La pregunta más común que hacen ahora mismo las empresas de IA en la UE es si certificarse en ISO 42001 les hará cumplir con el EU AI Act. La respuesta corta es no. La respuesta larga es más interesante y explica por qué la mayoría de organizaciones se benefician de perseguir ambos.
## La creencia habitual
Dos lecturas erróneas opuestas dominan la conversación. La primera trata ISO 42001 y el AI Act como intercambiables: certíficate, marca la casilla regulatoria, pasa a lo siguiente. La segunda los trata como pistas sin relación que compiten por el mismo presupuesto.
Ambas lecturas se pierden cómo se relacionan realmente los dos instrumentos. Uno es una norma voluntaria de sistema de gestión. El otro es una regulación vinculante de producto. Operan en planos distintos, y lo que importa es la interfaz entre ellos.
## Qué hace cada instrumento
El EU AI Act es una regulación que clasifica los sistemas de IA por riesgo e impone obligaciones vinculantes en consecuencia. Las prácticas prohibidas están prohibidas. Los sistemas de alto riesgo enfrentan evaluación de conformidad, documentación técnica, monitorización post-mercado y registro en una base de datos de la UE. Los modelos de IA de propósito general llevan sus propias obligaciones. Los sistemas de riesgo limitado enfrentan deberes de transparencia. Los sistemas de riesgo mínimo están mayormente sin regular.
ISO/IEC 42001 es una norma voluntaria de sistema de gestión. No clasifica sistemas de IA individuales como de alto o bajo riesgo. No prescribe cómo realizar una evaluación técnica de conformidad. Lo que hace es exigir a la organización tener un sistema de gestión documentado, operativo y en mejora continua, que gobierne cómo desarrolla y despliega IA.
> El EU AI Act te dice qué deben hacer tus sistemas de IA. ISO 42001 te dice cómo debe estar construida tu organización para mantener esos sistemas en cumplimiento a lo largo del tiempo.
>
## Dónde conectan realmente
Varios artículos del AI Act imponen obligaciones organizativas que mapean limpiamente a un AIMS. Gestión de la calidad (Artículo 17), monitorización post-mercado (Artículo 72), gestión de riesgos (Artículo 9), diseño de la supervisión humana (Artículo 14), gobierno del dato (Artículo 10), y logging (Artículo 12) son todas obligaciones que requieren capacidad organizativa, no solo un informe técnico puntual.
Una organización con un sistema de gestión ISO 42001 maduro ya tiene la mayoría de esas capacidades implantadas. El sistema de gestión no sustituye las obligaciones del AI Act, pero es la infraestructura sobre la que la mayoría de esas obligaciones se operacionalizan.
## El calendario regulatorio actual
El calendario de aplicación del AI Act se ha recalibrado. La prohibición de prácticas prohibidas entró en vigor en agosto de 2025. Las obligaciones de IA de propósito general entraron en vigor en agosto de 2025 para modelos nuevos y en agosto de 2027 para los existentes. Las obligaciones de sistemas de alto riesgo estaban inicialmente previstas para agosto de 2026 pero se han retrasado a través del paquete Digital Omnibus, con aplicación ahora prevista a lo largo de 2027 y 2028. Las normas armonizadas que soportan la evaluación de conformidad se están finalizando a lo largo de finales de 2026.
Esto importa porque da a las organizaciones un regalo raro: tiempo. La ventana para construir un sistema de gestión defendible antes de que las obligaciones de alto riesgo muerdan sigue abierta, pero se está estrechando.
## Presunción de conformidad — qué es y qué no es
El AI Act prevé que el cumplimiento de ciertas normas armonizadas creará una “presunción de conformidad” para los requisitos relevantes. Este es el mecanismo que conecta las normas voluntarias con la ley vinculante. Sin embargo, ISO 42001 no es, a día de hoy, una norma armonizada bajo el AI Act. Las normas armonizadas las está desarrollando el CEN-CENELEC JTC 21, y se espera que la relación entre ellas e ISO 42001 sea estrecha pero aún no está formalizada.
En la práctica, esto significa que la certificación ISO 42001 hoy no otorga automáticamente presunción de conformidad con ningún artículo del AI Act. Lo que hace es dar a reguladores, auditores y organismos notificados evidencia sólida de que la organización tiene la infraestructura de gobernanza que el Reglamento espera.
## Replanteando la pregunta
La pregunta que hay que hacerse no es “¿Cubre ISO 42001 el AI Act?”. La pregunta es “¿Cuál es el camino más eficiente para construir la capacidad organizativa que el AI Act va a exigir, a través de todos los sistemas que operamos u operaremos en los próximos tres años?”.
Planteado así, ISO 42001 se convierte en el andamiaje. Te da las estructuras de gobernanza, gestión de riesgos, monitorización y mejora continua que el Reglamento va a esperar de todos modos. Luego añades encima requisitos a nivel de sistema para los sistemas específicos de alto riesgo de tu cartera.
## El cambio estructural
La regulación de producto tradicionalmente asumía productos estáticos. La evaluación de conformidad ocurría una vez, antes de la comercialización, y el producto se ponía en el mercado sobre la base de esa evaluación. Los sistemas de IA rompen ese modelo porque cambian. El AI Act ha respondido incrustando monitorización post-mercado, gestión del cambio y gestión de la calidad en el texto del propio Reglamento.
Esas obligaciones post-mercado no se pueden satisfacer con un documento puntual. Requieren un sistema de gestión que funcione continuamente. ISO 42001 es, en este momento, la respuesta más coherente desde el punto de vista operativo a ese requisito.
## Qué significa esto para tu organización
Si operas en la UE, trata los dos en secuencia, no en paralelo. Construye primero el sistema de gestión. Una vez que el AIMS esté funcionando, añade encima el cumplimiento del AI Act a nivel de sistema. Hacerlo al revés, sistema por sistema, crea esfuerzo duplicado y controles inconsistentes a través de la cartera.
No esperes a que se publiquen las normas armonizadas. Las normas codificarán expectativas que ya se conocen mayormente hoy. Las organizaciones que esperen comprimirán una implantación de dos años en seis meses.
Documenta el mapeo. Cuando implantes el AIMS, mapea explícitamente cada cláusula y control del Anexo A a los artículos del AI Act que soporta. Ese mapeo se convertirá en la columna vertebral de tu expediente de cumplimiento del AI Act cuando empiece la aplicación.
—
¿Listo para pasar de la documentación a la certificación?
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
