ISO/IEC 42001 explicada: la norma del sistema de gestión de IA y su alineación con la Ley de IA de la UE

ISO/IEC 42001:2023 es la primera norma internacional que especifica requisitos para un sistema de gestión de IA (SGIA). Publicada en diciembre de 2023 por la Organización Internacional de Normalización, ofrece a las organizaciones un marco estructurado y certificable para gobernar la inteligencia artificial — desde la identificación de riesgos, pasando por la supervisión operativa, hasta la mejora continua.

La Ley de IA de la UE (Reglamento (UE) 2024/1689) es derecho vinculante. La ISO 42001 es una norma voluntaria. Esa distinción importa enormemente. Obtener la certificación ISO 42001 no convierte a su organización en conforme con la Ley de IA de la UE. Lo que sí hace es construir la columna vertebral de gobernanza que sustenta el cumplimiento — en particular, el sistema de gestión de la calidad que exige el Artículo 17, el sistema de gestión de riesgos del Artículo 9, los requisitos de documentación técnica del Artículo 11 y las obligaciones de vigilancia poscomercialización del Artículo 72.

Para una pyme que se prepara para el plazo del 2 de diciembre de 2027 aplicable a los sistemas de IA de alto riesgo autónomos en virtud del Ómnibus Digital, la ISO 42001 es un marco organizativo creíble. No es un atajo hacia la meta.

Esta guía cubre qué es un SGIA y por qué existe, quién debería plantearse la ISO 42001, la estructura completa cláusula por cláusula, los controles del Anexo A, cómo leer la norma junto con las obligaciones específicas de los artículos de la Ley de IA de la UE, el itinerario de certificación con plazos y costes realistas, y los errores más habituales.

---

Qué es un sistema de gestión de IA — y por qué existe

Un sistema de gestión es la estructura documentada y reproducible de una organización para alcanzar un objetivo definido. La ISO 9001 hace esto para la calidad. La ISO 27001 lo hace para la seguridad de la información. La ISO 42001 lo hace para la IA.

La idea central es que los sistemas de IA generan riesgos — para la seguridad, los derechos fundamentales, la integridad de los datos, la equidad — que se distinguen de los riesgos operativos ordinarios y que requieren una gobernanza específica. Un SGIA define quién es responsable de qué, cómo se identifican y tratan los riesgos, qué documentación debe existir y cómo se supervisa el rendimiento a lo largo del tiempo.

La norma se aplica a cualquier organización que desarrolle, suministre o despliegue sistemas de IA — con independencia de su tamaño, sector o ubicación geográfica. Una empresa SaaS de 20 personas que comercializa una herramienta de cribado de candidatos basada en IA y un banco multinacional que utiliza modelos de calificación crediticia de terceros entran ambos en el ámbito de aplicación. Las obligaciones que impone la norma son proporcionadas: una organización pequeña con dos sistemas de IA elaborará un SGIA más sencillo que una grande con veinte, pero ambas deben abordar los mismos requisitos estructurales.

Quién debería plantearse la ISO 42001

Tres categorías de organización tienen una razón práctica para construir un SGIA conforme a la ISO 42001:

Proveedores de IA de alto riesgo. Si usted desarrolla o introduce en el mercado sistemas de IA que entran dentro del Anexo III de la Ley de IA de la UE — selección de personal, calificación crediticia, identificación biométrica, acceso a servicios esenciales, educación, garantía del cumplimiento del Derecho o similares — ya se enfrenta a las obligaciones de los Artículos 9, 10, 11 y 17. La ISO 42001 es el marco disponible más sistemático para construir la infraestructura de gobernanza que esas obligaciones requieren.

Organizaciones que suministran a mercados regulados o empresariales. Los clientes empresariales y los compradores de sectores regulados exigen cada vez más pruebas de gobernanza de la IA como condición de contratación. La contratación pública de varios Estados miembros de la UE está empezando a solicitar la certificación ISO 42001 o pruebas equivalentes de madurez en la gobernanza de la IA. Un certificado emitido por un organismo acreditado es la respuesta más clara a ese requisito.

Responsables del despliegue que utilizan IA de terceros en procesos de relevancia. Aunque usted no sea proveedor, desplegar IA en la contratación, la evaluación crediticia o la admisibilidad a prestaciones lo sitúa dentro del ámbito del Anexo III. Tiene obligaciones más ligeras que un proveedor, pero aun así necesita gobernanza — mecanismos de supervisión documentados, un registro de cómo verificó que se siguieron las instrucciones del sistema, un proceso para gestionar incidentes. La ISO 42001 proporciona esa estructura.

Los argumentos a favor de la ISO 42001 son más débiles si todo su uso de la IA consiste en herramientas de riesgo mínimo — un chatbot para preguntas frecuentes, un motor de recomendación de uso interno — sin datos personales de relevancia y sin uso en procesos regulados. En ese escenario, la carga de la certificación es difícil de justificar. Pero la mayoría de las organizaciones con algún despliegue genuino de IA encontrarán en la norma una herramienta organizativa útil, aun cuando no lleguen a la certificación formal.

