Folletos

ISO 42001 y el Reglamento de IA de la UE: cómo encajan

Equipo Zertia · 6 min de lectura
Compartir

La pregunta más frecuente que hacen ahora las empresas de IA con sede en la UE es si certificarse bajo ISO 42001 las hará cumplir con el Reglamento de IA de la UE (EU AI Act). La respuesta corta es no. La respuesta larga es más interesante y explica por qué la mayoría de las organizaciones siguen beneficiándose de perseguir ambos.

La creencia habitual

Dos lecturas erróneas opuestas dominan la conversación. La primera trata ISO 42001 y el Reglamento de IA como equivalentes: certifícate, marca la casilla regulatoria y sigue adelante. La segunda los trata como vías sin relación que compiten por el mismo presupuesto.

Ambas lecturas pasan por alto cómo se relacionan realmente los dos instrumentos. Uno es una norma de sistema de gestión voluntaria. El otro es una regulación de producto de obligado cumplimiento. Operan en planos distintos, y la interfaz entre ellos es lo que importa.

Qué hace cada instrumento

El Reglamento de IA de la UE es una regulación que clasifica los sistemas de IA por riesgo e impone obligaciones vinculantes en consecuencia. Las prácticas prohibidas están vetadas. Los sistemas de alto riesgo se enfrentan a evaluación de conformidad, documentación técnica, supervisión poscomercialización y registro en una base de datos de la UE. Los modelos de IA de uso general tienen sus propias obligaciones. Los sistemas de riesgo limitado tienen deberes de transparencia. Los sistemas de riesgo mínimo están en gran medida sin regular.

ISO/IEC 42001 es una norma de sistema de gestión voluntaria. No clasifica los sistemas de IA individuales como de alto o bajo riesgo. No prescribe cómo realizar una evaluación de conformidad técnica. Lo que hace es exigir que la organización disponga de un sistema de gestión documentado, en funcionamiento y en mejora continua que rija cómo desarrolla y despliega la IA.

El Reglamento de IA de la UE te dice lo que deben hacer tus sistemas de IA. ISO 42001 te dice cómo debe estar construida tu organización para mantener esos sistemas en cumplimiento a lo largo del tiempo.

Dónde se conectan realmente

Varios artículos del Reglamento de IA imponen obligaciones organizativas que se corresponden directamente con un AIMS. La gestión de la calidad (artículo 17), la supervisión poscomercialización (artículo 72), la gestión del riesgo (artículo 9), el diseño de supervisión humana (artículo 14), la gobernanza de datos (artículo 10) y el registro de actividad (artículo 12) son todas obligaciones que requieren capacidad organizativa, no solo un informe técnico puntual.

Una organización con un sistema de gestión ISO 42001 maduro ya tiene en su lugar la mayoría de esas capacidades. El sistema de gestión no es un sustituto de las obligaciones del Reglamento de IA, pero sí es la infraestructura sobre la que se operativizan la mayor parte de esas obligaciones.

El calendario regulatorio actual

El calendario de aplicación del Reglamento de IA ha sido recalibrado. La prohibición de prácticas prohibidas entró en vigor en agosto de 2025. Las obligaciones para la IA de uso general entraron en vigor en agosto de 2025 para los modelos nuevos y en agosto de 2027 para los existentes. Las obligaciones para los sistemas de alto riesgo estaban inicialmente previstas para agosto de 2026, pero han sido aplazadas mediante el paquete Digital Omnibus, y su aplicación se espera ahora durante 2027 y 2028. Las normas armonizadas para apoyar la evaluación de conformidad se están finalizando a lo largo de finales de 2026.

Esto importa porque brinda a las organizaciones un regalo poco frecuente: tiempo. La ventana para construir un sistema de gestión sólido antes de que entren en vigor las obligaciones de alto riesgo sigue abierta, aunque se está estrechando.

Presunción de conformidad: qué es y qué no es

El Reglamento de IA prevé que el cumplimiento de ciertas normas armonizadas creará una «presunción de conformidad» respecto a los requisitos pertinentes. Este es el mecanismo que conecta las normas voluntarias con el derecho vinculante. Sin embargo, ISO 42001 no es, a día de hoy, una norma armonizada en virtud del Reglamento de IA. Las normas armonizadas están siendo desarrolladas por CEN-CENELEC JTC 21, y se espera que su relación con ISO 42001 sea estrecha, aunque aún no está formalizada.

En la práctica, esto significa que la certificación ISO 42001 hoy no otorga automáticamente presunción de conformidad respecto a ningún artículo del Reglamento de IA. Lo que sí aporta es una evidencia sólida ante reguladores, auditores y organismos notificados de que la organización dispone de la infraestructura de gobernanza que el Reglamento exige.

La pregunta que hay que hacerse no es «¿Cubre ISO 42001 el Reglamento de IA?». La pregunta es «¿Cuál es el camino más eficiente para construir la capacidad organizativa que el Reglamento de IA va a requerir, en todos los sistemas que operamos o vamos a operar en los próximos tres años?».

Planteado así, ISO 42001 se convierte en el andamiaje. Proporciona las estructuras de gobernanza, gestión del riesgo, supervisión y mejora continua que el Reglamento exigirá de todos modos. Sobre eso se añaden los requisitos a nivel de sistema para los sistemas de alto riesgo específicos de tu cartera.

El cambio estructural

La regulación de productos ha asumido tradicionalmente que los productos son estáticos. La evaluación de conformidad se realizaba una vez, antes de la comercialización, y el producto se ponía en el mercado sobre la base de esa evaluación. Los sistemas de IA rompen ese modelo porque cambian. El Reglamento de IA ha respondido integrando en el propio texto del reglamento la supervisión poscomercialización, la gestión de cambios y la gestión de la calidad.

Esas obligaciones poscomercialización no pueden satisfacerse con un documento puntual. Requieren un sistema de gestión que funcione de manera continua. ISO 42001 es, en este momento, la respuesta operativamente más coherente a ese requisito.

Qué significa esto para tu organización

Si operas en la UE, aborda los dos en secuencia, no en paralelo. Construye primero el sistema de gestión. Una vez que el AIMS esté en funcionamiento, añade encima el cumplimiento del Reglamento de IA a nivel de sistema. Hacerlo al revés, sistema por sistema, genera trabajo duplicado y controles inconsistentes en toda la cartera.

No esperes a que se publiquen las normas armonizadas. Las normas codificarán expectativas que son en gran medida conocidas hoy. Las organizaciones que esperen comprimirán una implementación de dos años en seis meses.

Documenta el mapeo. Cuando implementes el AIMS, mapea explícitamente cada cláusula y control del Anexo A con los artículos del Reglamento de IA que respalda. Ese mapeo se convertirá en la columna vertebral de tu expediente de cumplimiento del Reglamento de IA cuando comience la aplicación.

¿Listo para pasar de la documentación a la certificación?

📩 [email protected] · 🌐 zertia.ai

Tu vía rápida al cumplimiento comienza aquí

Nuestro equipo está listo para apoyarte en cumplimiento normativo, ciberseguridad y privacidad. Completa el formulario de contacto o escríbenos a [email protected], y nuestros expertos te guiarán en los próximos pasos.