TL;DR — Resumen ejecutivo
- El Artículo 4 no exige un máster. Exige que quien usa IA en su trabajo tenga comprensión suficiente para hacerlo con responsabilidad, y que la empresa pueda demostrarlo.
- Sin umbral de tamaño. Afecta por igual a una gran empresa, una pyme y un autónomo: la obligación nace del uso de IA, no de la facturación ni de la plantilla.
- El problema real: la mayoría de pymes españolas ya usa IA cada semana, pero solo una fracción pequeña lo hace con gobernanza documentada. Es el fenómeno de la IA en la sombra.
- 3 piezas de evidencia clave: inventario de sistemas de IA usados, política de uso por rol, y registro de formación con asistencia y contenidos documentados.
- Vía de financiación habitual: muchas empresas pueden bonificar esta formación con cargo al crédito de FUNDAE que ya pagan en Seguridad Social (a verificar caso por caso).
El 2 de agosto de 2026 marca un punto de inflexión silencioso en el calendario del AI Act: es la fecha en la que la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) adquiere plenas competencias sancionadoras sobre las obligaciones de alfabetización en IA recogidas en el Artículo 4 del reglamento europeo. No hablamos de una norma dirigida solo a grandes tecnológicas. El Artículo 4 obliga a cualquier empresa que use IA a garantizar que las personas de su equipo tienen comprensión suficiente para usarla con responsabilidad, sin importar el tamaño de la empresa y sin excluir a los autónomos. Si tu negocio usa un chatbot, una herramienta de generación de texto o un asistente de análisis de datos, esta obligación ya te aplica a ti.
Qué exige realmente el Artículo 4
Conviene desmontar el malentendido más extendido cuanto antes: el Artículo 4 del AI Act no exige que tu equipo se convierta en especialistas en inteligencia artificial. No pide certificaciones técnicas, no exige que nadie sepa programar ni entender el funcionamiento interno de un modelo de lenguaje. Lo que exige es mucho más concreto y, a la vez, más fácil de pasar por alto: que las personas que usan IA en su trabajo tengan comprensión suficiente para utilizarla con responsabilidad, y que la empresa pueda demostrarlo.
Esa comprensión suficiente significa, en la práctica, varias cosas muy concretas según el rol de cada persona: saber qué puede y qué no puede hacer bien la herramienta que usan, conocer sus limitaciones y sesgos típicos, entender cuándo una respuesta de la IA necesita revisión humana antes de actuar sobre ella, y saber qué información de la empresa o de clientes es seguro introducir en un sistema de IA y cuál no. No es un nivel de exigencia desproporcionado. Es, sencillamente, el nivel de criterio que cualquier empresa querría que tuviera su equipo de todas formas, con o sin reglamento de por medio.
El matiz que cambia todo es el segundo verbo: demostrarlo. No basta con que, de hecho, tu equipo use la IA con sentido común. La empresa tiene que poder enseñar evidencia de que esa alfabetización existe: que se ha impartido, que se ha documentado y que cubre los sistemas concretos que se usan en el día a día. Una empresa que simplemente confía en que "su gente ya sabe usar esto" no tiene nada que mostrar si la AESIA pregunta. Una empresa que ha formado a su equipo con un registro de asistencia, materiales y fecha, sí.
El dato que revela el problema: la mayoría de pymes usa IA sin gobernarla
Aquí está la raíz del riesgo para la inmensa mayoría de empresas españolas. Un porcentaje muy alto de pymes ya usa herramientas de IA generativa de forma semanal: redactar correos, generar borradores de contenido, resumir documentos, analizar datos de clientes o automatizar respuestas. Pero solo una fracción pequeña de esas mismas empresas lo hace con algún tipo de gobernanza documentada: una política de uso por escrito, un registro de qué sistemas se usan para qué, o formación formal sobre cómo y cuándo usarlos.
Esta brecha tiene nombre: IA en la sombra (shadow AI). Es el fenómeno por el cual los empleados adoptan herramientas de IA por iniciativa propia, sin que la dirección lo sepa, lo apruebe ni lo supervise. Cada persona del equipo decide qué herramienta usar, qué información comparte con ella y qué hace con su resultado, sin ningún criterio común. El problema no es que la IA se use: es que se usa sin que nadie en la empresa pueda explicar cómo, ni demostrar que existe un mínimo de control sobre ese uso.
