Fa dos anys, la pregunta era “utilitzeu IA?”. Ara la pregunta que arriba als qüestionaris de clients, a les licitacions i a les converses amb asseguradores és una altra: “com governeu la IA que utilitzeu?”. Qui decideix per a què es pot fer servir? Qui n’avalua els riscos? Què passa amb les dades que hi entren? I quan la resposta és “cadascú se la instal·la i ja està”, la venda es complica.
Per a això existeix la norma ISO/IEC 42001: el primer estàndard internacional certificable de gestió de la intel·ligència artificial. Si ISO 27001 és la manera reconeguda de demostrar que gestiones la seguretat de la informació, ISO/IEC 42001 és el seu equivalent per a la IA.
Què és, exactament
ISO/IEC 42001 defineix un sistema de gestió de la IA (AIMS, AI Management System): un conjunt de polítiques, rols, processos i controls per desenvolupar o utilitzar IA de manera responsable, documentada i auditable. No és una norma tècnica sobre models ni algorismes: és una norma de gestió, pensada perquè una organització — gran o petita — pugui demostrar que té la IA sota control.
Tres característiques importants:
- Segueix l’estructura harmonitzada ISO (la mateixa que ISO 27001 i ISO 9001): context, lideratge, planificació, suport, operació, avaluació i millora. Si ja tens un sistema de gestió, no comences de zero — s’hi integra.
- Aplica tant a qui desenvolupa IA com a qui la utilitza. No cal ser una empresa d’IA: si fas servir models de tercers en processos de negoci, la norma també és per a tu.
- És certificable per tercers, com ISO 27001. I això és el que la converteix en argument comercial: un segell que respon el qüestionari abans que te l’enviïn.
Els punts clau que toca
El cor de la norma és el seu annex de controls, organitzat en temes. Els que més feina donen (i més valor aporten):
- Política i governança de la IA. Una política aprovada per direcció: per a què es pot fer servir la IA, per a què no, i qui ho decideix.
- Rols i responsabilitats. La IA deixa de ser terra de ningú: hi ha un responsable amb nom i cognoms per a cada sistema.
- Avaluació d’impacte dels sistemes d’IA. El control estrella: abans de desplegar un sistema, avaluar-ne l’impacte sobre persones, grups i societat — biaixos, errors, transparència. És l’equivalent IA de l’anàlisi de riscos de tota la vida.
- Cicle de vida complet. Requisits des del disseny fins a la retirada: especificació, dades d’entrenament, verificació, desplegament, monitoratge i registre d’incidents.
- Governança de dades. Qualitat, procedència i tractament de les dades que alimenten els sistemes — on la IA es connecta amb el RGPD.
- Transparència i comunicació. Informar usuaris i afectats que interactuen amb IA, i poder explicar decisions.
- Tercers i proveïdors. Si compres IA (i gairebé tothom en compra), has d’avaluar i contractualitzar què fa el proveïdor — el mateix múscul que la due diligence de proveïdors clàssica.
Les dates que ho connecten tot
La norma no té dates d’obligació pròpies — és voluntària — però el calendari que l’envolta sí:
- Desembre 2023: es publica ISO/IEC 42001. Comença el mercat de la certificació.
- Agost 2024: entra en vigor l’AI Act europeu (Reglament UE 2024/1689).
- Febrer 2025: primeres obligacions de l’AI Act — pràctiques prohibides i alfabetització en IA del personal.
- 2025: es publica ISO/IEC 42006, la norma que regula com s’acrediten els certificadors — la certificació 42001 guanya rigor i reconeixement.
- Agost 2026: gruix d’obligacions de l’AI Act per a sistemes d’alt risc. És aquí on tenir un AIMS rodat marca la diferència entre demostrar compliment i improvisar-lo.
La lliçó del calendari: qui es certifica el 2026 arriba a les obligacions de l’AI Act amb el sistema madur, no acabat d’estrenar. I mentre la majoria de competidors encara no en tenen, el segell diferencia — com passava amb ISO 27001 fa deu anys.
Compte: no és un salconduit legal
ISO/IEC 42001 no substitueix el compliment de l’AI Act ni del RGPD — són coses diferents (una norma voluntària vs. lleis). Però el solapament és gran: governança, gestió del risc, documentació, transparència, supervisió humana. Un AIMS ben implantat et deixa la major part dels deures de l’AI Act a mig fer, amb evidències ordenades i auditables. És la manera més estructurada de convertir “hauríem de mirar-nos el tema IA” en un pla concret.
Per on començar (sense certificar-te encara)
La certificació pot venir després; el valor comença abans:
- Inventaria la IA que ja fas servir. Tot: el ChatGPT de màrqueting, el copilot dels desenvolupadors, l’algorisme del proveïdor logístic. La primera sorpresa sempre és aquí.
- Aprova una política d’ús d’IA d’una pàgina: usos permesos, usos prohibits, quines dades no hi poden entrar mai, i qui autoritza excepcions.
- Fes l’avaluació d’impacte del cas més sensible (el que toca clients, preus, persones o decisions). Una, ben feta, ensenya el mètode.
- Si ja tens ISO 27001, aprofita-la: el 80% de l’estructura (context, riscos, auditories, millora) ja la tens; 42001 hi afegeix la capa d’IA.
A CynderLab acompanyem empreses en la governança d’IA com a part de la direcció de seguretat: des de l’inventari i la política inicial fins a preparar la certificació. Si la teva empresa ja fa servir IA i vols saber en quin punt ets, escriu-nos a hola@cynderlab.com.