Qué exige el AI Act a la formación en inteligencia artificial

El AI Act no exige convertir a toda la plantilla en experta legal ni técnica. Lo que sí cambia es el nivel de responsabilidad: la empresa debe asegurar que quienes usan o supervisan IA tienen alfabetización suficiente para actuar con criterio, sobre todo cuando hay datos sensibles, decisiones automatizadas o impacto sobre terceros.

La consecuencia práctica es clara: formar en IA ya no puede limitarse a explicar herramientas. La empresa necesita que cada persona entienda qué riesgos introduce la IA en su trabajo, qué límites debe respetar y cuándo debe pedir apoyo antes de seguir avanzando.

Alfabetización en IA más allá de la sensibilización

Una sesión introductoria puede explicar oportunidades, conceptos básicos y usos frecuentes. Pero eso no basta cuando la IA entra en procesos reales. La formación en inteligencia artificial debe ayudar a responder preguntas operativas: qué puedo delegar, qué debo revisar, qué datos no debo usar y cuándo tengo que escalar una duda.

El error habitual es formar solo en productividad. Enseñar prompts sin hablar de privacidad, sesgos, alucinaciones, trazabilidad o supervisión humana crea usuarios más rápidos, pero no necesariamente más seguros. ¿Qué debería saber una persona antes de usar IA con información interna? Como mínimo, si ese dato puede compartirse, cómo validar el resultado y quién responde si la salida genera un problema.

Para que la alfabetización sea útil, debería cubrir al menos cuatro bloques:

• Uso permitido y límites internos: qué herramientas pueden usarse, con qué datos y en qué contextos.
• Calidad y verificación: cómo revisar respuestas, fuentes, errores y resultados aparentemente convincentes.
• Riesgos de la inteligencia artificial: sesgos, exposición de información, automatización indebida y dependencia excesiva.
• Supervisión y escalado: cuándo parar, documentar, consultar o elevar una incidencia.

Sin estos elementos, la formación queda en sensibilización. Puede generar interés, pero no reduce riesgo.

Responsabilidad compartida entre RRHH, legal, IT y negocio

La formación no puede diseñarse solo desde L&D. RRHH puede liderar el despliegue, pero necesita información de legal, IT, compliance y negocio para saber qué usos de IA existen, qué herramientas están autorizadas y qué colectivos tienen mayor exposición.

Legal aporta el marco de cumplimiento. IT identifica herramientas, datos y controles técnicos. Negocio conoce los procesos donde la IA se está usando de verdad. RRHH y L&D convierten todo eso en itinerarios comprensibles, aplicables y medibles. Si una de esas piezas falta, el plan formativo suele quedar descompensado.

La formación en inteligencia artificial se convierte así en parte de la gobernanza de IA. No sustituye a políticas, controles o evaluaciones de riesgo, pero hace posible que las personas los apliquen en el trabajo diario. Una política excelente sirve de poco si nadie sabe reconocer cuándo está cruzando una línea operativa, ética o legal.

A quién formar primero y con qué profundidad

No toda la plantilla necesita la misma formación en inteligencia artificial. El criterio no debería ser jerarquía ni departamento, sino exposición real a la IA, impacto de sus decisiones y responsabilidad sobre terceros. Así se evita formar superficialmente a perfiles críticos y sobredimensionar a quienes solo tienen usos puntuales.

Antes de diseñar itinerarios, conviene separar tres niveles:

• Uso básico: personas que emplean IA para redactar, resumir, buscar ideas o preparar documentos internos.
• Uso operativo: perfiles que incorporan IA en procesos, atención a clientes, análisis, reporting o soporte a decisiones.
• Uso crítico: equipos que deciden, supervisan, automatizan o afectan a empleados, candidatos, clientes o proveedores mediante sistemas de IA.

Esta segmentación permite priorizar sin convertir la formación en un catálogo infinito. La empresa no necesita más cursos, sino un mapa claro de quién debe aprender qué, con qué profundidad y para qué riesgo concreto.

Usuarios habituales de IA generativa

El primer grupo son las personas que ya usan IA generativa en tareas diarias. Su riesgo no siempre está en una gran decisión, sino en la acumulación de pequeños usos mal controlados: copiar información interna en prompts, aceptar respuestas sin verificar, reutilizar textos con errores o tratar una herramienta externa como si fuera un repositorio seguro.

