El Reglamento europeo de inteligencia artificial (RIA) es la primera normativa integral sobre inteligencia artificial en la Unión Europea, e incluso a nivel global. Entró en vigor el 1 de agosto de 2024 y su objetivo es promover una IA fiable, segura y centrada en el ser humano, asegurando que el desarrollo y uso de sistemas de IA (que es como denomina el reglamento a una inteligencia artificial) respeten los derechos fundamentales, la seguridad, la democracia y el Estado de derecho, a la vez que se apoya la innovación tecnológica.
El RIA sigue un enfoque basado en riesgos: impone requisitos más estrictos a los sistemas de alto riesgo (por ejemplo, IA en sanidad, transporte o selección de personal), prohíbe ciertos usos de IA considerados inaceptables y establece obligaciones generales para todos los que desarrollan o utilizan IA.
Dentro de estas obligaciones generales destaca especialmente la alfabetización en IA (también llamada “AI literacy” en inglés).
El artículo 4 del RIA establece una obligación legal de garantizar la alfabetización en inteligencia artificial dentro de las organizaciones que crean o utilizan sistemas de IA. Esta alfabetización debe considerar los conocimientos técnicos, experiencia, educación y formación previas de esas personas, así como el contexto previsto de uso de los sistemas de IA y las características de las personas o colectivos sobre los que se va a utilizar la IA.
Por tanto, el reglamento exige que toda empresa que desarrolle o emplee IA se asegure de que las personas que trabajan con dichos sistemas (ya sean empleados propios o contratistas que actúen en su nombre) están debidamente formadas en IA. No basta con darles una herramienta de IA y esperar que la usen, deben entender qué hace la IA, cómo funciona, qué limitaciones y riesgos tiene y cómo utilizarla de forma responsable.
Esto incluye: 1) comprender cómo aplicar correctamente los elementos técnicos durante el desarrollo; 2) qué medidas tomar durante el uso; 3) cómo interpretar los resultados que genera la IA; 4) y en el caso de personas afectadas (por ejemplo, clientes o empleados evaluados por una IA), entender cómo las decisiones asistidas por IA les pueden impactar.
¿En qué no consiste esta obligación? No se trata de convertir a toda la plantilla en expertos en IA ni de simplemente fomentar el uso generalizado de IA por moda. Tampoco busca aumentar la productividad a toda costa usando IA. Más bien, se trata de asegurar un uso consciente y seguro de la IA dentro de la organización. Por tanto, no es un curso genérico igual para todos, sino conocimiento pertinente al rol de cada persona y al contexto específico en que se usa la IA.
Aunque el Reglamento de IA entró en vigor en agosto de 2024, sus obligaciones no se aplican todas de inmediato. En el caso de la alfabetización en IA, la misma aplica desde el 2 de febrero de 2025.
Es importante destacar que no hay excepciones sectoriales ni por tamaño de empresa: la alfabetización en IA es un requerimiento general. Incluso si el negocio es una PYME, deberá cumplir con el art. 4 en la medida que use o ofrezca IA. La Comisión Europea ha aclarado que no hay requisitos distintos por sector (finanzas, salud, turismo, etc.) en esta obligación, lo relevante es el contexto de uso de la IA en cada organización y el nivel de riesgo de los sistemas empleados. También ha señalado que, dado el auge transversal de la IA, es difícil sostener ya la interpretación de que solo necesita formación el personal técnico directamente involucrado. Por prudencia, conviene asumir que casi toda la plantilla puede verse implicada de algún modo en el uso de IA (ahora o en el corto plazo) y planificar la capacitación considerando esa amplitud.
Ahora bien, aunque la obligación ya está vigente en 2025, las reglas de supervisión y sanción se activan más adelante. El RIA establece que los estados miembros deben designar autoridades nacionales de supervisión (autoridades de vigilancia de mercado) antes de agosto de 2025, y que la fiscalización del cumplimiento comenzará en agosto de 2026. En la práctica, esto significa que durante 2025 y la mayor parte de 2026 no habrá inspecciones ni multas inmediatas por este tema, ya que las agencias encargadas de hacer cumplir la norma estarán organizándose. Sin embargo, la obligación existe, aunque aún no haya “Policía de la IA” patrullando.
¿A quién afecta exactamente esta exigencia de alfabetización en IA? El deber de formar en IA recae sobre dos tipos de actores definidos en el reglamento: los proveedores de sistemas de IA y los responsables del despliegue.
En términos sencillos:
- Proveedor es la entidad que desarrolla una IA o la pone en el mercado bajo su nombre o marca. Por ejemplo, una empresa de software que crea una herramienta de IA para análisis de datos turísticos es un proveedor. También lo es una startup que vende un motor de recomendación basado en IA para hoteles o un proveedor tecnológico que integra IA en sus soluciones para agencias de viaje.
- Responsable del despliegue es la entidad (pública o privada) que utiliza una IA en el curso de sus actividades profesionales. Es decir, quien implementa o adopta la IA para su negocio. Siguiendo los ejemplos anteriores, el hotel que instala el motor de recomendaciones de la startup o la cadena turística que emplea una herramienta de IA en su web de reservas, son responsables de despliegue (usuarios de IA).
