Skip to content
Confir.
Prueba gratuita
Blog

Qué no cubre la norma ISO/IEC 42001 para el cumplimiento del Reglamento de IA

Guide15 May 2026· 19 min de lectura

Un certificado ISO 42001 no equivale al cumplimiento del Reglamento de IA. Conoce las lagunas: art. 43, anexo IV, marcado CE y la multa mínima de 35 M€.

Empecemos por la respuesta corta: un certificado ISO/IEC 42001 no equivale al cumplimiento del Reglamento de IA. La norma ISO/IEC 42001:2023 es un estándar voluntario de sistemas de gestión de IA; el Reglamento (UE) 2024/1689 —el Reglamento de IA— es ley de obligado cumplimiento. Un certificado demuestra que tu gobernanza de la IA es sistemática y auditable, pero no realiza la evaluación de la conformidad que exige el artículo 43, no genera el expediente técnico que detalla el anexo IV ni libera de una sola obligación legal sobre un sistema de alto riesgo concreto.

Esto importa porque ambos marcos se confunden con facilidad. Los dos hablan el lenguaje del riesgo, la gobernanza de datos y la supervisión. Pero la ISO/IEC 42001 es un estándar de sistema de gestión —certifica el proceso—, mientras que el Reglamento impone deberes legales a nivel de sistema que no se corresponden uno a uno con una cláusula de gestión. Ningún organismo de certificación audita tu sistema de IA concreto frente al anexo IV ni ejecuta la evaluación del artículo 43.

La forma productiva de leer esta página: trata la ISO/IEC 42001 como un andamiaje que comprime el trabajo y luego cierra por separado las lagunas legales concretas. Para el panorama general, consulta la introducción a la ISO 42001 y la comparación completa ISO 42001 frente al Reglamento de IA. A continuación, las lagunas, una a una.

La respuesta corta: un certificado 42001 no es cumplimiento del Reglamento

La ISO/IEC 42001:2023 es un estándar certificable de sistema de gestión de IA (AIMS) construido sobre el ciclo Planificar-Hacer-Verificar-Actuar y la mejora continua. Te indica cómo gobernar la IA como organización. El Reglamento de IA te indica lo que un sistema concreto debe hacer legalmente antes de llegar al mercado.

Estándar de sistema de gestión frente a reglamento vinculante

Un estándar de sistema de gestión certifica que dispones de políticas, un proceso de riesgos, auditorías internas y un bucle de revisión. Eso es real y valioso. Pero las obligaciones del Reglamento se asocian al sistema en sí —su clasificación, su documentación técnica, su evaluación de la conformidad—, no a la madurez del programa que lo rodea. La certificación es complementaria: puede aportar pruebas para algunas obligaciones, pero no es una vía legal de conformidad.

Por qué un certificado no puede liberar de una obligación legal

Ningún organismo de certificación de ISO/IEC 42001 evalúa tu sistema concreto frente al anexo IV, y ningún certificado equivale a un dictamen de organismo notificado. Una autoridad de control evalúa el sistema frente al texto del Reglamento, no frente al alcance declarado de tu AIMS. Así que el certificado no puede, por construcción, liberar de un deber del artículo 43, el artículo 47 o el artículo 49. Comprime el trabajo; no lo completa.

La cobertura de un vistazo: lo que cubre la 42001 frente a la laguna

La tabla siguiente es el activo central de esta página: convierte la comparación general en un registro de lagunas accionable. Lee cada fila como un veredicto sobre una única obligación del Reglamento de IA.

Cómo leer «Parcial» frente a «No cubierto»

Parcial significa que la ISO/IEC 42001 construye pruebas reutilizables hacia la obligación: una arquitectura de proceso que puedes mostrar a un organismo notificado o a una autoridad. No cubierto significa que el estándar no tiene ningún mecanismo equivalente: empiezas desde cero. Ninguno de los dos veredictos significa «hecho»: incluso una obligación Parcial necesita que se le añada encima el resultado a nivel de sistema que exige el Reglamento.