La IA en la sombra es exactamente el escenario que el Artículo 4 busca corregir. Una empresa con shadow AI no tiene inventario de qué sistemas se usan, no tiene política de uso, y casi con toda seguridad no tiene registro de formación. Es decir, no tiene ninguna de las tres piezas de evidencia que conviene tener preparadas. Si quieres entender en detalle el calendario completo de aplicación del reglamento, las categorías de riesgo y el rango de las multas previstas, lo hemos desarrollado con detalle en nuestro glosario sobre el EU AI Act; aquí nos centramos específicamente en la pieza de alfabetización del Artículo 4, que es la que toca a todas las empresas sin excepción.
Las 3 piezas que conviene tener preparadas y cómo se consiguen con formación
Hablar de "cumplir el Artículo 4" suena abstracto hasta que se traduce en documentos concretos. En la práctica, una empresa que quiere estar en condiciones de demostrar su cumplimiento necesita preparar tres piezas:
1. Inventario de sistemas de IA usados
Un listado, por sencillo que sea, de qué herramientas de IA usa cada departamento: el chatbot de atención al cliente, el asistente de redacción que usa marketing, la herramienta de análisis que usa el equipo financiero, el generador de imágenes que usa diseño. Sin este inventario es imposible saber a qué riesgos está expuesta la empresa ni qué necesita formar cada equipo.
2. Política de uso por rol
Un documento breve que establezca, para cada función o departamento, qué se puede y qué no se puede hacer con IA: qué tipo de datos no deben introducirse nunca, cuándo una salida de IA requiere revisión humana antes de usarse, y a quién acudir ante dudas. No tiene que ser un tratado legal de cincuenta páginas; tiene que ser un documento real que la gente conozca y aplique.
3. Registro de formación con evidencia
La pieza que cierra el círculo: constancia documentada de que la formación se ha impartido, a quién, cuándo y con qué contenidos. Es exactamente lo que un programa de formación in-company bien diseñado entrega de forma natural, porque queda asistencia, fecha, temario y materiales del programa como subproducto del propio proceso formativo.
Las tres piezas se refuerzan entre sí. El inventario informa qué hay que cubrir en la política de uso; la política de uso define qué hay que enseñar en la formación; la formación, bien documentada, es la evidencia que demuestra que las otras dos no se quedaron en un documento de buenas intenciones. El programa de formación in-company de SANCANTIA está diseñado precisamente para generar esta evidencia documental como parte natural del proceso, no como un trámite añadido al final.
Esto no es un curso genérico de IA
Conviene ser claro en esto porque es donde muchas empresas se equivocan al intentar "tachar la casilla" del Artículo 4 lo más rápido posible: un curso de sensibilización vacío, genérico, comprado a precio bajo y sin conexión con la realidad de la empresa, probablemente no sirve como evidencia sólida si alguna vez hay que demostrarlo. El Artículo 4 habla explícitamente de alfabetización adecuada al contexto: a las funciones de cada persona, a los sistemas concretos que usa y a los riesgos de su sector. Un PDF genérico sobre "qué es la inteligencia artificial" que nunca menciona las herramientas reales del equipo no cumple ese estándar, por mucho certificado de finalización que entregue.
Por eso la formación que tiene sentido en este contexto se diseña al revés que un curso estándar: no se parte de un temario fijo que se aplica igual a cualquier empresa, sino que se parte de los sistemas de IA que la empresa ya usa de verdad. Eso es exactamente la metodología que seguimos en SANCANTIA y que describimos con detalle en nuestra página de formación en IA para empresas: empezamos con una sesión de escucha donde entendemos qué herramientas usa el equipo, qué nivel tiene cada perfil y qué riesgos son relevantes para el sector concreto (no es lo mismo el riesgo de IA en una asesoría que en una clínica o en un despacho legal), y a partir de ese diagnóstico construimos un programa a medida. El resultado no es solo formación: es la pieza documental que demuestra que la alfabetización en IA de tu equipo está conectada con su realidad, no copiada de una plantilla.
Para muchas empresas, este tipo de programa funciona también como alternativa o complemento a la consultoría tradicional de implementación de IA: en lugar de (o además de) que un externo diseñe y mantenga los sistemas de IA del negocio, el propio equipo aprende a usarlos, supervisarlos y aplicarlos con criterio de forma autónoma. Es una vía especialmente razonable para organizaciones que quieren ganar independencia tecnológica a medio plazo sin perder de vista el cumplimiento normativo a corto plazo.
