El Reglamento Europeo de Inteligencia Artificial (AI Act) y la alfabetización en IA obligatoria para las empresas
El Reglamento (UE) 2024/1689 —el «AI Act»— es la primera norma integral del mundo sobre inteligencia artificial y ordena su uso con un enfoque por niveles de riesgo. Pero hay una obligación que ya está en vigor y que afecta a casi cualquier empresa: desde el 2 de febrero de 2025, su artículo 4 exige garantizar un nivel suficiente de alfabetización en IA de la plantilla. Explicamos qué implica y cómo cumplirlo (incluso con el crédito de FUNDAE), y puedes descargar el texto oficial completo del reglamento.
El Reglamento (UE) 2024/1689 —conocido como «AI Act» o Reglamento de Inteligencia Artificial— es la primera norma integral del mundo que regula la IA. Se aplica de forma escalonada hasta 2027 con un enfoque basado en el riesgo, pero hay una obligación que ya está en vigor y que afecta a prácticamente cualquier empresa: desde el 2 de febrero de 2025, su artículo 4 exige garantizar un nivel suficiente de «alfabetización en materia de IA» de la plantilla. No es una obligación solo para las grandes tecnológicas: alcanza a cualquier organización que use IA en su actividad profesional. En este artículo explicamos qué es el AI Act, cómo se aplica, qué implica esa obligación de alfabetización y cómo cumplirla —incluso financiándola con el crédito de formación de FUNDAE—. Al final puedes descargar el texto oficial completo del reglamento.
Descarga el Reglamento de IA completo
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (Reglamento de Inteligencia Artificial). Texto oficial en español publicado en el DOUE de 12 de julio de 2024. PDF de 144 páginas.
Qué es el AI Act y desde cuándo se aplica
El nombre oficial es Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial. Se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, a los veinte días de su publicación.
Al tratarse de un reglamento europeo, es de aplicación directa: no se transpone mediante una ley española ni se publica en el BOE. Vincula a empresas y administraciones de los 27 Estados miembros por igual. Lo que sí corresponde a cada país es designar a las autoridades que lo harán cumplir, algo que en España se articula a través de la AESIA y de una futura ley de gobernanza de la IA (más abajo lo detallamos).
El reglamento no se aplicó de golpe. Su artículo 113 fija un calendario escalonado que se prolonga hasta 2027, precisamente para dar tiempo a empresas y proveedores a adaptarse:
Artículo 113 del Reglamento (UE) 2024/1689 (extracto)
«Será aplicable a partir del 2 de agosto de 2026. No obstante: a) los capítulos I y II serán aplicables a partir del 2 de febrero de 2025; b) el capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101; c) el artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.»
Traducido a un calendario práctico, los hitos son estos:

- 2 de febrero de 2025: se prohíben los usos de riesgo inaceptable (artículo 5) y entra en vigor la obligación de alfabetización en materia de IA (artículo 4).
- 2 de agosto de 2025: obligaciones para los modelos de IA de uso general (GPAI), estructura de gobernanza y régimen sancionador.
- 2 de agosto de 2026: aplicación general del reglamento, incluidos los sistemas de alto riesgo del anexo III y las obligaciones de transparencia.
- 2 de agosto de 2027: sistemas de alto riesgo del anexo I, es decir, la IA integrada en productos que ya están sujetos a otra normativa europea de seguridad.
Un enfoque por niveles de riesgo
La lógica del reglamento es sencilla: cuanto mayor es el riesgo que un sistema de IA supone para las personas, más obligaciones acarrea. La Comisión Europea lo sintetiza en una «pirámide» de cuatro niveles, que ayuda a situar cualquier sistema.

Riesgo inaceptable (prohibido). El artículo 5 veta ocho prácticas por ser incompatibles con los derechos fundamentales: entre otras, la puntuación social de personas (social scoring), las técnicas manipuladoras que causan un daño relevante, la categorización biométrica para inferir datos sensibles (ideología, religión, orientación sexual), el reconocimiento de emociones en el trabajo y en centros educativos, o la creación de bases de datos de reconocimiento facial mediante el rastreo indiscriminado de internet.
Alto riesgo (requisitos estrictos). Son sistemas que pueden afectar seriamente a la seguridad o a los derechos de las personas. El anexo III recoge ámbitos como la selección de personal y la gestión de trabajadores, la educación y la formación profesional, las infraestructuras críticas, la biometría, el acceso a servicios esenciales (crédito, seguros), la administración de justicia o la migración. No están prohibidos, pero exigen gestión de riesgos, calidad de los datos, documentación técnica, supervisión humana y evaluación de conformidad antes de comercializarse.
