Guía de alfabetización en IA
Modelo formativo para plantillas de empresa. Cumplimiento del artículo 4 del Reglamento Europeo de IA.
Última actualización: abril de 2026
¿Tiene su empresa la obligación de formar a su plantilla en IA? Desde febrero de 2025, el artículo 4 del Reglamento Europeo de IA exige que los proveedores y responsables del despliegue de sistemas de IA garanticen que su personal tiene el nivel adecuado de alfabetización en inteligencia artificial. Esta guía describe el modelo formativo de TheBrainSphere para dar cumplimiento a esa obligación de forma estructurada y demostrable. No es un catálogo genérico: está diseñada para adaptarse a los casos de uso reales de cada empresa, combinando una formación base común para toda la plantilla con módulos complementarios seleccionados según el nivel de riesgo y el sector. Tanto si su empresa usa IA para seleccionar personal como si la usa para generar contenido, automatizar procesos o desarrollar software, esta guía le permite identificar qué formación necesita, para quién y por qué.
Formación en dos niveles
Nuestro modelo formativo para la alfabetización en IA de plantillas de empresa se articula en dos niveles:
Nivel 1 — Formación base común (6-8 horas): idéntica para toda la plantilla en contacto con IA, cubre los fundamentos, el marco regulatorio general, la protección de datos básica y el uso responsable. Satisface la obligación general de alfabetización del artículo 4 del Reglamento Europeo de IA.
Nivel 2 — Módulos complementarios (2-4 horas cada uno): agrupados por contexto regulatorio y sector, se seleccionan según los casos de uso de IA de la empresa. Cubren las obligaciones específicas que la formación base no cubre.
Perfiles formativos
Los módulos complementarios del Nivel 2 se asignan por perfil. El Nivel 1 es común a todos.
| Código | Perfil | Descripción |
|---|---|---|
| DIR | Directivo | Miembros del comité de dirección, responsables de área, compliance officers, DPOs. Necesitan visión de gobernanza, riesgo y responsabilidad legal. |
| TEC | Técnico | Desarrolladores, ingenieros de datos, administradores de sistemas, equipos de IT. Necesitan comprensión de riesgos técnicos, seguridad, trazabilidad y arquitectura. |
| USR | Usuario final | Cualquier empleado que utilice herramientas de IA en su trabajo diario sin responsabilidad técnica ni de gobierno. Necesitan uso responsable, detección de riesgos y limitaciones. |
Niveles de riesgo del Reglamento Europeo de IA
El nivel de riesgo del caso de uso de la empresa determina si basta con el Nivel 1 o si es necesario añadir módulos del Nivel 2, y cuáles:
| Nivel de riesgo | Formación requerida |
|---|---|
| Riesgo mínimo | Nivel 1 suficiente. |
| Riesgo limitado (art. 50 RIA) | Nivel 1 + módulo MC-TRANS (transparencia y etiquetado). |
| Alto riesgo (Anexo III RIA) | Nivel 1 + módulo MC-ALTO + módulo sectorial si aplica. |
| Sectorial (DORA, MDR, MiFID II) | Se añade el módulo sectorial correspondiente al nivel de riesgo que aplique. |
NIVEL 1 — FORMACIÓN BASE COMÚN
Duración: 6-8 horas
Destinatarios: Toda la plantilla en contacto con sistemas de IA
Objetivo: Cumplir la obligación general de alfabetización del artículo 4 del Reglamento Europeo de IA y proporcionar los conocimientos fundamentales para un uso responsable de la IA generativa en el entorno laboral.
Bloque 1 — Fundamentos de IA (1,5-2 horas)
Contenido
Qué es la inteligencia artificial. Diferencia entre IA tradicional e IA generativa. Cómo funcionan los modelos de lenguaje a nivel conceptual (sin requerir conocimientos de programación). Qué pueden y qué no pueden hacer los sistemas de IA actuales. Breve historia de la IA generativa para contextualizar el estado del arte.
