Hoy hay dos tipos muy distintos de organizaciones persiguiendo ISO 42001, y necesitan implantaciones casi completamente diferentes. La norma es la misma. El alcance, la evidencia y el foco de la auditoría no.
Entender en qué lado de la línea está tu organización, o si está en ambos, cambia cómo dimensionas el proyecto, cómo asignas recursos y qué dice la certificación realmente al mercado.
## La creencia habitual
La asunción inicial en la mayoría de proyectos es que ISO 42001 es una implantación con una metodología, aplicada uniformemente. Las empresas buscan plantillas, políticas de ejemplo y registros de riesgo de muestra, asumiendo que un buen punto de partida para una organización es un buen punto de partida para otra.
No lo es. La forma del sistema de gestión depende mucho del rol que juega la organización en la cadena de valor de la IA.
## Los dos roles que distingue la norma
ISO 42001, haciéndose eco del EU AI Act y de la mayoría de marcos globales, distingue entre dos roles operativos que una organización puede jugar respecto a un sistema de IA dado:
### Proveedor de IA (Provider)
Una organización que desarrolla un sistema de IA o un modelo de IA de propósito general y lo pone en el mercado bajo su propio nombre o marca. Ejemplos: una empresa de HR Tech construyendo su propio modelo de cribado de CVs; una FinTech desarrollando un algoritmo propio de credit scoring; una startup de IA ofreciendo un modelo fundacional vía API; una empresa de IA médica entrenando su propio modelo de diagnóstico.
### Desplegador de IA (Deployer)
Una organización que usa un sistema de IA bajo su propia autoridad, típicamente integrando un modelo de terceros en sus operaciones. Ejemplos: un banco usando un modelo antiblanqueo de un proveedor; una aseguradora usando un sistema externo de detección de fraude; un retailer usando un motor de recomendación de terceros; un organismo público usando una IA comercial de verificación de identidad.
Muchas organizaciones son ambos. Una fintech que entrena modelos propios de crédito y que también integra proveedores externos de KYC es proveedor para algunos sistemas y desplegador para otros. El sistema de gestión tiene que manejar ambos modos.
> Las obligaciones del proveedor son sobre lo que construyes. Las obligaciones del desplegador son sobre qué eliges, cómo lo usas, y cómo lo supervisas.
>
## Dónde está el problema real
El alcance y las expectativas de evidencia divergen significativamente entre los dos roles.
### Para proveedores
El auditor esperará ver evidencia a lo largo del ciclo de vida completo de la IA: decisiones de diseño, gobierno de los datos de entrenamiento, documentación del modelo, testing de sesgo y robustez, diseño de la supervisión humana, documentación que acompaña al sistema para los desplegadores, monitorización post-mercado, y respuesta a incidentes para clientes que usan el sistema. Los controles del Anexo A de ISO 42001 que enfatizan la evaluación de impacto, los datos para sistemas de IA, y la información para usuarios se vuelven centrales.
Una implantación de proveedor toca gestión de producto, ingeniería, data science, legal, y customer success. Produce artefactos que a menudo necesitan compartirse con clientes corporativos y reguladores.
### Para desplegadores
El auditor esperará ver evidencia en torno a evaluación de proveedores, políticas de uso aceptable, implementación de las instrucciones de uso, formación interna del operador, supervisión humana en el contexto específico del desplegador, monitorización de outputs en la operación del desplegador, y gestión de incidentes relevante al modo en que el sistema se usa realmente. Los controles del Anexo A sobre evaluación de impacto del sistema de IA, calidad del dato en operación, y supervisión humana en despliegue se vuelven centrales.
Una implantación de desplegador toca procurement, operaciones, legal, riesgo, y las funciones de negocio específicas que usan la IA. Produce artefactos que son mayormente internos, soportando la responsabilidad de la propia organización.
## Replanteando la pregunta
La pregunta que hay que hacer no es “¿Cómo nos certificamos en ISO 42001?”. La pregunta es “Para cada sistema de IA en nuestro alcance, qué rol jugamos, y qué evidencia exige ese rol?”.
La respuesta suele revelar que el alcance del sistema de gestión debe manejar explícitamente la operación de rol dual. Las organizaciones híbridas necesitan un único sistema de gestión que aplique las obligaciones de proveedor donde construyen y las obligaciones de desplegador donde compran o integran.
## El cambio estructural
El aseguramiento tradicional de producto asumía una única parte responsable clara: el fabricante. Las operaciones modernas de IA distribuyen la responsabilidad a través de una cadena. Un modelo fundacional lo construye una empresa, lo afina otra, lo incrusta en un producto una tercera, lo despliega en un contexto operativo una cuarta, y lo experimenta un usuario final que no tiene visibilidad sobre nada de eso.
La distinción de ISO 42001 entre roles de proveedor y desplegador es cómo el marco de gobernanza se adapta a esa realidad distribuida. Cada nodo de la cadena tiene que gobernar las decisiones que realmente toma, y documentar esas decisiones de forma que permita al siguiente nodo gobernar con responsabilidad.
## Qué significa esto para tu organización
Mapea el rol por sistema antes de dimensionar. Construye un inventario de sistemas de IA que etiquete explícitamente cada uno como proveedor, desplegador, o ambos. Una organización mediana suele tener una mezcla; la distribución determina qué controles del Anexo A requieren más atención.
No sobre-implementes para tu rol no principal. Un desplegador que copia el enfoque de evidencia de un proveedor desperdicia esfuerzo en documentación que no necesita, mientras infra-documenta el trabajo de evaluación de proveedores y supervisión operativa que sí aplica.
Usa la claridad de rol para comunicar externamente. Un certificado acompañado de una declaración de alcance clara (“AIMS certificado cubriendo nuestro rol como proveedor para sistemas A, B, C y desplegador para sistemas X, Y, Z”) tiene más peso con compradores sofisticados que un reclamo genérico de certificación.
> En la cadena de valor de la IA, todos están gobernando algo. Tu certificación debería decirle al mercado exactamente de qué se responsabiliza tu organización.
>
—
¿Listo para pasar de la documentación a la certificación?
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
