Vigente desde el 2 de febrero de 2025

Desde febrero de 2025, formar a tu equipo en IA es obligación legal.

El artículo 4 del Reglamento UE 2024/1689 (EU AI Act) obliga a cualquier empresa cuyo personal use sistemas de IA en su trabajo profesional a garantizar un nivel suficiente de alfabetización en IA. Aplica a tu pyme aunque solo uséis ChatGPT, Claude, Gemini o Microsoft Copilot. La AESIA es la autoridad que supervisa en España.

Reservar diagnóstico gratuito (20 min) Descargar whitepaper completo (PDF)
Norma: Reglamento UE 2024/1689
Artículo: 4 (alfabetización en IA)
Aplicable desde: 2 feb 2025
Autoridad ES: AESIA
I · La norma

Qué dice exactamente el artículo 4.

El Reglamento UE 2024/1689, conocido como EU AI Act, fue aprobado en 2024, entró en vigor en agosto de 2024 y se aplica de forma escalonada hasta 2027. El bloque de obligaciones sobre prácticas prohibidas y alfabetización en IA es exigible desde el 2 de febrero de 2025 (artículos 1 a 5).

Los proveedores y los responsables del despliegue de sistemas de IA adoptarán medidas para garantizar, en la mayor medida posible, un nivel suficiente de alfabetización en materia de IA entre su personal y demás personas que se encarguen, en su nombre, del funcionamiento y la utilización de los sistemas de IA.

— Artículo 4, Reglamento UE 2024/1689 (lectura operativa)

La obligación es universal dentro de las empresas que usan IA con criterio profesional. No depende del nivel de riesgo del sistema. Si tu equipo introduce datos en una IA generativa para producir borradores, resúmenes, comunicaciones o cualquier otro entregable profesional, estás dentro del perímetro del artículo 4.

Calendario público del Reglamento

  • Agosto 2024 — entrada en vigor del Reglamento.
  • 2 febrero 2025 — aplicación de prácticas prohibidas y artículo 4 (alfabetización).
  • Agosto 2025 — aplicación de gobernanza, modelos de uso general y régimen sancionador general.
  • Agosto 2026 — aplicación general (incluido alto riesgo).
  • Agosto 2027 — última fase: sistemas de alto riesgo encuadrados en productos regulados.

Régimen sancionador, en cifras

El Reglamento prevé multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial por uso de IA prohibida; 15 millones o el 3 % por incumplimiento de obligaciones distintas; y 7,5 millones o el 1 % por información incorrecta a las autoridades. En PYMEs, sin embargo, el riesgo realista a corto plazo es triple: reputacional (cliente que pregunta si tu equipo está formado), laboral (incidente con datos del cliente subidos a IA pública) y competitivo (perder concursos donde piden acreditar diligencia debida en IA).

II · Niveles de riesgo

Cuatro niveles de riesgo. Una obligación universal.

El Reglamento clasifica los usos de la IA por nivel de riesgo y, según ese nivel, asigna obligaciones distintas. La mayoría de PYMEs españolas no operan sistemas de alto riesgo. Pero el artículo 4 aplica con independencia del nivel: si tu equipo usa IA, cae dentro.

Nivel
Ejemplos
Obligación principal
Inaceptable
Manipulación subliminal, scoring social, identificación biométrica masiva.
Prohibido
Alto
Selección de personal, evaluación crediticia, IA aplicada a educación o sanidad, biometría.
Registro · Auditoría
Limitado
Chatbots, generación de contenido, asistentes IA, deepfakes informativos.
Transparencia
Mínimo
Filtros de spam, correctores de texto, asistentes ofimáticos básicos.
Sin obligaciones específicas

El artículo 4 cruza los cuatro niveles. Cualquier empresa cuyo personal opere IA en su trabajo profesional debe poder demostrar formación adecuada, con independencia de la categoría del sistema usado.

III · Tu pyme

Qué te obliga si tienes una pyme profesional.

