la empresa no tiene que garantizar un nivel individual concreto de alfabetización. El deber de actuar permanece: analizar el contexto, formar, orientar y adaptar las medidas a los conocimientos, los roles, los sistemas y las personas afectadas.

Mientras el texto no se publique en el DOUE y entre en vigor, el artículo 4 actual sigue plenamente vigente. Todo el trabajo de inventariar, formar por roles y documentar las medidas mantiene su utilidad bajo ambos textos.

Mi consejo profesional es avanzar ahora. Una formación adaptada y documentada reduce el riesgo operativo, permite acreditar diligencia y sitúa a la empresa en mejor posición ante una inspección, reclamación o incidente.

8. Cómo empezar esta semana: checklist de 5 pasos

Si cierras este post decidido a moverte, estos son los cinco pasos concretos que te sugiero.

Primero, inventario express. Bloquea treinta minutos. Lista todas las IAs que usa tu empresa. Incluye las obvias (ChatGPT, Copilot, Gemini, Claude) y las que se cuelan por la puerta de atrás: transcriptores de reuniones, asistentes de correo, generadores de imágenes que usa marketing, plugins de navegador, IA dentro de tu CRM o de tu gestor de facturación. El objetivo es que no quede ninguna herramienta sin identificar, porque la que no identifiques es la que se va a convertir en un incidente.

Segundo, clasificación por riesgo. Una hora bien invertida. Para cada sistema, responde tres preguntas: ¿procesa datos personales? ¿toma decisiones automatizadas que afectan a personas? ¿tiene contacto con clientes? Las respuestas te dan el nivel de riesgo. Las que tengan dos o tres síes son las que necesitan más atención formativa y más controles.

Tercero, elegir proveedor de formación. Dos días de investigación. Puede ser interno si tienes alguien competente con tiempo, o puede apoyarse en una formación en IA para empresas externa y bonificable FUNDAE. Lo importante no es el formato sino que cubra los tres elementos del artículo 3.56: capacidades, conocimientos y comprensión. Si el proveedor no te enseña su temario antes de contratarle, busca otro. Para no equivocarte, repasa qué debe incluir un curso AI Act que cumpla la ley.

Cuarto, redactar la política de uso interno. La política es una herramienta preventiva y una evidencia organizativa. Debe comunicarse de forma verificable y revisarse cuando cambia un proveedor o se abre un nuevo caso de uso. La firma o aceptación expresa refuerza su trazabilidad.

Quinto, dejar evidencia documental. Esto no es un paso, es un continuo. Cada sesión de formación se firma. Cada incidente se registra. Cada actualización de la política se versiona. La evidencia documental es barata de mantener si se hace desde el día uno e imposible de reconstruir si alguien te la pide por sorpresa.

Si quieres que te ayude a bajar esto a tu empresa concreta, en Iacta Studio ofrecemos un diagnóstico inicial sin coste donde te decimos en qué punto estás y qué prioridad tienes. Sin compromiso y sin plantillas genéricas.

Preguntas frecuentes

¿Desde cuándo es obligatorio cumplir con el artículo 4 del AI Act?

Desde el 2 de febrero de 2025. La obligación es directa y no requiere desarrollo normativo adicional. Las autoridades nacionales de vigilancia comenzarán la supervisión y ejecución del régimen general a partir del 2 de agosto de 2026; España está terminando de distribuir esas competencias entre AESIA y otras autoridades sectoriales.

¿Mi pyme de 12 empleados está obligada?

Sí. El artículo 4 no tiene umbral mínimo de tamaño. Si tu empresa utiliza sistemas de IA bajo su propia autoridad —incluido un simple ChatGPT de pago— es responsable del despliegue y está obligada. El volumen de empleados cambia el esfuerzo, no la obligación.

¿Tengo que emitir un certificado a mis empleados?

El Reglamento no establece un certificado oficial. El certificado emitido por el proveedor, acompañado del temario, los asistentes y las evaluaciones, constituye una evidencia útil de las medidas de formación adoptadas.

¿Cuántas horas de formación son suficientes?

No hay número mínimo legal. El criterio es proporcional al riesgo. Mi recomendación para una pyme tipo: entre 3 y 5 horas para plantilla general, 12-20 horas para RRHH y compliance, 16-25 horas para IT. Los rangos están explicados en el apartado 4.

¿El Digital Omnibus elimina esta obligación?

El acuerdo alcanzado en 2026 mantiene la obligación empresarial de adoptar medidas de alfabetización y aclara que la empresa no debe garantizar un nivel individual concreto. Hasta su publicación en el DOUE sigue aplicándose íntegramente el artículo 4 actual.

¿Qué pasa si no lo cumplo y AESIA me inspecciona?

El incumplimiento del artículo 4 puede dar lugar a sanciones y otras medidas de ejecución conforme al régimen nacional. El AI Act contempla máximos de hasta 15 millones de euros o el 3 % para determinadas infracciones de operadores; el proyecto español todavía no asigna expresamente el artículo 4 a un tramo concreto. La autoridad valorará la gravedad, la negligencia, los daños y las medidas adoptadas, y la Comisión advierte de que una sanción será más probable si un incidente deriva de falta de formación.

¿La formación interna me vale o tengo que contratar externa?

Ambas valen. Lo importante es demostrar que el formador tiene competencia acreditable y que la formación es proporcional al riesgo. Si la haces interna, documenta más. Si la haces externa, exige factura, temario y registro de asistencia.

Una reflexión antes de cerrar

El artículo 4 es atípico dentro del AI Act porque no regula una tecnología concreta. Regula personas. Y eso es lo que me hace pensar que, aunque el Digital Omnibus lo reformule, su espíritu va a sobrevivir.

Llevamos veinte años intentando cumplir el RGPD con plantillas descargadas y cláusulas pegadas. El resultado lo sabemos: sanciones de la AEPD que se podían haber evitado con formación básica. Si el artículo 4 nos obliga a hacer con la IA lo que no hicimos con los datos, quizá salgamos de esto con un tejido empresarial español algo más preparado para lo que viene. Quizá.

¿Quieres saber en qué punto está tu pyme respecto al artículo 4 y al resto del AI Act? Desde Iacta Studio ofrecemos un diagnóstico inicial de IA sin coste y sin compromiso.

Sobre el autor

Claudia Taracena Calonge

Cofundadora de Iacta Studio. Formada en Derecho y especializada en AI Act, compliance digital y políticas de inteligencia artificial para empresas y pymes.

Logo blanco de Iacta Studio

Ayudamos a empresas a adoptar IA con seguridad y resultados: estrategia, compliance (AI Act y RGPD) y formación aplicada.

Otras páginas
Inicio
Estrategia de IA
Compliance de IA
Formación
Contacto
Links rápidos
Política de privacidad
Política de cookies
Aviso Legal
Términos de Uso
Cursos de IA más demandados
ALFABETIZACIÓN EN IA
IA PARA EDUCADORES Y PROFESORES
CHATGPT: DE BÁSICO A AVANZADO
COPILOT: DE BÁSICO A AVANZADO
GEMINI: DE BÁSICO A AVANZADO

© 2026 Iacta Studio. Todos los derechos reservados.

Logo de Impulsa ICE Castilla y Leon y Junta de Castilla y Leon