AI Act e ISO 42001: cómo se complementan

El AI Act y la ISO 42001 representan dos respuestas complementarias al mismo desafío: cómo desarrollar y desplegar sistemas de inteligencia artificial de forma responsable, trazable y sostenible. Uno es una regulación de obligado cumplimiento para el mercado europeo; la otra es un estándar internacional de gestión que proporciona el sistema interno para cumplirla.

Entender cómo se articulan evita dos errores frecuentes: tratar el AI Act como un problema exclusivamente legal que solo compete a jurídico, y tratar la ISO 42001 como una certificación técnica desconectada de las obligaciones regulatorias. En la práctica, ambos marcos comparten territorio y se refuerzan mutuamente.

Contexto urgente: los plazos que ya no admiten espera

El Reglamento (UE) 2024/1689, el AI Act, entró en vigor el 1 de agosto de 2024 con una aplicación progresiva que ha ido activando obligaciones por tramos:

Fecha	Qué entra en vigor
1 agosto 2024	Entrada en vigor del Reglamento
2 febrero 2025	Prohibiciones de prácticas inaceptables (scoring social, manipulación subliminal, etc.)
2 agosto 2025	Obligaciones para modelos de IA de uso general (GPAI) y alfabetización en IA
2 agosto 2026	Obligaciones plenas para sistemas de alto riesgo (Anexo III)
2 agosto 2027	Sistemas de alto riesgo integrados en productos regulados (Anexo I)

A fecha de publicación de este blog, quedan semanas para la fecha más relevante para la mayoría de empresas: el 2 de agosto de 2026, cuando entran en vigor las obligaciones plenas para sistemas de IA de alto riesgo del Anexo III, infraestructuras críticas, empleo, servicios esenciales, educación, aplicación de la ley y otros.

En España, la autoridad de supervisión ya está operativa: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, inició sus operaciones de supervisión de prácticas prohibidas en febrero de 2025 y asumió plena potestad sancionadora desde agosto de 2025. Ha publicado ya guías y checklists que cualquier organización que use IA en España debería conocer.

Qué regula cada marco: la diferencia de partida

El AI Act (Reglamento UE 2024/1689) es una regulación de aplicación directa en todos los Estados miembro. Clasifica los sistemas de IA según su nivel de riesgo, inaceptable, alto, limitado y mínimo, e impone obligaciones específicas a los proveedores (quienes desarrollan o ponen en el mercado sistemas de IA) y a los desplegadores (quienes los usan en contextos profesionales). Para los sistemas de IA de alto riesgo, las obligaciones incluyen evaluaciones de conformidad, documentación técnica, supervisión humana, gestión de riesgos y registros de calidad.

La ISO/IEC 42001:2023 es un estándar internacional que especifica los requisitos para un Sistema de Gestión de IA (SGSIA). No clasifica sistemas de IA por riesgo ni impone obligaciones legales: proporciona el marco organizativo, políticas, roles, procesos, evaluación de impacto, gestión de riesgos y mejora continua, para que una organización gestione de forma sistemática el ciclo de vida de sus sistemas de IA, desde el diseño hasta la retirada.

La distinción clave: el AI Act dice qué debe cumplirse; ISO 42001 proporciona un sistema para cómo gestionarlo internamente de forma sostenible.

Ámbito de aplicación: quién debe prestar atención a qué

AI Act afecta a:

• Proveedores que desarrollan sistemas de IA destinados al mercado de la UE (incluidos los establecidos fuera de la UE si sus sistemas afectan a personas en la UE).
• Desplegadores que usan sistemas de IA de alto riesgo en contextos profesionales dentro de la UE.
• Importadores y distribuidores de sistemas de IA de alto riesgo.

ISO 42001 es relevante para:

• Organizaciones de cualquier tamaño y sector que desarrollan, proveen o usan sistemas de IA y quieren gestionar esa actividad con un marco estructurado.
• No tiene aplicabilidad territorial directa: es un estándar voluntario aplicable globalmente.