En la práctica el artículo 4 se traduce en algo muy concreto: que cada persona del equipo sepa qué puede y qué no puede hacer con las herramientas que usa, qué datos puede o no introducir en una IA pública, cómo detectar errores y cómo se cruza todo eso con el RGPD. La ley no prescribe método, ni horas, ni certificaciones: pide que puedas demostrar, si te lo preguntan, que has hecho algo serio.

Asesorías y gestorías

El equipo trabaja con datos fiscales y nóminas. Cualquier IA que toque esa información necesita protocolo: qué se sube, qué se anonimiza, qué nunca sale.

Despachos de abogados

Búsqueda de jurisprudencia, redacción, expedientes. El secreto profesional convierte la elección de herramienta en un asunto deontológico, no sólo regulatorio.

Clínicas dentales y sanitarias

Historiales, partes, comunicación con pacientes. La sensibilidad del dato hace que la formación por puesto sea, además, una garantía frente al RGPD.

Administradores de fincas

Comunicaciones, actas, incidencias. La IA acelera mucho el día a día, pero la decisión sobre qué herramienta y con qué datos no puede improvisarse.

Corredurías de seguros

Lectura de pólizas y respuesta al asegurado. La IA agiliza el comparativo, pero el rigor sigue siendo del corredor: la formación es lo que sostiene esa frontera.

Centros de fisioterapia

Agenda, recordatorios, evolución del paciente. La parte administrativa se automatiza; la clínica, intacta — y formada para distinguir lo uno de lo otro.

Lo que la ley no te exige

No tienes que contratar un Delegado de Protección de Datos específico para IA si no lo exigía ya el RGPD. No tienes que registrar tus sistemas en un registro europeo, salvo que uses IA de alto riesgo (la mayoría de PYMEs no lo hacen). No tienes que dejar de usar IA. Y, hoy por hoy, no existen certificaciones oficiales obligatorias para tu equipo.

IV · Plan de acción

Cinco pasos accionables para cumplir el artículo 4.

No es burocracia, es diligencia debida. Estos cinco pasos cubren lo razonable que un inspector de la AESIA o un cliente que pregunte por tu cumplimiento esperaría ver documentado.

  1. 1
    Inventario de IA en tu empresa Lista qué herramientas con IA usa cada puesto: ChatGPT, Claude, Gemini, Copilot, asistentes integrados en tu software vertical (a3, Sage, Klinikare, Inmatic, GenIA-L, etc.). Sin inventario no hay cumplimiento.
  2. 2
    Protocolo de datos sensibles Documenta qué información jamás entra en una IA pública: historiales médicos, expedientes contenciosos, nóminas, datos especiales del RGPD. Una página, escrita en lenguaje claro, firmada por la dirección.
  3. 3
    Formación por puesto, no genérica Que cada persona aprenda IA sobre su trabajo real. Un curso online genérico difícilmente acredita que la auxiliar de tu clínica sabe qué subir y qué no a Klinikare. La formación con criterio de puesto sí.
  4. 4
    Registro documental de la formación Fechas, contenido, asistentes, herramientas tratadas. Es la prueba que sostiene la diligencia debida. Sin registro, la formación no existe a efectos del artículo 4.
  5. 5
    Revisión cada vez que cambia el stack Cuando incorporas una herramienta nueva (Copilot en la suite Microsoft, IA dentro de tu software vertical, un agente nuevo), refresca el protocolo y la formación. No es un trámite anual: es una rutina ligada a cada cambio operativo.
Empezar por el diagnóstico gratuito Ver cómo lo implementamos
V · Caso real

Un despacho de Barcelona ya tiene su artículo 4 cubierto.

Elena Crespo Lorenzo dirige un despacho consolidado de derecho de familia en Barcelona. Cuando contrató SprintIA no lo hizo por la ley, lo hizo porque quería recuperar sus tardes. El cumplimiento del artículo 4 vino de regalo: un Sprint presencial 1-a-1 entrega, además del aprendizaje, el registro documental que sostiene la diligencia debida.

Caso: el despacho de Elena Crespo Lorenzo

Lectura completa del caso, citas verbatim de la letrada y proceso del Sprint paso a paso.