---

La estructura de cláusulas: las cláusulas 4–10 y el ciclo PHVA

La ISO 42001 utiliza la estructura armonizada — el esqueleto común que comparten la ISO 27001, la ISO 9001, la ISO 14001 y otras normas modernas de sistemas de gestión de ISO. Si su organización posee alguna de esas certificaciones, la coincidencia arquitectónica es sustancial. Las cláusulas sobre el contexto de la organización, el liderazgo, la planificación, el apoyo, la evaluación del desempeño y la mejora son esencialmente homólogas. No parte de cero; está ampliando un sistema de gestión existente para cubrir un nuevo ámbito.

Los requisitos operativos residen en las cláusulas 4 a 10, organizados en torno al ciclo Planificar–Hacer–Verificar–Actuar (PHVA). Las cláusulas 4–6 son Planificar; las cláusulas 7–8 son Hacer; la cláusula 9 es Verificar; la cláusula 10 es Actuar.

Cláusula 4 — Contexto de la organización (Planificar)

Antes de diseñar cualquier proceso de gobernanza, hay que cartografiar el entorno en el que operan sus sistemas de IA. Esto significa documentar los factores internos — su estructura organizativa, su cartera de IA existente, sus capacidades técnicas, su cultura y la madurez de sus procesos actuales de gestión de la calidad y gobernanza de datos — y los factores externos, incluidos el entorno regulatorio (Ley de IA de la UE, RGPD, legislación sectorial), las obligaciones contractuales, las expectativas del mercado y las dependencias de terceros en su cadena de suministro de IA.

También identifica a las partes interesadas — clientes, empleados, autoridades reguladoras y las personas cuyos datos o decisiones se ven afectados por sus sistemas de IA — y determina sus requisitos pertinentes. Para una pyme que ofrece procesamiento de facturas basado en IA a clientes del sector financiero, aquí es donde se registra que esos clientes operan en un entorno regulado y esperan pruebas de pruebas de sesgo y gobernanza de datos.

Por último, la cláusula 4 exige definir el alcance del SGIA: qué sistemas y actividades de IA quedan cubiertos. La definición del alcance es una decisión estratégica, no un formalismo burocrático. Puede certificar un subconjunto de su cartera de IA para gestionar el coste y la complejidad. Pero un alcance estrecho implica una cobertura estrecha, y si sus sistemas de mayor riesgo quedan fuera del alcance, el certificado aporta una credibilidad regulatoria limitada.

Cláusula 5 — Liderazgo (Planificar)

La alta dirección debe demostrar un compromiso activo con el SGIA — no solo firmando un documento de política, sino mediante una rendición de cuentas demostrada. Esto significa establecer una política de IA apropiada al contexto de la organización, asignar funciones y responsabilidades claras para la gobernanza de la IA y garantizar la disponibilidad de recursos adecuados.

La política de IA es una breve declaración pública del compromiso de la organización con el desarrollo y el despliegue responsables de la IA. No necesita ser larga ni detallada, pero debe ser exacta — y dado que figura junto a su documentación técnica de la Ley de IA de la UE, exagerar su postura de gobernanza es una responsabilidad.

Para una empresa de software de 30 personas, la cláusula 5 suele significar que el CEO o el CTO asume formalmente la titularidad del SGIA, que un grupo multifuncional (que incluya a alguien del área jurídica, de producto y de ingeniería) revise las decisiones de gobernanza de la IA y que las vías de escalado para incidentes de sistemas de alto riesgo estén definidas y comunicadas. La norma no exige un responsable de gobernanza de la IA dedicado a tiempo completo, pero sí exige una rendición de cuentas genuina.

Cláusula 6 — Planificación (Planificar)

La cláusula 6 es donde la norma se vuelve específica sobre el riesgo de la IA. Aquí ocurren tres cosas.

En primer lugar, usted identifica los riesgos y oportunidades asociados a su SGIA — incluidos los posibles impactos de sus sistemas de IA sobre las personas y la sociedad. Esto se distingue de una evaluación de riesgos de seguridad de la información: está examinando los daños a los derechos fundamentales, los fallos de equidad, los incidentes de seguridad y la erosión de la confianza, no solo las violaciones de datos.

En segundo lugar, lleva a cabo una evaluación de riesgos de IA: establece y aplica criterios para evaluar el riesgo del sistema de IA, documenta los riesgos identificados, evalúa su probabilidad y gravedad y decide cómo tratarlos. El resultado alimenta la selección de controles del Anexo A y su plan de tratamiento de riesgos.

En tercer lugar, lleva a cabo una evaluación del impacto de la IA — una valoración estructurada de los posibles impactos de sus sistemas de IA sobre las personas y las comunidades afectadas. La norma exige esto antes del despliegue y cuando se producen cambios significativos. Este requisito se corresponde directamente con la obligación de la evaluación de impacto relativa a los derechos fundamentales (EIDF, FRIA) del Artículo 27 para los responsables del despliegue de alto riesgo que reúnan los requisitos en virtud de la Ley de IA de la UE. Las dos evaluaciones no son idénticas — la EIDF tiene requisitos específicos de contenido jurídico — pero una organización que haya llevado a cabo una evaluación de impacto exhaustiva conforme a la ISO 42001 ha realizado la mayor parte del trabajo analítico sustantivo que requiere la EIDF.

Esta es la cláusula que más directamente sustenta el requisito del Artículo 9 de un sistema de gestión de riesgos continuo que identifique los riesgos conocidos y razonablemente previsibles para la salud, la seguridad y los derechos fundamentales.

