ISO 42001 vs. EU AI Act: qué cubre cada uno y cómo se complementan
Qué es ISO 42001:2023
ISO/IEC 42001:2023 es la primera norma internacional certificable para un Sistema de Gestión de Inteligencia Artificial (SGIA). Es de adopción voluntaria y no certifica una IA concreta: certifica que la organización tiene un sistema para gobernar cómo desarrolla, provee o usa IA, abarcando gobernanza, evaluación de riesgos, ética, transparencia y supervisión humana a lo largo del ciclo de vida.
Qué es el EU AI Act
El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral sobre inteligencia artificial. Es vinculante y tiene efecto extraterritorial: alcanza a proveedores y usuarios cuya IA se comercializa en la Unión Europea o cuyos resultados se utilizan en ella. Adopta un enfoque basado en riesgo con cuatro niveles: prácticas prohibidas, alto riesgo (obligaciones estrictas), riesgo limitado (deberes de transparencia) y riesgo mínimo. Sus obligaciones se aplican por fases.
Diferencias clave
| Aspecto | ISO 42001:2023 | EU AI Act |
|---|---|---|
| Naturaleza | Norma voluntaria, certificable por tercera parte | Ley vinculante (sanciones por incumplimiento) |
| Alcance | Cualquier organización que use o desarrolle IA | IA en el mercado de la UE (efecto extraterritorial) |
| Enfoque | Sistema de gestión: cómo gobiernas la IA | Requisitos por nivel de riesgo del sistema de IA |
| Qué evalúa | Gobernanza, riesgos y ciclo de vida de la IA | El producto o uso concreto de IA |
| Resultado | Certificado de conformidad con la norma | Conformidad legal exigible |
Cómo se complementan
El AI Act exige demostrar gestión de riesgos, transparencia, supervisión humana y documentación. ISO 42001 es precisamente la maquinaria que produce eso de forma sistemática: política de IA, evaluación de riesgos e impacto, roles y responsabilidades, controles, transparencia y mejora continua. Adoptar ISO 42001 estructura la evidencia y reduce el esfuerzo de conformidad frente al AI Act, además de servir a clientes que ya piden garantías de IA responsable.
¿Certificar ISO 42001 me hace conforme al EU AI Act?
No automáticamente. El AI Act incluye requisitos específicos —documentación técnica, registro, marcado y evaluaciones de conformidad para sistemas de alto riesgo— que van más allá del alcance de una certificación de sistema de gestión. Sin embargo, ISO 42001 cubre gran parte de la gobernanza subyacente y demuestra debida diligencia, por lo que es el punto de partida recomendado.
Qué hacer ahora
- Clasifica tus sistemas de IA por nivel de riesgo (según el AI Act).
- Implementa un Sistema de Gestión de IA con ISO 42001 como base de gobernanza.
- Intégralo con ISO 27001: la seguridad de la información protege los datos que tu IA consume, y ambas comparten el Anexo SL.
Preguntas frecuentes
- ¿ISO 42001 es obligatoria?
- No. ISO 42001 es una norma de adopción voluntaria y certificable. El EU AI Act, en cambio, es de cumplimiento obligatorio para la IA que se comercializa o cuyos resultados se usan en la Unión Europea.
- ¿Certificar ISO 42001 garantiza el cumplimiento del EU AI Act?
- No automáticamente, pero aporta la base de gestión (gobernanza, riesgos, transparencia, supervisión humana) que facilita la conformidad y demuestra debida diligencia.
- ¿El EU AI Act aplica fuera de la Unión Europea?
- Sí, tiene efecto extraterritorial: alcanza a proveedores y usuarios cuya IA se comercializa en la UE o cuyos resultados se utilizan allí.
- ¿Por dónde empezar?
- Clasifica tus sistemas de IA por riesgo e implementa un SGIA con ISO 42001, integrado con ISO 27001.