¿A qué empresas obliga el art. 4 del EU AI Act?

A toda empresa europea que despliegue sistemas de IA en su operativa, sin distinción de tamaño. Una asesoría de tres personas que use ChatGPT para redactar correos a clientes tiene la misma obligación que una multinacional con cinco mil empleados. Cualquier uso de IA en la operativa cuenta: Copilot integrado en Microsoft 365, asistentes en CRM, ChatGPT/Claude/Gemini abiertos en una pestaña, funciones de IA en programas contables, transcripción automática de reuniones, WhatsApp Business con respuestas sugeridas.

¿Desde cuándo es obligatorio el art. 4 del Reglamento Europeo de IA?

Desde el 2 de febrero de 2025. No hay periodo de gracia. La AESIA puede pedir documentación de alfabetización IA del personal desde esa fecha. El resto del Reglamento se aplica de forma escalonada hasta 2027: 2 de agosto de 2025 para modelos de propósito general, 2 de agosto de 2026 para la mayoría de obligaciones, 2 de agosto de 2027 para sistemas de alto riesgo en productos regulados.

¿Cómo se documenta la alfabetización en IA según el art. 4?

El Reglamento no especifica un formato concreto, pero la práctica que la AESIA va exigiendo (y que recomienda la Comisión Europea en sus directrices) incluye, por persona: quién (nombre, rol, función), qué casos de uso concretos hace con IA, qué herramientas usa (cuentas concretas), qué formación ha recibido (contenido, horas, fecha), quién la imparte (formador acreditado, firma) y renovación recomendada cada 12 meses. OctIA entrega un documento nominal por profesional con todos esos campos firmado por dirección y formador.

¿La AESIA realmente inspecciona PYMEs por el art. 4?

Sí. La AESIA (Agencia Española de Supervisión de la IA, sede en La Coruña) opera desde mediados de 2024 y es la autoridad competente para inspeccionar y sancionar el cumplimiento del Reglamento en España. En una inspección sobre el art. 4 pide: identificación de los sistemas de IA usados, política IA interna firmada, certificación nominal del personal que los usa, trazabilidad de quién hizo qué con IA y cuándo, y DPA con los proveedores de IA si tratan datos personales.

¿Qué documentos mínimos necesita una PYME para acreditar el art. 4?

Cinco documentos: (1) inventario de sistemas de IA utilizados, (2) política IA interna firmada por dirección, (3) certificación nominal de alfabetización IA por cada profesional que usa IA, (4) DPA art. 28 RGPD con cada proveedor de IA si trata datos personales, (5) registro/trazabilidad básica de operaciones IA críticas. Sin estos cinco, la PYME está fuera del marco aunque el equipo sepa usar bien la IA.

Artículo 4 EU AI Act · guía completa para PYMEs

Q: ¿Vale un curso online genérico de ChatGPT para cumplir el art. 4?

No. El art. 4 exige que la formación sea adecuada al contexto en que se usa la IA, al rol del trabajador y a sus casos de uso reales. Un curso genérico sin trazabilidad nominal, sin firma del formador y sin documentación de los casos de uso específicos del puesto no cubre la obligación. La AESIA pide certificación nominal: nombre, rol, casos, herramientas, formación, formador. Un certificado de participación masivo no lo es.

Qué obliga exactamente el art. 4

El artículo 4 del Reglamento (UE) 2024/1689 — el Reglamento Europeo de IA, o "EU AI Act" — obliga a los proveedores y desplegadores de sistemas de IA a garantizar un nivel suficiente de alfabetización en materia de IA de su personal y de las personas que en su nombre operan o utilizan esos sistemas.

Traducido a empresa: si tu personal usa IA — y sí, ChatGPT en una pestaña cuenta — tienes que asegurarte de que saben usarla bien, y debes poder demostrarlo documentalmente ante la autoridad supervisora.

"Los proveedores y desplegadores de sistemas de IA adoptarán medidas para garantizar, en la medida de lo posible, un nivel suficiente de alfabetización en materia de IA de su personal y de las personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre." — Art. 4 EU AI Act.

