Qué es ISO 42001: la norma de gestión de inteligencia artificial, explicada

Academia ISO · 11 de junio de 2026 · Inteligencia artificial

En 2023 se publicó la primera norma internacional certificable para gestionar la inteligencia artificial: ISO/IEC 42001. En 2026, con el Reglamento europeo de IA desplegándose por fases y los clientes preguntando "¿y vuestra IA quién la controla?", se ha convertido en la credencial de gobernanza de IA más buscada. Esto es lo que hay que saber.

Qué es exactamente

ISO 42001 define los requisitos de un AIMS (Artificial Intelligence Management System, sistema de gestión de IA): la estructura organizativa para desarrollar, adquirir y usar sistemas de IA de forma responsable. Sigue la misma arquitectura de cláusulas 4–10 que ISO 9001 o ISO 27001 — contexto, liderazgo, planificación, soporte, operación, evaluación y mejora — aplicada al ciclo de vida de la IA. Si conoces cualquier norma de sistemas de gestión, ya conoces el 60 % del mapa.

Las tres piezas que la hacen distinta

¿Quién la necesita?

ISO 42001 y el EU AI Act: aliados, no alternativas

El Reglamento europeo de IA es ley: obliga por categorías de riesgo, con requisitos duros para sistemas de alto riesgo (gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, registro). ISO 42001 es voluntaria — pero implantarla construye casi todos los mecanismos que el reglamento exige demostrar. La estrategia sensata para una empresa europea es usar 42001 como chasis del cumplimiento del AI Act, igual que ISO 27001 se usa como chasis del RGPD. En España, además, la AESIA ya ejerce como autoridad de vigilancia del mercado de IA.

¿Se puede certificar ya? ¿Quién lo ha hecho?

Sí: las grandes certificadoras ya emiten certificados acreditados de ISO 42001, y los pioneros marcan el camino — AWS certificó servicios clave de su plataforma de IA, Microsoft hizo de su programa de IA responsable el caso más documentado del mercado, y KPMG fue el primer Big 4 en certificarse. Cuando los gigantes se certifican, sus cadenas de proveedores reciben el mensaje: es cuestión de tiempo que el certificado (o al menos la conformidad) baje en cascada, como pasó con 27001.

Fórmate para implantarlo tú: en el curso ISO/IEC 42001 — Sistema de Gestión de IA 18 módulos que van de cero al nivel Lead Auditor, con casos reales de AWS, Microsoft y KPMG.