Riesgos y limitaciones. Principales riesgos de los sistemas de IA: alucinaciones (generación de información falsa presentada como cierta), sesgos algorítmicos, opacidad de los modelos, dependencia tecnológica y riesgos de seguridad. Por qué los resultados de la IA no deben aceptarse sin revisión humana. El sesgo de automatización: tendencia a confiar en exceso en los resultados de un sistema automatizado.
Bloque 2 — Marco regulatorio general (1,5-2 horas)
Contenido
El Reglamento Europeo de IA. Visión general: estructura basada en riesgo, actores regulados (proveedor, responsable del despliegue), calendario de aplicación escalonada, régimen sancionador (hasta 35 M€ o 7 % de facturación global). Clasificación de riesgo: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. Ejercicios prácticos para que el asistente identifique el nivel de riesgo de los sistemas de IA que usa en su trabajo.
Prácticas prohibidas. Lista de las prácticas prohibidas desde febrero de 2025: manipulación subliminal, explotación de vulnerabilidades de grupos específicos, scoring social, reconocimiento de emociones en el trabajo, scraping masivo de imágenes faciales. Casos prácticos para identificar cuándo un sistema cruza la frontera de lo prohibido.
El RGPD aplicado a la IA. Principios básicos: licitud, minimización, limitación de finalidad, transparencia. Derechos de los interesados: acceso, rectificación, supresión, oposición al perfilado, derecho a no ser objeto de decisiones automatizadas con efectos significativos (art. 22). Orientado a que el asistente entienda tanto sus obligaciones como sus propios derechos.
Bloque 3 — Protección de datos y proveedores de IA (1-1,5 horas)
Contenido
Datos personales y herramientas de IA. Por qué introducir datos personales o confidenciales en herramientas de IA supone un tratamiento de datos con implicaciones legales. Diferencia entre versiones de consumo (datos potencialmente usados para entrenar el modelo) y versiones empresariales (garantías contractuales de no entrenamiento). Necesidad de Acuerdos de Tratamiento de Datos (DPA) con los proveedores.
Minimización y anonimización. Qué datos enviar al modelo (solo los estrictamente necesarios). Conceptos básicos de seudonimización y anonimización. Riesgos de reidentificación.
Shadow AI. Qué es la IA en la sombra y por qué es un riesgo para la organización. Por qué utilizar herramientas no aprobadas puede exponer datos confidenciales de la empresa a terceros sin las garantías necesarias.
Bloque 4 — Uso responsable cotidiano (1,5-2 horas)
Contenido
Buenas prácticas. Verificar siempre los resultados de la IA. No compartir datos confidenciales ni personales en herramientas de consumo. Reconocer las limitaciones del sistema. Saber cuándo escalar a un humano. No depender ciegamente de los resultados.
Transparencia. Obligaciones de identificación de IA: los sistemas que interactúan con personas deben identificarse como tales. Obligaciones de etiquetado de contenido generado por IA. Cuándo debe indicarse que un contenido fue generado o sustancialmente modificado por IA.
Gobernanza básica. Política de uso aceptable de IA de la organización (si existe). Herramientas aprobadas frente a herramientas prohibidas. Canales de escalado interno cuando se detecta un problema con un sistema de IA.
NIVEL 2 — MÓDULOS COMPLEMENTARIOS
Cada módulo complementario se selecciona en función de los casos de uso de IA de la empresa. Los módulos se imparten solo a los perfiles relevantes, no necesariamente a toda la plantilla.
MC-ALTO — Sistemas de IA de alto riesgo
Duración: 3-4 horas
Cuándo aplica: Cuando la empresa utiliza IA en alguno de los ámbitos clasificados como alto riesgo en el Anexo III del Reglamento de IA: empleo y selección de personal, educación y formación profesional, scoring crediticio, evaluación de riesgos de seguros, o cualquier otro supuesto del Anexo III.