Cláusula 7 — Apoyo (Hacer)

La cláusula 7 cubre los recursos que su SGIA necesita para funcionar. Esto incluye:

Competencia: las personas responsables de las funciones de gobernanza de la IA deben tener los conocimientos y aptitudes para desempeñarlas. Esto no es aspiracional — usted documenta las competencias requeridas, evalúa si las personas las cumplen y proporciona formación u otro desarrollo cuando no lo hacen.

Toma de conciencia: el personal que trabaja con sistemas de IA, los supervisa o se ve afectado por ellos debe comprender la política de IA de la organización, los riesgos y obligaciones asociados a los sistemas con los que interactúa y sus propias responsabilidades. Esto se conecta directamente con el Artículo 4 de la Ley de IA de la UE, que exige a los proveedores y a los responsables del despliegue garantizar que el personal tenga un nivel suficiente de alfabetización en materia de IA — una obligación legal en vigor desde el 2 de febrero de 2025.

Información documentada: la norma requiere documentos específicos (políticas, la declaración de aplicabilidad, registros de evaluaciones de impacto) y registros (informes de auditoría, acciones correctivas, datos de seguimiento). La cláusula 7.5 fija los requisitos para controlar la información documentada — gestión de versiones, controles de acceso, períodos de conservación.

Comunicación: usted determina qué debe comunicarse sobre el SGIA, a quién y cómo. Para un proveedor de IA de alto riesgo, esto incluye cómo comunica las capacidades y limitaciones del sistema a los responsables del despliegue en cumplimiento del Artículo 13.

Cláusula 8 — Operación (Hacer)

Aquí es donde la gobernanza se convierte en acción. La cláusula 8 le exige planificar, implementar, controlar y documentar los procesos que cumplen los objetivos de su SGIA. La amplitud es significativa: la cláusula 8 abarca todo el ciclo de vida del sistema de IA.

Evaluación del impacto del sistema de IA en operación: la evaluación en fase de planificación de la cláusula 6 debe ejecutarse en la práctica. Antes del despliegue, evalúa el sistema con arreglo a los criterios establecidos en la planificación. Los cambios posteriores al despliegue que puedan afectar al riesgo requieren una reevaluación.

Gobernanza de datos: usted implementa los procesos para gestionar los datos de entrenamiento, validación y prueba — garantizando la calidad, la representatividad y la ausencia de errores en la medida de lo posible. Esto sustenta directamente los requisitos de gobernanza de datos del Artículo 10.

Controles de diseño y desarrollo del sistema: usted documenta las decisiones técnicas, los protocolos de prueba y los resultados de validación que formarán parte de su documentación técnica del Artículo 11 / Anexo IV. El control de versiones de los modelos de IA, los registros de auditoría de las ejecuciones de entrenamiento, los registros de rendimiento frente a parámetros de referencia definidos — todo eso reside aquí.

Controles de despliegue y operativos: usted implementa los mecanismos de supervisión humana exigidos por el Artículo 14, los procesos de seguimiento exigidos por el Artículo 9 y las obligaciones de suministro de información exigidas por el Artículo 13. Si es un responsable del despliegue en lugar de un proveedor, aquí es también donde documenta cómo sigue las instrucciones de uso del proveedor.

Gestión de la cadena de suministro de IA: si su sistema de IA incluye componentes de proveedores externos — un modelo fundacional, un servicio de anotación de datos, un modelo preentrenado — usted establece controles para gestionar a esos proveedores y supervisar sus aportaciones al perfil de riesgo de su sistema.

Cláusula 9 — Evaluación del desempeño (Verificar)

Debe medir si su SGIA está funcionando. Esto exige definir qué mide, cómo lo mide y cuándo.

Seguimiento y medición: establezca métricas que le indiquen si sus controles de riesgo son eficaces, si sus sistemas de IA están funcionando según lo previsto y si están surgiendo nuevos riesgos. Para una IA de selección de personal, esto podría incluir auditorías de sesgo periódicas en las características protegidas, el seguimiento del rendimiento del sistema frente a las líneas de base de validación y la revisión de los registros de incidentes de los responsables del despliegue. Estas métricas no son una decoración opcional — son la prueba de que se están cumpliendo sus obligaciones de vigilancia poscomercialización del Artículo 72.

Auditoría interna: realice auditorías internas a intervalos planificados, por parte de personal independiente de los sistemas auditados. La auditoría verifica que el SGIA opera según lo documentado: que se siguen los procedimientos, se mantienen los registros y los controles son eficaces. Para una organización pequeña, la independencia podría significar que el responsable de cumplimiento audite las prácticas de desarrollo de IA del equipo de ingeniería, y que el CTO audite el proceso de cumplimiento — cada persona auditando un área que no posee directamente.

Revisión por la dirección: la alta dirección revisa el SGIA a intervalos planificados. La revisión considera los resultados de las auditorías, los datos de seguimiento, los cambios en el contexto externo (incluidas las orientaciones sobre la Ley de IA de la UE de las autoridades nacionales competentes) y la adecuación de los recursos. Produce decisiones y acciones, registradas como resultados formales.

La auditoría interna y la revisión por la dirección generan las pruebas documentales que un auditor de certificación busca en la fase 2. También generan los insumos para la cláusula 10.

