Si ISO 27001 estandarizó el “cómo” de la seguridad, ISO/IEC 42001:2023 aspira a hacerlo con la gobernanza de la IA. No es un checklist para un modelo concreto, sino un Sistema de Gestión de la IA (AIMS): política, roles, riesgos, controles, métricas y mejora continua para toda la organización. Es además certificable, con versión oficial en español (UNE-ISO/IEC 42001:2025) y oferta de certificación activa en España.
Para despachos y firmas profesionales, 42001 es la diferencia entre “usar IA” y poder demostrar —ante clientes, reguladores y licitaciones— que se usa bien.
Qué es ISO/IEC 42001 (y qué problema resuelve)
La norma define requisitos para establecer, implantar, mantener y mejorar un AIMS que gobierna el ciclo de vida de los sistemas de IA, propios o de terceros. El foco está en gestionar riesgos (sesgos, seguridad, privacidad, seguridad funcional), trazabilidad, explicabilidad y rendición de cuentas. Es un estándar de gestión (no técnico) basado en PDCA y Anexo SL, por lo que “encaja” con otras ISO (27001, 9001…). [Schellman]
Estructura (visión ejecutiva):
- Cláusulas 4–10: contexto, liderazgo, planificación (riesgos y objetivos), soporte (competencias y documentación), operación (ciclo de vida de IA), evaluación del desempeño (KPIs, auditoría interna, revisión por la dirección) y mejora. [Eur Lex]
- Familia de apoyo: ISO/IEC 23894 (gestión de riesgos de IA), ISO/IEC 23053 (marco ML) y ISO/IEC 5338 (procesos de ciclo de vida). [European Commision]
Encaje con el EU AI Act: lo que cubre y lo que no
El Reglamento (UE) 2024/1689 (AI Act) se publicó el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, con obligaciones que se aplican gradualmente hasta 2027. 42001 no equivale al AI Act, pero aporta el andamiaje (gobernanza, riesgos, documentación, auditoría y mejora continua). La presunción de conformidad vendrá de los Estándares Armonizados que la Comisión ha encargado a CEN-CENELEC y que están en elaboración; cuando se publiquen en el DOUE, darán cobertura directa a requisitos del AI Act. [EU Artificial Intelligence ACT]
Traducción práctica: implantar 42001 hoy te deja “a dos pasos” del AI Act (riesgo, calidad de datos, supervisión humana, registros, post-market monitoring), a la espera de esos estándares europeos específicos.
España 2024–2025: adopción y señales regulatorias
- Adopción empresarial: el 11,4 % de las empresas españolas (≥10 empleados) usaba IA en 2024 (ONTSI). En la UE, la media fue 13,5 % (Eurostat). Hay margen para ganar productividad con gobernanza formal.
- AEPD y supervisión: la AEPD publicó en junio de 2025 su Mapa de referencia para tratamientos con IA y recuerda que, desde agosto de 2025, puede actuar frente a sistemas de IA prohibidos (art. 5 del AI Act).
Evidencias de mercado: primeras certificaciones en España
- Iberdrola Clientes e Iberdrola Energía España: primeras en certificar su SGIA según ISO/IEC 42001 con AENOR (febrero 2025). [Aenor]
- KPMG España: primera Big Four en obtener la certificación 42001 en España (abril–mayo 2025). [Forbes]
- OptimumTIC y ESG Innova: pioneros en 2024
- Grupo Puentes: primera del sector construcción (septiembre 2025).
Cómo verificar: consulta el Buscador de certificados de AENOR y la acreditación de entidades en el buscador de ENAC.
Qué exige de verdad (artefactos y prácticas “auditables”)
- Inventario de sistemas de IA (propios/terceros) con uso previsto y responsables.
- Política de IA y roles (responsable de modelo, de datos, de operaciones, de validación, DPO, etc.). [NSF]
- Gestión de riesgos conforme ISO/IEC 23894 (metodología, criterios, tratamiento, evidencia de decisiones).
- Gobierno del dato (procedencia, calidad, sesgo, particiones, versionado). 23053 y 5338 ayudan a aterrizarlo.
- Supervisión humana y explicabilidad proporcional al riesgo.
- Validación y monitorización post-despliegue; registros de resultados, incidencias y cambios.
- Gestión de terceros (modelos/API/proveedores), SLAs y evaluación de impacto (cuando aplique RGPD/AI Act).
- Auditoría interna y revisión por la dirección con KPIs de calidad, seguridad y ética.
- Trazabilidad RGPD/AI Act (pista AEPD): incorpora al AIMS la hoja de ruta de la AEPD para tratamientos con IA y, cuando proceda, EIPD.
Cómo se certifica (paso a paso, en lenguaje de negocio)
- Diagnóstico y alcance del AIMS.
- Implantación (políticas, procedimientos, registros y controles).
- Auditoría interna y revisión de dirección.
- Auditoría de certificación por entidad (p. ej., AENOR).
- Seguimientos anuales y recertificación a 3 años
Consejo: verificar que la entidad esté acreditada por ENAC para sistemas de gestión, y usar su marca adecuadamente.
Mapa rápido 42001 ↔ AI Act (qué cubrir desde ya)
- Riesgo (art. 9 AI Act) → Cláus. 6 (planificación) + ISO/IEC 23894.
- Calidad de datos (art. 10) → Cláus. 8 (operación) + 23053/5338.
- Supervisión humana (art. 14) → Cláus. 8 (controles operativos).
- Registros/eventos (art. 12) → Cláus. 7–9 (info documentada, desempeño).
- Ciberseguridad/robustez (art. 15) → Cláus. 8 + integración con 27001/22301 según riesgo.
Ojo: la Comisión y CEN-CENELEC están desarrollando Estándares Armonizados; cuando se publiquen, habrá presunción de conformidad para requisitos concretos.
KPIs que piden los auditores (y que sirvan al negocio)
- Calidad del modelo (precisión, recall, drift) por caso de uso.
- Tiempo de respuesta y coste por decisión (€/predicción).
- % decisiones con supervisión humana y tiempo de revisión.
- Incidencias (alucinaciones, sesgos detectados, falsas alertas) y MTTR.
- Cumplimiento: % proveedores evaluados, % EIPD realizadas, hallazgos de auditoría cerrados en plazo. (Marco: Cláus. 9).
Errores frecuentes (y cómo evitarlos)
- “Implantar” sin inventario ni dueños. Solución: matriz RACI por sistema y artefactos mínimos (política, riesgos, registros).
- Confundir 42001 con el AI Act. 42001 es gestión; el AI Act es ley. Mapea huecos (p. ej., transparencia reforzada en alto riesgo).
- Documentar tarde. La evidencia nace con el proceso (datos, validaciones, versiones). 23053/5338 ayudan a operativizarlo.
- Ignorar AEPD. Integra su Mapa IA y criterios de auditoría de tratamientos con IA.
