Guía pillar → Para el resumen completo de las obligaciones del EU AI Act para PyMEs (Art. 4, 5, 26, 27, 50, sanciones, calendario), consulta nuestra guía pillar EU AI Act para PyMEs.
El 7 de mayo de 2026, el Consejo de la Unión Europea y el Parlamento Europeo alcanzaron un acuerdo político provisional sobre el Digital Omnibus, un paquete de modificaciones específicas del Reglamento (UE) 2024/1689 (RIA). Uno de los cambios menos comentados en prensa, pero directamente relevante para cualquier empleador, afecta al Art. 4 RIA, la obligación de alfabetización en IA vigente desde el 2 de febrero de 2025. La nota oficial del Consejo está disponible en consilium.europa.eu.
¿Qué cambia en concreto, qué sigue siendo jurídicamente vinculante y qué deben hacer las empresas ahora para acreditar la alfabetización en IA de su plantilla de forma defendible ante AESIA, sin caer en una sobrecarga burocrática?
Qué decía el Art. 4 RIA antes del Omnibus
La redacción original del Art. 4 RIA obligaba a proveedores y responsables del despliegue de sistemas de IA a garantizar, en la medida de lo posible, un nivel suficiente de alfabetización en IA del personal y de las personas que tratan con el funcionamiento y uso de esos sistemas. La obligación está en vigor en toda la UE desde el 2 de febrero de 2025, con carácter sector-neutral y con independencia de la categoría de riesgo del sistema desplegado.
La formulación se asemejaba a una obligación de resultado clásica, como las que conocemos en derecho laboral o de protección de datos español. En la práctica significaba: una empresa que pone a disposición de sus empleados herramientas de IA en la nube (ChatGPT, Copilot, Gemini) o sistemas internos debía transmitirles un nivel mínimo definido de competencia y poder acreditarlo. La supervisión activa por parte de AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) comienza, según lo previsto, el 2 de agosto de 2026.
Qué cambia el Digital Omnibus del 7 de mayo de 2026
Con el acuerdo político del 7 de mayo de 2026, el Art. 4 RIA queda reformulado como un deber de medios para promover la alfabetización en IA. Proveedores y responsables del despliegue deben adoptar medidas para promover el desarrollo de la alfabetización en IA de su personal y de las personas que actúan en su nombre. Una obligación de resultado estricta en sentido estricto ya no existe. Es una distinción jurídica relevante con tres consecuencias prácticas:
- No hay un formato de formación prescrito, ni una duración mínima obligatoria, ni un currículo armonizado a nivel UE. Las empresas pueden adecuar las medidas al riesgo real y al uso concreto que se haga de la IA.
- Lo que cuenta son las medidas documentadas. Una mera comunicación en la intranet o un correo electrónico genérico suele ser insuficiente, porque no acredita ni personalización ni resultado de aprendizaje.
- La supervisión activa desde el 2 de agosto de 2026 no ha sido aplazada por el Omnibus. A partir de esa fecha, AESIA comprobará si las organizaciones han cumplido su deber de medios.
Qué sigue siendo jurídicamente vinculante
El Digital Omnibus no es una derogación del Art. 4 RIA, es una reformulación. Los siguientes puntos siguen plenamente vigentes:
Ámbito de aplicación: El Art. 4 RIA se aplica de forma sector-neutral a todos los proveedores y responsables del despliegue. No existe exención para PYMES, autónomos o administraciones públicas. Los factores recogidos en el Considerando 20 del RIA (contexto de uso, riesgo, configuración de la plantilla) siguen orientando el diseño de las medidas.
Régimen sancionador: El RIA no fija una multa específica para las infracciones del Art. 4. La concreción de las sanciones por el deber de alfabetización en IA se remite a los Estados miembros; las autoridades nacionales podrán aplicarlas desde el 2 de agosto de 2026. Los tramos elevados del Art. 99 (hasta 35 millones EUR o el 7 %) se aplican a otras infracciones, en particular a las prácticas prohibidas del Art. 5.