Cláusula 10 — Mejora (Actuar)

Cuando el seguimiento, las auditorías, los incidentes o las observaciones de las partes interesadas revelan que el SGIA no funciona según lo previsto, la cláusula 10 le exige actuar. Las no conformidades deben identificarse, analizarse para hallar su causa raíz, corregirse y verificarse su eficacia. El sistema debe actualizarse para evitar su recurrencia.

Esto es el «Actuar» del PHVA — el bucle de retroalimentación que evita que el mismo fallo vuelva a producirse y que, con el tiempo, impulsa al SGIA hacia una mayor madurez. El mandato de gestión de riesgos continua de la Ley de IA de la UE en virtud del Artículo 9 no es una evaluación puntual; la cláusula 10 es el mecanismo que hace real la gestión iterativa de riesgos. Una organización que nunca plantea no conformidades en sus auditorías internas no está gobernando bien la IA — simplemente no está mirando.

---

Controles del Anexo A: qué cubren

El Anexo A de la ISO/IEC 42001:2023 contiene 38 controles agrupados en 9 objetivos de control (a veces descritos como temas). Estos no son obligatorios por defecto. La norma le exige determinar qué controles son aplicables a su organización con base en su evaluación de riesgos y documentar sus decisiones — incluidas las exclusiones y la justificación de las mismas — en una declaración de aplicabilidad.

Las nueve áreas de objetivos de control son, a grandes rasgos:

1. Políticas para la IA — establecimiento y comunicación de la política de gobernanza de la IA de la organización
2. Organización interna — estructura de gobernanza, funciones, responsabilidades y recursos para la IA
3. Toma de conciencia y formación en IA — garantizar que las personas tengan los conocimientos para cumplir sus responsabilidades de gobernanza de la IA
4. Ciclo de vida del sistema de IA — controles que abarcan el diseño, el desarrollo, las pruebas, el despliegue y la retirada
5. Impacto del sistema de IA en las personas y la sociedad — evaluaciones de impacto, seguimiento de efectos adversos, participación de las partes interesadas
6. Datos para los sistemas de IA — calidad, procedencia, representatividad y controles de sesgo sobre los datos de entrenamiento y operativos
7. Información para las partes interesadas sobre los sistemas de IA — obligaciones de transparencia y divulgación, incluida la información para los usuarios y las personas afectadas
8. Uso de los sistemas de IA — controles para los responsables del despliegue y quienes utilizan IA en sus operaciones
9. Seguimiento y medición de los sistemas de IA — seguimiento continuo del rendimiento, detección de anomalías y auditoría

El Anexo B proporciona orientación de implementación para cada control del Anexo A — el cómo hacerlo en la práctica. Es informativo, no normativo. Las organizaciones utilizan el Anexo B para comprender la intención que hay detrás de cada control y cómo implementarlo de forma apropiada a su contexto.

El Anexo C cataloga las fuentes de riesgo específicas de la IA: fallos de seguridad, vulnerabilidades de seguridad, daños a la privacidad, equidad y sesgo, falta de transparencia, lagunas de rendición de cuentas y riesgos derivados de la opacidad del comportamiento de modelos complejos. Es una taxonomía de riesgos estructurada que alimenta la evaluación de riesgos de la cláusula 6.

El Anexo D proporciona orientación sobre la aplicación de la norma en sectores y contextos específicos, incluidas consideraciones relevantes para el despliegue de IA en sanidad, automoción, finanzas y sector público.

Para su declaración de aplicabilidad, cada control del Anexo A debe marcarse como aplicable o no aplicable, con su razonamiento documentado. Si ha excluido por completo una categoría de control — por ejemplo, porque solo despliega IA internamente y no tiene obligaciones frente a partes interesadas externas en cuanto a la transparencia del sistema de IA — el auditor examinará si esa exclusión está justificada dado su contexto real.

---

La ISO 42001 y la Ley de IA de la UE: no son lo mismo

La norma y la ley se refuerzan mutuamente en puntos importantes y divergen en otros. Un director de cumplimiento necesita comprender ambas dimensiones.

La diferencia estructural más importante: las obligaciones de la Ley de IA de la UE recaen sobre funciones específicas — los proveedores asumen las obligaciones de los Artículos 9, 10, 11 y 17; los responsables del despliegue asumen las obligaciones del Artículo 26 y (en algunos casos) del Artículo 27. La ISO 42001 se aplica a cualquier organización con sistemas de IA, sin distinguir las obligaciones del proveedor de las del responsable del despliegue. Al correlacionar la norma con la ley, hay que aplicar las obligaciones legales correctas a su función específica.

Tabla de correspondencias ISO 42001 ↔ Ley de IA de la UE

Lo que la ISO 42001 no aborda: la evaluación de la conformidad obligatoria de la Ley de IA de la UE en virtud del Artículo 43 (requerida antes de introducir un sistema de alto riesgo en el mercado); el marcado CE en virtud del Artículo 48; el registro en la base de datos de la UE en virtud del Artículo 49; y la lista específica de contenido de la documentación técnica del Anexo IV. La certificación conforme a la norma no se acepta como sustituto del procedimiento de evaluación de la conformidad. Un certificado significa que usted gobierna bien la IA; no significa que su sistema específico haya superado el umbral regulatorio para la entrada en el mercado.