Casos de uso cubiertos: Selección de personal y gestión laboral, formación y educación con IA, servicios financieros (scoring/riesgo), sector sanitario (diagnóstico/triaje).
Obligaciones completas exigibles desde: Agosto de 2026.
Contenido por perfil
Perfil DIR (3-4 horas):
- Gobernanza de sistemas de alto riesgo. Responsabilidades del "responsable del despliegue" bajo el Reglamento de IA: obligaciones de registro, vigilancia poscomercialización, notificación de incidentes. Evaluaciones de Impacto en Derechos Fundamentales (exigibles desde agosto de 2026). Régimen sancionador aplicable en España (AESIA y autoridades sectoriales).
- Supervisión humana efectiva. Requisitos del artículo 14 del Reglamento: la persona supervisora debe poder comprender las capacidades y limitaciones del sistema, interpretar sus resultados, decidir no utilizarlo y detenerlo. Diferencia entre supervisión genuina y mero "visto bueno" automático. El sesgo de automatización y cómo contrarrestarlo institucionalmente.
- Decisiones automatizadas. Régimen del artículo 22 del RGPD: prohibición general de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos o significativos. Derecho a intervención humana, a expresar el punto de vista y a impugnar la decisión. Jurisprudencia del TJUE.
- Detección de sesgo. Cómo un directivo puede detectar indicios de sesgo en los resultados de la IA sin conocimientos técnicos: patrones de exclusión sistemática, resultados desproporcionados, métricas de equidad básicas.
Perfil TEC (3-4 horas):
- Documentación técnica de alto riesgo. Requisitos del capítulo III del Reglamento de IA: descripción del sistema, sistema de gestión de riesgos, gobernanza de datos, métricas de rendimiento, decisiones de diseño, instrucciones de uso, plan de supervisión poscomercialización.
- Auditoría técnica de sesgo. Métricas de equidad (paridad demográfica, igualdad de oportunidades, calibración), pruebas adversarias de sesgo, análisis de subgrupos, monitorización de drift. Herramientas y frameworks de auditoría.
- Supervisión humana efectiva. Misma materia que para DIR, con enfoque en la implementación técnica de los mecanismos de supervisión.
- Decisiones automatizadas. Artículo 22 del RGPD desde la perspectiva técnica: cómo diseñar sistemas que permitan la intervención humana genuina.
Perfil USR (2 horas):
- Detección de sesgo en uso. Indicios de sesgo en los resultados que el usuario puede identificar. Canales de escalado interno.
- Decisiones automatizadas y derechos. Refuerzo del artículo 22 del RGPD orientado a que el usuario entienda cuándo una decisión asistida por IA requiere intervención humana y cuáles son los derechos de las personas afectadas.
MC-LABORAL — IA en el ámbito laboral
Duración: 2 horas
Cuándo aplica: Cuando la empresa utiliza IA que afecta directa o indirectamente a las condiciones de trabajo: selección de personal, evaluación del desempeño, asignación de tareas o turnos, monitorización de productividad, o cualquier algoritmo que influya en decisiones laborales. También cuando se despliegan agentes de IA que afectan a condiciones laborales.
Casos de uso cubiertos: Selección de personal y gestión laboral, formación y educación con IA, automatización con agentes (cuando afectan a condiciones laborales).
Contenido (perfiles DIR y TEC; resumen para USR)
- Transparencia algorítmica laboral. Obligaciones del artículo 64.4.d) del Estatuto de los Trabajadores (RDL 9/2021 "Ley Rider"): obligación de informar a los representantes de los trabajadores sobre los parámetros, reglas e instrucciones de los algoritmos que afectan a las condiciones laborales. Jurisprudencia de la SAN 101/2025: extensión a delegados sindicales y a fórmulas matemáticas básicas. Consecuencias del incumplimiento: sanciones laborales y posible declaración de vulneración de la libertad sindical.
- V AENC y negociación colectiva. Mandatos del V Acuerdo para el Empleo y la Negociación Colectiva sobre transparencia algorítmica, control humano y formación digital. Impacto en los convenios colectivos.
