Skip to content
Confir.
Prueba gratuita
Blog

ISO/IEC 42001 frente a la Ley de IA de la UE: qué hace cada una — y qué no hace cada una

Comparison30 January 2026· 17 min de lectura

La ISO/IEC 42001 es una norma voluntaria de SGIA. La Ley de IA de la UE es derecho vinculante. Dónde se alinean, dónde divergen y qué sigue exigiendo el Artículo 43.

La ISO/IEC 42001:2023 es una norma de sistema de gestión de la IA voluntaria y certificable. El Reglamento (UE) 2024/1689 —la Ley de IA de la UE— es derecho vinculante. Estos dos marcos comparten una materia (la gobernanza de la IA) y parte del lenguaje, pero operan mediante mecanismos enteramente distintos, tienen un peso jurídico diferente y dejan lagunas diferentes cuando se utilizan en solitario.

La distinción que más importa en la práctica: un certificado ISO/IEC 42001 no hace que un sistema de IA de alto riesgo sea conforme con la Ley de IA de la UE. Las dos se sirven bien mutuamente, pero no son intercambiables. Este artículo explica dónde se alinean, dónde divergen y qué sigue teniendo que hacer con arreglo a la Ley aun después de obtener la certificación de la norma.

Qué es la ISO/IEC 42001:2023

La ISO/IEC 42001:2023 es una norma de sistema de gestión de la IA (SGIA) publicada por la Organización Internacional de Normalización en diciembre de 2023. Sigue la Estructura Armonizada de ISO compartida con la ISO 9001 (calidad), la ISO 27001 (seguridad de la información) y la ISO 14001 (medio ambiente) —lo que significa que se encaja en un sistema de gestión integrado existente en lugar de exigir un programa autónomo.

La norma tiene dos capas. El cuerpo principal (cláusulas 4 a 10) establece el ciclo Planificar-Hacer-Verificar-Actuar: comprender el contexto, definir el alcance, fijar objetivos, implementar controles, auditar y mejorar. El Anexo A normativo proporciona 38 controles repartidos en nueve dominios de control (A.2 a A.10), que cubren áreas como la política de IA, la gobernanza de datos, la evaluación de impacto, la transparencia y la gestión de incidentes.

La certificación está disponible a través de organismos de certificación acreditados que operan con arreglo a la ISO/IEC 17021. Obtener la certificación significa que un auditor independiente ha revisado su SGIA frente a los requisitos de la norma —dice algo real sobre la madurez de su gobernanza—. Lo que no dice es que ningún sistema de IA concreto cumpla los requisitos técnicos o jurídicos de la Ley de IA de la UE.

Qué es la Ley de IA de la UE

La Ley de IA de la UE (Reglamento (UE) 2024/1689) es derecho directamente aplicable en todos los Estados miembros de la UE. Entró en vigor el 1 de agosto de 2024 y se aplica por fases. Para los sistemas de IA de alto riesgo —los de la lista del Anexo III (herramientas de contratación, calificación crediticia, biometría, etc.)—, el plazo clave en virtud del Ómnibus Digital acordado en mayo de 2026 es el 2 de diciembre de 2027 para los sistemas autónomos y el 2 de agosto de 2028 para la IA integrada en productos regulados cubiertos por la legislación de la UE sobre productos (Anexo I).

La Ley estructura sus obligaciones en torno al tramo de riesgo y al papel:

  • Riesgo inaceptable (Artículo 5): prácticas prohibidas, vetadas desde el 2 de febrero de 2025. La identificación biométrica remota en tiempo real en espacios públicos (con excepciones acotadas), la manipulación subliminal, la puntuación social por parte de autoridades públicas, la explotación de vulnerabilidades —no pueden desplegarse con independencia de cualquier marco de gobernanza.
  • Alto riesgo (Artículo 6 + Anexo III): la pila completa de cumplimiento. Sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11, Anexo IV), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y robustez (Artículo 15). Los proveedores deben realizar una evaluación de la conformidad con arreglo al Artículo 43 antes de introducir el sistema en el mercado, emitir una declaración UE de conformidad con arreglo al Artículo 47, colocar el marcado CE con arreglo al Artículo 48 y registrar en la base de datos de la UE con arreglo al Artículo 49.
  • Riesgo limitado/de transparencia (Artículo 50): deberes de divulgación para chatbots, ultrafalsificaciones, reconocimiento de emociones y contenido generado por IA. Se aplican a partir del 2 de agosto de 2026.
  • Riesgo mínimo: sin obligaciones obligatorias.