Sobre el Artículo 9 en concreto: la Ley de IA de la UE exige a los proveedores de sistemas de IA de alto riesgo implementar un sistema de gestión de riesgos continuo que identifique y analice los «riesgos conocidos y razonablemente previsibles» para la salud, la seguridad y los derechos fundamentales — como una obligación legal con sanciones aparejadas. La evaluación de riesgos de la cláusula 6 y los requisitos de seguimiento de la cláusula 9 de la ISO 42001 proporcionan la arquitectura de proceso para cumplir esta obligación. Pero la norma describe un proceso de gobernanza; la ley especifica el resultado. No puede satisfacer la pregunta del Artículo 9 de una autoridad reguladora señalando un certificado. Debe demostrar, para el sistema específico en cuestión, qué riesgos se identificaron, cómo se evaluaron y qué se hizo al respecto.

La relación en términos sencillos

La Ley de IA de la UE le dice qué debe lograr. La ISO 42001 le ofrece una estructura probada para cómo gobernar la IA de modo que pueda lograrlo. Las organizaciones que implementen la ISO 42001 antes del plazo de alto riesgo del 2 de diciembre de 2027 comprobarán que el trabajo de documentación, los procesos de gestión de riesgos y las estructuras de gobernanza que construyan producen la mayor parte de la base de pruebas que exige la Ley de IA de la UE — pero esa base de pruebas debe revisarse frente a los requisitos explícitos de la ley artículo por artículo. No puede darse por suficiente porque exista un certificado.

---

ISO 42001 frente a ISO 27001 frente a NIST AI RMF

Estos tres marcos surgen juntos constantemente, y las distinciones importan a la hora de tomar una decisión de implementación.

ISO 27001

La ISO 27001 aborda la gestión de la seguridad de la información — la protección de la confidencialidad, la integridad y la disponibilidad de los datos. Es directamente pertinente para los sistemas de IA que tratan datos personales, y sus controles del Anexo A sobre gestión de accesos, respuesta a incidentes y cifrado sustentan las obligaciones de ciberseguridad del Artículo 15 de la Ley de IA de la UE. No aborda los riesgos específicos de la IA: el sesgo de los modelos, la calidad de los datos de entrenamiento, la transparencia de las decisiones algorítmicas o la supervisión humana de los resultados de la IA.

Para cualquier organización que maneje datos personales en sistemas de IA — que son la mayoría de los sistemas de IA que operan en un contexto empresarial en Europa — la ISO 27001 y la ISO 42001 son complementarias, no alternativas. La estructura armonizada hace que se integren limpiamente: el análisis del contexto de la cláusula 4, la estructura de liderazgo de la cláusula 5, el programa de auditoría interna de la cláusula 9 y el proceso de acción correctiva de la cláusula 10 pueden compartirse, con el contenido específico de la IA superpuesto al sistema de gestión de la seguridad de la información existente. Las organizaciones ya certificadas conforme a la ISO 27001 deberían esperar comprimir significativamente su plazo de implementación de la ISO 42001.

NIST AI RMF

El Marco de Gestión de Riesgos de IA del NIST, publicado por el Instituto Nacional de Normas y Tecnología de EE. UU. en enero de 2023, es un documento de orientación voluntario y no certificable, estructurado en torno a cuatro funciones: Gobernar, Mapear, Medir y Gestionar. Es de acceso gratuito, no tiene requisitos de organismo de auditoría y goza de amplia adopción en organizaciones de orientación estadounidense.

El NIST AI RMF es sólido en cuanto a vocabulario de riesgos, taxonomía de clasificación y orientación documental. Es notablemente más débil en la disciplina de gobernanza de un sistema de gestión certificable — no hay aseguramiento externo, ni requisito de vigilancia, ni base de pruebas formal. Para las organizaciones europeas sujetas a la Ley de IA de la UE, la certificabilidad de la ISO 42001 y su alineación estructural con las expectativas de gobernanza de la UE son ventajas prácticas. Una autoridad nacional competente que aplique la Ley de IA de la UE reconocerá un SGIA certificado conforme a la ISO 42001 como prueba de madurez de la gobernanza de un modo que quizá no reconozca una alineación autodeclarada con el NIST AI RMF.

El NIST AI RMF sigue siendo un vocabulario complementario útil, especialmente para las multinacionales con sede en EE. UU. que necesitan satisfacer requisitos de gobernanza tanto europeos como estadounidenses. Los marcos son compatibles en cuanto a contenido; difieren en el mecanismo de aseguramiento.

La comparación honesta

La mayoría de los programas serios de cumplimiento de la Ley de IA de la UE recurren a los tres: la ISO 42001 como marco principal de gobernanza, la ISO 27001 para la seguridad de los datos y los sistemas, y el NIST AI RMF como vocabulario de riesgos complementario cuando resulta útil.

---

El itinerario de certificación

La certificación conforme a la ISO 42001 sigue el patrón habitual de las normas de sistemas de gestión de ISO. El proceso tiene seis fases.

Fase 1: Análisis de brechas

Antes de implementar nada, necesita una evaluación honesta de dónde se encuentra. Un análisis de brechas correlaciona sus prácticas actuales de gobernanza de la IA con los requisitos de las cláusulas 4–10 y los controles aplicables del Anexo A. Para una pyme típica sin SGIA existente y con dos o tres sistemas de IA dentro del alcance, un análisis de brechas exhaustivo lleva de cuatro a ocho semanas. Realizado internamente, exige que su responsable de cumplimiento o técnico trabaje sistemáticamente cláusula por cláusula y documente la práctica actual frente a los requisitos. Realizado externamente por un especialista, suele costar entre 5.000 y 15.000 € y entrega un informe de hallazgos estructurado y una hoja de ruta de subsanación.