El punto de solapamiento es considerable: una empresa que desarrolla sistemas de IA de alto riesgo para el mercado europeo está bajo el paraguas del AI Act Y tiene incentivos fuertes para certificarse en ISO 42001, porque el estándar proporciona exactamente el tipo de sistema de gestión que el AI Act presupone en sus proveedores obligados.

El régimen sancionador: cifras que importan a la dirección

Las multas por incumplimiento del AI Act escalan según la gravedad de la infracción:

• Prácticas prohibidas (sistemas de riesgo inaceptable): hasta 35 millones de euros o el 7 % del volumen de negocio global anual.
• Incumplimiento de obligaciones para sistemas de alto riesgo u otras obligaciones del Reglamento: hasta 15 millones de euros o el 3 % del volumen de negocio global anual.
• Información incorrecta a organismos de supervisión: hasta 7,5 millones de euros o el 1,5 % del volumen de negocio global anual.

Las pymes y startups tienen un régimen algo más favorable en la determinación de sanciones. En España, la AESIA es la autoridad que puede inspeccionar, sancionar y ordenar la retirada de sistemas. Un incumplimiento del AI Act que también afecte a datos personales puede generar expedientes simultáneos en AESIA y en la AEPD.

Dónde se solapan: los cinco puentes entre ambos marcos

1. Gestión de riesgos de IA

El AI Act exige a los proveedores de sistemas de alto riesgo un sistema de gestión de riesgos específico para el sistema de IA: identificación y análisis de riesgos, medidas de mitigación, pruebas y ciclo de revisión. La ISO 42001 incluye en su cláusula 6 un proceso de evaluación de riesgos y oportunidades para el SGSIA que cubre exactamente ese territorio. La diferencia es que la ISO 42001 aplica a nivel organizativo (todos los sistemas de IA de la organización), mientras que el AI Act lo exige a nivel de sistema individual de alto riesgo.

2. Documentación técnica y trazabilidad

El AI Act requiere documentación técnica específica para sistemas de alto riesgo (Anexo IV): descripción del sistema, datos de entrenamiento, métricas de rendimiento, medidas de supervisión humana, gestión de cambios. La ISO 42001 incluye en sus Anexos B y C (orientativos) referencias a controles de trazabilidad, gestión de datos y documentación del ciclo de vida de sistemas de IA que se alinean directamente con esos requisitos.

3. Supervisión humana

Uno de los requisitos más explícitos del AI Act para sistemas de alto riesgo es que deben diseñarse para permitir una supervisión humana efectiva. La ISO 42001 incluye en su marco el principio de responsabilidad humana y controles orientados a garantizar que las decisiones automatizadas puedan revisarse y corregirse. El estándar proporciona el sistema interno para implementar lo que la regulación exige como resultado.

4. Transparencia e información a los usuarios

El AI Act impone obligaciones de transparencia: instrucciones de uso para sistemas de alto riesgo, información a los desplegadores, declaración de conformidad. La ISO 42001 cubre en su dimensión de partes interesadas y comunicación los mecanismos para mantener esa transparencia de forma sistemática, no como respuesta reactiva a un requisito regulatorio, sino como parte del ciclo de gestión.

5. Mejora continua y revisión por la dirección

El AI Act anticipa que los sistemas de IA evolucionan y que los sistemas de gestión deben reflejar esa evolución, especialmente ante cambios sustanciales que pueden requerir nueva evaluación de conformidad. La ISO 42001 incluye explícitamente los mecanismos de revisión por la dirección y mejora continua del SGSIA, creando el ciclo organizativo que el AI Act presupone pero no detalla internamente.