Los proveedores soportan los deberes más pesados (Artículo 16). Los responsables del despliegue deben seguir las instrucciones, garantizar la supervisión humana, conservar los registros durante al menos seis meses y —cuando sean organismos públicos u operen sistemas de calificación crediticia o de seguros de vida/salud (Anexo III, punto 5, letras b)/c))— realizar una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27.

Dónde apoya la ISO/IEC 42001 el cumplimiento de la Ley de IA de la UE

El solapamiento es genuino y sustancial. Si implementa bien la ISO/IEC 42001, ya habrá construido los cimientos de varias obligaciones de alto riesgo.

Sistema de gestión de la calidad del Artículo 17

El Artículo 17 exige a los proveedores de IA de alto riesgo mantener un sistema de gestión de la calidad que cubra la calidad de los datos, las decisiones de diseño, la gestión de riesgos, las pruebas, la notificación de incidentes y la competencia del personal. El ciclo Planificar-Hacer-Verificar-Actuar de la ISO/IEC 42001 —cláusulas 5 a 10— se corresponde estrechamente con esto. Su política de gobernanza de la IA, los registros de la revisión por la dirección y el rastro de auditoría interna son exactamente lo que pide el Artículo 17. En la práctica, una organización que haya implementado la ISO/IEC 42001 en serio ya tendrá implantada la mayor parte de la infraestructura del Artículo 17; el trabajo restante es documentarla con arreglo a los detalles del Anexo IV.

Sistema de gestión de riesgos del Artículo 9

El Artículo 9 exige a los proveedores de sistemas de alto riesgo establecer, implementar, documentar y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del sistema —identificando los riesgos, estimándolos y evaluándolos, y adoptando medidas de gestión de riesgos—. La cláusula 6.1 de la ISO/IEC 42001 (Planificación de riesgos y oportunidades) y los controles del Anexo A A.6.1 y A.6.2 (evaluación y tratamiento del riesgo de la IA) hacen esto a nivel de proceso. La norma no le dará automáticamente las categorías de riesgo exactas de la Ley, pero su metodología de evaluación de riesgos es un cimiento sólido. Superponga los requisitos del Artículo 9 (continuo, abarcando todo el ciclo de vida, documentado) sobre lo que ya tiene.

Datos y gobernanza de datos del Artículo 10

El Artículo 10 exige que los datos de entrenamiento, validación y prueba sean pertinentes, representativos, exentos de errores en la medida de lo posible y sujetos a prácticas adecuadas de gobernanza de datos —incluido el examen de sesgos—. Los controles del Anexo A A.8.1 a A.8.4 de la ISO/IEC 42001 cubren la gestión de la calidad de los datos, el uso de los datos y la procedencia de los datos. Si ha construido estos controles, su trabajo del Artículo 10 está sustancialmente documentado; rellene cualquier laguna en los registros de examen de sesgos y en la documentación de las características de los conjuntos de datos.

Vigilancia poscomercialización del Artículo 72

El Artículo 72 exige a los proveedores recopilar y revisar activamente datos sobre el rendimiento del sistema de alto riesgo tras el despliegue, de forma proporcionada a la naturaleza del riesgo. La cláusula 9.1 de la ISO/IEC 42001 (Seguimiento, medición, análisis y evaluación) y la cláusula 10 (Mejora) establecen exactamente este tipo de bucle de revisión continua. Los registros de rendimiento, los registros de no conformidades y los registros de acciones correctoras de su SGIA sirven también como prueba del Artículo 72.

Dónde deja la ISO/IEC 42001 lagunas que la Ley colma

Estas son las áreas en las que la norma no —y no puede— sustituir los requisitos específicos de la Ley.