El resultado del análisis de brechas debe responder a tres preguntas: ¿Qué tiene? ¿Qué necesita? ¿En qué orden debe construirlo?

Fase 2: Diseño y documentación del SGIA

Usted diseña el sistema de gestión — las políticas, los procedimientos, la metodología de evaluación de riesgos, el proceso de evaluación de impacto, la selección de controles del Anexo A y la declaración de aplicabilidad. La documentación lleva de uno a tres meses para la mayoría de las pymes. El volumen de documentación requerido es proporcional a su alcance: una organización pequeña que certifica dos sistemas de IA necesita mucho menos que una grande que certifica veinte.

Un error habitual en esta fase es elaborar políticas que describen la práctica ideal en lugar de la práctica real. El auditor comprobará si las personas siguen los procedimientos documentados. Una política que dice «todos los sistemas de IA se someten a pruebas de sesgo antes del despliegue» solo es válida si todos los sistemas de IA realmente se someten a pruebas de sesgo antes del despliegue.

Fase 3: Implementación y operación

Una vez que existe la documentación, usted pone en marcha el sistema. Lleva a cabo sus primeras evaluaciones de impacto de la IA. Aplica la metodología de evaluación de riesgos a sus sistemas dentro del alcance. Comienza el seguimiento y la medición. Celebra una revisión por la dirección.

La razón por la que esta fase importa para la certificación es que los auditores de la fase 2 buscan pruebas de operación — registros, actas de reuniones, formularios de evaluación cumplimentados, datos de seguimiento. De dos a tres meses de operación antes de la auditoría de certificación es el mínimo necesario para generar pruebas creíbles.

Esta fase es también donde tiene lugar la formación: el personal responsable de las funciones de gobernanza de la IA necesita comprender los procedimientos y demostrar las competencias que exige la norma.

Fase 4: Auditoría de certificación, etapa 1

La auditoría de la etapa 1 la lleva a cabo un organismo de certificación acreditado — un organismo acreditado por una organización nacional de acreditación como UKAS (Reino Unido), DAkkS (Alemania), ACCREDIA (Italia) o su equivalente (ENAC en España). Utilizar un organismo acreditado importa: la credibilidad del certificado ante clientes, autoridades reguladoras y funciones de contratación depende de ello.

La etapa 1 es una revisión documental. El auditor revisa la documentación de su SGIA, comprueba que su declaración de aplicabilidad cubre todos los controles pertinentes, evalúa si su alcance es apropiado e identifica cualquier brecha evidente que deba subsanarse antes de la etapa 2. La etapa 1 suele realizarse de forma remota y lleva de uno a dos días. Los hallazgos de la etapa 1 deben cerrarse antes de que pueda continuar la etapa 2.

Fase 5: Auditoría de certificación, etapa 2

La etapa 2 es la auditoría operativa. El auditor entrevista al personal de las distintas funciones, revisa registros y datos de seguimiento, comprueba si los procedimientos documentados se siguen en la práctica y evalúa si el SGIA está logrando eficazmente sus objetivos. Para una pyme con un alcance acotado, la etapa 2 suele llevar de dos a tres días in situ.

Si la auditoría no encuentra no conformidades mayores (fallos de un requisito de cláusula) y solo no conformidades menores (lagunas aisladas que no representan un fallo sistemático), el organismo de certificación emite un certificado válido durante tres años. Las no conformidades mayores requieren acción correctiva y una evaluación de seguimiento antes de conceder la certificación.

Fase 6: Vigilancia y recertificación

Mantener la certificación requiere auditorías de vigilancia — normalmente una al año durante el ciclo del certificado de tres años, a veces dos al año según el programa del organismo de certificación y la complejidad de su cartera de IA. Las auditorías de vigilancia son más breves que la auditoría de certificación inicial; se centran en áreas de riesgo particular, en cualquier cambio significativo en sus sistemas de IA o en su organización y en la eficacia continuada del SGIA.

Al final del ciclo de tres años, se requiere una auditoría de recertificación (de alcance equivalente a la etapa 2) para renovar el certificado. Las organizaciones que se han tomado en serio sus auditorías de vigilancia rara vez suspenden la recertificación.

Plazos realistas

Para una pyme que implementa desde cero: espere de nueve a doce meses desde el inicio del análisis de brechas hasta tener un certificado. El mínimo viene determinado en gran medida por la necesidad de pruebas operativas antes de la etapa 2.

Las organizaciones con una certificación ISO 27001 o ISO 9001 existente pueden a menudo alcanzar la certificación en cinco a siete meses, aprovechando la infraestructura del sistema de gestión existente — el análisis del contexto, el programa de auditoría interna, el proceso de acción correctiva y los controles de información documentada pueden reutilizarse en gran medida.

Orden de magnitud de costes realista

Los honorarios de auditoría de un organismo de certificación acreditado para una pyme suelen oscilar entre 5.000 y 15.000 € para la certificación inicial en dos etapas (según el tamaño del alcance, el número de sistemas de IA y el organismo de certificación). Las auditorías de vigilancia anuales cuestan aproximadamente entre el 30 y el 50 % de los honorarios de la auditoría inicial.