Los ocho requisitos de alto riesgo (artículos 9-15) en una sola vista

Requisito del Reglamento de IACubierto por la ISO/IEC 42001Laguna que permanece
Clasificación del riesgo (art. 6 / anexo III)No cubiertoUna determinación legal que la 42001 nunca hace
Sistema de gestión de riesgos (art. 9)ParcialLa cláusula 6.1 / los controles del anexo A dan proceso, no el resultado de ciclo de vida del Reglamento
Gobernanza de datos (art. 10)ParcialLos registros de examen de sesgos y las características de los conjuntos de datos son específicos del sistema
Documentación técnica (art. 11 / anexo IV)ParcialEl AIMS produce documentación interna, no el expediente del anexo IV por sistema
Conservación de registros y logs (art. 12)ParcialEl registro automático durante toda la vida útil es un deber de diseño del sistema
Transparencia hacia los responsables del despliegue (art. 13)ParcialEl Reglamento especifica el contenido medible de las instrucciones de uso
Supervisión humana (art. 14)ParcialMedidas de supervisión a nivel de diseño, no un principio de gobernanza
Exactitud y solidez (art. 15)No cubiertoUn requisito de rendimiento técnico que el estándar no somete a prueba
Evaluación de la conformidad y marcado CE (art. 43, art. 48)No cubiertoNingún organismo 42001 ejecuta el anexo VI/VII ni coloca el marcado CE
Declaración UE de conformidad (art. 47)No cubiertoNo hay instrumento regulatorio equivalente
Registro en la base de datos de la UE (art. 49)No cubiertoNo hay trámite equivalente
EIDF (art. 27)ParcialLa evaluación de impacto del AIMS se solapa, pero no es legalmente sustituible
Transparencia del art. 50 (chatbots, marcado de contenido sintético)No cubiertoNo hay mecanismo de divulgación hacia el usuario
Alfabetización en IA (art. 4)ParcialLa competencia de la cláusula 7 aporta estructura, no el deber legal
Sanciones (art. 99)N/AUn certificado no es defensa frente a una multa

El patrón es coherente: donde el requisito es un proceso, la 42001 ayuda. Donde es una determinación legal, un resultado a nivel de sistema o una formalidad regulatoria, el estándar se queda corto.

Laguna 1: la clasificación legal del riesgo (artículo 6 y anexo III)

La ISO/IEC 42001 te pide evaluar y documentar el riesgo de la IA. No te dice si un sistema es legalmente de alto riesgo. Eso lo decide el artículo 6 leído junto con el anexo III —y el anexo I para la IA integrada en productos cubiertos por la legislación de armonización de la UE.

Por qué la condición de anexo III es independiente de tu AIMS

Una herramienta de cribado de candidatos, un modelo de solvencia crediticia conforme al anexo III, punto 5(b), o un sistema de categorización biométrica es de alto riesgo con independencia de lo maduro que sea tu AIMS. La clasificación es una cuestión legal, no una cuestión de madurez de la gobernanza. Un certificado impecable no saca a un sistema listado del anexo III.

El filtro de no alto riesgo del artículo 6(3) sigue siendo tu carga

Un proveedor que considere que un sistema listado no es de alto riesgo puede acogerse al filtro del artículo 6(3), pero debe documentar esa evaluación y registrarla de todos modos. La ISO/IEC 42001 no contiene ningún equivalente de este filtro legal y no produce nada de la documentación exigida. Ejecuta una evaluación de preparación para realizar la clasificación que el estándar omite.

Laguna 2: los requisitos técnicos de alto riesgo (artículos 9-15)

La ISO/IEC 42001 aporta arquitectura de proceso para algunos de estos requisitos, pero nunca el resultado regulatorio por sistema que exige el Reglamento.

