Editorial · Standards & Research
ISO/IEC 42001 y la acreditación de un sistema de gestión de IA
Alrededor de ISO/IEC 42001 creció un ruido comercial sobre "certificación de IA" que conviene ordenar. La norma define un sistema de gestión, no un sello técnico sobre un modelo. Esta lectura separa qué exige 42001, cómo es la cadena de evaluación para IA y en qué estado real está hoy su acreditación.
Qué resuelve 42001
ISO/IEC 42001:2023 es la primera norma internacional de sistema de gestión dedicada a la inteligencia artificial: un SGIA, sistema de gestión de IA. No evalúa un modelo concreto ni certifica que un algoritmo sea "seguro" o "imparcial". Establece cómo una organización gobierna, a lo largo del tiempo, el diseño, la adquisición, el despliegue y el uso de sus sistemas de IA.
La distinción importa porque el ruido comercial la borra. Una organización no certifica su IA: certifica que cuenta con un sistema para gestionar los riesgos y los impactos de esa IA, auditable contra requisitos. El objeto de la evaluación es la organización y su gobernanza, no la pieza tecnológica aislada. Esa es la diferencia entre un sistema de gestión y un ensayo de producto.
42001 comparte la estructura de alto nivel del resto de las normas de gestión ISO. Quien ya opera bajo ISO 9001 o ISO/IEC 27001 reconoce el andamiaje: contexto, liderazgo, planificación, apoyo, operación, evaluación y mejora. Lo específico de IA vive en el Anexo A y en los conceptos propios del dominio, como la evaluación de impacto de los sistemas de IA.
Una organización no certifica su IA: certifica que tiene un sistema para gobernarla, auditable contra requisitos.
La estructura: cláusulas 4-10 y el Anexo A
Como todo sistema de gestión, 42001 se organiza en cláusulas auditables, de la 4 a la 10. Las primeras tres cláusulas son referencias y términos; el contenido certificable empieza en la 4. Conviene una precisión que suele confundirse: la cláusula 8.4 es la evaluación de impacto de los sistemas de IA, no la supervisión humana, que pertenece al dominio de uso del Anexo A.
- 4 Contexto de la organización
Define el alcance del sistema de gestión de IA, las partes interesadas y los factores internos y externos que condicionan el uso responsable de la IA.
- 5 Liderazgo
Exige compromiso de la dirección, una política de IA y la asignación clara de roles y responsabilidades sobre los sistemas de IA.
- 6 Planificación
Identifica riesgos y oportunidades, fija objetivos y articula la evaluación de riesgos con la selección de controles del Anexo A.
- 7 Apoyo
Cubre recursos, competencia, concienciación, comunicación e información documentada que sostienen el sistema.
- 8 Operación
Lleva la planificación a la práctica. La cláusula 8.4 corresponde a la evaluación de impacto de los sistemas de IA (EIIA), no a la supervisión humana.
- 9 Evaluación del desempeño
Define seguimiento, medición, auditoría interna y revisión por la dirección del sistema de gestión.
- 10 Mejora
Ordena el cierre del ciclo: 10.1 mejora continua y 10.2 no conformidad y acción correctiva.
El Anexo A reúne los controles específicos de IA que la organización selecciona según su evaluación de riesgos. Suma 38 controles organizados en 9 grupos. El conteo no es un detalle ornamental: el alcance del sistema se construye sobre qué controles se aplican, cuáles se descartan y con qué justificación.
- A.2 Políticas de IA
3 controles.
- A.3 Organización interna
2 controles.
- A.4 Recursos para sistemas de IA
5 controles.
- A.5 Evaluación de impactos de los sistemas de IA
4 controles.
- A.6 Ciclo de vida del sistema de IA
9 controles.
- A.7 Datos para sistemas de IA
5 controles.
- A.8 Información para las partes interesadas
4 controles.
- A.9 Uso de los sistemas de IA
3 controles.
- A.10 Relaciones con terceros y clientes
3 controles.
La cláusula 10 cierra el ciclo de mejora en dos componentes: 10.1 mejora continua y 10.2 no conformidad y acción correctiva. La gestión de la IA, como cualquier sistema de gestión, no se demuestra con un documento fundacional, sino con su mantenimiento a lo largo del tiempo.
