AI Act y formación en inteligencia artificial: qué deben saber las empresas

El 19 de noviembre de 2025, la Comisión Europea presentó el paquete Digital Omnibus on AI con la intención de simplificar y, sobre todo, retrasar la aplicación de las obligaciones para sistemas de alto riesgo: del 2 de agosto de 2026 al 2 de diciembre de 2027 para los sistemas autónomos y a agosto de 2028 para la IA integrada en productos regulados. La propuesta abrió un periodo de incertidumbre que muchas empresas interpretaron como una invitación a frenar sus planes de cumplimiento.

Esa lectura ha resultado ser un error de cálculo. Las negociaciones en trílogo del 28 de abril de 2026 cerraron sin acuerdo, las conversaciones se reanudan a mediados de mayo y, mientras tanto, el calendario que sigue siendo jurídicamente vinculante es el del Reglamento original. Hasta que cualquier modificación se publique formalmente en el Diario Oficial de la UE, ninguna empresa puede ampararse en un retraso que aún no existe. Esperar al desenlace político para empezar a cumplir es asumir un riesgo legal evitable.

El AI Act se despliega por capas. Estas son las fechas que ya están en vigor o lo estarán en los próximos meses, con independencia del Digital Omnibus:

1. 2 de febrero de 2025

   aplicación de las prácticas prohibidas (artículo 5) y de la obligación de alfabetización en IA (artículo 4). Ya en vigor.

2. 2 de agosto de 2025

   aplicación de las normas para modelos de IA de propósito general (GPAI), gobernanza, autoridades nacionales y régimen sancionador. Ya en vigor.

3. 2 de agosto de 2026

   aplicación general del Reglamento, incluidas las obligaciones para los sistemas de IA de alto riesgo del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y justicia) y los deberes de transparencia del artículo 50.

4. 2 de agosto de 2027

   aplicación de las obligaciones para sistemas de IA de alto riesgo integrados en productos regulados (Anexo I), como dispositivos médicos, vehículos o juguetes.

El artículo 4 obliga a proveedores y desplegadores de sistemas de IA a adoptar medidas para garantizar, en la medida de lo posible, un nivel suficiente de alfabetización en IA del personal y de cualquier otra persona que opere o utilice esos sistemas en su nombre. La redacción es deliberadamente abierta, pero la Comisión y los reguladores nacionales han ido aclarando qué entienden por suficiente.

Tres claves prácticas: la obligación es de medios, no de resultado, pero exige medidas demostrables; el alcance no se limita al equipo técnico, sino que cubre a cualquier empleado que tome decisiones apoyadas en sistemas de IA; y la formación debe ajustarse al rol, al nivel de riesgo del sistema utilizado y al contexto del trabajo. Una sesión genérica de hora y media para toda la plantilla no cumple. Un itinerario adaptado por perfil, con evaluación y registro, sí lo hace.

El AI Act distingue dos figuras y la mayoría de empresas son ambas a la vez sin haberse parado a clasificarse. Un proveedor desarrolla o comercializa un sistema de IA bajo su nombre o marca. Un desplegador lo utiliza bajo su autoridad en su actividad profesional. Una consultora que crea un asistente con un modelo de OpenAI y lo vende a un cliente actúa como proveedor; ese cliente, al usarlo, actúa como desplegador.

Esta distinción importa porque las dos figuras tienen obligaciones de alfabetización, pero el alcance y la profundidad cambian. El proveedor debe formar a quienes diseñan, integran y mantienen el sistema; el desplegador, a quienes lo operan en el día a día y a quienes interpretan o comunican sus salidas. Saber en qué papel actúa cada parte de la organización es el primer ejercicio de cumplimiento, y a menudo el más descuidado.

Las directrices publicadas por la Oficina Europea de IA y los criterios que están aplicando varias autoridades nacionales convergen en un mínimo razonable. No es una checklist oficial, pero sí lo que un inspector esperaría encontrar:

• Comprensión general de qué es la IA, qué tipos de sistemas existen y cómo se diferencian de un software tradicional.
• Conocimiento de las capacidades y limitaciones de los sistemas concretos que la organización utiliza, incluidas alucinaciones, sesgos y errores típicos.
• Identificación del nivel de riesgo del sistema según el AI Act y de las obligaciones específicas que ese nivel implica.
• Buenas prácticas de uso: qué información se puede introducir, qué no, cómo verificar las salidas, cuándo escalar al supervisor humano.
• Marco normativo: nociones del AI Act, del RGPD y de las políticas internas aplicables.
• Trazabilidad: registros de asistencia, contenidos cubiertos, evaluación realizada y reciclaje periódico.

El régimen sancionador del AI Act está calibrado para que no se ignore. El incumplimiento de las prácticas prohibidas se sanciona hasta con 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor. El incumplimiento del resto de obligaciones aplicables a proveedores y desplegadores, incluida la del artículo 4, alcanza los 15 millones o el 3% de la facturación. Suministrar información incorrecta a las autoridades, hasta 7,5 millones o el 1%.

Más allá del importe, hay tres efectos que conviene anticipar. Primero, el régimen sancionador se aplica desde agosto de 2025, así que ya no es un escenario futuro. Segundo, las autoridades nacionales designadas en cada Estado miembro pueden actuar a partir de denuncias, auditorías o, simplemente, incidentes que aparezcan en prensa. Y tercero, en sectores regulados — banca, salud, sector público, seguros, infraestructuras — el cumplimiento del AI Act empieza a aparecer en las due diligence y en los pliegos de contratación, lo que convierte la falta de evidencias en un problema comercial antes incluso que sancionador.

Un programa que pretenda cumplir con el artículo 4 sin convertirse en un trámite tiene que resolver tres problemas a la vez: cubrir el contenido normativo, ajustarse al puesto de trabajo y dejar evidencia. Las decisiones que marcan la diferencia son pocas, pero todas críticas:

• Mapear primero, formar después: identificar qué sistemas de IA usa la organización, en qué procesos y con qué nivel de riesgo, antes de diseñar el contenido.
• Itinerarios por perfil: dirección, mandos intermedios, perfiles operativos y perfiles técnicos no necesitan lo mismo. Una buena segmentación es de tres a cinco itinerarios, no uno solo.
• Casos del propio sector: la formación se adopta cuando los ejemplos se reconocen como propios. Casos genéricos generan asistencia sin aprendizaje.
• Evaluación tangible: una prueba al final de cada itinerario, con un mínimo exigible y reciclaje periódico. Sin evaluación, no hay evidencia defendible.
• Conexión con políticas internas: la formación tiene que aterrizar en la política de uso de IA de la empresa, en el procedimiento de incidentes y en los registros existentes (RGPD, seguridad).
• Trazabilidad documental: matrícula, contenidos, asistencia, resultados y fecha. Si no se puede mostrar a una autoridad en una hora, no cumple su función probatoria.

Los proyectos de cumplimiento del AI Act que están fallando comparten patrones reconocibles. Conviene anticiparlos:

• Esperar a que el Digital Omnibus aclare las fechas. Mientras no se publique en el DOUE, el calendario vigente es el original y el artículo 4 no está en discusión.
• Confundir comunicación interna con formación. Un mailing recordando "usa la IA con cabeza" no genera evidencia ni eleva el criterio.
• Encargar la formación solo al departamento legal. El contenido normativo es necesario, pero sin pieza técnica y aplicada no cambia el comportamiento.
• Tratar a la plantilla como un bloque homogéneo. La obligación es de medios proporcionales al rol y al riesgo del sistema; un único curso para todos rara vez resulta proporcional.
• No registrar nada. Sin trazabilidad, en una inspección la empresa parte desde cero, aunque haya formado a su gente.
• Olvidar la cadena de proveedores. Si terceros operan sistemas de IA en nombre de la empresa, sus obligaciones de alfabetización también recaen sobre ella.

Si una organización quiere llegar al hito sin sobresaltos, hay un mínimo razonable que debería estar cerrado antes del verano. Inventario de sistemas de IA en uso, con su clasificación de riesgo y la figura — proveedor o desplegador — bajo la que actúa. Política interna de uso de IA aprobada y comunicada. Itinerarios formativos por perfil definidos y, al menos, en ejecución para los grupos más expuestos. Registros de la formación impartida y procedimiento de reciclaje. Y, en sectores con sistemas de alto riesgo, los pasos preliminares del sistema de gestión de riesgos y la documentación técnica que el Reglamento exigirá a partir de agosto.

No es un proyecto trivial, pero tampoco es un proyecto que justifique seis meses de análisis previo. Las empresas que lo están abordando con orden están descubriendo que el cumplimiento del AI Act es, en buena medida, un ejercicio de poner por escrito decisiones que ya se estaban tomando — solo que ahora con criterio, evidencias y propietario.