Cómo hacer una evaluación de impacto de sistemas de IA (AIIA) según ISO 42001

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder certificado de SGIA (ISO 42001)

Respuesta directa: la evaluación de impacto de un sistema de IA (AI system impact assessment, AIIA) es un elemento central de ISO 42001: analiza las consecuencias potenciales del sistema de IA sobre individuos, grupos y la sociedad —sesgo, privacidad, seguridad, transparencia y derechos— a lo largo de su ciclo de vida. Se hace en pasos: definir alcance y contexto del sistema, identificar a las partes afectadas, evaluar los impactos potenciales, determinar controles y mitigaciones, y documentar y revisar de forma periódica.

Qué es una AIIA y por qué ISO 42001 la exige

ISO 42001 requiere que la organización evalúe el impacto de sus sistemas de IA antes de desplegarlos y a lo largo de su operación. La lógica es simple: un sistema de IA puede afectar a personas que no son sus usuarios directos, y esos efectos deben anticiparse y gestionarse, no descubrirse después.

AIIA vs. evaluación de riesgos: no son lo mismo

La evaluación de riesgos mira hacia la organización: qué puede salir mal para el negocio. La evaluación de impacto mira hacia afuera: qué consecuencias tiene el sistema para las personas y la sociedad (discriminación, pérdida de privacidad, decisiones injustas, falta de transparencia). ISO 42001 pide ambas y que se alimenten mutuamente.

Pasos para realizar una AIIA

  1. Definir alcance y contexto: qué sistema de IA es, su propósito, dónde y cómo se usa.
  2. Identificar a las partes interesadas afectadas: usuarios, personas sobre las que se decide, grupos vulnerables, sociedad.
  3. Evaluar impactos potenciales: sesgo y equidad, privacidad y datos personales, seguridad, transparencia y explicabilidad, autonomía y supervisión humana.
  4. Determinar controles y mitigaciones: medidas para reducir los impactos negativos (datos representativos, revisión humana, información al usuario, límites de uso).
  5. Documentar y revisar: registrar el análisis, las decisiones y las mitigaciones; revisar cuando el sistema o su contexto cambien.

Qué documentar

El alcance del sistema evaluado, las partes afectadas, los impactos identificados y su severidad, los controles aplicados y los responsables, y la fecha de revisión. Esta documentación es evidencia clave en una auditoría de certificación y para demostrar debida diligencia.

Relación con el EU AI Act y con DPIA

La AIIA se complementa con la evaluación de impacto en protección de datos (DPIA del RGPD) cuando hay datos personales, y aporta buena parte de la diligencia que exige el EU AI Act para los sistemas de alto riesgo. Los controles del Anexo A de ISO 42001 incluyen la evaluación de impacto como objetivo de control.

Evalúa el impacto de tus sistemas de IA: Pre-Evaluación gratuita

Preguntas frecuentes

¿Qué es una AIIA?
La evaluación de impacto de un sistema de IA: el análisis de sus consecuencias potenciales sobre individuos, grupos y la sociedad, requerido por ISO 42001.
¿En qué se diferencia de la evaluación de riesgos?
La evaluación de riesgos mira el impacto sobre la organización; la evaluación de impacto mira el efecto sobre las personas y la sociedad. ISO 42001 pide ambas.
¿Cuándo hay que hacerla?
Antes de desplegar el sistema de IA y a lo largo de su ciclo de vida, revisándola cuando el sistema o su contexto cambian.
¿Sirve para el EU AI Act?
Aporta buena parte de la diligencia que exige el EU AI Act para sistemas de alto riesgo, aunque no lo sustituye.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Es Auditor Líder certificado de SGIA (ISO/IEC 42001) y con experiencia directa implementando SGSI (ISO/IEC 27001). Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO/IEC 42001:2023 vigente.