Alfabetización en IA: de la obligación legal a la práctica empresarial
La obligación de alfabetización en IA prevista en el artículo 4 del AI Act[1] constituye una de las obligaciones básicas que deben atender los sujetos obligados, especialmente proveedores y responsables del despliegue de sistemas de IA, pero también todos los agentes pertinentes de la cadena de valor[2]. Su importancia radica en que actúa como presupuesto previo para un uso lícito, seguro y responsable de estas tecnologías.
Difícilmente, una organización podrá identificar riesgos de la IA, evitar usos prohibidos o adoptar decisiones informadas si las personas que utilizan los sistemas de IA no comprenden mínimamente sus capacidades, riesgos e impactos.
El citado art. 4 exige que proveedores y responsables del despliegue de sistemas de IA adopten medidas para garantizar, en la mayor medida posible, que su personal y otras personas que actúen en su nombre tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta su conocimiento técnico, experiencia, formación, contexto de uso y las personas o colectivos sobre los que se va a utilizar el sistema.
A la vista de este precepto, podría parecer que cuando hablamos de alfabetización en IA nos estamos refiriendo a una capacitación técnica avanzada, orientada a desarrollar o crear sistemas de inteligencia artificial. Sin embargo, no se trata necesariamente de eso.
La alfabetización en IA consiste, ante todo, en proporcionar a sus usuarios las capacidades y conocimientos necesarios para comprender, utilizar y supervisar estos sistemas de forma adecuada, segura y responsable.
Lo cierto es que el AI Act no fija un temario cerrado, ni exige una formación con una duración o un contenido concreto, del mismo modo, la propia Oficina europea de IA ya anunciado que no pretende imponer requisitos rígidos en relación con el artículo 4 del Reglamento de IA, sino que considera necesario mantener un cierto grado de flexibilidad. No obstante, el citado organismo ha publicado un listado de preguntas y respuestas sobre alfabetización en materia de IA que contienen algunas pautas y directrices sobre los requisitos y la aplicación del artículo 4[3].
Así las cosas, para cumplir el artículo 4 de la Ley de IA, los proveedores y los responsables del despliegue de sistemas de IA deben al menos:
- Identificar el papel que desempeña la organización frente a los sistemas de IA. En primer lugar, resulta necesario determinar si la organización actúa como proveedor, responsable del despliegue, distribuidor, importador u otro operador dentro de la cadena de valor de la IA, ya que de esa calificación dependerán el alcance de sus responsabilidades y las obligaciones que le resulten aplicables. En este sentido, una pregunta básica que deberíamos hacernos sería: ¿la organización desarrolla sistemas de IA o utiliza sistemas de IA desarrollados por terceros?
- Garantizar una comprensión general de la IA dentro de la organización: La formación debería permitir que las personas comprendan qué es la IA, cómo funciona en términos generales, qué sistemas de IA se utilizan en la organización, cuáles son sus principales oportunidades y riesgos, y qué implicaciones éticas, legales y organizativas puede tener su uso.
- Considerar el riesgo de los sistemas de IA proporcionados o desplegados: La alfabetización en IA no puede plantearse de forma abstracta, sino conectada con los sistemas concretos que la organización utiliza o desarrolla. Por ello, debe analizarse qué necesitan saber los empleados cuando interactúan con cada sistema de IA, qué riesgos deben identificar, qué límites deben respetar o cuándo deben activar mecanismos de supervisión, revisión o escalado.
Todo lo anterior debe aplicarse, como es lógico, desde un enfoque proporcional y adaptado a la realidad de cada organización. La alfabetización en IA no exige necesariamente el mismo nivel de formación para todas las organizaciones, ni siquiera para todos los empleados de una misma empresa, sino una capacitación adecuada al contexto de uso, al sector de actividad, al tipo de sistemas de IA utilizados, así como a la educación, experiencia y funciones del personal, entre otros aspectos.
En suma, el cumplimiento del artículo 4 debe modularse atendiendo a la dimensión, naturaleza, complejidad y características de la organización, evitando soluciones estandarizadas que no respondan a sus riesgos reales.
Repositorio de prácticas de alfabetización
Adicionalmente a estas orientaciones, la Oficina europea de IA puso en marcha un repositorio de prácticas de alfabetización que recoge más de cuarenta iniciativas para apoyar el aprendizaje y el intercambio de experiencias entre proveedores e implementadores de sistemas de IA, así como entre el público en general[4].