Su formación debe ser práctica y breve, pero no superficial. Necesitan saber qué datos no introducir, cómo validar respuestas, cuándo citar fuentes y qué usos están permitidos por la política interna. Un curso centrado solo en prompts puede mejorar la velocidad, pero también acelerar malos hábitos si no incorpora privacidad, revisión y límites del modelo.

Perfiles que deciden, supervisan o afectan a terceros con IA

El segundo grupo requiere más profundidad. Aquí entran managers, RRHH, atención al cliente, compliance, operaciones y cualquier perfil que use IA para priorizar, evaluar, clasificar, recomendar o automatizar parte de una decisión. El riesgo no está solo en usar una herramienta, sino en dar autoridad a una recomendación algorítmica sin entender sus límites.

En estos casos, la formación debe trabajar lectura crítica, supervisión humana y escalado de incidencias. Un manager no necesita convertirse en técnico, pero sí debe saber cuándo una recomendación no es fiable, qué datos pueden estar sesgados, cómo documentar una decisión y cuándo pedir intervención de IT, legal o compliance.

La profundidad de la formación debe aumentar cuando la IA afecta a personas. Usar un asistente para mejorar un borrador no es lo mismo que apoyar una decisión de selección, desempeño, compensación o atención prioritaria. Esa diferencia debe estar clara antes de escalar cualquier herramienta con impacto real sobre empleados, clientes o candidatos.

Cómo diseñar una formación en IA basada en riesgo

Diseñar formación en inteligencia artificial desde el riesgo no significa crear un programa pesado o defensivo. Significa ordenar el aprendizaje según los usos reales de IA, la sensibilidad de los datos, el impacto de las decisiones y la capacidad de supervisión de cada perfil.

Si no se hace así, el plan suele caer en dos extremos: formación genérica para todos o formación técnica para unos pocos. El objetivo es construir un itinerario proporcional, donde cada colectivo reciba la profundidad que necesita para operar sin asumir riesgos invisibles.

Mapa de usos reales antes del catálogo de cursos

El primer paso no es elegir cursos, sino identificar dónde se está usando IA. Muchas organizaciones descubren tarde que ya hay asistentes generativos, automatizaciones, herramientas de análisis, soluciones de recruiting, copilotos de productividad o funciones de IA incorporadas en software ya contratado.

Ese mapa no tiene que ser una auditoría interminable, pero sí debe responder a preguntas concretas: qué herramienta se usa, con qué datos, para qué tarea, quién revisa el resultado y qué podría salir mal. Sin esa base, L&D diseña desde intuiciones y no desde exposición real.

Matriz de exposición, responsabilidad y evidencias

Una matriz sencilla ayuda a pasar de “formar en IA” a decidir qué necesita cada colectivo. No sustituye al análisis legal ni técnico, pero permite que RRHH, L&D, compliance e IT hablen el mismo idioma.

Perfil o uso	Riesgo principal	Formación prioritaria	Evidencia útil
Uso básico de IA generativa	Errores, datos internos y dependencia excesiva	Uso permitido, verificación y límites del modelo	Caso práctico cotidiano
Uso en procesos operativos	Automatización mal controlada y baja trazabilidad	Privacidad, revisión humana y criterios de escalado	Simulación de incidencia
Uso en decisiones sobre personas o terceros	Sesgos, impacto injusto y responsabilidad difusa	Supervisión, documentación y gobierno de decisiones	Caso evaluado con criterios de compliance
Equipos técnicos o propietarios de sistemas	Diseño opaco, datos deficientes y controles insuficientes	Validación, seguridad, monitorización y gestión del riesgo	Registro de controles y revisión periódica

La clave es que cada nivel tenga una exigencia proporcional. No todos necesitan dominar modelos, pero nadie debería usar IA sin comprender qué riesgos introduce en su contexto de trabajo.

De prompts a criterio: privacidad, sesgos y supervisión

La formación centrada solo en prompts enseña a obtener respuestas, pero no necesariamente a tomar mejores decisiones. En una empresa, el objetivo no debería ser que la plantilla escriba instrucciones más sofisticadas, sino que sepa trabajar con IA sin perder control sobre datos, calidad y responsabilidad.

Por eso, los contenidos deben incluir privacidad, sesgos, verificación, explicabilidad básica, trazabilidad y supervisión humana. También deben aterrizarse en casos reales: un informe generado con errores, una recomendación sesgada, una respuesta automática a cliente o una automatización que nadie revisa porque “siempre ha funcionado”.

