Gobernanza de la IA multimarco: Ley de IA de la UE, ISO 42001, NIST AI RMF y RGPD
Proyecte la Ley de IA de la UE, la ISO 42001, el NIST AI RMF y el RGPD sobre un único conjunto de controles. Tabla de correspondencias, plazo 2 dic 2027 y qué exige legalmente cada marco.
Cuatro marcos. Dos jurídicamente vinculantes. Dos voluntarios. Un programa de cumplimiento.
Si opera sistemas de IA dentro de la UE, casi con seguridad está sujeto a al menos tres simultáneamente: la Ley de IA de la UE (Reglamento (UE) 2024/1689), el RGPD, posiblemente la ISO/IEC 42001 si su organización la ha adoptado, y el NIST AI RMF si su matriz estadounidense o sus clientes empresariales exigen alineación. El instinto es ejecutar cuatro líneas de trabajo paralelas. Ese instinto es caro e innecesario.
Esta guía proyecta lo que exige cada marco, dónde se solapan y cómo un único conjunto de controles — escrito una vez frente a las obligaciones obligatorias de la Ley de IA de la UE — satisface la mayor parte de lo que piden los demás.
Qué es cada marco (y qué no es)
Dos son ley vinculante; dos son orientaciones voluntarias. Acertar con esa distinción es el punto de partida.
Ley de IA de la UE — ley vinculante, basada en el riesgo, con evaluación de la conformidad. El Reglamento (UE) 2024/1689 es de aplicación directa en todos los Estados miembros de la UE. Vincula obligaciones firmes a los sistemas de IA de alto riesgo: un sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11), supervisión humana (Artículo 14), un sistema de gestión de la calidad (Artículo 17) y una evaluación de la conformidad con arreglo al Artículo 43 antes de la entrada en el mercado. El incumplimiento acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial (Artículo 99, apartado 4). El plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, tras el aplazamiento del Ómnibus Digital acordado en mayo de 2026.
RGPD — ley vinculante, centrada en la protección de datos. El Reglamento (UE) 2016/679 no es un reglamento de IA, pero la mayoría de los sistemas de IA de alto riesgo tratan datos personales, por lo que las obligaciones del RGPD se aplican automáticamente. El mecanismo más pertinente es el Artículo 35: se exige una evaluación de impacto relativa a la protección de datos (EIPD) cuando es probable que el tratamiento entrañe un alto riesgo para los derechos de las personas. Los dos reglamentos son acumulativos; satisface ambos o ninguno.
ISO/IEC 42001 — sistema de gestión de IA voluntario y certificable. La ISO 42001 especifica los requisitos de un sistema de gestión de la inteligencia artificial (AIMS, por sus siglas en inglés). Ninguna ley impone su adopción, pero un organismo acreditado puede certificar la conformidad. Su estructura — gobernanza, evaluación de riesgos, gestión de datos, vigilancia — se proyecta estrechamente sobre el requisito de sistema de gestión de la calidad del Artículo 17 de la Ley de IA. La certificación no equivale al cumplimiento de la Ley de IA de la UE, pero lo hace avanzar sustancialmente.
NIST AI RMF — orientación voluntaria de EE. UU., no certificable. Publicado por el Instituto Nacional de Normas y Tecnología de EE. UU. (NIST) en enero de 2023, este marco no tiene peso jurídico en la UE y carece de mecanismo de certificación. Sus cuatro funciones — Govern (gobernar), Map (cartografiar), Measure (medir), Manage (gestionar) — son ampliamente adoptadas por organizaciones con sede en EE. UU. y por empresas que demuestran madurez en la gestión del riesgo de IA a sus clientes empresariales. Compatible con las obligaciones de la Ley de IA; no un sustituto de ellas.
Dónde se solapan los marcos
El solapamiento es sustancial. Los cuatro abordan alguna versión de la gestión de riesgos, la gobernanza de datos, la documentación y la supervisión. Esa es la base del enfoque de un único conjunto de controles.