Proceso (42001) frente a resultado (el Reglamento)

Para la gestión de riesgos del artículo 9, la cláusula 6.1 de la ISO/IEC 42001 y los controles de riesgo del anexo A te dan un método. El Reglamento exige un sistema de gestión de riesgos continuo, que abarque todo el ciclo de vida y esté documentado, que identifique los riesgos conocidos y razonablemente previsibles para la salud, la seguridad y los derechos fundamentales del sistema concreto. El método es reutilizable; el resultado documentado a nivel de sistema no lo produce el estándar. Consulta el sistema de gestión de riesgos del artículo 9 para saber qué debe contener ese resultado.

Para la gobernanza de datos del artículo 10, los datos de entrenamiento, validación y prueba deben ser pertinentes, representativos y examinados en busca de sesgos. Los controles de datos de la ISO/IEC 42001 respaldan la documentación, pero la prueba del examen de sesgos es específica del sistema y debe generarse por cada modelo.

Artículo 11 / anexo IV: el expediente que la 42001 no produce

El artículo 11 exige una documentación técnica elaborada conforme al anexo IV —un expediente orientado al producto con contenido prescrito, conservado durante diez años en virtud del artículo 18. El AIMS produce registros a nivel de organización: políticas, procedimientos, informes de auditoría. No produce el expediente del anexo IV por sistema. Construyes el expediente técnico del anexo IV por sistema, frente a la lista de contenidos del Reglamento, apoyándote en las pruebas del AIMS como insumo.

Artículos 12-15: deberes a nivel de sistema sin equivalente en el AIMS

El artículo 12 exige que los sistemas de alto riesgo permitan técnicamente el registro automático de eventos (logs) durante toda su vida útil —una obligación de diseño del sistema, no una política. El artículo 13 (transparencia hacia los responsables del despliegue), el artículo 14 (supervisión humana) y el artículo 15 (exactitud, solidez, ciberseguridad) se ven tocados por los controles de gobernanza del anexo A, pero el Reglamento especifica requisitos medibles, a nivel de sistema, que un auditor del estándar no contrasta con la norma legal. Cuanto más de cerca lees los artículos 12-15, más claro queda que la 42001 fija el principio mientras que el Reglamento fija el entregable.

Laguna 3: las formalidades de entrada al mercado (artículos 43, 47, 48, 49)

Esta es la laguna más nítida. La ISO/IEC 42001 no tiene ningún equivalente de ninguna de las formalidades que condicionan la entrada al mercado de un sistema de alto riesgo.

Artículo 43: interna (anexo VI) frente a organismo notificado (anexo VII)

El artículo 43 exige una evaluación de la conformidad antes de que un sistema de alto riesgo se introduzca en el mercado. La vía depende de la categoría:

  1. Evaluación interna conforme al anexo VI —para la mayoría de las categorías del anexo III, el proveedor se autoevalúa frente a los artículos 9-15 y ensambla el expediente del anexo IV.
  2. Organismo notificado conforme al anexo VII —obligatorio para la biometría del anexo III, punto 1, cuando no se han aplicado normas armonizadas.

Ningún organismo de certificación de ISO/IEC 42001 evalúa un sistema concreto frente al anexo IV. Un certificado 42001 no es un dictamen de organismo notificado y no puede sustituirlo.

Declaración de conformidad, marcado CE y registro en la base de datos de la UE

Tras la evaluación de la conformidad siguen tres pasos regulatorios más, ninguno de los cuales toca el estándar:

  1. Elaborar la declaración UE de conformidad (artículo 47, formato en el anexo V).
  2. Colocar el marcado CE (artículo 48) para indicar la conformidad.
  3. Registrar el sistema en la base de datos de la UE (artículo 49) antes de introducirlo en el mercado.

La salvedad en la que merece la pena confiar: un AIMS bien gestionado alimenta el expediente del anexo IV y, por tanto, reduce la carga de la evaluación de la conformidad, pero no elimina la obligación. La certificación abarata el coste de pasar la puerta; no abre la puerta.

Laguna 4: deberes de derechos, transparencia y alfabetización (artículos 27, 50, 4)

Estos deberes quedan en parte fuera de la pila técnica de alto riesgo, y algunos se aplican mucho más allá de los sistemas de alto riesgo.