La cadena de evaluación para IA
Que un certificado 42001 signifique algo depende de la cadena que lo respalda. Esa cadena tiene tres eslabones, cada uno con su norma de referencia y su función propia. El primero evalúa a la organización; el segundo, al organismo que la evalúa; el tercero sostiene el reconocimiento entre fronteras.
- 01 Certificación de la organización
Un organismo de certificación audita el sistema de gestión de IA de la organización contra ISO/IEC 42001 y, si procede, emite el certificado. La actividad se rige por ISO/IEC 17021-1:2015, la norma de requisitos para organismos que certifican sistemas de gestión.
- 02 Acreditación del organismo
Un organismo de acreditación evalúa la competencia técnica de ese organismo de certificación dentro del alcance de IA. La acreditación de organismos se rige por ISO/IEC 17011:2017. Es el eslabón que sostiene la confianza en el certificado emitido.
- 03 Reconocimiento internacional
La cooperación internacional sostiene el reconocimiento mutuo entre organismos nacionales de acreditación. El IAF ejerció esa función hasta su cese, el 1 de enero de 2026; desde entonces ese nivel está en transición.
El esquema es el mismo que sostiene cualquier sistema de gestión certificable. La estructura general de la cadena —organismo de certificación, organismo nacional de acreditación, reconocimiento internacional— está desarrollada en El mapa de la confianza global 2026, que documenta el cese del IAF y el reordenamiento del nivel internacional. La norma de requisitos para certificar sistemas de gestión es ISO/IEC 17021-1.
El estado real de la acreditación 42001
Aquí conviene la franqueza que el mercado evita. La norma 42001 existe y es auditable; la cadena de acreditación que le da reconocimiento internacional pleno todavía está en formación. Los esquemas de acreditación específicos para 42001, los criterios sectoriales y la competencia de los auditores se están consolidando, y avanzan a ritmos distintos según el organismo nacional.
El resultado práctico es que hoy conviven certificados emitidos bajo distintos grados de respaldo. Conviene leer cada uno por su cadena concreta —qué organismo certificó, bajo qué acreditación, con qué alcance— antes que por la sigla de la norma. La pregunta no es si 42001 sirve, sino qué sostiene un certificado 42001 puntual.
42001 y el EU AI Act
42001 es una norma voluntaria de gestión; el Reglamento Europeo de IA es legislación obligatoria dentro de su ámbito. No son intercambiables. Un sistema de gestión bien implementado ordena evidencia, procesos y responsabilidades que ayudan a demostrar cumplimiento regulatorio, pero certificar 42001 no equivale a cumplir el AI Act, ni el AI Act exige certificación 42001.
El calendario de aplicación del AI Act es relevante para planificar, con una salvedad explícita: las fechas fueron modificadas por el Digital Omnibus 2026, pendiente de adopción formal. Por eso conviene tratarlas como referencia sujeta a confirmación, no como hitos cerrados.
Calendario AI Act · sujeto al Digital Omnibus 2026
- 2 de agosto de 2026
- Obligaciones de transparencia (artículo 50) según el calendario vigente. Fecha modificada por el Digital Omnibus 2026, pendiente de adopción formal.
- 2 de diciembre de 2027
- Sistemas de alto riesgo del Anexo III, según el calendario vigente y sujeto a la misma salvedad del Digital Omnibus.
- 2 de agosto de 2028
- Sistemas de alto riesgo asociados a productos del Anexo I, según el calendario vigente y la misma salvedad.
Cómo prepararse y cómo verificar
La preparación útil no empieza por el certificado, sino por el diagnóstico. Una organización que evalúa 42001 puede inventariar sus sistemas de IA, mapear sus impactos contra los grupos del Anexo A y revisar qué gobernanza ya existe bajo otros sistemas de gestión. El diseño del sistema precede a la auditoría; la auditoría no inventa lo que la organización no hizo.
Del lado de quien recibe un certificado 42001 —un comprador, un área de compliance, un auditor de tercera parte— la verificación sigue el circuito de cualquier certificado: identificar al organismo emisor, confirmar su acreditación dentro del alcance de IA y contrastar el alcance declarado con la decisión concreta. El marco de gobernanza de IA del IAC y sus criterios de evidencia están en /ai-trust; cualquier credencial con código IAC se consulta en /verificar.