La ISO/IEC 42001 es el primer estándar internacional certificable para un sistema de gestión de inteligencia artificial (AIMS). Publicada en diciembre de 2023, define cómo una organización debe gobernar, supervisar y mejorar de forma continua los sistemas de IA que desarrolla o utiliza: políticas, roles, gestión de riesgos, evaluación de impacto y controles. Es a la IA lo que la ISO 27001 es a la seguridad de la información: un marco de gestión auditable y reconocido en todo el mundo.

Esta guía explica qué exige la norma, cómo se certifica y por qué, junto al AI Act, se está convirtiendo en el estándar de facto para demostrar una gobernanza de IA responsable.

Qué es un sistema de gestión de IA (AIMS)

Un AIMS (AI Management System) es el conjunto de políticas, procesos y responsabilidades con el que una organización dirige sus actividades de IA de forma sistemática. La ISO 42001 sigue la estructura de alto nivel (Annex SL) común a la ISO 27001 o la ISO 9001, lo que facilita integrarla con sistemas de gestión ya existentes. Su lógica es el ciclo de mejora continua PDCA (planificar, hacer, verificar, actuar) y un enfoque basado en riesgos.

La diferencia clave con otras normas es que la 42001 introduce conceptos propios de la IA: la evaluación de impacto del sistema de IA sobre personas y sociedad, la gestión del ciclo de vida del modelo, la trazabilidad de los datos y la supervisión humana.

Qué exige la norma

La ISO 42001 estructura sus requisitos en torno a estos bloques:

  1. Contexto y partes interesadas. Entender el papel de la IA en la organización y las expectativas de clientes, reguladores y usuarios.
  2. Liderazgo y política de IA. La dirección debe fijar una política de IA y asignar responsabilidades claras.
  3. Planificación y gestión de riesgos. Identificar y tratar los riesgos de los sistemas de IA, incluida una evaluación de impacto.
  4. Soporte y operación. Recursos, competencias, documentación y controles operativos a lo largo del ciclo de vida del modelo.
  5. Evaluación del desempeño. Auditorías internas y revisión por la dirección.
  6. Mejora continua. Corregir no conformidades y elevar el nivel de madurez.

La norma incluye además un Anexo A con un catálogo de controles (similar al de la ISO 27001) que la organización selecciona y justifica según sus riesgos: gobernanza de datos, gestión de proveedores de IA, transparencia hacia los usuarios, entre otros.

Cómo se certifica

La certificación ISO 42001 la emite una entidad de certificación acreditada tras una auditoría en dos fases (revisión documental y auditoría in situ). Una vez obtenida, se mantiene con auditorías de seguimiento periódicas. No es un trámite puntual: certifica que el sistema de gestión funciona y mejora en el tiempo. Para muchas empresas, el valor no está solo en el certificado, sino en el orden operativo que impone llegar hasta él.

ISO 42001 vs AI Act: no compiten, se complementan

Es la confusión más habitual. No son lo mismo ni hay que elegir:

  • El AI Act es una ley de obligado cumplimiento en la UE, con sanciones de hasta 35 M€ o el 7 % de la facturación. Dice qué tienes que cumplir.
  • La ISO 42001 es un estándar voluntario de gestión. Aporta el cómo: el marco operativo que, bien implantado, te ayuda a demostrar y sostener ese cumplimiento.

Una organización con un AIMS certificado conforme a la ISO 42001 llega mucho mejor preparada a las obligaciones del AI Act —inventario, gestión de riesgos, documentación, supervisión humana— porque ya las tiene operacionalizadas. La norma no garantiza el cumplimiento legal automático, pero reduce drásticamente la distancia.

¿La necesita mi empresa?

La ISO 42001 no es legalmente obligatoria, pero deja de ser opcional en la práctica cuando:

  • Tus clientes o licitaciones empiezan a exigir garantías sobre el uso responsable de la IA.
  • Tus inversores piden un marco de riesgo de IA antes de invertir.
  • Operas en un sector regulado (banca, seguros, salud) y necesitas demostrar control sobre tus sistemas.
  • Quieres un diferenciador competitivo y una base sólida para el cumplimiento del AI Act.

La certificación es el resultado, no el punto de partida. El valor real está en montar un sistema de gestión que viva dentro de la organización. En Vivid Vision operamos ese marco contigo, desde dentro y de forma agnóstica de proveedor, y dejamos el conocimiento instalado en tu equipo. — Rafael Tamames, fundador de Vivid Vision.

Si quieres saber en qué punto está tu organización, nuestro pre-diagnóstico de gobernanza de IA mapea tus sistemas, sus riesgos y la distancia real frente a la ISO 42001 y el AI Act.

Preguntas frecuentes

¿Qué es la ISO 42001?

La ISO/IEC 42001 es el primer estándar internacional certificable para un sistema de gestión de inteligencia artificial (AIMS). Publicada en diciembre de 2023, establece cómo una organización debe gobernar, supervisar y mejorar de forma continua sus sistemas de IA mediante políticas, gestión de riesgos, evaluación de impacto y controles auditables.

¿Es obligatoria la ISO 42001?

No, la ISO 42001 es un estándar voluntario, no una ley. Sin embargo, cada vez más clientes, licitaciones e inversores la exigen como prueba de un uso responsable de la IA, y su implantación facilita el cumplimiento del AI Act, que sí es obligatorio en la Unión Europea.

¿En qué se diferencia la ISO 42001 del AI Act?

El AI Act es una ley de obligado cumplimiento que define qué exige la UE a los sistemas de IA, con sanciones por incumplimiento. La ISO 42001 es un estándar de gestión voluntario que aporta el marco operativo —el cómo— para gobernar la IA. Son complementarios: un AIMS certificado facilita demostrar y sostener el cumplimiento del AI Act.

¿Cómo se certifica una empresa en ISO 42001?

La certificación la emite una entidad acreditada tras una auditoría en dos fases —revisión documental y auditoría in situ— y se mantiene con auditorías de seguimiento periódicas. Certifica que el sistema de gestión de IA existe, funciona y mejora con el tiempo, no que se cumplió un requisito puntual.

Lecturas relacionadas: AI Act para empresas — qué exige la ley y sus plazos —, cómo montar un marco de gobernanza de IA y qué es la AESIA, la autoridad de IA en España.

Fuentes: la página oficial de la norma ISO/IEC 42001:2023 y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Esta guía es informativa y no constituye asesoramiento jurídico ni de certificación.