El solapamiento de la EIDF (artículo 27) y dónde se detiene

En virtud del artículo 27, ciertos responsables del despliegue deben realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF) —organismos públicos y operadores de sistemas de calificación crediticia y de seguros de vida o de salud conforme al anexo III, puntos 5(b) y 5(c). La evaluación de impacto de IA de la ISO/IEC 42001 es sustancialmente similar, por lo que gran parte del trabajo analítico se solapa. Pero la EIDF tiene un contenido legal prescrito y no es legalmente sustituible: la evaluación 42001 por sí sola no libera del deber del artículo 27.

Las divulgaciones del artículo 50 y la nueva fecha de marcado de contenido del 2 de diciembre de 2026

El artículo 50 exige divulgaciones hacia el usuario que el estándar no produce: los chatbots deben revelar la interacción con IA; los sistemas de reconocimiento de emociones y de categorización biométrica deben informar a las personas afectadas; y los proveedores deben marcar el audio, las imágenes, el vídeo y el texto sintéticos como generados artificialmente. Se aplica una fecha fija del 2 de diciembre de 2026 a las obligaciones de marcado de contenido, junto con una nueva prohibición de los sistemas que generan material de abuso sexual infantil (CSAM) y de los «desnudadores» basados en imágenes. Los controles de transparencia del anexo A de la ISO/IEC 42001 no generan ninguna de estas divulgaciones.

La alfabetización en IA del artículo 4 como obligación permanente

El artículo 4 exige que los proveedores y los responsables del despliegue garanticen que el personal que trabaja con sistemas de IA tenga un nivel suficiente de alfabetización en IA —en vigor desde el 2 de febrero de 2025. La cláusula 7 de la ISO/IEC 42001 (competencia y concienciación) aporta la estructura de sistema de gestión para impartir esa alfabetización, pero la cláusula no es en sí misma la obligación legal. Ten en cuenta que los artículos 50 y 4 alcanzan más allá de los sistemas de alto riesgo, de modo que incluso una empresa sin ningún sistema del anexo III puede tener estos deberes.

Laguna 5: sanciones: un certificado no es defensa (artículo 99)

El artículo 99 establece tramos sancionadores legales que se aplican con independencia de cualquier certificación voluntaria. Un certificado 42001 puede acreditar diligencia, pero no limita una multa ni libera de responsabilidad.

Los tres tramos sancionadores y qué activa cada uno

ActivaciónSanción máximaBase
Incumplir las prohibiciones del artículo 535 000 000 € o el 7 % del volumen de negocios anual mundial totalArtículo 99(3)
Incumplir la mayoría de las demás obligaciones (incl. los deberes de proveedor/responsable del despliegue de alto riesgo)15 000 000 € o el 3 % del volumen de negocios anual mundial totalArtículo 99(4)
Facilitar información incorrecta, incompleta o engañosa a las autoridades7 500 000 € o el 1 % del volumen de negocios anual mundial totalArtículo 99(5)

El tercer tramo es del 1 %, no del 1,5 %. Para la mayoría de las empresas se aplica la cifra más alta entre el porcentaje y el importe fijo.

Proporcionalidad para pymes y empresas emergentes (artículo 99(6))

Para las pymes y las empresas emergentes, cada multa se limita al menor entre el porcentaje y el importe fijo en virtud del artículo 99(6) —una regla de proporcionalidad, no una exención. El fondo no cambia: una autoridad de control evalúa el sistema concreto frente a las obligaciones del Reglamento, y el certificado no se interpone entre tú y la multa.

Salvedad sobre el calendario: qué es ley hoy frente a qué está acordado

Las fechas son un activo de confianza en una página como esta, así que seamos precisos. A junio de 2026, el Ómnibus Digital alcanzó un acuerdo político provisional el 6-7 de mayo de 2026, con el texto del COREPER confirmado en torno al 13 de mayo de 2026. Está acordado, pero aún no es ley: todavía necesita una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial.