Riesgo limitado (transparencia). El artículo 50 impone deberes de transparencia cuando la persona podría no saber que está ante una IA: los chatbots deben advertir de que se está hablando con un sistema de IA, y el contenido sintético o los ultrafalsos (deepfakes) deben etiquetarse como generados o manipulados artificialmente.
Riesgo mínimo. Todo lo demás —filtros antispam, videojuegos, recomendadores básicos— puede usarse libremente, sin obligaciones nuevas, con la posibilidad de adherirse a códigos de conducta voluntarios. Aquí encaja la mayor parte de la IA que las empresas usan a diario.
El reglamento dedica además un capítulo específico a los modelos de IA de uso general (GPAI) —los grandes modelos como los que hay detrás de la IA generativa—, con obligaciones de documentación y transparencia reforzadas para los que presentan «riesgo sistémico».
El artículo 4: la alfabetización en IA ya es obligatoria
Aquí está la novedad que más directamente afecta al tejido empresarial y que muchas organizaciones todavía desconocen. El artículo 4, aplicable desde el 2 de febrero de 2025, dice literalmente:
Artículo 4 del Reglamento (UE) 2024/1689 — Alfabetización en materia de IA
«Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.»
El propio reglamento define qué se entiende por «alfabetización en materia de IA»:
Artículo 3, punto 56 del Reglamento (UE) 2024/1689
«"Alfabetización en materia de IA": las capacidades, los conocimientos y la comprensión que permiten a los proveedores, responsables del despliegue y demás personas afectadas [...] llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar.»
En otras palabras: no basta con poner una herramienta de IA a disposición del personal. La empresa debe procurar que quienes la usan entiendan qué hace, para qué sirve, qué riesgos entraña y cómo usarla con criterio. Es una obligación de medios —«adoptar medidas para garantizar, en la mayor medida posible»—, adaptada al perfil de cada empleado y al contexto de uso, no una certificación formal ni un examen.
¿Está tu empresa obligada? Qué es un «responsable del despliegue»
La respuesta corta es que, casi con total seguridad, sí. La obligación recae sobre los «proveedores» de IA (quienes la desarrollan) y sobre los «responsables del despliegue» (en inglés, deployers), y el reglamento define este segundo concepto de forma muy amplia: es cualquier persona física o jurídica que utilice un sistema de IA bajo su propia autoridad en el marco de una actividad profesional. Solo queda fuera el uso estrictamente personal y no profesional.
En claro: no hace falta desarrollar IA ni ser una empresa tecnológica. Si en tu gestoría, despacho, comercio, industria, clínica o departamento de RR. HH. se usan herramientas de IA generativa (tipo ChatGPT), asistentes, chatbots o programas de selección con IA, tu organización es «responsable del despliegue» y le aplica el artículo 4. Tampoco hay umbral de tamaño: obliga por igual a una microempresa y a una multinacional.
Qué pasa si no se cumple: el régimen sancionador
El AI Act tiene uno de los regímenes de multas más severos del Derecho de la Unión, comparable —y en su tramo alto, superior— al del RGPD. Las cuantías máximas son:
- Hasta 35.000.000 € o el 7 % del volumen de negocios mundial (la cifra que sea mayor) por incurrir en las prácticas prohibidas del artículo 5.
- Hasta 15.000.000 € o el 3 % por incumplir otras obligaciones del reglamento (sistemas de alto riesgo, deberes de transparencia, etc.).
- Hasta 7.500.000 € o el 1 % por facilitar información inexacta, incompleta o engañosa a las autoridades.
Para las pymes y empresas emergentes la regla se invierte a su favor: se aplica la cifra menor de entre el porcentaje y el importe fijo, no la mayor.
Un matiz importante sobre el artículo 4. La obligación de alfabetización no tiene una multa propia tasada: no figura en las listas cerradas de infracciones de esos tramos. Su incumplimiento se rige por el régimen general que cada Estado debe fijar (sanciones «efectivas, proporcionadas y disuasorias»), y la capacidad de las autoridades nacionales para inspeccionar y sancionar se activa a partir del 2 de agosto de 2026. Ahora bien, que no haya una multa con nombre y apellidos no significa que sea papel mojado: la falta de alfabetización puede agravar la responsabilidad de la empresa ante un incidente causado por un mal uso de la IA (una filtración de datos, una decisión discriminatoria, un error no supervisado). El deber está vigente desde febrero de 2025.