Cómo usar ISO 42001 como palanca de cumplimiento del AI Act

La ISO 42001 no es una sustituta del cumplimiento del AI Act, pero es una palanca muy eficiente para llegar a él. Estas son las conexiones prácticas:

La certificación ISO 42001 no otorga presunción de conformidad automática con el AI Act, a diferencia de lo que ocurre con estándares armonizados en otros reglamentos europeos. Sin embargo, el AI Act prevé que la Comisión Europea podrá reconocer estándares armonizados que, cuando se apliquen, generen presunción de conformidad con requisitos específicos. ISO 42001 es el candidato natural para ese reconocimiento en el dominio de sistemas de gestión.

Mientras ese reconocimiento formal llega, la certificación ISO 42001 aporta:

• Evidencia de que existe un sistema de gestión de IA estructurado, que es precisamente lo que el AI Act presupone en proveedores responsables.
• Marco interno para organizar la documentación técnica exigida por el AI Act sin tener que diseñarla desde cero.
• Credibilidad ante clientes, socios y reguladores que preguntan cómo gestiona la organización sus riesgos de IA.
• Base para evaluaciones de conformidad cuando el sistema aplica a categorías de alto riesgo.

Si tu organización ya trabaja con ISO/IEC 27001 para seguridad de la información, la transición a ISO 42001 es natural: comparten estructura de alto nivel (HLS), lógica de ciclo PHVA y muchos controles organizativos. La documentación de riesgos, roles y revisión por la dirección del SGSI puede servir de base para el SGSIA.

Clasificación de riesgo AI Act vs gestión de riesgos ISO 42001

Un punto de confusión frecuente: el riesgo en el AI Act y el riesgo en la ISO 42001 no son exactamente lo mismo.

AI Act: clasificación por categoría de riesgo del sistema:

• Inaceptable: prohibidos (manipulación subliminal, scoring social por gobiernos, etc.).
• Alto riesgo: requisitos de conformidad plenos (infraestructuras críticas, educación, empleo, bienestar social, seguridad pública, etc.).
• Riesgo limitado: obligaciones de transparencia.
• Riesgo mínimo: sin requisitos específicos.

Esta clasificación determina qué obligaciones legales aplican al sistema concreto. Es una categorización regulatoria, no un proceso de gestión.

ISO 42001: evaluación de riesgos del SGSIA:

• Identifica riesgos para los objetivos de la organización derivados de sus actividades de IA.
• Incluye riesgos para los derechos e intereses de las personas afectadas por los sistemas de IA.
• Produce un plan de tratamiento con controles y responsables.

Esta evaluación es un proceso interno de gestión que debe actualizarse periódicamente. Se aplica a nivel organizativo, no solo al sistema de IA individual.

La integración correcta: usar la clasificación AI Act como punto de partida para priorizar qué sistemas requieren más atención en la evaluación de riesgos ISO 42001, y usar el SGSIA como sistema interno para gestionar y documentar los controles que el AI Act exige para cada categoría.

El papel de la evaluación de impacto

Tanto el AI Act como la ISO 42001 contemplan evaluaciones de impacto, pero con enfoques distintos:

El AI Act exige a los desplegadores de sistemas de IA de alto riesgo realizar una evaluación de impacto sobre los derechos fundamentales cuando esos sistemas pueden afectar a un número significativo de personas. Esta evaluación debe registrarse y notificarse en los casos previstos por la norma.

La ISO 42001 incluye en su Anexo B controles orientativos sobre la evaluación del impacto de sistemas de IA, un proceso más amplio que cubre impactos potenciales en individuos, grupos y sociedad, incluyendo sesgos, discriminación y efectos no intencionados. Este control, cuando está implementado, proporciona la metodología y el registro que el AI Act requiere para sus evaluaciones específicas.

El cumplimiento normativo IA requiere articular estos dos tipos de evaluación: la que exige el regulador para sistemas concretos y la que el estándar recomienda como práctica de gestión continua.

Quién necesita ambos marcos

Empresas que desarrollan sistemas de IA de alto riesgo para el mercado europeo. Están obligadas por el AI Act y tienen los incentivos más fuertes para certificarse en ISO 42001: necesitan el sistema de gestión que el regulador presupone y que la certificación demuestra.