Clasificación con arreglo al Artículo 6 y al Anexo III

La ISO/IEC 42001 le pide evaluar y documentar los riesgos de sus sistemas de IA. No le dice si un sistema concreto está clasificado jurídicamente como de alto riesgo con arreglo a la Ley de IA de la UE. Esa determinación procede del Artículo 6 leído junto con el Anexo III (y el Anexo I para la IA integrada en productos). Una herramienta de categorización biométrica, un sistema de cribado de contratación o un modelo de solvencia entra en el Anexo III con independencia de lo maduro que sea su SGIA. La clasificación es una cuestión jurídica, no una cuestión de madurez de la gobernanza. Debe resolverla por separado —y los proveedores que crean que su sistema del Anexo III está exento con arreglo al filtro del Artículo 6, apartado 3, deben documentar esa evaluación y registrarla en todo caso.

La evaluación de la conformidad del Artículo 43

Esta es la laguna más importante. El Artículo 43 exige a los proveedores de sistemas de IA de alto riesgo completar una evaluación de la conformidad —ya sea una evaluación de la conformidad interna basada en el Anexo VI (para la mayoría de las categorías del Anexo III, puntos 2 a 8) o una evaluación por organismo notificado basada en el Anexo VII (exigida para la biometría del punto 1, cuando no se han aplicado normas armonizadas)—. La evaluación de la conformidad implica probar el sistema frente a los requisitos técnicos de los Artículos 9 a 15, ensamblar el expediente técnico del Anexo IV y generar la declaración de conformidad del Artículo 47.

Un certificado ISO/IEC 42001 dice que su sistema de gestión es sólido. No sustituye al proceso del Artículo 43. Ningún organismo de certificación que audite frente a la ISO/IEC 42001 está evaluando su sistema concreto frente al Anexo IV. Si tiene un sistema de IA en la lista del Anexo III y quiere introducirlo en el mercado de la UE después del 2 de diciembre de 2027, necesita completar el Artículo 43 —el certificado por sí solo no le llevará hasta allí.

Dicho esto, un SGIA bien gestionado ayuda. Su documentación ISO/IEC 42001 —registros de gobernanza, planes de tratamiento del riesgo, pruebas de calidad de los datos, resultados de auditorías internas— alimenta directamente el expediente técnico del Anexo IV. La evaluación de la conformidad se vuelve menos onerosa, no innecesaria.

El expediente de documentación técnica (Artículo 11, Anexo IV)

El Artículo 11 exige a los proveedores elaborar la documentación técnica antes de introducir un sistema de alto riesgo en el mercado, mantenida con arreglo al Anexo IV. El Anexo IV especifica nueve categorías de contenido: una descripción general del sistema y de su finalidad prevista; una descripción de los elementos de diseño y del proceso de desarrollo; información sobre los datos de entrenamiento, validación y prueba; una descripción de los procedimientos de seguimiento, funcionamiento y control; las medidas de gestión de riesgos; los cambios a lo largo del ciclo de vida del sistema; las métricas de rendimiento y los resultados de las pruebas; las medidas básicas de ciberseguridad; y un plan de vigilancia poscomercialización.

La ISO/IEC 42001 genera documentación interna —políticas, procedimientos, registros, informes de auditoría—. Eso es un insumo útil. Pero el expediente técnico del Anexo IV es un documento orientado al producto sobre un sistema de IA concreto, no un registro de un sistema de gestión a nivel de organización. El expediente se construye por sistema, con arreglo a las nueve categorías de la Ley, y debe conservarse durante diez años con arreglo al Artículo 18.

Marcado CE, registro y declaración de conformidad (Artículos 47, 48, 49)

Una vez que un proveedor completa la evaluación de la conformidad del Artículo 43, se exigen tres pasos adicionales: elaborar la declaración UE de conformidad (Artículo 47, utilizando el formato del Anexo V), colocar el marcado CE (Artículo 48) y registrar el sistema en la base de datos de la UE antes de introducirlo en el mercado (Artículo 49). La ISO/IEC 42001 no tiene pasos equivalentes. Son formalidades regulatorias propias del marco de la legislación de la UE sobre productos del que toma prestado la Ley. Deben completarse con independencia de la norma de sistema de gestión que posea.