La correspondencia central
La tabla siguiente proyecta las obligaciones obligatorias de alto riesgo de la Ley de IA de la UE sobre sus equivalentes de la ISO 42001, el NIST AI RMF y el RGPD. Cuando no existe un equivalente directo, la celda se deja en blanco.
| Obligación de la Ley de IA de la UE | Artículo | Cláusula ISO 42001 | Función NIST AI RMF | Disposición del RGPD |
|---|---|---|---|---|
| Sistema de gestión de riesgos | Art. 9 | 8.1 a 8.4 (evaluación y tratamiento del riesgo de IA) | Map + Manage | Art. 35 EIPD (parcial) |
| Datos y gobernanza de datos | Art. 10 | 8.2, Anexo A.6 (datos para la IA) | Map + Measure | Art. 5 calidad de los datos; Art. 25 minimización de datos |
| Documentación técnica | Art. 11 | 7.5 (información documentada) | Govern (políticas/documentos) | Art. 30 registro de actividades de tratamiento |
| Conservación de registros | Art. 12 | 7.5 (información documentada) | Manage (registros de vigilancia) | Art. 5, apdo. 2, responsabilidad proactiva |
| Transparencia hacia los responsables del despliegue | Art. 13 | Anexo A.8 (transparencia) | Govern | Art. 13/14 (información a los interesados) |
| Supervisión humana | Art. 14 | Anexo A.9 (supervisión humana) | Manage | Art. 22 decisiones automatizadas |
| Exactitud, robustez | Art. 15 | Anexo A.10 (rendimiento) | Measure | — |
| Sistema de gestión de la calidad | Art. 17 | Toda la estructura del AIMS | Govern | — |
| Vigilancia poscomercialización | Art. 72 | 10.1 (seguimiento, medición y análisis) | Manage | — |
| Notificación de incidentes graves | Art. 73 | 10.2 (no conformidad y acción correctiva) | Manage | Art. 33 notificación de violaciones (análogo) |
El patrón es claro: un sistema de gestión de riesgos del Artículo 9 bien construido cubre la mayor parte de las cláusulas 8.1 a 8.4 de la ISO 42001. Una sólida documentación técnica del Artículo 11 satisface los requisitos de información documentada de la ISO 42001 y la mayor parte de la función Govern del NIST. Un programa; múltiples formatos de salida.
Los argumentos a favor de un único conjunto de controles
Empiece por la Ley de IA de la UE. Es el único marco vinculante que es específico de la UE, está impulsado por plazos y se ejecuta con multas. Construya su conjunto de controles para satisfacer primero sus requisitos y, después, anote cada elemento con la cláusula de la ISO 42001 y la función del NIST que también satisface. Esa anotación lleva unas horas y produce un documento de correspondencias que las autoridades, los clientes y los equipos de compras empresariales pueden leer directamente.
La misma lógica se aplica al RGPD. Un modelo de calificación crediticia que se somete a una evaluación de riesgos del Artículo 9 ya ha realizado la mayor parte del trabajo analítico que exige una EIPD del Artículo 35 del RGPD. La EIPD es una lente enfocada en los derechos de los interesados aplicada a un trabajo que usted ya ha realizado — no un ejercicio aparte que parte de cero.
Una salvedad: la certificación ISO 42001 confirma que su sistema de gestión cumple la norma. No confirma que su sistema de IA cumpla la Ley de IA de la UE. Trate la certificación como una prueba sólida de madurez en gobernanza, no como un sustituto de la evaluación de la conformidad del Artículo 43.
Qué añade el RGPD que la Ley de IA no cubre
La Ley de IA se centra en el riesgo del sistema de IA para la salud, la seguridad y los derechos fundamentales en su conjunto. El RGPD se centra en los derechos de los interesados individuales. Ambos exigen transparencia y supervisión, pero el RGPD añade deberes que la Ley de IA no replica: una base jurídica para el tratamiento (Artículo 6 del RGPD), una evaluación de impacto relativa a la protección de datos cuando es probable que el tratamiento entrañe un alto riesgo (Artículo 35 del RGPD), los derechos de los interesados, incluidos el acceso, la rectificación y la supresión, y el derecho a la revisión humana de las decisiones únicamente automatizadas con arreglo al Artículo 22 del RGPD.