Los costes de implementación — tiempo del personal, desarrollo de documentación, formación, herramientas y cualquier apoyo de consultoría — suelen ser mayores. Algunas organizaciones gestionan la implementación íntegramente de forma interna, con el responsable de cumplimiento o técnico invirtiendo de dos a cuatro meses de esfuerzo a tiempo parcial. Otras contratan a un consultor especialista para el análisis de brechas y el diseño de la documentación (añada entre 10.000 y 40.000 € por esto). El coste total de propiedad a lo largo de un ciclo de certificación de tres años para una pyme suele situarse en el rango de los 20.000 a 60.000 €, incluidos todos los costes de implementación y auditoría. Estas son cifras orientativas; pida presupuestos a varios organismos acreditados y presupueste el tiempo del personal con honestidad.

---

Errores habituales

Tratar la norma como un ejercicio de documentación. La ISO 42001 certifica un sistema de gestión, no un conjunto de documentos. Los auditores entrevistan a personas y revisan registros. Una política firmada por el CEO pero nunca leída por el equipo de ingeniería es una no conformidad esperando a ser hallada.

Definir un alcance demasiado estrecho para evitar trabajo. A veces las organizaciones dejan fuera del alcance sus sistemas de IA de mayor riesgo para simplificar la certificación. Esto es contraproducente: los sistemas que más necesitan gobernanza son exactamente aquellos en los que más se interesa la Ley de IA de la UE. Un certificado que solo cubre sus sistemas de menor riesgo no proporciona ni una gobernanza significativa ni una prueba regulatoria creíble.

Confundir la certificación con el cumplimiento legal de la Ley de IA de la UE. Una autoridad nacional competente que aplique la Ley de IA de la UE no aceptará un certificado como prueba de que se cumplen los requisitos del Artículo 9 o del Artículo 11 para un sistema específico. El certificado demuestra la madurez del proceso; el cumplimiento legal exige demostrar que se satisfacen umbrales regulatorios específicos para sistemas específicos. Son cuestiones distintas.

Dejar que la evaluación de impacto se convierta en una casilla. La evaluación de impacto de la IA exigida en las cláusulas 6 y 8 es sustancialmente similar a la evaluación de impacto relativa a los derechos fundamentales que determinados responsables del despliegue de alto riesgo deben realizar en virtud del Artículo 27. Las organizaciones que tratan la evaluación de impacto como un formulario que rellenar pierden de vista su propósito: identificar quién podría resultar perjudicado, de qué manera y qué está haciendo la organización al respecto. Un auditor que revise una evaluación de impacto que no enumera impactos adversos para una IA de selección de personal que criba a cientos de candidatos hará preguntas difíciles.

No actualizar cuando los sistemas cambian. Tanto la cláusula 10 como la lógica de vigilancia poscomercialización del Artículo 72 requieren atención continua. Un sistema de IA que supera su evaluación inicial y nunca se vuelve a revisar es una responsabilidad de cumplimiento. La deriva del modelo, las nuevas fuentes de datos, la ampliación del despliegue a nuevas poblaciones de usuarios o los casos de uso modificados requieren todos una reevaluación tanto en virtud de la norma como de la ley.

Subestimar la formación del personal. El requisito de alfabetización en materia de IA del Artículo 4 está en vigor desde el 2 de febrero de 2025. La cláusula 7 exige una competencia demostrable. Si sus desarrolladores no saben explicar qué datos de entrenamiento utilizaron o qué salvaguardias hay frente a resultados discriminatorios, y su equipo de cumplimiento no sabe describir los controles de riesgo que operan en su sistema de alto riesgo, ni la norma ni el regulador quedarán satisfechos. La formación es una prueba; debe estar documentada y actualizada.

Tratar la ISO 42001 como un proyecto puntual. El ciclo PHVA es continuo. El ciclo de certificación dura tres años. Las organizaciones que implementan la ISO 42001 como un proyecto con una fecha de finalización definida — en lugar de como una disciplina operativa continua — suelen tener dificultades en su primera auditoría de vigilancia. Presupueste la carga de gestión como un coste recurrente, no como algo puntual.

---

Cómo ayuda Confir

El motor de cumplimiento basado en reglas de Confir correlaciona sus sistemas de IA tanto con los requisitos de los artículos de la Ley de IA de la UE como con la estructura de controles de la ISO 42001. Cuando registra un sistema y recorre el flujo de trabajo de clasificación y evaluación, Confir produce los hallazgos de gobernanza y los artefactos de documentación — incluido el paquete de documentación técnica del Artículo 11/Anexo IV y la EIDF del Artículo 27 — que alimentan directamente la base de pruebas de su SGIA.

La tabla de correspondencias con la ISO 42001 hace que el mismo proceso de admisión que genera su documentación de cumplimiento de la Ley de IA de la UE también identifique qué controles del Anexo A son pertinentes para cada sistema. La lógica de Confir es determinista y reproducible: las mismas entradas del sistema producen los mismos hallazgos siempre, que es precisamente lo que exige un registro de auditoría. Sin inferencia de LLM, sin variabilidad entre ejecuciones.

Comience la evaluación de su sistema de IA →

---

Preguntas frecuentes

¿Es obligatoria la certificación ISO 42001 en virtud de la Ley de IA de la UE?