Registro del Artículo 49

Todos los proveedores de sistemas de alto riesgo deben registrarlos en la base de datos de la UE para sistemas de IA establecida con arreglo al Artículo 71 —antes de la introducción en el mercado—. Esta es una obligación de presentación regulatoria. La ISO/IEC 42001 no incluye tal requisito.

Divulgaciones de transparencia del Artículo 50

El Artículo 50 exige que determinados sistemas de IA revelen su naturaleza de IA a los usuarios: los chatbots deben notificar a los usuarios que están interactuando con un sistema de IA; los sistemas que generan contenido sintético (audio, vídeo, imágenes, texto) deben etiquetarlo como generado por IA; los sistemas de reconocimiento de emociones y de categorización biométrica deben informar a las personas que tratan. Estas obligaciones se aplican a partir del 2 de agosto de 2026. El control del Anexo A A.9.3 de la ISO/IEC 42001 (Transparencia para terceros) toca la transparencia como principio de gobernanza, pero no produce las divulgaciones orientadas al usuario que exige el Artículo 50.

El resumen en una línea de lo que la ISO 42001 hace y no hace

La ISO/IEC 42001 construye la infraestructura de gobernanza —el sistema de gestión de la calidad (Artículo 17), el proceso de gestión de riesgos (Artículo 9), el marco de gobernanza de datos (Artículo 10), el bucle de vigilancia (Artículo 72)— y produce pruebas listas para auditoría en todos estos ámbitos. No clasifica sus sistemas con arreglo a la Ley, ni completa la evaluación de la conformidad del Artículo 43, ni genera el expediente técnico del Anexo IV, ni emite la declaración de conformidad, ni coloca el marcado CE, ni registra su sistema en la base de datos de la UE. Para los proveedores de alto riesgo, la ISO/IEC 42001 es un cimiento sólido que comprime el trabajo de cumplimiento; no es el cumplimiento en sí.

Cómo ayuda Confir

Confir cruza su marco de control determinista con los controles del Anexo A de la ISO/IEC 42001 junto con la Ley de IA de la UE, de modo que las organizaciones que trabajan hacia ambos marcos construyen sus pruebas una sola vez. Tres puntos concretos de intersección:

El módulo AIGM (Gobernanza y Vigilancia Poscomercialización) mapea los requisitos de gestión de riesgos del Artículo 9 y de vigilancia del Artículo 72 con la cláusula 6.1 y la cláusula 9.1 de la ISO/IEC 42001 —lo que significa que la misma evaluación estructurada construye simultáneamente la base de pruebas ISO y la documentación del sistema de gestión de riesgos de la Ley.

El módulo AITR (Datos y Robustez Técnica) cubre la gobernanza de datos del Artículo 10 y la documentación técnica del Artículo 11 / Anexo IV. El resultado es un expediente técnico conforme con el Anexo IV listo para la evaluación de la conformidad del Artículo 43 —el paso que la ISO/IEC 42001 no realiza, pero que la documentación de su SGIA alimenta.

El módulo AIRC (Clasificación de Riesgos y Cumplimiento) se encarga del paso que la ISO/IEC 42001 no puede: clasificar su sistema con arreglo al Artículo 6 y al Anexo III mediante listas de comprobación en lenguaje sencillo, derivar su papel (proveedor con arreglo al Artículo 16, responsable del despliegue con arreglo al Artículo 26) e identificar si se aplica la autoevaluación interna del Artículo 43 (Anexo VI) o un organismo notificado (Anexo VII). Aquí es donde las jurisdicciones de los dos marcos divergen con mayor nitidez —y donde el motor basado en reglas de Confir colma la laguna.

Preguntas frecuentes

¿La certificación ISO/IEC 42001 hace que nuestro sistema de IA sea conforme con la Ley de IA de la UE?

No. La ISO/IEC 42001 es una norma voluntaria de sistema de gestión. La Ley de IA de la UE es derecho vinculante. Un certificado demuestra que sus procesos de gobernanza de la IA son sistemáticos y auditables —lo que es realmente útil—, pero no sustituye a la evaluación de la conformidad del Artículo 43, al expediente de documentación técnica del Anexo IV, al marcado CE (Artículo 48) ni al registro (Artículo 49). Un SGIA bien gestionado comprime el trabajo; no lo completa.