- Reconocimiento de emociones. Prohibición (ya en vigor desde febrero de 2025) del uso de sistemas de reconocimiento de emociones en el lugar de trabajo. Identificación de herramientas que pueden entrar en esta categoría (análisis de expresiones faciales, tono de voz en entrevistas por vídeo).
MC-TRANS — Transparencia y contenido generado por IA
Duración: 2 horas
Cuándo aplica: Cuando la empresa genera contenido con IA (textos, imágenes, vídeo, audio) para uso externo, o despliega chatbots que interactúan con usuarios finales.
Casos de uso cubiertos: Chatbots y asistentes de atención al cliente, generación de contenido, marketing personalizado.
Contenido (perfiles DIR y USR)
- Etiquetado de contenido generado por IA. Obligaciones del artículo 50 del Reglamento de IA: etiquetado legible por máquina en metadatos, etiquetado visible para usuarios. Requisitos específicos para deepfakes (advertencia clara e inequívoca). Norma C2PA como estándar técnico de marcado de procedencia. Plazos de cumplimiento.
- Derechos de autor e IA generativa. Régimen de la Directiva (UE) 2019/790: las dos excepciones de minería de textos y datos (TDM), el mecanismo de opt-out, la obligación de los modelos GPAI de respetar las reservas de derechos. Ausencia de protección por derechos de autor del contenido generado íntegramente por IA sin intervención creativa humana sustancial. Riesgos de incorporar contenido generado con licencias restrictivas.
- Deepfakes y contenido sintético. Riesgos éticos y legales de la generación de contenido que simula a personas reales. Criterios para determinar cuándo un contenido generado cruza la línea de la suplantación de identidad.
MC-AGENTES — Automatización con agentes de IA
Duración: 3 horas
Cuándo aplica: Cuando la empresa despliega agentes de IA (sistemas autónomos que encadenan múltiples acciones) para automatizar procesos, o cuando chatbots tienen capacidades agénticas (realizan acciones, no solo responden).
Casos de uso cubiertos: Automatización con agentes de IA, chatbots agénticos, gestión documental con RAG agéntico.
Contenido por perfil
Perfil DIR (3 horas):
- Gobernanza de agentes autónomos. Requisitos de las orientaciones de la AEPD (febrero de 2026): determinación de roles (responsable/encargado) en cadenas multiagente, requisitos de trazabilidad extremo a extremo, límites de acción del agente, controles de presupuesto, tiempo máximo y número máximo de acciones por sesión. La "regla del 2" como marco de evaluación de riesgo.
- Riesgos específicos de los agentes. Fallos en cascada, comportamientos emergentes, errores compuestos, bucles de realimentación, punto único de compromiso en sistemas multiagente. Casos reales de agentes descontrolados (bucles infinitos, invención de datos, exfiltración).
Perfil TEC (3 horas):
- Trazabilidad en IA agéntica. Documentación de la cadena de razonamiento, identificación de qué datos se extraen de cada fuente, cómo se transforman en cada paso, y a qué servicios externos se comunican. Herramientas de logging y auditoría para agentes.
- Límites de autonomía y parada. Diseño e implementación de mecanismos de control: botones de parada, límites de acción, controles de presupuesto, tiempo máximo, aprobación humana para acciones irreversibles. Prevención de ejecuciones descontroladas.
- Memoria persistente y minimización. Riesgos de acumulación de datos personales en la memoria del agente. Principios de limitación de finalidad y minimización aplicados a la memoria. Mecanismos para que los interesados ejerzan sus derechos sobre datos almacenados. Aplicable también a bases vectoriales en sistemas RAG.
- DPA y proveedores. Verificación de contratos de encargo de tratamiento con cada servicio externo al que accede el agente.
Perfil USR (2 horas):
- Trazabilidad básica. Qué es la cadena de razonamiento de un agente y por qué importa. Cómo identificar cuándo un agente está accediendo a datos que no debería.