Ómnibus Digital: acordado pero aún no en vigor

El Ómnibus acordó aplazar las obligaciones autónomas de alto riesgo del anexo III (artículo 6(2)) del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de alto riesgo integrado en productos del anexo I (artículo 6(1)) del 2 de agosto de 2027 al 2 de agosto de 2028. Hasta la publicación, el texto vigente sigue fijando el 2 de agosto de 2026 para el alto riesgo autónomo del anexo III. Son fechas de calendario fijas: la propuesta de «parar el reloj» supeditada a normas fue rechazada, así que el aplazamiento no está vinculado a la disponibilidad de normas armonizadas.

Plazos que no cambiaron

No todo se movió. Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de la GPAI (artículos 51-55) se aplican desde el 2 de agosto de 2025. La mayor parte de la transparencia del artículo 50 no cambia, con el marcado de contenido y las nuevas disposiciones sobre CSAM y «desnudadores» en la fecha fija del 2 de diciembre de 2026. La conclusión práctica: el aplazamiento no es margen de sobra. Construir un AIMS, completar la certificación y ensamblar el paquete del anexo IV suele llevar cerca de un año, así que el trabajo para cerrar la brecha entre la 42001 y el Reglamento debería empezar ahora.

Cómo ayuda Confir

Confir cruza los controles del anexo A de la ISO/IEC 42001 con las obligaciones del Reglamento de IA para que las pruebas que construyes una vez sirvan a ambos marcos. La correspondencia es determinista y basada en reglas —la misma lógica cada vez, sin inferencia de modelos, sin alucinaciones, los mismos insumos producen los mismos hallazgos.

Correspondencia determinista de control a obligación

Donde el estándar se detiene, el motor basado en reglas de Confir cubre la laguna: la clasificación legal conforme al artículo 6 y el anexo III, la determinación del rol (proveedor frente a responsable del despliegue), el expediente técnico del anexo IV, la EIDF del artículo 27 y la identificación de si el artículo 43 te dirige a una evaluación interna (anexo VI) o a un organismo notificado (anexo VII). Cada resultado es reproducible y trazable hasta el artículo que satisface.

De la tabla de cobertura a un registro de lagunas a nivel de sistema

El siguiente paso recomendado es ejecutar una evaluación de preparación que convierta la tabla de cobertura anterior en un registro de lagunas sistema por sistema y, después, construir el expediente del anexo IV a partir de las pruebas del AIMS que ya posees. Si todavía estás definiendo el alcance del propio certificado, la guía de certificación ISO 42001 cubre la ruta. El mensaje es el mismo en todo momento: la certificación comprime el trabajo; no lo completa.

Preguntas frecuentes

¿La certificación ISO 42001 te hace cumplir con el Reglamento de IA? No. La ISO/IEC 42001 es un estándar voluntario de sistema de gestión de IA; el Reglamento de IA es ley de obligado cumplimiento. Un certificado demuestra que tu gobernanza es sistemática y auditable, pero no realiza la evaluación de la conformidad del artículo 43, no genera el expediente técnico del anexo IV ni registra tu sistema. Comprime el trabajo; no lo completa.

¿Basta la ISO 42001 para el Reglamento de IA? No. La ISO 42001 construye la columna vertebral de la gobernanza —procesos de riesgo, gobernanza de datos, seguimiento—, pero deja lagunas legales concretas: la clasificación conforme al artículo 6 y el anexo III, la evaluación de la conformidad del artículo 43, el marcado CE (artículo 48), el registro en la base de datos de la UE (artículo 49), la EIDF (artículo 27) y las divulgaciones del artículo 50. Cada una debe cumplirse por separado para el sistema concreto.

