← Volver al blog

ISO/IEC 42001: la norma que pone orden en la inteligencia artificial de tu empresa

2026-07-09 · ISO 42001 · IA · cumplimiento

ISO/IEC 42001: la norma que pone orden en la inteligencia artificial de tu empresa

Hace dos años, la pregunta era “¿usáis IA?”. Ahora la pregunta que llega en los cuestionarios de clientes, en las licitaciones y en las conversaciones con aseguradoras es otra: “¿cómo gobernáis la IA que usáis?”. ¿Quién decide para qué se puede usar? ¿Quién evalúa sus riesgos? ¿Qué pasa con los datos que entran? Y cuando la respuesta es “cada uno se la instala y ya está”, la venta se complica.

Para eso existe la norma ISO/IEC 42001: el primer estándar internacional certificable de gestión de la inteligencia artificial. Si ISO 27001 es la manera reconocida de demostrar que gestionas la seguridad de la información, ISO/IEC 42001 es su equivalente para la IA.

Qué es, exactamente

ISO/IEC 42001 define un sistema de gestión de la IA (AIMS, AI Management System): un conjunto de políticas, roles, procesos y controles para desarrollar o utilizar IA de forma responsable, documentada y auditable. No es una norma técnica sobre modelos ni algoritmos: es una norma de gestión, pensada para que una organización — grande o pequeña — pueda demostrar que tiene la IA bajo control.

Tres características importantes:

Los puntos clave que toca

El corazón de la norma es su anexo de controles, organizado por temas. Los que más trabajo dan (y más valor aportan):

  1. Política y gobernanza de la IA. Una política aprobada por dirección: para qué se puede usar la IA, para qué no, y quién lo decide.
  2. Roles y responsabilidades. La IA deja de ser tierra de nadie: hay un responsable con nombre y apellidos para cada sistema.
  3. Evaluación de impacto de los sistemas de IA. El control estrella: antes de desplegar un sistema, evaluar su impacto sobre personas, grupos y sociedad — sesgos, errores, transparencia. Es el equivalente IA del análisis de riesgos de toda la vida.
  4. Ciclo de vida completo. Requisitos desde el diseño hasta la retirada: especificación, datos de entrenamiento, verificación, despliegue, monitorización y registro de incidentes.
  5. Gobernanza de datos. Calidad, procedencia y tratamiento de los datos que alimentan los sistemas — donde la IA se conecta con el RGPD.
  6. Transparencia y comunicación. Informar a usuarios y afectados que interactúan con IA, y poder explicar decisiones.
  7. Terceros y proveedores. Si compras IA (y casi todo el mundo la compra), tienes que evaluar y contractualizar qué hace el proveedor — el mismo músculo que la due diligence de proveedores clásica.

Las fechas que lo conectan todo

La norma no tiene fechas de obligación propias — es voluntaria — pero el calendario que la rodea sí:

La lección del calendario: quien se certifica en 2026 llega a las obligaciones del AI Act con el sistema maduro, no recién estrenado. Y mientras la mayoría de competidores aún no lo tienen, el sello diferencia — como pasaba con ISO 27001 hace diez años.

ISO/IEC 42001 no sustituye el cumplimiento del AI Act ni del RGPD — son cosas distintas (una norma voluntaria vs. leyes). Pero el solapamiento es grande: gobernanza, gestión del riesgo, documentación, transparencia, supervisión humana. Un AIMS bien implantado te deja la mayor parte de los deberes del AI Act a medio hacer, con evidencias ordenadas y auditables. Es la manera más estructurada de convertir “deberíamos mirarnos el tema IA” en un plan concreto.

Por dónde empezar (sin certificarte todavía)

La certificación puede venir después; el valor empieza antes:

  1. Inventaría la IA que ya usas. Todo: el ChatGPT de marketing, el copilot de los desarrolladores, el algoritmo del proveedor logístico. La primera sorpresa siempre está aquí.
  2. Aprueba una política de uso de IA de una página: usos permitidos, usos prohibidos, qué datos no pueden entrar nunca, y quién autoriza excepciones.
  3. Haz la evaluación de impacto del caso más sensible (el que toca clientes, precios, personas o decisiones). Una, bien hecha, enseña el método.
  4. Si ya tienes ISO 27001, aprovéchala: el 80% de la estructura (contexto, riesgos, auditorías, mejora) ya la tienes; 42001 añade la capa de IA.

En CynderLab acompañamos a empresas en la gobernanza de IA como parte de la dirección de seguridad: desde el inventario y la política inicial hasta preparar la certificación. Si tu empresa ya usa IA y quieres saber en qué punto estás, escríbenos a hola@cynderlab.com.