A quién aplica

A toda empresa europea que despliegue IA en su operativa. No distingue por tamaño. Una asesoría de tres personas que usa ChatGPT para redactar correos a clientes tiene que cumplirlo, igual que una multinacional con cinco mil empleados.

Si crees que tu empresa no usa IA, mira de nuevo:

Copilot integrado en Microsoft 365 · Word, Excel, Outlook, Teams.
Asistentes IA en Salesforce, HubSpot, Holded, A3 y otros CRM/ERP.
ChatGPT, Claude, Gemini en una pestaña abierta · da igual si la cuenta es personal.
Funciones de IA en programas contables, fiscales y jurídicos.
Transcripción automática de reuniones (Otter, Fireflies, Tactiq, Teams Premium).
WhatsApp Business con respuestas sugeridas.
Email marketing con generación o personalización IA.

Cualquiera de estas cuenta. Si tu personal las usa sin formación documentada, estás fuera del marco.

Fechas que importan

El Reglamento se aprobó en julio de 2024. Su aplicación es escalonada:

2 febrero 2025 — entra en vigor el art. 4. Obligación de alfabetización IA operativa ya. Sin periodo de gracia.
2 agosto 2025 — obligaciones para modelos de propósito general (GPAI). Afecta a proveedores de modelos fundacionales (OpenAI, Anthropic, Google, Meta, Mistral).
2 agosto 2026 — la mayor parte del Reglamento es plenamente aplicable.
2 agosto 2027 — obligaciones para sistemas de IA de alto riesgo ya integrados en productos regulados (sanidad, transporte, infraestructuras).

Lo crítico para una PYME hoy

El art. 4 está vigente desde febrero de 2025. La AESIA puede pedirte la documentación de alfabetización IA de tu personal en cualquier momento. No hay régimen transitorio.

Los 5 documentos mínimos

Para acreditar cumplimiento del art. 4 una PYME necesita cinco documentos. Si te falta uno, estás fuera del marco aunque tu equipo sepa usar bien la IA.

Inventario de sistemas IA — listado de qué IA usa cada profesional, en qué cuentas (corporativas o personales), con qué propósito.
Política IA interna — documento firmado por dirección que define qué se puede hacer con IA en la empresa, qué no, qué datos se pueden tratar y qué pasa si alguien la incumple.
Certificación nominal de alfabetización IA — un documento por profesional con su nombre, rol, casos de uso concretos, herramientas que usa, formación recibida, formador, fecha y firma. Sin esto, "el equipo está formado" es palabra contra palabra.
DPA art. 28 RGPD con cada proveedor de IA que trata datos personales — firmado y archivado. OpenAI, Anthropic, Google, Microsoft tienen sus DPA disponibles en sus portales empresariales (no en cuentas personales gratuitas).
Registro/trazabilidad básica de operaciones IA críticas — qué se generó con IA, quién lo revisó, cuándo. Suele bastar con una hoja de cálculo o un campo extra en CRM.

Cómo inspecciona la AESIA

La Agencia Española de Supervisión de la IA opera desde mediados de 2024 con sede en La Coruña. Es la autoridad competente para inspeccionar y sancionar el cumplimiento del Reglamento en España.

En una inspección sobre el art. 4 lo que va a pedir es:

Identificación de los sistemas de IA utilizados (inventario).
Política IA interna firmada.
Certificación nominal del personal que los usa.
Trazabilidad — quién hizo qué con IA y cuándo.
DPA con los proveedores de IA si tratan datos personales.

La inspección no exige perfección. Exige diligencia documentada: que se vea que la empresa tomó medidas, que hay un proceso, que se renueva, que el personal sabe lo que hace y puede demostrarlo.

Sanciones reales

El régimen sancionador está en el art. 99 del Reglamento. Para infracciones relacionadas con obligaciones de los desplegadores (donde está el art. 4), el máximo es de hasta 15 millones de euros o el 3 % de la facturación anual mundial, lo que sea mayor.