Carga de la prueba: Incluso un deber de medios exige que el esfuerzo esté documentado. Una organización sin nada que mostrar no tiene argumentos ante la AEPD o la AESIA, y la carga de la prueba recae habitualmente sobre el proveedor o responsable del despliegue en el derecho administrativo sancionador español.
Protección de datos: Una formación en IA con datos personales del personal (nombre, correo, departamento, resultado de aprendizaje) sigue sujeta al RGPD, la LOPDGDD y la AEPD. Los derechos del comité de empresa según el Art. 64 del Estatuto de los Trabajadores en materia de información y consulta sobre nuevas tecnologías permanecen intactos.
Por qué una formación básica documentada sigue siendo claramente recomendable
Desde el punto de vista jurídico y operativo, pese a la flexibilización de la redacción, hay argumentos sólidos para ofrecer a cada empleado con exposición a IA una formación básica documentada. Tres razones que aplican con independencia del RIA:
Primero, riesgo de responsabilidad civil por uso indebido. Una empresa que da acceso a ChatGPT a un comercial sin formación, y este pega datos de cliente en un servicio en la nube alojado en EE.UU., se enfrenta no solo a posibles multas del RGPD, sino también a responsabilidad civil contractual y extracontractual (Arts. 1101 y 1902 del Código Civil). Una formación documentada sobre uso permitido, clasificación de datos y riesgos del Shadow-AI reduce esta exposición de forma medible.
Segundo, prueba ante la autoridad de control. Desde agosto de 2026, las autoridades realizarán comprobaciones por muestreo y solicitarán pruebas concretas. Un dossier de auditoría firmado por empleado es la vía más rápida y limpia para acreditar el deber de medios, sin necesidad de visitas presenciales prolongadas ni extensos escritos de alegaciones.
Tercero, seguridad operativa. Una formación básica corta y práctica reduce de forma demostrable la frecuencia de incidentes de protección de datos, brechas de confidencialidad y uso de Shadow-AI. El beneficio se obtiene con independencia de cómo evolucione el RIA.
Estándar mínimo práctico para el deber de medios
A partir de nuestra práctica y de la lectura de los Considerandos 20 y 165 del RIA, proponemos el siguiente estándar mínimo pragmático para cubrir el deber de medios en la versión post-Omnibus:
- Inventario de sistemas de IA en uso. ¿Qué herramientas en la nube (ChatGPT, Copilot, Gemini, Claude) y qué sistemas internos o locales de IA están desplegados? ¿Quién tiene acceso?
- Clasificación del riesgo del uso. ¿Se usa IA para decisiones de contratación, puntuación crediticia, contextos sanitarios u otras áreas de alto riesgo, o estrictamente como asistente con decisión final humana?
- Oferta formativa con evaluación de aprendizaje. Una formación online asíncrona de 60 a 120 minutos, con un examen breve (5 a 6 preguntas, umbral de aprobado del 80 %) y un certificado nominativo por persona.
- Dossier de auditoría al cierre de la campaña. Un paquete firmado criptográficamente con todas las evidencias (invitación, tiempo de lectura, intentos de examen, certificados). Las firmas Ed25519 son válidas durante 10 a 20 años y verificables con independencia del proveedor.
- Actualización anual. El panorama de IA evoluciona rápido. Una repetición anual con contenido actualizado señala a la autoridad de control que el deber de medios se aborda como un proceso continuo.
Una vez implementados estos cinco pasos de forma limpia, el mantenimiento anual suele ser de dos a cuatro horas y la organización queda en una situación jurídicamente sólida.
Conclusión
El Digital Omnibus del 7 de mayo de 2026 suaviza la redacción del Art. 4 RIA, pero no lo vuelve menos relevante. La supervisión activa desde el 2 de agosto de 2026 va a llegar, y las autoridades querrán ver pruebas concretas. Las empresas que establezcan ahora una formación básica documentada están preparadas, sin tener que reaccionar bajo presión de plazos.
Nuestra formación llave en mano para el Art. 4 RIA está concebida exactamente para este caso de uso pragmático: 20 € por participante, sin permanencia, con dossier de auditoría firmado al cierre. Para preguntas sobre cómo configurarlo en tu organización concreta, estamos encantados de actuar como sparring partner, sin compromiso.