- Límites y escalado. Qué puede hacer el agente de forma autónoma y cuándo debe intervenir un humano. Cómo reportar comportamientos anómalos.
MC-CÓDIGO — Asistentes de código y desarrollo de software con IA
Duración: 2-3 horas
Cuándo aplica: Cuando los equipos de desarrollo utilizan asistentes de código basados en IA (GitHub Copilot, Cursor, Amazon CodeWhisperer u otros).
Casos de uso cubiertos: Asistentes de código y desarrollo de software con IA.
Contenido (perfil TEC exclusivamente)
- Seguridad del código generado por IA. Tasas de vulnerabilidades del 30-50 % en código generado por IA. Tipos de vulnerabilidades más comunes (inyección SQL, XSS, dependencias inseguras). Riesgo de slopsquatting (generación de dependencias inexistentes que podrían ser registradas por atacantes). Necesidad de escaneo SAST/DAST sistemático y revisión humana.
- Fuga de datos en asistentes de código. Riesgos de fuga de credenciales, claves de API, datos de configuración y datos personales de prueba. Diferencia entre versiones de consumo y empresariales. Políticas de uso seguro.
- Derechos de autor del código generado. Riesgo de reproducción de código con licencias restrictivas (GPL). Necesidad de verificar licencias antes de incorporar código a productos comerciales.
MC-RAG — Gestión documental y conocimiento corporativo (RAG)
Duración: 2 horas
Cuándo aplica: Cuando la empresa implementa sistemas RAG para consulta de repositorios documentales internos, bases de conocimiento o archivos corporativos.
Casos de uso cubiertos: Gestión documental y conocimiento corporativo con RAG.
Contenido por perfil
Perfil TEC (2 horas):
- Segmentación de accesos en RAG. Riesgo de fuga de información entre contextos. Necesidad de replicar en el sistema de IA la misma estructura de permisos que existe en los repositorios originales. Arquitecturas de segmentación de accesos para bases vectoriales.
- Memoria persistente y minimización. Gestión de datos personales en bases vectoriales. Ejercicio de derechos de los interesados sobre datos almacenados (acceso, supresión). Complejidad técnica del derecho de supresión en bases vectoriales.
Perfiles DIR y USR (1,5 horas):
- Riesgos de los sistemas RAG. Fuga de información entre departamentos. Importancia de los permisos de acceso. Datos personales contenidos en documentos indexados.
- Derechos del interesado. Refuerzo de los derechos de acceso y supresión en el contexto de documentos vectorizados.
MC-FINANZAS — IA en servicios financieros
Duración: 2-3 horas
Cuándo aplica: Cuando la empresa es una entidad financiera (banca, seguros, inversiones, gestión de fondos, fintech) que utiliza IA.
Casos de uso cubiertos: IA en servicios financieros, compliance y auditoría interna en entidades financieras.
Requisito previo: Este módulo debe combinarse con MC-ALTO cuando la entidad utilice IA en scoring crediticio o evaluación de riesgos de seguros.
Contenido por perfil
Perfil DIR (2-3 horas):
- Principios MiFID II e IA. Obligaciones cuando se utiliza IA en asesoramiento financiero o gestión de inversiones: principio de actuar en el mejor interés del cliente, obligaciones de idoneidad y conveniencia, transparencia sobre el papel de la IA en las recomendaciones, principio de mejor ejecución. Orientaciones de la ESMA (agosto de 2024).
- DORA y proveedores de IA. Clasificación de proveedores de IA como "proveedores terceros de servicios TIC" bajo DORA. Evaluación de riesgos del proveedor, cláusulas contractuales de resiliencia, planes de continuidad, estrategias de salida, notificación de incidentes graves. Gestión del riesgo de concentración en un único proveedor de IA.
Perfil TEC (2-3 horas):
- DORA y proveedores de IA. Mismo contenido que para DIR, con enfoque en la implementación técnica: monitorización de proveedores, pruebas de resiliencia, integración en el marco de gestión de riesgos TIC.