Para PYMEs el Reglamento prevé que las sanciones se gradúen atendiendo al tamaño y situación financiera. Pero el expediente sancionador existe, y la consecuencia más grave para una PYME suele ser reputacional: que se sepa, que aparezca en prensa local, que un cliente importante lo descubra.

Cumplimiento por sector

El art. 4 aplica igual a todos, pero cómo se documenta cambia por sector. En OctIA trabajamos cuatro:

Asesorías y gestorías — la certificación nominal debe cubrir uso de IA en redacción fiscal, picado, contestación a inspecciones, contabilidad asistida. Compatible con LOPDGDD.
Despachos de abogados — capa adicional de secreto profesional (art. 542 LOPJ). La IA no puede ver datos sensibles del cliente fuera de DPA + arquitectura privada.
Clínicas privadas — capa adicional de RGPD art. 9 (datos de salud). DPO opina, dirección firma, cada caso de uso documentado.
Administradores de fincas — castellano y catalán nativos, normativa horizontal específica de Cataluña, comunicaciones a propietarios trazables.

Checklist · empezar el lunes

Si hoy es viernes y queréis empezar el lunes:

Lunes — Listar qué IA usa cada profesional, en qué cuentas (corporativas o personales).
Martes — Migrar lo personal a cuentas Team/Enterprise/Workspace. Firmar DPA con cada proveedor.
Miércoles — Redactar política IA interna basada en plantilla. Pasarla a dirección para firma.
Jueves — Sentar al equipo, mostrar la política, comentar.
Viernes — Planificar formación documentable. Esto es lo que un Octa hace en cuatro lunes consecutivos, con certificación nominal al cierre.

Si tras leer esto te das cuenta de que tu empresa no tiene nada de esto y necesita montar todo el expediente — política, certificación nominal, DPA, registro — esto es exactamente lo que la metodología OctIA resuelve en cuatro lunes presenciales con certificación al cierre.

Preguntas frecuentes

Resumen de las dudas más habituales en diagnósticos.

¿Vale un curso online genérico de ChatGPT para cumplir el art. 4?

No. El art. 4 exige formación adecuada al rol y casos de uso reales del trabajador. Un certificado de participación masivo no es certificación nominal.

¿Qué pasa si mi personal usa ChatGPT en cuenta personal?

Doble problema. Primero: probablemente estés expuesto a un incumplimiento RGPD (entrenamiento con datos personales sin DPA). Segundo: no puedes documentar nada porque no controlas la cuenta. Hay que migrar a cuenta empresarial con DPA firmado.

¿Cuánto tiempo es válida una certificación nominal art. 4?

El Reglamento no fija fecha de caducidad. La Comisión Europea recomienda revisión anual porque las herramientas cambian. OctIA entrega la certificación con sugerencia de revisión a 12 meses incluida.

¿Hay diferencias entre AESIA y APDCAT en Cataluña?

AESIA supervisa el cumplimiento del Reglamento Europeo de IA. APDCAT supervisa protección de datos en Cataluña (datos personales). Si tu empresa trata datos personales con IA, ambas autoridades pueden actuar — la primera por el art. 4, la segunda por RGPD/LOPDGDD.

Diagnóstico · 20 min · gratis

¿Tu empresa cumple el art. 4 hoy?

Diagnóstico gratuito. Sin guion comercial. Te decimos qué te falta en concreto · sin vender el Octa si no encaja.

Reservar diagnóstico →

Artículo 4 EU AI Act.Todo lo que tu empresa debe saber.

Qué obliga exactamente el art. 4

A quién aplica

Fechas que importan

Lo crítico para una PYME hoy

Los 5 documentos mínimos

Cómo inspecciona la AESIA

Sanciones reales

Cumplimiento por sector

Checklist · empezar el lunes

Preguntas frecuentes

¿Tu empresa cumple el art. 4 hoy?

Artículo 4 EU AI Act.
Todo lo que tu empresa debe saber.