Ese último punto es donde los dos regímenes se cruzan de forma más visible. Una herramienta de selección de personal debe satisfacer el Artículo 22 del RGPD — el derecho de los candidatos a no ser objeto de decisiones puramente automatizadas con efectos significativos — junto al Artículo 14 de la Ley de IA, que exige una supervisión humana capaz de anular el resultado del sistema. Un único mecanismo de anulación bien diseñado sirve a ambos. El RGPD también exige un registro de actividades de tratamiento con arreglo al Artículo 30, que se solapa considerablemente con la documentación técnica del Artículo 11 de la Ley de IA.
Qué añaden la ISO 42001 y el NIST AI RMF
El verdadero valor de la ISO 42001 es el andamiaje estructural de gobernanza: definir el contexto de uso de la IA (cláusula 4), fijar objetivos (cláusula 6), establecer funciones y responsabilidades (cláusula 5) y ejecutar un ciclo de revisión por la dirección (cláusula 9). Estos elementos están implícitos en el requisito de sistema de gestión de la calidad del Artículo 17, pero se detallan de forma más concreta en la norma. Para las organizaciones que ya poseen la ISO 9001 o la ISO 27001, adoptar la ISO 42001 es una extensión incremental — la arquitectura es idéntica, y los controles de la ISO 27001 (controles de acceso, gestión de incidentes, registros de auditoría) respaldan directamente los Artículos 12 y 15 de la Ley de IA.
Para una empresa de SaaS de 30 personas sin certificación ISO previa, la decisión de buscar la certificación ISO 42001 debe estar impulsada por la necesidad comercial — típicamente un requisito de compras empresariales — y no por la Ley de IA de la UE por sí sola.
La función Govern del NIST AI RMF es la adición más útil para las organizaciones multijurisdiccionales: hace hincapié en la cultura organizativa, la responsabilidad del liderazgo y la participación de las partes interesadas. Map se solapa con la clasificación del Artículo 6; Measure se proyecta sobre las pruebas de exactitud y robustez del Artículo 15; Manage se proyecta sobre los Artículos 9 y 72. El NIST AI RMF no aborda las obligaciones específicas de la UE — evaluación de la conformidad, marcado CE, registro en la base de datos de la UE con arreglo al Artículo 49 —, por lo que no puede sustituir el cumplimiento de la Ley de IA, pero proporciona un vocabulario útil para el análisis de riesgos cualitativo que exige el Artículo 9.
El plazo y qué significa para la planificación multimarco
En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas autónomos de alto riesgo del Anexo III deben cumplir antes del 2 de diciembre de 2027. Los sistemas del Anexo I integrados en productos regulados tienen hasta el 2 de agosto de 2028. Ninguna de las dos fechas está tan lejos como parece: un sistema de gestión de riesgos del Artículo 9 realista, la documentación técnica del Artículo 11 y el SGC del Artículo 17 tardan de seis a doce meses en construirse correctamente. Añada la certificación ISO 42001 y prevea otros cuatro a ocho meses para el ciclo de auditoría.
Empiece primero por el trabajo de cumplimiento de la Ley de IA e incorpore la correspondencia con la ISO 42001 y el NIST sobre la marcha. Cuesta relativamente poco esfuerzo adicional; el retorno comercial — aprobaciones de compras empresariales, madurez en gobernanza demostrada — es real.
Cómo ayuda Confir
La evaluación de Confir es basada en reglas y determinista: las mismas entradas producen los mismos resultados, y cada hallazgo se rastrea hasta un artículo concreto. Cruza los controles entre la ISO/IEC 42001, el NIST AI RMF y el RGPD junto a la Ley de IA de la UE — cubriendo la clasificación con arreglo a los Artículos 5 y 6, el conjunto completo de obligaciones de alto riesgo y la Evaluación de Impacto sobre los Derechos Fundamentales del Artículo 27 para los responsables del despliegue que cumplan los requisitos. Una evaluación. Resultado listo para auditoría.
Preguntas frecuentes
¿Satisface la certificación ISO 42001 los requisitos de la Ley de IA de la UE?
