← Tornar al blog

ISO/IEC 42001: la norma que posa ordre a la intel·ligència artificial de la teva empresa

2026-07-09 · ISO 42001 · IA · compliment

ISO/IEC 42001: la norma que posa ordre a la intel·ligència artificial de la teva empresa

Fa dos anys, la pregunta era “utilitzeu IA?”. Ara la pregunta que arriba als qüestionaris de clients, a les licitacions i a les converses amb asseguradores és una altra: “com governeu la IA que utilitzeu?”. Qui decideix per a què es pot fer servir? Qui n’avalua els riscos? Què passa amb les dades que hi entren? I quan la resposta és “cadascú se la instal·la i ja està”, la venda es complica.

Per a això existeix la norma ISO/IEC 42001: el primer estàndard internacional certificable de gestió de la intel·ligència artificial. Si ISO 27001 és la manera reconeguda de demostrar que gestiones la seguretat de la informació, ISO/IEC 42001 és el seu equivalent per a la IA.

Què és, exactament

ISO/IEC 42001 defineix un sistema de gestió de la IA (AIMS, AI Management System): un conjunt de polítiques, rols, processos i controls per desenvolupar o utilitzar IA de manera responsable, documentada i auditable. No és una norma tècnica sobre models ni algorismes: és una norma de gestió, pensada perquè una organització — gran o petita — pugui demostrar que té la IA sota control.

Tres característiques importants:

Els punts clau que toca

El cor de la norma és el seu annex de controls, organitzat en temes. Els que més feina donen (i més valor aporten):

  1. Política i governança de la IA. Una política aprovada per direcció: per a què es pot fer servir la IA, per a què no, i qui ho decideix.
  2. Rols i responsabilitats. La IA deixa de ser terra de ningú: hi ha un responsable amb nom i cognoms per a cada sistema.
  3. Avaluació d’impacte dels sistemes d’IA. El control estrella: abans de desplegar un sistema, avaluar-ne l’impacte sobre persones, grups i societat — biaixos, errors, transparència. És l’equivalent IA de l’anàlisi de riscos de tota la vida.
  4. Cicle de vida complet. Requisits des del disseny fins a la retirada: especificació, dades d’entrenament, verificació, desplegament, monitoratge i registre d’incidents.
  5. Governança de dades. Qualitat, procedència i tractament de les dades que alimenten els sistemes — on la IA es connecta amb el RGPD.
  6. Transparència i comunicació. Informar usuaris i afectats que interactuen amb IA, i poder explicar decisions.
  7. Tercers i proveïdors. Si compres IA (i gairebé tothom en compra), has d’avaluar i contractualitzar què fa el proveïdor — el mateix múscul que la due diligence de proveïdors clàssica.

Les dates que ho connecten tot

La norma no té dates d’obligació pròpies — és voluntària — però el calendari que l’envolta sí:

La lliçó del calendari: qui es certifica el 2026 arriba a les obligacions de l’AI Act amb el sistema madur, no acabat d’estrenar. I mentre la majoria de competidors encara no en tenen, el segell diferencia — com passava amb ISO 27001 fa deu anys.

ISO/IEC 42001 no substitueix el compliment de l’AI Act ni del RGPD — són coses diferents (una norma voluntària vs. lleis). Però el solapament és gran: governança, gestió del risc, documentació, transparència, supervisió humana. Un AIMS ben implantat et deixa la major part dels deures de l’AI Act a mig fer, amb evidències ordenades i auditables. És la manera més estructurada de convertir “hauríem de mirar-nos el tema IA” en un pla concret.

Per on començar (sense certificar-te encara)

La certificació pot venir després; el valor comença abans:

  1. Inventaria la IA que ja fas servir. Tot: el ChatGPT de màrqueting, el copilot dels desenvolupadors, l’algorisme del proveïdor logístic. La primera sorpresa sempre és aquí.
  2. Aprova una política d’ús d’IA d’una pàgina: usos permesos, usos prohibits, quines dades no hi poden entrar mai, i qui autoritza excepcions.
  3. Fes l’avaluació d’impacte del cas més sensible (el que toca clients, preus, persones o decisions). Una, ben feta, ensenya el mètode.
  4. Si ja tens ISO 27001, aprofita-la: el 80% de l’estructura (context, riscos, auditories, millora) ja la tens; 42001 hi afegeix la capa d’IA.

A CynderLab acompanyem empreses en la governança d’IA com a part de la direcció de seguretat: des de l’inventari i la política inicial fins a preparar la certificació. Si la teva empresa ja fa servir IA i vols saber en quin punt ets, escriu-nos a hola@cynderlab.com.