¿Qué no cubre la ISO 42001 para los sistemas de IA de alto riesgo? No clasifica un sistema como de alto riesgo, no completa la evaluación de la conformidad del artículo 43, no genera el expediente técnico del anexo IV, no emite la declaración de conformidad del artículo 47, no coloca el marcado CE ni registra el sistema conforme al artículo 49. Tampoco produce las divulgaciones de transparencia hacia el usuario del artículo 50. El estándar da proceso; el Reglamento exige resultados regulatorios por sistema.

¿Puede un certificado ISO 42001 reemplazar la evaluación de la conformidad del artículo 43? No. Para la mayoría de las categorías del anexo III, el artículo 43 exige una evaluación interna conforme al anexo VI; para la biometría del anexo III, punto 1, sin normas armonizadas, se exige un organismo notificado conforme al anexo VII. Ningún organismo de certificación 42001 evalúa tu sistema concreto frente al anexo IV, y un certificado no es un dictamen de organismo notificado.

¿Cubre la ISO 42001 la EIDF del artículo 27? En parte. La evaluación de impacto de IA de la ISO 42001 es sustancialmente similar a la evaluación de impacto relativa a los derechos fundamentales que los responsables del despliegue cualificados deben realizar conforme al artículo 27, por lo que gran parte del trabajo analítico se solapa. Pero la EIDF tiene un contenido legal prescrito y no es legalmente sustituible, así que la evaluación 42001 por sí sola no libera de la obligación del artículo 27.

¿Cuáles son las sanciones del Reglamento de IA si solo te apoyas en la ISO 42001? Un certificado no es defensa frente a una multa. Las sanciones alcanzan hasta 35 millones de euros o el 7 % del volumen de negocios mundial por prácticas prohibidas (artículo 99(3)), 15 millones de euros o el 3 % por la mayoría de las demás obligaciones (artículo 99(4)) y 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa (artículo 99(5)). Las pymes y las empresas emergentes obtienen el límite inferior conforme al artículo 99(6).

¿Cuándo se aplican las obligaciones de alto riesgo del Reglamento de IA? A junio de 2026, el texto vigente sigue fijando el 2 de agosto de 2026 para los sistemas autónomos de alto riesgo del anexo III. El Ómnibus Digital acordado en mayo de 2026 acordó aplazarlo al 2 de diciembre de 2027 (y la IA integrada en productos del anexo I al 2 de agosto de 2028), pero aún no es ley: todavía necesita la votación del Parlamento, la adopción del Consejo y la publicación en el Diario Oficial.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Complete Guide

ISO/IEC 42001 explicada: la norma del sistema de gestión de IA y su alineación con la Ley de IA de la UE

ISO/IEC 42001:2023 explicada: estructura de cláusulas del SGIA, 38 controles del Anexo A, el itinerario de certificación y cómo se corresponde con los Artículos 9, 11 y 17 de la Ley de IA de la UE.

EU AI Act Guide

Certificación ISO 42001: el proceso paso a paso

La certificación ISO/IEC 42001 explicada: del análisis de deficiencias a la auditoría, los capítulos 4 a 10 del SGIA, el ciclo de 3 años y cómo respalda su SGC del Artículo 17 de la Ley de IA de la UE.

Guide

Evaluación de brechas ISO 42001: cómo realizar una (2026)

Cómo realizar una evaluación de brechas ISO/IEC 42001: recorra las cláusulas 4 a 10, puntúe los 38 controles del Anexo A y elabore un plan de subsanación de cara al plazo del 2 dic 2027.

Comparison

ISO/IEC 42001 frente a la Ley de IA de la UE: qué hace cada una — y qué no hace cada una

La ISO/IEC 42001 es una norma voluntaria de SGIA. La Ley de IA de la UE es derecho vinculante. Dónde se alinean, dónde divergen y qué sigue exigiendo el Artículo 43.

Guide

ISO/IEC 42001 frente a ISO/IEC 27001: ¿qué norma necesita tu programa de IA?

La ISO 42001 rige la gestión de la IA; la ISO 27001 cubre la seguridad de la información. Ambas comparten la Estructura Armonizada de ISO — aquí está cuándo perseguir cada una o ambas.