¿Qué cubre realmente la ISO/IEC 42001 a efectos de la Ley de IA de la UE?

La ISO/IEC 42001 apoya el sistema de gestión de la calidad del Artículo 17, el proceso de gestión de riesgos del Artículo 9, las prácticas de gobernanza de datos del Artículo 10 y el bucle de vigilancia poscomercialización del Artículo 72. Sus 38 controles del Anexo A producen documentación de gobernanza que alimenta directamente el expediente técnico del Anexo IV. Donde más ayuda la norma es en crear pruebas listas para auditoría que una autoridad competente o un organismo notificado puedan examinar —reduciendo, no eliminando, la carga de la evaluación de la conformidad.

¿Qué exige la Ley de IA de la UE que la ISO/IEC 42001 no aborda?

La clasificación de sus sistemas con arreglo al Artículo 6 y al Anexo III; la evaluación de la conformidad del Artículo 43; el expediente de documentación técnica del Anexo IV (nueve categorías obligatorias, conservadas diez años con arreglo al Artículo 18); la declaración UE de conformidad del Artículo 47; el marcado CE con arreglo al Artículo 48; el registro en la base de datos de la UE con arreglo al Artículo 49; y las divulgaciones de transparencia orientadas al usuario con arreglo al Artículo 50. Son requisitos legales con consecuencias jurídicas —multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial (Artículo 99) para los proveedores que no los cumplan.

¿Puede la ISO/IEC 42001 sustituir una evaluación por organismo notificado con arreglo al Artículo 43?

No. Para la mayoría de las categorías del Anexo III (puntos 2 a 8), los proveedores completan una evaluación de la conformidad interna basada en el Anexo VI. Para los sistemas biométricos del Anexo III, punto 1 —cuando no se ha aplicado ninguna norma armonizada—, el Artículo 43 exige un organismo notificado. Un certificado ISO/IEC 42001 no es un dictamen de organismo notificado y no puede sustituirlo. No obstante, puede reducir el alcance de la evaluación del organismo notificado al demostrar un rigor de gobernanza preexistente.

¿Qué controles de la ISO/IEC 42001 se corresponden más directamente con las obligaciones de alto riesgo de la Ley de IA de la UE?

Las correspondencias más próximas: A.6.1 a A.6.2 (evaluación y tratamiento del riesgo) con el Artículo 9; A.8.1 a A.8.4 (gobernanza y calidad de los datos) con el Artículo 10; A.9.3 (transparencia) con el Artículo 13; A.9.5 (supervisión humana) con el Artículo 14; la cláusula 9.1 (seguimiento) con el Artículo 72; las cláusulas 5 a 10 en conjunto con el sistema de gestión de la calidad del Artículo 17. Existen lagunas en cada una: la norma exige el proceso; la Ley especifica qué debe producir el proceso y qué debe presentarse externamente.

¿Cuál es el plazo de cumplimiento de alto riesgo de la Ley de IA de la UE?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III deben cumplir antes del 2 de diciembre de 2027. Los sistemas de IA de alto riesgo integrados como componentes de seguridad de productos regulados del Anexo I deben cumplir antes del 2 de agosto de 2028. La ISO/IEC 42001 no tiene plazo regulatorio —la certificación es voluntaria y puede emprenderse en cualquier momento—, pero empezar ahora la implementación del SGIA significa que la base de pruebas estará lista mucho antes de que lleguen los plazos de la Ley.

¿Deberíamos buscar la certificación ISO/IEC 42001 antes o después de completar el cumplimiento de la Ley de IA de la UE?

Los dos flujos de trabajo pueden y deben discurrir en paralelo. La implementación de la ISO/IEC 42001 construye la infraestructura de gobernanza que alimenta el expediente técnico del Anexo IV y la evaluación de la conformidad del Artículo 43. Empezar pronto significa que la documentación existe cuando la necesita. El riesgo de secuenciar primero la ISO y después la Ley es que se construye un sistema de gestión sin tener a la vista los requisitos técnicos específicos de la Ley y luego hay que readaptarlo —ineficiente y a veces disruptivo—. Construya ambas a la vez.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.