- Principios MiFID II e IA. Visión general de las obligaciones de MiFID II relevantes para el diseño e implementación de sistemas de IA en la relación con clientes.
- Trazabilidad para reguladores. Documentación de los procesos de razonamiento de la IA de compliance para inspecciones regulatorias: logs, explicabilidad de decisiones, cadena de evidencia. Requisitos específicos para detección de fraude y cumplimiento AML/KYC.
Perfil USR (1,5 horas):
- Principios MiFID II e IA. Visión simplificada: por qué las recomendaciones generadas por IA deben verificarse con el mismo rigor que las humanas, y obligaciones de transparencia ante el cliente.
MC-SANIDAD — IA en el sector sanitario
Duración: 2-3 horas
Cuándo aplica: Cuando la empresa es del sector sanitario (hospitales, clínicas, laboratorios, farmacéuticas, software médico) y utiliza IA con datos de salud o para finalidades clínicas.
Casos de uso cubiertos: IA en el sector sanitario.
Requisito previo: Este módulo debe combinarse con MC-ALTO cuando la IA se utilice en diagnóstico, triaje o decisiones clínicas.
Contenido por perfil
Perfil DIR (2-3 horas):
- IA y datos de salud. Categoría especial bajo el RGPD (artículo 9). Bases legales tasadas para el tratamiento. EIPD obligatoria. Riesgos extremos de transferencias internacionales de datos de salud. Consideración de modelos desplegados en local o en infraestructura europea. Supervisión clínica humana obligatoria para decisiones diagnósticas o terapéuticas.
- Software como producto sanitario (MDR). Criterios para determinar si un software de IA se clasifica como producto sanitario bajo el Reglamento (UE) 2017/745: finalidad médica, proceso de marcado CE, evaluación de conformidad, vigilancia poscomercialización. Acumulación con las obligaciones del Reglamento de IA.
Perfil TEC (2-3 horas):
- IA y datos de salud. Mismo contenido que para DIR, con enfoque en la implementación técnica: arquitecturas de despliegue que minimicen transferencias internacionales, cifrado, anonimización de datos clínicos.
- Software como producto sanitario (MDR). Requisitos técnicos del proceso de marcado CE y documentación exigida. Interacción con la documentación técnica del Reglamento de IA.
Perfil USR (1,5 horas):
- IA y datos de salud. Visión simplificada: por qué los datos de salud requieren un tratamiento especialmente cuidadoso, por qué nunca deben introducirse en herramientas de consumo, y la obligatoriedad de la supervisión clínica humana.
MC-COMPLIANCE — IA en procesos de compliance y auditoría interna
Duración: 2 horas
Cuándo aplica: Cuando la empresa utiliza IA para revisión de contratos, análisis de riesgos regulatorios, monitorización del cumplimiento, detección de anomalías o automatización de respuestas a requerimientos regulatorios.
Casos de uso cubiertos: Compliance y auditoría interna con IA.
Contenido por perfil
Perfil DIR (2 horas):
- Proporcionalidad en monitorización. Equilibrio entre el uso de IA para compliance y los derechos de los empleados. Principio de proporcionalidad, necesidad de base legal sólida para monitorizar comunicaciones, alternativas menos invasivas, riesgos de crear un entorno de vigilancia.
- Supervisión humana en compliance. Por qué las decisiones de compliance con impacto sobre personas (bloqueo de cuentas, alertas de fraude) requieren intervención humana. Responsabilidad legal de las decisiones asistidas por IA.
Perfil TEC (2 horas):
- Trazabilidad para reguladores. Documentación de los procesos de razonamiento de la IA para inspecciones regulatorias. Registros de actividad, explicabilidad de decisiones, cadena de evidencia documental.
- Supervisión humana en compliance. Implementación técnica de mecanismos de supervisión humana en flujos automatizados de compliance.