Leer el caso completo →
VI · Preguntas frecuentes

Lo que más nos preguntan sobre el artículo 4.

Las dudas reales que llegan cada semana del fundador o socio directivo de una pyme profesional. Si tu pregunta no está aquí, escríbenos a hola@sprintia.es.

¿Qué es exactamente el artículo 4 del EU AI Act?
Es el artículo del Reglamento UE 2024/1689 que obliga a proveedores y usuarios profesionales de sistemas de IA a garantizar un nivel suficiente de alfabetización en IA entre el personal que los opera. Aplica con independencia del nivel de riesgo del sistema usado.
¿Desde cuándo tengo que cumplirlo?
Desde el 2 de febrero de 2025. Es la fecha en que entró en aplicación el bloque del Reglamento que incluye prácticas prohibidas (artículo 5) y alfabetización en IA (artículo 4). El resto del Reglamento se despliega de forma escalonada hasta agosto de 2027.
Solo usamos ChatGPT y Copilot. ¿Aplica igual?
Sí. Cualquier empresa cuyo personal use sistemas de IA en tareas profesionales está dentro del perímetro del artículo 4, incluyendo ChatGPT, Claude, Gemini, Microsoft Copilot o asistentes con IA integrados en software vertical (a3, Sage, Inmatic, Klinikare, GenIA-L, etc.). Tamaño y sector son irrelevantes.
¿Qué multa puedo recibir?
El régimen sancionador del Reglamento prevé multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial por uso de IA prohibida; 15 millones o el 3 % por incumplimiento de obligaciones distintas; y 7,5 millones o el 1 % por información incorrecta a las autoridades. En PYMEs, el daño realista a corto plazo es reputacional, laboral y competitivo más que sancionador directo.
¿Quién supervisa el cumplimiento en España?
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), designada por el Gobierno como autoridad competente para vigilar la aplicación del Reglamento UE 2024/1689 en España.
¿Qué se considera "nivel suficiente de alfabetización"?
El Reglamento no fija horas, contenidos ni certificaciones. Pide poder demostrar formación adecuada al puesto: que cada persona sepa qué puede y qué no puede hacer con IA, qué datos puede usar, cómo detectar errores y cómo se cruza todo eso con el RGPD. Cuanto más sensibles sean los datos del sector, más exigente es ese listón.
¿Necesito un Delegado de Protección de Datos para IA?
No por el artículo 4. Solo si ya lo exigía el RGPD por la naturaleza de tus tratamientos. El artículo 4 no añade un DPO específico para IA.
¿Sirve un curso online genérico para cumplir?
La ley no lo prohíbe, pero deja la responsabilidad en quien firma. Un curso genérico difícilmente acredita que cada persona sabe usar IA en su puesto concreto. La formación con criterio de puesto y registro documental (fechas, contenido, asistentes) es la que mejor sostiene la diligencia debida si te llaman a explicar.
Lecturas relacionadas

Para profundizar.

Whitepaper · PDF EU AI Act para PYMEs Lectura editorial completa del Reglamento UE 2024/1689 con calendario, sanciones, sectores y plan operativo. Cómo lo hacemos Metodología SprintIA El proceso 1-a-1 presencial que cumple el artículo 4 con registro documental incluido. Planes Planes y precios Tres Sprints diseñados para PYMEs profesionales españolas. Pago único e íntegro al firmar. Casos Casos de éxito Cómo equipos reales han integrado IA en su trabajo diario. Citas verbatim, no marketing. Biblioteca Recursos descargables Whitepapers, estudios de mercado y casos reales en PDF. Estudio Estudio de mercado IA pyme España 2026 Adopción real de IA por sector profesional, dinámicas regulatorias y oportunidades de productividad.

Aviso editorial. Este documento tiene carácter informativo y divulgativo. No constituye asesoramiento jurídico. Si tu caso particular requiere una valoración legal, consulta con un abogado especialista en derecho digital o protección de datos.

  • Reglamento UE 2024/1689, DOUE, julio de 2024.
  • Agencia Española de Supervisión de Inteligencia Artificial (AESIA), Gobierno de España.