Este enfoque conecta con Gobernanza de IA en empresa: cultura, políticas y control. La formación no es una pieza aislada del cumplimiento. Es el mecanismo que permite que las políticas bajen al trabajo diario y que las personas sepan cuándo usar IA, cuándo cuestionarla y cuándo detenerla.

Cómo demostrar que la formación reduce riesgos

La formación en inteligencia artificial no se puede evaluar solo como consumo de contenido. Completar un curso ayuda, pero no demuestra por sí solo que una persona sepa usar IA con criterio. La empresa no necesita convertirlo todo en examen, pero sí recoger evidencias de aprendizaje, aplicación y actualización que muestren una gestión diligente del riesgo.

El foco debe estar en comprobar si el aprendizaje cambia decisiones reales: cómo se valida una respuesta, cuándo se escala una duda, qué datos se evitan y cómo se documenta una decisión sensible. Esa lectura es más útil que una métrica aislada de asistencia.

Evidencias útiles más allá de la finalización

La métrica más cómoda suele ser la menos útil: porcentaje de finalización. Sirve para saber quién pasó por el itinerario, pero no si esa persona sabe detectar un riesgo, validar una respuesta o aplicar la política interna cuando la IA entra en una tarea real.

Conviene combinar evidencias simples, pero más sólidas:

• Cobertura por colectivos críticos: qué perfiles han recibido formación según exposición a IA, no solo cuántas personas completaron un curso.
• Evaluaciones con casos reales: situaciones con datos sensibles, respuestas no verificables, sesgos o decisiones que requieren supervisión.
• Aplicación al puesto: ejercicios vinculados a tareas habituales, como revisar un informe, documentar una decisión o escalar una incidencia.
• Registro de actualización: cuándo se revisaron contenidos, políticas, herramientas autorizadas y criterios de uso.

Estas evidencias permiten a RRHH, L&D, compliance e IT comprobar si la formación está conectada con los riesgos reales de la organización. No se trata de acumular documentos, sino de demostrar que el aprendizaje cambia la forma de trabajar.

Actualización continua ligada a gobernanza de IA

La formación en IA no debería cerrarse como un proyecto anual. Cambian las herramientas, los proveedores incorporan nuevas funciones, aparecen usos no previstos y los equipos encuentran atajos. Si el aprendizaje no se revisa, la empresa acaba formando sobre una realidad que ya no existe.

Por eso, la formación debe vincularse a la gobernanza de IA. Cada cambio relevante en herramientas, políticas, procesos o riesgos debería activar una revisión mínima: qué colectivos se ven afectados, qué mensajes deben actualizarse y qué evidencias conviene recoger. No se trata de rehacer todo el programa, sino de mantenerlo vivo.

Un buen síntoma de madurez es que la formación deje de depender solo del calendario de L&D y empiece a conectarse con decisiones operativas: alta de una nueva herramienta, cambio en una política de datos, incorporación de IA en un proceso de RRHH o revisión de un proveedor crítico.

La empresa que mide bien no busca “cubrir expediente”. Busca saber si sus equipos pueden usar IA con autonomía, límites claros y capacidad de supervisión. Ese es el punto donde la formación deja de ser un coste defensivo y se convierte en una medida real de control, adopción y confianza.

Conclusiones

El AI Act no convierte la formación en inteligencia artificial en un trámite legal más. La convierte en una pieza de gestión del riesgo, adopción tecnológica y responsabilidad interna. La empresa que lo entienda pronto diseñará planes más útiles que quienes se limiten a lanzar cursos genéricos para “cumplir”.

El punto clave es cambiar la pregunta. No se trata solo de cuántas personas han recibido formación, sino de qué perfiles están preparados para usar IA sin crear riesgos que no saben detectar. Esa respuesta exige segmentar, priorizar y conectar el aprendizaje con políticas, herramientas autorizadas, procesos y decisiones reales.

RRHH y L&D tienen un papel central, pero no pueden actuar solos. La formación en IA debe construirse con legal, IT, compliance y negocio, porque cada área ve una parte distinta del problema. Cuando esa coordinación existe, el aprendizaje deja de ser contenido y se convierte en capacidad operativa.

La oportunidad está en usar el AI Act como palanca para ordenar la IA en empresas. No para frenar la adopción, sino para hacerla más segura, medible y sostenible. Formar bien no significa enseñar más herramientas: significa crear criterio, límites claros y supervisión real antes de que la IA escale más rápido que la capacidad de controlarla.