El “Living Repository of AI Literacy Practices” constituye una referencia práctica de especial utilidad para interpretar el alcance de la obligación de alfabetización en IA prevista en el artículo 4 del AI Act. Aunque sus prácticas no generan por sí mismas una presunción automática de cumplimiento, el repositorio permite identificar criterios comunes de actuación, como la necesidad de adaptar la formación al rol de los destinatarios, al nivel de conocimiento técnico, al contexto de uso de los sistemas, a los riesgos específicos y a las personas o colectivos potencialmente afectados.
Del análisis del repositorio, se pueden extraer varios elementos comunes que deberían formar parte de un programa de alfabetización en IA, entre ellos:
Formación básica para toda la organización
Toda organización que utilice IA debería contar, como mínimo, con una formación básica común para todos los empleados expuestos al uso de IA con independencia de su puesto, nivel de responsabilidad o grado de interacción con estas herramientas. Esa formación básica debería incluir:
- qué es la inteligencia artificial;
- diferencia entre sistema de IA y modelo de IA
- usos permitidos y no permitidos en la organización;
- riesgos de errores, sesgos y alucinaciones;
- protección de datos y confidencialidad;
- supervisión humana;
- prácticas prohibidas del AI Act;
- canales internos para consultar dudas o comunicar incidencias.
Formación por niveles: básico, intermedio y avanzado
El repositorio también muestra como las organizaciones más maduras no hacen una única formación uniforme, sino que crean diferentes actividades formativas por niveles. Así por ejemplo Generali, distingue entre:
- cursos básicos para todos;
- cursos intermedios para empleados que usan o interactúan directamente con
- sistemas de IA;
- formación avanzada para quienes desarrollan o mantienen sistemas de IA;
- academias internas para roles específicos como data scientists, AI business translators, actuaries o smart automation experts.
Formación adaptada a departamentos concretos
El repositorio de prácticas insiste en una idea esencial y es que la alfabetización en IA no puede abordarse como una formación uniforme, genérica o meramente formal para toda la plantilla. El propio artículo 4 del Reglamento de IA exige tener en cuenta los conocimientos técnicos, la experiencia, la educación y la formación de las personas destinatarias, así como el contexto en el que se utilizan los sistemas de IA.
Por tanto, la alfabetización debe diseñarse de forma proporcional, diferenciada y asociada a los usos reales de la IA dentro de cada organización.
Así, por ejemplo, en AI & Partners el Marco de Competencias de Alfabetización en IA está diseñado para mejorar la comprensión de la inteligencia artificial en todos los niveles de la organización. No obstante, el marco aborda también la diversidad de roles y niveles de conocimiento técnico, para adaptarlos a las iniciativas de aprendizaje a necesidades específicas. A modo de ejemplo:
- Liderazgo: el foco se sitúa en aportar una visión estratégica que ayude a quienes toman decisiones a comprender las oportunidades, los riesgos y las consideraciones éticas asociadas a la adopción de la IA.
- Equipos técnicos: la formación debe ir dirigida a adquirir conocimientos avanzados sobre el funcionamiento de los sistemas de IA, capacitándolos para diseñar, desarrollar y mantener sistemas conforme a los requisitos regulatorios.
- Profesionales de compliance y legal: el marco de competencias de alfabetización debe proporcionarles herramientas para evaluar los riesgos legales y éticos de la IA tanto en su desarrollo como en el despliegue.
- Equipos de recursos humanos: el objetivo del marco, en este caso, es garantizar que el equipo aprenda a gestionar la inclusión y la equidad en los procesos de toma de decisiones impulsados por IA, como puede ser la selección de personal, la contratación o las evaluaciones del desempeño.
- Los empleados de primera línea, que interactúan directamente con sistemas de IA, reciben una formación básica para comprender sus derechos, obligaciones y los impactos prácticos de la IA en sus funciones
Finalmente, la alfabetización en IA no debería concebirse como una acción formativa aislada, sino como una pieza más del sistema de gobernanza de la IA dentro de la organización. Ello exige conectarla con el resto de los elementos que permiten un uso responsable y conforme a la normativa de los sistemas de IA, entre otros: (i) una política interna de uso de IA; (ii) un inventario actualizado de sistemas y herramientas de IA; (iii) clasificación del nivel de riesgos y evaluación de impacto; (iv) la definición de roles y asignación de responsables, (v) la incorporación de cláusulas contractuales adecuadas en las relaciones con proveedores y (vi) supervisión y monitorización del sistema.
En resumen, una organización alfabetizada en IA no es aquella en la que todos son expertos algorítmicos o saben programar, sino aquella en la que cada persona comprende, en función de su rol, qué puede hacer la IA, qué no debe hacer, qué riesgos genera, qué límites legales existen y cómo actuar conforme a las reglas internas de gobernanza.