MC-MARKETING — Marketing personalizado y perfilado con IA
Duración: 2 horas
Cuándo aplica: Cuando la empresa utiliza IA para personalización de marketing, segmentación de audiencias, perfilado de clientes, recomendaciones de productos o análisis de comportamiento de compra.
Casos de uso cubiertos: Marketing personalizado y perfilado de clientes con IA.
Contenido (perfiles DIR y USR)
- Perfilado y decisiones automatizadas. Artículo 22 del RGPD aplicado al marketing: cuándo el perfilado automatizado produce efectos significativos, base legal (consentimiento o interés legítimo), Evaluación de Interés Legítimo, derecho de oposición al perfilado. Opinión 28/2024 del EDPB sobre interés legítimo e IA.
- Prácticas prohibidas en marketing. Frontera con las prácticas prohibidas del artículo 5 del Reglamento de IA: explotación de vulnerabilidades de grupos específicos (edad, situación económica) para alterar el comportamiento de forma perjudicial. Casos prácticos.
- Etiquetado de contenido. Obligación de etiquetar como generado por IA los contenidos de marketing producidos con estas herramientas.
- Detección de sesgo. Revisión de perfiles automatizados para detectar y corregir sesgos discriminatorios.
ASIGNACIÓN DE MÓDULOS POR CASO DE USO
La siguiente tabla resume qué módulos del Nivel 2 aplican a cada caso de uso de la empresa. El Nivel 1 siempre es obligatorio.
| Caso de uso | Módulos complementarios obligatorios | Módulos condicionales |
|---|---|---|
| Selección de personal, evaluación y gestión laboral | MC-ALTO + MC-LABORAL | — |
| IA en servicios financieros | MC-ALTO + MC-FINANZAS | MC-COMPLIANCE si usa IA en compliance |
| IA en el sector sanitario | MC-ALTO + MC-SANIDAD | — |
| Formación y educación con IA | MC-ALTO + MC-LABORAL | — |
| Chatbots y asistentes de atención al cliente | MC-TRANS | MC-ALTO si el chatbot toma decisiones con impacto significativo; MC-AGENTES si tiene capacidades agénticas |
| Generación de contenido | MC-TRANS | — |
| Automatización con agentes de IA | MC-AGENTES | MC-ALTO si los agentes toman decisiones con efectos sobre personas; MC-LABORAL si afectan a condiciones laborales |
| Análisis de datos y toma de decisiones | — | MC-ALTO si el análisis afecta a decisiones sobre personas concretas; MC-AGENTES si se usan agentes encadenados |
| Asistentes de código y desarrollo de software | MC-CÓDIGO | MC-ALTO (solo RISK-04) si el software desarrollado forma parte de un sistema de alto riesgo |
| Gestión documental y conocimiento corporativo (RAG) | MC-RAG | MC-AGENTES si el RAG tiene componentes agénticos |
| Marketing personalizado y perfilado | MC-MARKETING + MC-TRANS | — |
| Compliance y auditoría interna | MC-COMPLIANCE | MC-FINANZAS si es entidad financiera; MC-ALTO si la IA toma decisiones con impacto sobre personas |
Evaluación
Tanto el Nivel 1 como cada módulo complementario del Nivel 2 se evalúan mediante cuestionario de 25 preguntas tipo test.
El umbral de superación es del 70 %.
ENTREGABLES
Para que la empresa pueda demostrar cumplimiento ante una inspección de la autoridad de vigilancia del mercado (en España, AESIA a partir de agosto de 2026), entregamos:
1. Plan formativo documentado
Inventario de sistemas de IA que utiliza la empresa, clasificación de riesgo, identificación de casos de uso, selección de módulos educativos complementarios aplicables y justificación de la selección. Este documento demuestra que la formación se ha adaptado al contexto de la empresa.
2. Materiales del Nivel 1
Contenido de los cuatro bloques de la formación base, con ejercicios prácticos adaptados al sector de la empresa (los ejemplos y casos prácticos se contextualizan aunque el contenido sustantivo sea común).