Cómo cumplir con el artículo 4 en la práctica
La Comisión Europea, a través de su Oficina de IA, ha publicado orientaciones sobre qué se espera de las organizaciones. No exige una solución única, pero sí un enfoque razonable y documentado. Estos son los pasos esenciales:
- Crear una comprensión general de la IA en toda la organización: qué es, cómo funciona, qué puede y qué no puede hacer, y qué riesgos plantea.
- Identificar el papel de la empresa: en la mayoría de los casos será «responsable del despliegue» de herramientas de terceros, no desarrolladora.
- Evaluar los sistemas que se usan y qué necesita saber cada perfil: no requiere lo mismo el equipo técnico que el personal administrativo o comercial.
- Formar por roles, adaptando el nivel y el contenido. Entregar el manual de instrucciones de una herramienta no basta: hace falta una capacitación real.
- Documentarlo todo: una política interna de uso de IA (qué herramientas están autorizadas y qué información no debe introducirse en ellas), un plan de formación y un registro de las acciones realizadas que sirva de evidencia.
Ese último punto es clave: la mejor prueba de cumplimiento es un plan de formación en IA ejecutado y documentado. Y ahí es donde la obligación legal se convierte en una oportunidad.
La formación en IA es bonificable a través de FUNDAE
La buena noticia para las empresas españolas es que cumplir con el artículo 4 no tiene por qué suponer un coste añadido. La capacitación de la plantilla en inteligencia artificial —IA generativa aplicada al puesto, uso responsable, prompting, IA en RR. HH., marketing o gestión— encaja plenamente como acción formativa bonificable dentro de la formación programada por las empresas, regulada por la Ley 30/2015 y el Real Decreto 694/2017.
Esto significa que una empresa puede usar su crédito de formación de FUNDAE —el que ya tiene asignado cada año en función de lo que cotiza por formación profesional— para financiar los cursos de alfabetización en IA de sus trabajadores, aplicándolos como bonificación en las cotizaciones a la Seguridad Social.
El círculo virtuoso: la obligación del artículo 4 puede financiarse con un crédito de formación que la empresa ya tiene disponible, y la documentación que exige FUNDAE para bonificar (temario, control de asistencia, evaluación y diploma) sirve, además, como evidencia del cumplimiento de la alfabetización en IA ante una eventual inspección. Un mismo esfuerzo cubre dos frentes.
Si quieres entender cómo funciona el crédito, los plazos y la tramitación, puedes consultar nuestra guía completa de la formación bonificada de FUNDAE.
La gobernanza: la Oficina Europea de IA y la AESIA en España
A escala europea, la vigilancia se apoya en la Oficina Europea de IA, creada dentro de la Comisión, que se ocupa en particular de hacer cumplir las reglas sobre los modelos de IA de uso general, y en el Consejo Europeo de Inteligencia Artificial, que coordina a los Estados miembros.
En España, la autoridad nacional designada con carácter principal es la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), creada por el Real Decreto 729/2023, de 22 de agosto, con sede en A Coruña. España fue el primer Estado de la UE en dotarse de una agencia específica para la IA. No será, sin embargo, la única autoridad competente: la supervisión se reparte por sectores con otros organismos —como la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, el Banco de España o la CNMV—, un reparto que se está perfilando en la ley española de gobernanza de la inteligencia artificial que adapta el reglamento a nivel nacional.
Conclusión: anticiparse compensa
El AI Act no es una amenaza abstracta ni un asunto exclusivo de las grandes tecnológicas. Su enfoque por niveles de riesgo ordena un terreno que hasta ahora era tierra de nadie, y su artículo 4 introduce un deber concreto y ya vigente para casi cualquier empresa: que quien usa IA en la organización sepa lo que hace. Lejos de ser una carga, la alfabetización en IA es una inversión en productividad y en reducción de riesgos —desde fugas de datos hasta decisiones automatizadas mal supervisadas— que, además, puede financiarse con el crédito de formación que la empresa ya tiene.
En Autoforma ayudamos a las empresas y a los gestores de formación a interpretar sus obligaciones, diseñar planes de capacitación en IA y tramitar su bonificación ante FUNDAE con todas las garantías. Si tu organización usa IA —y hoy casi todas la usan—, el momento de ponerse al día ya ha llegado.
Este artículo tiene carácter divulgativo y no constituye asesoramiento jurídico. El Reglamento (UE) 2024/1689 es una norma extensa y en plena implantación; para el análisis de un caso concreto, consulta con nuestro equipo antes de tomar decisiones.