Empresas que usan sistemas de IA de alto riesgo de terceros en contextos profesionales. Son desplegadores bajo el AI Act. La ISO 42001 les proporciona el marco para gestionar la evaluación de proveedores de IA, la supervisión humana y la documentación de uso, áreas que el AI Act regula pero no detalla cómo implementar internamente.

Empresas que desarrollan IA de riesgo limitado o mínimo. No tienen obligaciones fuertes bajo el AI Act, pero pueden usar ISO 42001 para diferenciarse, responder a preguntas de clientes sobre gobernanza de IA y prepararse ante una posible expansión futura del alcance regulatorio.

Organizaciones que ya trabajan con otros marcos europeos. Si la organización tiene ISO 27001, cumple con NIS2 o está bajo DORA, la ISO 42001 se integra de forma natural en el ecosistema de cumplimiento existente sin duplicar esfuerzo significativo.

Pasos prácticos para articular ambos marcos

Paso 1. Inventariar los sistemas de IA de la organización. Qué sistemas se desarrollan, se usan o se integran en productos o servicios. Sin inventario, no es posible clasificar por riesgo AI Act ni definir el alcance del SGSIA.

Paso 2. Clasificar por riesgo AI Act. Para cada sistema del inventario, determinar si cae en categoría prohibida, alto riesgo, riesgo limitado o mínimo. Esta clasificación define las obligaciones legales aplicables.

Paso 3. Diseñar el SGSIA ISO 42001. Definir alcance, política de IA, roles, proceso de evaluación de riesgos e impacto, controles y mecanismos de revisión. Si existe un SGSI ISO 27001, aprovechar la estructura ya establecida.

Paso 4. Mapear controles ISO 42001 con requisitos AI Act. Para los sistemas de alto riesgo, identificar qué controles del SGSIA cubren cada requisito del AI Act (documentación técnica, supervisión humana, gestión de calidad, etc.). Este mapa evita duplicar trabajo y permite demostrar coherencia ante el regulador.

Paso 5. Implementar y evidenciar. Ejecutar los controles, generar los registros y documentar las evaluaciones. La evidencia del SGSIA es la que sostiene el cumplimiento del AI Act ante una inspección o una evaluación de conformidad.

Paso 6. Revisión periódica y ante cambios. El AI Act exige nueva evaluación ante cambios sustanciales del sistema. El SGSIA ISO 42001 proporciona el proceso de gestión de cambios y revisión por la dirección que garantiza que esa evaluación se produce cuando corresponde.

Para sistemas de IA que también tratan datos personales, la articulación con RGPD y la evaluación de impacto sobre privacidad (EIPD) añade otra capa que debe integrarse en el mismo ciclo de gestión.

Qué ofrece Privalex en proyectos AI Act e ISO 42001

Privalex acompaña a equipos de compliance, legal y producto en el diseño e implantación de sistemas de gestión de IA que articulan los requisitos del AI Act con la estructura de la ISO 42001. Nuestro enfoque integra también ISO 27001, RGPD y otros marcos regulatorios cuando la organización opera en un entorno de cumplimiento múltiple.

No diseñamos solo documentación: construimos sistemas que el equipo puede operar y que aguantan la conversación con el auditor y el regulador. Si quieres empezar con una valoración de tu situación actual frente al AI Act e ISO 42001, accede a la evaluación de riesgo gratuita. Para alinear alcance y prioridades con tu equipo, reserva una sesión estratégica.

Conclusión

El AI Act define las obligaciones; la ISO 42001 proporciona el sistema para cumplirlas de forma sostenible. Usarlos juntos no es redundancia, es la diferencia entre un cumplimiento reactivo que se gestiona incendio a incendio y un programa de gobernanza de IA que la organización puede defender ante cualquier interlocutor.

Preguntas frecuentes (FAQs)