Qué es ISO 42001: la norma de gestión de inteligencia artificial, explicada
En 2023 se publicó la primera norma internacional certificable para gestionar la inteligencia artificial: ISO/IEC 42001. En 2026, con el Reglamento europeo de IA desplegándose por fases y los clientes preguntando "¿y vuestra IA quién la controla?", se ha convertido en la credencial de gobernanza de IA más buscada. Esto es lo que hay que saber.
Qué es exactamente
ISO 42001 define los requisitos de un AIMS (Artificial Intelligence Management System, sistema de gestión de IA): la estructura organizativa para desarrollar, adquirir y usar sistemas de IA de forma responsable. Sigue la misma arquitectura de cláusulas 4–10 que ISO 9001 o ISO 27001 — contexto, liderazgo, planificación, soporte, operación, evaluación y mejora — aplicada al ciclo de vida de la IA. Si conoces cualquier norma de sistemas de gestión, ya conoces el 60 % del mapa.
Las tres piezas que la hacen distinta
- Evaluación de riesgos de IA: no solo riesgos de seguridad — también sesgo, opacidad, deriva del modelo, uso indebido y daño a personas o colectivos.
- AIIA (AI Impact Assessment): la evaluación de impacto sobre individuos y sociedad de cada sistema de IA. Es la pieza estrella y la que conecta directamente con las obligaciones del reglamento europeo.
- Los 38 controles del Anexo A: de la política de IA y los roles, al inventario de sistemas, la calidad de datos, la supervisión humana, la transparencia y la gestión de proveedores de IA. Como en 27001, se seleccionan vía análisis de riesgos y se documentan en una Declaración de Aplicabilidad.
¿Quién la necesita?
- Empresas que desarrollan productos con IA — el certificado responde de golpe a los cuestionarios de due diligence de clientes.
- Empresas que usan IA en procesos sensibles (RRHH, crédito, salud, seguridad): donde el EU AI Act clasifica sistemas como de alto riesgo.
- Consultores y auditores de sistemas de gestión: la demanda de perfiles que dominen 42001 supera con mucho a la oferta — es la ventana de oportunidad profesional más clara desde el boom de 27001.
ISO 42001 y el EU AI Act: aliados, no alternativas
El Reglamento europeo de IA es ley: obliga por categorías de riesgo, con requisitos duros para sistemas de alto riesgo (gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, registro). ISO 42001 es voluntaria — pero implantarla construye casi todos los mecanismos que el reglamento exige demostrar. La estrategia sensata para una empresa europea es usar 42001 como chasis del cumplimiento del AI Act, igual que ISO 27001 se usa como chasis del RGPD. En España, además, la AESIA ya ejerce como autoridad de vigilancia del mercado de IA.
¿Se puede certificar ya? ¿Quién lo ha hecho?
Sí: las grandes certificadoras ya emiten certificados acreditados de ISO 42001, y los pioneros marcan el camino — AWS certificó servicios clave de su plataforma de IA, Microsoft hizo de su programa de IA responsable el caso más documentado del mercado, y KPMG fue el primer Big 4 en certificarse. Cuando los gigantes se certifican, sus cadenas de proveedores reciben el mensaje: es cuestión de tiempo que el certificado (o al menos la conformidad) baje en cascada, como pasó con 27001.
Fórmate para implantarlo tú: en el curso ISO/IEC 42001 — Sistema de Gestión de IA 18 módulos que van de cero al nivel Lead Auditor, con casos reales de AWS, Microsoft y KPMG.