3. Materiales de cada módulo complementario impartido
Contenido, ejercicios prácticos y casos de uso adaptados al sector y los sistemas de IA de la empresa.
4. Acta de asistencia
Registro de asistentes con nombre, cargo, perfil formativo (DIR/TEC/USR), módulos cursados y fechas.
5. Evaluación de conocimientos
Cuestionario del Nivel 1 (obligatorio para todos los asistentes) y cuestionarios específicos de cada módulo complementario impartido. Registro de resultados.
6. Certificado de conformidad
Documento firmado por TheBrainSphere que acredite:
- Que la formación de Nivel 1 cubre los fundamentos de alfabetización en IA conforme al artículo 4 del Reglamento Europeo de IA.
- Que los módulos complementarios impartidos cubren las obligaciones formativas específicas derivadas del nivel de riesgo y la normativa sectorial aplicable a los casos de uso identificados para la empresa.
- La lista concreta de módulos impartidos y su justificación.
- Una declaración de limitaciones: si existen casos de uso de la empresa para los cuales no se han impartido módulos complementarios, el certificado lo indicará expresamente junto con la recomendación de completar la formación.
7. Informe de recomendaciones
Observaciones sobre gaps detectados, necesidades de formación continua, próximas fechas regulatorias relevantes para la empresa y, en su caso, módulos complementarios adicionales que se recomienda impartir.
NOTAS SOBRE CERTIFICACIÓN Y ACREDITACIÓN
La formación en alfabetización en IA no está reglada
A fecha de esta guía (abril de 2026), ni el Reglamento Europeo de IA ni la legislación española exigen una certificación oficial, una titulación específica ni una acreditación formal para impartir formación en alfabetización en IA. La Comisión Europea ha confirmado expresamente en sus FAQ sobre AI Literacy que no se exige certificado alguno para ofrecer este tipo de formación y que las organizaciones pueden mantener un registro interno de las formaciones realizadas.
Formación continua
El Reglamento entiende la alfabetización como un proceso vivo. Cada programa debe incluir un componente de actualización periódica que cubra: cambios normativos, nuevos sistemas de IA adoptados por la organización, y evolución del estado del arte. Se recomienda una sesión de actualización de 2-3 horas al menos anualmente, o cuando se produzcan cambios regulatorios significativos.
CALENDARIO REGULATORIO DE REFERENCIA
| Fecha | Hito | Impacto en la formación |
|---|---|---|
| Febrero de 2025 | Art. 4 RIA (alfabetización) y prácticas prohibidas (art. 5) en vigor | Nivel 1 ya exigible. MC-MARKETING y MC-LABORAL (reconocimiento de emociones) ya relevantes. |
| Enero de 2025 | DORA en vigor | MC-FINANZAS ya exigible para entidades financieras. |
| Agosto de 2025 | Obligaciones para modelos GPAI, inicio del régimen sancionador | Actualizar Nivel 1 (bloque 2) y MC-TRANS. |
| Agosto de 2026 | Obligaciones completas de alto riesgo, supervisión por autoridades nacionales | MC-ALTO plenamente exigible. Actualizar MC-FINANZAS, MC-SANIDAD. |
| 2027 | Extensión a sistemas preexistentes | Revisión de inventarios y reciclaje formativo completo. |
Sobre nosotros
Somos una consultora española especializada en inteligencia artificial. Ayudamos a las empresas usar IA poniendo especial énfasis en la alfabetización de la plantilla, el cumplimiento de las leyes que regulan su uso y la prevención de riesgos.
Si después de leer esta guía necesita acompañamiento para cumplir con el artículo 4 del Reglamento Europeo de IA (obligación de la alfabetización de plantillas en el uso de Inteligencia Artificial), estaremos encantados de ayudarle.
Esta guía tiene carácter informativo y no constituye asesoramiento jurídico. La legislación en materia de IA evoluciona con rapidez; verifique siempre la vigencia de las normas citadas.
Última revisión: abril de 2026.