El AI Act europeo está en plena fase de aplicación durante 2026, con obligaciones crecientes para sistemas de IA de alto riesgo. Pero hay una pregunta práctica que casi nadie aborda: ¿con qué marco de gestión cumplo el AI Act? La respuesta es ISO/IEC 42001, la primera norma internacional para Sistemas de Gestión de Inteligencia Artificial (AIMS), publicada en diciembre de 2023. En este artículo te explico qué es ISO 42001, cómo se relaciona con el AI Act, qué cubre el curso PECB Lead Implementer y por qué es una de las credenciales con mayor proyección de aquí a 2030.
El AI Act, en cinco minutos
El Reglamento (UE) 2024/1689, conocido como AI Act, es la primera regulación integral del mundo sobre inteligencia artificial. Entró en vigor en agosto de 2024 y se aplica gradualmente hasta agosto de 2026, cuando entra en plena aplicación para sistemas de IA de alto riesgo.
El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo:
- Riesgo inaceptable: prohibidos directamente (scoring social, manipulación cognitiva, vigilancia biométrica en tiempo real con excepciones).
- Riesgo alto: permitidos pero con obligaciones estrictas (sistemas usados en infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, gestión de fronteras, justicia).
- Riesgo limitado: obligaciones de transparencia (chatbots, deepfakes).
- Riesgo mínimo: sin obligaciones específicas.
Para los sistemas de alto riesgo, las obligaciones son muy concretas: gestión del riesgo, calidad de los datos, documentación técnica, transparencia, supervisión humana, robustez y, sobre todo, un sistema de gestión de calidad para gobernar todo el ciclo de vida de la IA.
Qué es ISO/IEC 42001 (AIMS)
ISO/IEC 42001:2023, publicada en diciembre de 2023, es la primera norma internacional que establece los requisitos para un Sistema de Gestión de Inteligencia Artificial (Artificial Intelligence Management System o AIMS). Es a la IA lo que ISO 27001 es a la seguridad de la información o ISO 9001 a la calidad: un marco formal, auditable y certificable.
La norma cubre todo el ciclo de vida de los sistemas de IA: desde el diseño y desarrollo hasta el despliegue, monitoreo, mantenimiento y retirada. Y, como buena norma de sistemas de gestión, sigue la estructura de alto nivel (HLS) compatible con ISO 27001, ISO 9001 e ISO 22301, lo que facilita la integración.
Cómo ISO 42001 ayuda a cumplir el AI Act
Esta es la pregunta del millón. ISO 42001 no es el AI Act, pero el solapamiento es enorme. La norma cubre, entre otros, todos estos requisitos que el AI Act exige a sistemas de alto riesgo:
- Sistema de gestión del riesgo de IA.
- Gestión de la calidad de los datos (especialmente datos de entrenamiento).
- Documentación técnica y trazabilidad.
- Transparencia y explicabilidad de los resultados.
- Supervisión humana del sistema.
- Procedimientos de robustez y precisión.
- Sistema de gestión de calidad del ciclo de vida.
- Gobernanza de los datos.
Implantar un AIMS conforme a ISO 42001 cubre la mayor parte de las obligaciones del AI Act. Y, como con cualquier norma certificable, te da algo que el AI Act no te da por sí solo: evidencia auditable y demostrable de que cumples.
De hecho, la propia Comisión Europea ha indicado que las normas armonizadas (incluida ISO 42001) serán uno de los mecanismos preferidos para presumir conformidad con el AI Act. Si vas a operar en alto riesgo, 42001 va a ser, en la práctica, una exigencia del mercado.
La estructura de la norma
ISO/IEC 42001 sigue la estructura de alto nivel de los sistemas de gestión ISO. Esto significa diez cláusulas conocidas para quien viene de ISO 27001:
- Alcance, normas de referencia y términos.
- Contexto de la organización.
- Liderazgo y compromiso de la dirección.
- Planificación (objetivos, gestión de riesgos de IA).
- Soporte (recursos, competencia, comunicación, documentación).
- Operación (controles del ciclo de vida de la IA).
- Evaluación del desempeño (auditorías internas, revisión por la dirección).
- Mejora continua.
Además, la norma incluye un Anexo A con 39 controles específicos para sistemas de IA, organizados en nueve categorías: políticas, organización interna, recursos, evaluación de impacto, ciclo de vida, datos, información a terceros, uso responsable y relaciones con terceros.
Qué cubre el curso Lead Implementer
El curso PECB Certified ISO/IEC 42001 Lead Implementer es una formación intensiva de cinco días que cubre todos los aspectos de implantación del AIMS. El programa:
- Fundamentos de IA y contexto regulatorio. Conceptos de IA, AI Act, ISO 42001 y otras normas relacionadas (ISO/IEC 23894, ISO/IEC 22989).
- Planificación del AIMS. Contexto, alcance, política, roles y responsabilidades.
- Análisis de riesgos y evaluación de impacto en IA. Metodología, casos prácticos.
- Implementación de controles del Anexo A. Los 39 controles, uno por uno.
- Medición, auditoría interna y preparación para certificación.
Para qué perfiles tiene sentido
ISO 42001 Lead Implementer encaja con varios perfiles:
- Consultor GRC que quiere posicionarse temprano en el mercado de gobernanza de IA antes de que se llene de competidores.
- Responsable de cumplimiento o DPO de organizaciones que ya despliegan o planean desplegar sistemas de IA en sus procesos.
- CISO o responsable de seguridad que ve la convergencia entre seguridad, privacidad e IA y quiere liderar la gestión integrada.
- Profesional de datos o ML que quiere subir un nivel hacia gobernanza y no solo modelos técnicos.
ISO/IEC 42001 va a ser para la gobernanza de IA lo que ISO 27001 fue para la seguridad de la información en su día: el estándar de facto que el mercado exigirá a cualquier organización que opere con IA en serio.
Formarse y certificarse
Si quieres dar el paso a la certificación oficial PECB, el curso ISO/IEC 42001 Lead Implementer es el camino directo. Self-Study oficial PECB para avanzar a tu ritmo, o con coaching 1-a-1 hasta que estés listo para el examen en las normas donde imparto como Formador Certificado.