No. La certificación ISO/IEC 42001 es voluntaria en virtud del Reglamento (UE) 2024/1689. La Ley no la exige y no la acepta como sustituto del procedimiento de evaluación de la conformidad en virtud del Artículo 43. La certificación demuestra la madurez de la gobernanza y produce pruebas útiles para el cumplimiento, pero no descarga las obligaciones legales. Las dos vías son complementarias: construir un SGIA certificado es la forma más sistemática de construir la infraestructura de gobernanza que exige la Ley de IA de la UE, pero cada obligación legal específica debe seguir cumpliéndose en sus propios términos.

¿Qué artículos de la Ley de IA de la UE sustenta más directamente la ISO 42001?

Las alineaciones más fuertes son el Artículo 9 (sistema de gestión de riesgos), el Artículo 10 (gobernanza de datos), el Artículo 11 (documentación técnica), el Artículo 17 (sistema de gestión de la calidad), el Artículo 72 (vigilancia poscomercialización) y el Artículo 27 (evaluación de impacto relativa a los derechos fundamentales para los responsables del despliegue que reúnan los requisitos). La norma también sustenta el Artículo 4 (alfabetización en materia de IA) a través de sus requisitos de competencia de la cláusula 7 y el Artículo 13 (transparencia hacia los responsables del despliegue) a través de sus controles de información del Anexo A. No aborda el Artículo 43 (evaluación de la conformidad), el Artículo 48 (marcado CE) ni el Artículo 49 (registro en la base de datos de la UE) — esos son procedimientos regulatorios, no requisitos del sistema de gestión.

¿Cuál es la diferencia entre la ISO 42001 y la ISO 27001?

La ISO 27001 rige la gestión de la seguridad de la información — la protección de la confidencialidad, la integridad y la disponibilidad de los datos. La ISO 42001 rige los riesgos específicos de la IA: el sesgo de los modelos, la calidad de los datos de entrenamiento, la transparencia algorítmica, la supervisión humana y la gobernanza del ciclo de vida de la IA. Ambas normas comparten la estructura armonizada, lo que facilita la implementación conjunta. Las organizaciones que despliegan sistemas de IA que tratan datos personales deberían considerar ambas necesarias, no intercambiables. La ISO 27001 responde a «¿están seguros sus datos?». La ISO 42001 responde a «¿está bien gobernado su sistema de IA?».

¿En qué se diferencia la ISO 42001 del NIST AI RMF?

El Marco de Gestión de Riesgos de IA del NIST es un documento de orientación voluntario y no certificable del Instituto Nacional de Normas y Tecnología de EE. UU., estructurado en torno a cuatro funciones: Gobernar, Mapear, Medir y Gestionar. Es de acceso gratuito, flexible y goza de amplia adopción en organizaciones de orientación estadounidense. La ISO 42001 es una norma certificable de sistema de gestión con requisitos formales de auditoría y aseguramiento por terceros. El NIST AI RMF no tiene conexión inherente con el derecho de la UE. Para las organizaciones europeas que se preparan para el cumplimiento de la Ley de IA de la UE, la certificabilidad de la ISO 42001 y su alineación con las expectativas de gobernanza de la UE son ventajas prácticas. El NIST AI RMF sigue siendo un vocabulario complementario útil, especialmente para las multinacionales con obligaciones duales en EE. UU. y la UE.

¿Cuánto tarda la certificación ISO 42001 para una pyme?

Desde el inicio del análisis de brechas hasta tener un certificado, espere de nueve a doce meses para una pyme que implementa desde cero. Las organizaciones con una certificación ISO 27001 o ISO 9001 existente pueden normalmente avanzar más rápido — cinco a siete meses es alcanzable reutilizando la infraestructura del sistema de gestión existente. La duración mínima antes de la auditoría de la etapa 2 viene determinada en gran medida por la necesidad de pruebas operativas: los auditores necesitan ver el sistema en funcionamiento, no solo diseñado sobre el papel.

¿Cuántos controles tiene el Anexo A de la ISO 42001?

El Anexo A contiene 38 controles agrupados en 9 objetivos de control. Los controles cubren la política de IA, la organización interna, el ciclo de vida del sistema de IA, la gobernanza de datos, el impacto en las partes afectadas y el seguimiento. No todos los controles se aplican a todas las organizaciones — la aplicabilidad se determina mediante su evaluación de riesgos y se documenta en una declaración de aplicabilidad. El Anexo B proporciona orientación de implementación informativa para cada control.

¿Cuál es el plazo de cumplimiento de la IA de alto riesgo en virtud de la Ley de IA de la UE?

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III — selección de personal, calificación crediticia, identificación biométrica, acceso a servicios esenciales y similares — se aplican a partir del 2 de diciembre de 2027. Los sistemas de IA de alto riesgo que son componentes de seguridad en productos enumerados en el Anexo I (máquinas, productos sanitarios, etc.) se aplican a partir del 2 de agosto de 2028. El plazo original de agosto de 2026 para los sistemas del Anexo III se ha aplazado. Ese aplazamiento no es motivo para demorarse — construir un SGIA, recorrer el ciclo de certificación y reunir el paquete de documentación del Artículo 11 suele llevar la mayor parte de un año.

---

Guías relacionadas

• requisitos de gestión de la calidad del Artículo 17
• herramientas de software de cumplimiento de la Ley de IA de la UE
• soluciones de software de gobernanza de la IA