Ambos, proveedor y usuario, tienen la obligación de asegurar la alfabetización en IA de su personal. Esto incluye a sus empleados internos y también a “otras personas que actúen en su nombre” en la operación de los sistemas.
¿Qué significa “personas que actúan en su nombre”? Por ejemplo, podría tratarse de contratistas, personal subcontratado o consultores externos que manejan la IA dentro de su organización. En el caso de un hotel, si el servicio de marketing está externalizado y la agencia contratada usa la herramienta de IA del hotel, dicha agencia y su personal deberían tener la formación adecuada. De hecho, la Comisión Europea ha aclarado que esta obligación de alfabetización se extiende también a proveedores de servicios externos o socios que operen la IA por cuenta del desplegador.
La clave no es tanto la relación contractual, sino el control organizativo: cualquier persona bajo la dirección o autoridad de la empresa en el uso de la IA debe estar capacitada.
Por poner dos ejemplos concretos en sector turístico:
• Hotel o cadena hotelera (usuario de IA): Imaginemos un hotel en Mallorca que utiliza una IA para hacer chatbots de atención al cliente. Este hotel, como usuario de esa IA, debe formar a su personal que interactúa con el sistema. Por ejemplo, el equipo de recepción y reservas que supervise el chatbot debe entender cómo funciona, qué tipo de respuestas genera automáticamente y cuándo es necesario intervenir manualmente. Deben conocer las limitaciones del chatbot (por ejemplo, que puede cometer errores o no entender ciertas peticiones) y los riesgos (como proporcionar información errónea al cliente). Del mismo modo, si emplean IA para analizar datos de huéspedes, el personal de marketing o calidad que reciba esos informes debe saber interpretarlos correctamente y ser consciente de posibles sesgos o errores de la IA. Incluso empleados usando herramientas generativas como ChatGPT para traducir textos o redactar anuncios entran en el alcance de la obligación.
• Empresa de software turístico con IA (proveedor): Pongamos el caso de una empresa tecnológica en Palma que desarrolla una plataforma de gestión hotelera con módulos de IA (como predicción de ocupación o gestión dinámica de precios). Esta empresa, en su rol de proveedor de IA, tiene que formar a sus propios desarrolladores, ingenieros o equipo de producto en aspectos de IA: desde la correcta implementación técnica hasta las implicaciones éticas y legales de las funcionalidades que programan. Deben conocer las obligaciones legales (por ejemplo, si el sistema entra en categoría de alto riesgo, qué requisitos adicionales habrá, cómo afecta a datos personales, o posibles sesgos) y también cómo diseñar el sistema para que sea transparente y seguro.
¿Qué pasa si no cumplo? Si la obligación ya aplica desde febrero de 2025, ¿puedo ser sancionado? No de forma inmediata, pero el escenario cambiará a partir de agosto de 2026.
Como mencionamos, las autoridades encargadas de vigilar el cumplimiento del RIA empezarán a supervisar y hacer cumplir las normas el 3 de agosto de 2026. A partir de esa fecha, las empresas que no hayan tomado medidas para formar a su personal en IA se exponen a procedimientos sancionadores por parte de la autoridad competente en su país.
El propio RIA establece un régimen de sanciones. Sin entrar en números exactos, se prevé que las sanciones sean proporcionadas a la gravedad de la infracción, considerando factores como la naturaleza y duración del incumplimiento, si hubo intención o negligencia y las medidas correctoras adoptadas.
Aunque las multas directas no apliquen hasta 2026, las empresas ya deberían estar implementando la alfabetización, y no hacerlo podría acarrear otras consecuencias. Por ejemplo, si durante este tiempo ocurre un problema serio debido a la mala utilización de una IA por falta de formación (un perjuicio a un cliente), eso podría derivar en responsabilidad civil para la empresa.
En resumen, hoy no te van a multar por no haber formado a tus empleados en IA, pero estás técnicamente incumpliendo la ley desde febrero de 2025 si no has hecho nada. A partir de agosto de 2026, ese incumplimiento sí podrá traducirse en multas formales.
Por acabar, algunas pautas y consejos:
• Identificar las necesidades de formación en la organización: Sistemas de IA usados, capacidades, quién los usa y para qué.
• Elaborar un plan de formación escalonado y proporcional: según el tipo de empleado, sus funciones y tareas, no todo el mundo necesitará el mismo nivel de formación.
• Cubrir los contenidos esenciales: RIA no impone un temario fijo, pero la Comisión Europea sugiere incluir al menos nociones generales de IA, roles vinculados, riesgos asociados a la IA usada, limitaciones o contextos de uso, entre otros.
• Documentar y registrar las acciones: esto incluye conservar registros de asistencia de empleados a cursos, copias de presentaciones o manuales entregados o resultados de evaluaciones si las hubo.
• Reforzar la cultura de IA de forma continua: la alfabetización en IA no debería ser un evento único (“dimos un curso y listo”) sino un proceso continuo.
Todo sea por estar preparados ante la llegada de Skynet :D
Sobre este u otros temas relacionades con Derecho y tecnología, puedes contactarme en hola@terminosycondiciones.es