Sobre la financiación
Una de las primeras preguntas que surge al hablar de formación es el coste. Aquí hay una vía que muchas empresas españolas ya tienen disponible sin saberlo: el sistema de formación bonificada que gestiona FUNDAE permite a buena parte de las empresas financiar este tipo de acciones formativas con cargo al crédito formativo anual que ya pagan, de forma obligatoria, en sus cotizaciones a la Seguridad Social. Dicho de otro modo: muchas empresas ya están pagando por este derecho de formación cada mes, lo usen o no.
Esto es información general y conviene tratarla como tal: cada empresa debe verificar con su gestoría o asesoría laboral cuál es su crédito disponible, qué requisitos formales debe cumplir la acción formativa para ser bonificable, y qué plazos de comunicación aplican en su caso concreto. Las condiciones de FUNDAE pueden variar según el tamaño de la empresa, el convenio aplicable y el ejercicio en curso, así que no debe asumirse automáticamente sin esa verificación previa.
Preguntas frecuentes sobre la formación del Artículo 4 del AI Act
1. ¿A qué empresas afecta el Artículo 4 del AI Act?
A todas. El Artículo 4 no establece ningún umbral de tamaño, facturación o número de empleados. Se aplica por igual a una multinacional, a una pyme de diez personas y a un autónomo, siempre que en su actividad usen algún sistema de inteligencia artificial: un chatbot, una herramienta de generación de texto o imagen, un asistente de análisis de datos o cualquier software con componentes de IA integrados. La obligación nace del uso, no del tamaño de quien lo usa.
2. ¿Qué pasa si no formo a mi equipo en IA?
A partir de que la AESIA tenga plenas competencias sancionadoras, una empresa que use IA sin poder demostrar que su personal tiene alfabetización suficiente queda expuesta a un expediente de incumplimiento del Artículo 4. El riesgo no es solo la sanción económica: es no poder responder con evidencia documental si un cliente, un socio o la propia autoridad pregunta cómo se garantiza el uso responsable de la IA en la organización. Para el calendario completo y el rango de multas previstas en el reglamento, consulta nuestro glosario sobre el EU AI Act.
3. ¿Sirve cualquier curso online de IA para cumplir el Artículo 4?
No necesariamente. El Artículo 4 exige que la alfabetización sea adecuada al contexto en el que se usa la IA: a las funciones de cada persona, a los sistemas concretos que maneja y a los riesgos de su sector. Un curso genérico de sensibilización que no menciona las herramientas reales que usa tu equipo, ni los riesgos específicos de tu actividad, difícilmente sirve como evidencia sólida de cumplimiento. Lo relevante no es el certificado, sino que el contenido sea trazable hasta los sistemas de IA que tu empresa usa de verdad.
4. ¿Se puede bonificar esta formación con FUNDAE?
Muchas empresas pueden bonificar formación de este tipo con cargo al crédito formativo anual que ya pagan en sus cotizaciones a la Seguridad Social, a través del sistema de formación bonificada que gestiona FUNDAE. Esto es información general: cada empresa debe verificar con su gestoría o asesoría laboral su crédito disponible, los requisitos formales de la acción formativa y los plazos de comunicación, ya que las condiciones pueden variar según el caso.
5. ¿Cuánto dura una formación para cumplir con el Artículo 4?
Depende del tamaño del equipo, del número de sistemas de IA en uso y del nivel de partida. Un programa orientado a cumplimiento suele combinar una sesión de diagnóstico de los sistemas usados con módulos prácticos de algunas horas por rol o departamento. No es necesario un máster: el objetivo es comprensión suficiente para un uso responsable, documentada con registro de asistencia y contenidos, no acumular horas por acumular.
El régimen sancionador de la AESIA sobre el Artículo 4 no es una amenaza lejana ni una norma pensada para otros. Es una obligación que ya aplica a cualquier empresa que use IA hoy, tenga el tamaño que tenga. Las empresas que actúen antes de que el calendario apriete llegarán con tres piezas de evidencia ya preparadas: inventario, política de uso y formación documentada. Las que esperen tendrán que improvisarlas bajo presión, con menos margen para hacerlo bien. Si tu empresa usa IA pero no podría hoy mismo demostrar cómo forma a su equipo para usarla con responsabilidad, este es el momento de cambiarlo, no el momento de esperar a la siguiente fecha del calendario. Antes de diseñar cualquier programa, conviene también tener claro en qué punto está tu empresa: un diagnóstico de IA ayuda a identificar qué sistemas usas realmente y qué riesgos concretos hay que cubrir primero.
