Cumplimiento y ética

ISO/IEC 42001 (Sistema de gestión de IA)

ISO/IEC 42001:2023 es la primera norma internacional para Sistemas de Gestión de Inteligencia Artificial (SGIA). Establece requisitos para que una organización planifique, implemente, mantenga y mejore continuamente la gobernanza de sus sistemas de IA. En España la certifica AENOR; está alineada con el AI Act y se integra con ISO 9001, 27001 y 23894.

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

Publicada en diciembre de 2023, ISO/IEC 42001 sigue la estructura armonizada de los sistemas de gestión ISO (la misma que 9001 calidad, 14001 medio ambiente o 27001 seguridad), por lo que se integra fácilmente con sistemas ya implantados. Cubre roles de proveedor, desarrollador y usuario de IA. Sus requisitos clave: política de IA documentada y aprobada por dirección; análisis de contexto y partes interesadas; gestión de riesgos específicos de IA (sesgo, falta de transparencia, mal funcionamiento, uso indebido); evaluación de impacto de la IA en individuos, grupos y sociedad; supervisión humana en decisiones sensibles; gobierno del dato; gestión del ciclo de vida del modelo; auditoría interna y revisión por la dirección. Se complementa con ISO/IEC 23894:2023 (gestión de riesgos de IA) y con ISO/IEC 22989 (terminología). En España, AENOR ofrece certificación oficial; los primeros certificados se concedieron en 2024 (Iberdrola Clientes e Iberdrola Energía España como pioneras), y a lo largo de 2025-2026 ha crecido a multinacionales y PYMEs como Atlantis Technology (primera empresa canaria, primera entidad española certificada en los tres roles, abril 2026). La norma es voluntaria pero se está volviendo de facto la prueba pública de que una empresa gestiona la IA con responsabilidad.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa española, ISO/IEC 42001 es el equivalente "buenas prácticas" del AI Act: el Reglamento dice qué hay que cumplir, la norma dice cómo organizarse para cumplirlo. No es obligatoria pero aporta tres beneficios prácticos. Primero, marco completo y probado para cumplir el AI Act sin reinventar la rueda; cubre la mayoría de obligaciones documentales y de gobierno. Segundo, evidencia ante clientes y reguladores: en RFPs corporativas, la certificación 42001 ya empieza a aparecer como criterio diferenciador. Tercero, integración natural con ISO 27001 y 9001 si las tienes. La implantación realista para una PYME es de 6-9 meses con consultor externo; la auditoría AENOR posterior cuesta entre 6.000 y 15.000 € según tamaño. Es bonificable FUNDAE en lo que se refiere a la formación del personal.

Ejemplo concreto

Caso real

Una consultora tecnológica española de 80 empleados decidió en 2025 obtener ISO/IEC 42001. Plan: 6 meses con consultor externo (~22.000 €) + auditoría AENOR (~9.000 €). Resultado en 8 meses: política de IA documentada, registro de los 17 sistemas IA en uso (propios y de terceros), matriz de riesgos por sistema, procedimiento de gestión de incidentes, formación de los 80 empleados (curso AENOR S-44 bonificado FUNDAE). Beneficio inmediato: dos clientes corporativos que les exigían "evidencia de cumplimiento AI Act" en RFP la aceptaron sin más; un tercer cliente, el más grande, valoró positivamente que ya tuvieran 42001. Coste total ~37.000 € amortizado en el primer trimestre por contratos cerrados que sin la certificación habrían exigido auditorías ad hoc o se habrían perdido.