ISO 42001 vs. EU AI Act: qué cubre cada uno y cómo se complementan

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder de SGIA (ISO 42001) e Implementador Líder certificado

Respuesta directa: ISO/IEC 42001:2023 es una norma de gestión voluntaria y certificable; el EU AI Act (Reglamento UE 2024/1689) es legislación vinculante. No son alternativas, son complementarios: el AI Act define qué debes cumplir según el nivel de riesgo de tu IA, e ISO 42001 aporta el sistema de gestión (gobernanza, evaluación de riesgos, transparencia y supervisión humana) con el que demuestras esa diligencia. Certificar ISO 42001 no garantiza automáticamente la conformidad con el AI Act, pero es la base operativa más sólida para lograrla.

Qué es ISO 42001:2023

ISO/IEC 42001:2023 es la primera norma internacional certificable para un Sistema de Gestión de Inteligencia Artificial (SGIA). Es de adopción voluntaria y no certifica una IA concreta: certifica que la organización tiene un sistema para gobernar cómo desarrolla, provee o usa IA, abarcando gobernanza, evaluación de riesgos, ética, transparencia y supervisión humana a lo largo del ciclo de vida.

Qué es el EU AI Act

El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral sobre inteligencia artificial. Es vinculante y tiene efecto extraterritorial: alcanza a proveedores y usuarios cuya IA se comercializa en la Unión Europea o cuyos resultados se utilizan en ella. Adopta un enfoque basado en riesgo con cuatro niveles: prácticas prohibidas, alto riesgo (obligaciones estrictas), riesgo limitado (deberes de transparencia) y riesgo mínimo. Sus obligaciones se aplican por fases.

Diferencias clave

AspectoISO 42001:2023EU AI Act
NaturalezaNorma voluntaria, certificable por tercera parteLey vinculante (sanciones por incumplimiento)
AlcanceCualquier organización que use o desarrolle IAIA en el mercado de la UE (efecto extraterritorial)
EnfoqueSistema de gestión: cómo gobiernas la IARequisitos por nivel de riesgo del sistema de IA
Qué evalúaGobernanza, riesgos y ciclo de vida de la IAEl producto o uso concreto de IA
ResultadoCertificado de conformidad con la normaConformidad legal exigible

Cómo se complementan

El AI Act exige demostrar gestión de riesgos, transparencia, supervisión humana y documentación. ISO 42001 es precisamente la maquinaria que produce eso de forma sistemática: política de IA, evaluación de riesgos e impacto, roles y responsabilidades, controles, transparencia y mejora continua. Adoptar ISO 42001 estructura la evidencia y reduce el esfuerzo de conformidad frente al AI Act, además de servir a clientes que ya piden garantías de IA responsable.

¿Certificar ISO 42001 me hace conforme al EU AI Act?

No automáticamente. El AI Act incluye requisitos específicos —documentación técnica, registro, marcado y evaluaciones de conformidad para sistemas de alto riesgo— que van más allá del alcance de una certificación de sistema de gestión. Sin embargo, ISO 42001 cubre gran parte de la gobernanza subyacente y demuestra debida diligencia, por lo que es el punto de partida recomendado.

Qué hacer ahora

  1. Clasifica tus sistemas de IA por nivel de riesgo (según el AI Act).
  2. Implementa un Sistema de Gestión de IA con ISO 42001 como base de gobernanza.
  3. Intégralo con ISO 27001: la seguridad de la información protege los datos que tu IA consume, y ambas comparten el Anexo SL.
Evalúa la madurez de tu gobernanza de IA: Pre-Evaluación gratuita

Preguntas frecuentes

¿ISO 42001 es obligatoria?
No. ISO 42001 es una norma de adopción voluntaria y certificable. El EU AI Act, en cambio, es de cumplimiento obligatorio para la IA que se comercializa o cuyos resultados se usan en la Unión Europea.
¿Certificar ISO 42001 garantiza el cumplimiento del EU AI Act?
No automáticamente, pero aporta la base de gestión (gobernanza, riesgos, transparencia, supervisión humana) que facilita la conformidad y demuestra debida diligencia.
¿El EU AI Act aplica fuera de la Unión Europea?
Sí, tiene efecto extraterritorial: alcanza a proveedores y usuarios cuya IA se comercializa en la UE o cuyos resultados se utilizan allí.
¿Por dónde empezar?
Clasifica tus sistemas de IA por riesgo e implementa un SGIA con ISO 42001, integrado con ISO 27001.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Tiene experiencia directa implementando SGSI (ISO/IEC 27001) y es Auditor Líder certificado de SGIA (ISO/IEC 42001). Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO/IEC 42001:2023 y el Reglamento UE 2024/1689 vigentes.