No. La certificación ISO 42001 confirma que su sistema de gestión de IA cumple la norma — una señal genuina de madurez en gobernanza, pero no una evaluación de la conformidad con arreglo al Artículo 43. No satisface los requisitos específicos de los Artículos 9, 10, 11, 14 o 17 de la Ley de IA de la UE. Los controles se solapan considerablemente, por lo que buscar ambos simultáneamente es eficiente. No presente un certificado a las autoridades como sustituto del cumplimiento de la Ley de IA.
¿Es obligatorio el NIST AI RMF en la UE?
No. Es orientación voluntaria de EE. UU. sin mecanismo de certificación ni peso jurídico en la UE. Su valor para las organizaciones con sede en la UE es comercial — alineación con los clientes empresariales — y estructural: sus cuatro funciones (Govern, Map, Measure, Manage) se proyectan de forma útil sobre las obligaciones de la Ley de IA y ayudan a los equipos técnicos a trabajar con un vocabulario coherente entre jurisdicciones.
¿Qué obligaciones comparten la Ley de IA y el RGPD para los sistemas de IA de alto riesgo?
El territorio compartido más significativo es la evaluación de riesgos y la supervisión. Ambos exigen transparencia: el Artículo 13 de la Ley de IA (de los proveedores a los responsables del despliegue) y los Artículos 13 y 14 del RGPD (a los interesados). Ambos abordan las decisiones automatizadas: el Artículo 14 de la Ley de IA (supervisión humana) y el Artículo 22 del RGPD (derecho a la revisión humana). Ambos exigen registros documentados: la documentación técnica del Artículo 11 de la Ley de IA y el registro de tratamiento del Artículo 30 del RGPD. Un programa de cumplimiento bien estructurado genera ambos conjuntos de pruebas a partir de un único cuerpo de trabajo.
¿Cuál es la diferencia entre el Artículo 9 y el Artículo 43?
El Artículo 9 es un proceso continuo de ciclo de vida — identificar, analizar y mitigar los riesgos a lo largo del funcionamiento del sistema. El Artículo 43 es un paso de verificación previo a la comercialización: una comprobación formal, bien interna (Anexo VI) o bien por un organismo notificado (Anexo VII), de que el sistema cumple todos los requisitos del Capítulo III antes de salir al mercado. El sistema de gestión de riesgos del Artículo 9 es un dato de entrada de la evaluación del Artículo 43, no un sustituto de ella.
¿Son iguales los niveles sancionadores de la Ley de IA y del RGPD?
No. El principal nivel de multas de la Ley de IA para las infracciones de alto riesgo es de 15 millones de euros o el 3 % del volumen de negocios mundial, si esta última cifra es mayor (Artículo 99, apartado 4). El Artículo 83, apartado 4, del RGPD alcanza los 10 millones de euros o el 2 %; el Artículo 83, apartado 5, alcanza los 20 millones de euros o el 4 % para las infracciones de los principios básicos. La ejecución recae en autoridades diferentes — las autoridades nacionales de vigilancia del mercado para la Ley de IA, las autoridades de protección de datos para el RGPD —, por lo que la exposición bajo ambos regímenes es acumulativa, no limitada.
¿Se aplica el plazo del 2 de diciembre de 2027 a los cuatro marcos?
Solo la Ley de IA de la UE conlleva un plazo legalmente obligatorio. La fecha del 2 de diciembre de 2027 se aplica a los sistemas autónomos de alto riesgo del Anexo III en virtud del aplazamiento del Ómnibus Digital acordado en mayo de 2026. Las obligaciones del RGPD se aplican ahora, de inmediato, a cualquier tratamiento actual de datos personales. La ISO 42001 y el NIST AI RMF no tienen plazos — se adoptan según el calendario propio de su organización, normalmente impulsado por objetivos de certificación o requisitos de los clientes.
Guías relacionadas
- comparación del NIST RMF frente a la Ley de IA de la UE
- obligaciones de gobernanza responsable de la IA
- guía de clasificación de alto riesgo de la ISO 42001
- correspondencia de controles del Anexo A de la ISO 42001
- alineación con el marco NIST AI RMF
- marco de clasificación de riesgo, Artículos 6 a 11
- alineación de la ISO 42001 y la Ley de IA de la UE
- criterios de clasificación de alto riesgo del Artículo 6
- controles del sistema de gestión de la ISO 42001
- herramienta de decisión de clasificación del Artículo 6
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →