Art. 4 del Reglamento UE de IA para empresas pequeñas · guía sin alarmismo

El Art. 4 del Reglamento UE 2024/1689 no prohíbe usar IA, no exige certificados homologados ni titulaciones universitarias, no obliga a contratar formación cara, no requiere autorización previa de AESIA ni APDCAT antes de empezar a usar IA en una asesoría. Es una obligación de medios: la empresa debe acreditar que ha hecho algo razonable para que su personal entienda la IA que usa. Esa diferencia entre obligación de medios y obligación de resultado es la clave de toda la conversación. La norma no exige éxito en la formación; exige que la empresa demuestre haber tomado medidas razonables y proporcionales al uso real. El espacio entre el alarmismo comercial y la realidad regulatoria es lo que este artículo intenta ordenar.

El Reglamento no distingue tamaños para esta obligación: aplica a toda empresa que despliegue IA con personal, sea de cinco personas o de cinco mil. Pero la lectura práctica es distinta en una asesoría de seis personas en Granollers que en una multinacional con departamento de cumplimiento dedicado. En la pequeña, una sesión presencial de dos días persona a persona con acreditación nominal firmada cubre el Art. 4 con calma, sin necesidad de procesos formales internos pesados. La lectura proporcional al tamaño está incluso reconocida en el propio Reglamento, que permite adaptar la profundidad y formalidad de las medidas al contexto real de cada empresa.

Primero, valorar el nivel previo del personal: no todo el equipo necesita la misma profundidad formativa. Segundo, adaptar la formación al contexto de uso real: una persona que solo redacta correos no necesita la misma alfabetización que quien usa IA para análisis fiscal. Tercero, documentar quién, cuándo y con qué nivel ha sido formado, idealmente con acreditación nominal firmada por la persona responsable del despliegue. Cuarto, mantener un registro razonable, accesible y actualizable. No exige más, pero estos cuatro puntos son lo razonable mínimo que una inspección podría pedir.

No exige certificado homologado por la UE (no existen homologaciones europeas oficiales de cursos de IA en este momento), ni titulación universitaria oficial, ni horas mínimas de formación, ni evaluación externa, ni auditoría AESIA preventiva. La AESIA es la autoridad estatal de supervisión del Reglamento, pero el Art. 4 no requiere su intervención previa para validar la formación. Documentación interna proporcional es suficiente. Cualquier proveedor que afirme entregar formación obligatoria homologada por la UE para cumplir el Art. 4 está utilizando lectura comercialmente abusiva del articulado. La AESIA no avala cursos en este momento; vigila, en su caso, ante incumplimiento.

El Reglamento usa el término responsable del despliegue (deployer en la versión inglesa) para referirse a quien usa o pone a disposición de su personal un sistema de IA. Para una PYME catalana eso significa que la dirección es el responsable del despliegue, incluso si la herramienta concreta es ChatGPT, Claude o Gemini y la empresa solo paga una suscripción mensual. La obligación del Art. 4 recae sobre la empresa, no sobre el proveedor del modelo. OpenAI, Anthropic o Google son proveedores; la asesoría que despliega ChatGPT con sus seis personas es responsable del despliegue. Esta atribución de responsabilidad es lo que da relevancia operativa al artículo.

Uno · listar quién usa IA dentro del equipo y qué herramienta, con qué tipo de cuenta. Dos · descargar la plantilla Política de Uso de IA y adaptarla con la dirección a la realidad sectorial. Tres · firmar la política con cada persona del equipo, dejando copia en su expediente laboral. Cuatro · planificar una formación nominal proporcional al uso real, idealmente presencial, con acreditación firmable. Estos cuatro pasos están al alcance de cualquier asesoría o despacho en una semana, sin necesidad de proveedor externo si la dirección dispone de tiempo. Si no lo dispone, externalizar la capa formativa es decisión razonable.

El régimen sancionador está fijado en el Art. 99 del Reglamento. Para incumplimientos relacionados con el Art. 4 (no práctica prohibida del Art. 5), el techo sancionador es hasta 15 millones de euros o el 3% del volumen de negocio anual mundial, lo que sea mayor. Son cifras pensadas para gran corporación; no se aplican literalmente a una PYME pequeña. Pero el régimen prevé proporcionalidad y considera factores como gravedad, duración, naturaleza del incumplimiento, beneficio económico obtenido y grado de cooperación. Para una asesoría pequeña, el escenario realista no es la sanción directa AESIA: es la concatenación de un incidente RGPD con falta de documentación Art. 4 que agrava la responsabilidad.

El riesgo no es una inspección AESIA mañana en una asesoría de Sabadell ni una multa de 15 millones en una clínica de Lleida. El riesgo realista es un incidente con un cliente, un dato pegado donde no debía en una cuenta sin DPA, una queja interpuesta por el interesado, una inspección RGPD por otra causa, y que la empresa no pueda enseñar ningún documento que acredite que el personal estaba alfabetizado. Ese es el escenario que el Art. 4 trata de prevenir. La documentación nominal firmada actúa como amortiguador: demuestra que la empresa fue diligente, incluso si el incidente concreto fue inevitable. Más detalle en el artículo principal sobre el Reglamento.

La calculadora de cumplimiento Art. 4 permite estimar en qué punto está la empresa hoy y qué pasos faltan. Es gratuita, email-gated, y el resultado es orientativo, no jurídico ni vinculante. Pide número de personas, sector, herramientas IA en uso y nivel actual de documentación, y devuelve un escenario cualitativo con los siguientes pasos lógicos. Sirve para abrir conversación interna con la dirección antes de cualquier decisión sobre formación o auditoría externa. No sustituye asesoramiento legal específico, pero ordena la primera capa de análisis.

Art. 4 del Reglamento UE de IA y RGPD conviven con las normas sectoriales: LGT Art. 95 en asesorías, LOPJ Art. 542.3 en despachos, RGPD sanitario reforzado y datos de categoría especial Art. 9 RGPD en clínicas, LPH y Libro V CCC en administración de fincas. Una buena política IA articula los tres niveles a la vez en un solo documento operativo: cuentas corporativas y DPA Art. 28 para el RGPD, alfabetización documentada para el Art. 4, sensibilidad sectorial específica para las normas de profesión. Más detalle en el mito del LOPD.

Es la situación más frecuente: equipos que ya están usando ChatGPT, Claude o Gemini de manera informal desde hace varios meses, sin política escrita ni cuentas corporativas auditadas. El planteamiento no debe ser punitivo. La regularización razonable cabe en cuatro semanas: auditar el uso real durante la primera, migrar cuentas y firmar DPA durante la segunda, redactar y firmar política durante la tercera, hacer formación nominal durante la cuarta. A partir de ese punto, la empresa pasa a estar documentalmente al día. La regularización ex post es perfectamente legítima; lo que el Art. 4 sanciona es la inacción sostenida.

Durante un Octa se firma antes de empezar el paquete legal completo: NDA, DPA Art. 28 RGPD entre OctIA y la empresa, política interna de uso de IA firmada por la dirección y Acta de Inicio. En el cierre se entrega acreditación nominal por persona, manual operativo, biblioteca de prompts y Acta de Cierre. Los seis meses posteriores de OctIA Sí! mantienen viva la documentación con avisos si hay cambios materiales en directrices AESIA o guías RGPD relevantes. El método completo está en la página dedicada, y para validar si encaja, la llamada de veinte minutos sirve sin compromiso.