AI Act (Reglamento UE 2024/1689) e ISO 42001

/ certificado ISO / Por

Reglamento 2024/1689, AI Act, ISO 42001 y sistemas de gestión

El Reglamento (UE) 2024/1689, conocido como EU AI Act, marca un antes y un después en la regulación de los sistemas de inteligencia artificial en Europa. Con la entrada en aplicación de sus obligaciones para los sistemas de IA de alto riesgo, las organizaciones que no estén preparadas se enfrentan a sanciones de hasta 35 millones de euros o el 7 % de su facturación anual global.

Pero el «AI Act» es, sobre todo, un reglamento de gestión, control y responsabilidad de la tecnología.

Qué exige el AI Act en materia de gestión de la calidad

El artículo 17 del Reglamento establece una obligación clara para los proveedores de sistemas de IA de alto riesgo a implantar y mantener un sistema de gestión de la calidad que garantice el cumplimiento continuo del AI Act. Este sistema debe cubrir, entre otros elementos clave:

  • Políticas, procedimientos e instrucciones documentadas
  • Técnicas de diseño, desarrollo y control de calidad de los sistemas de IA
  • Gestión de cambios, incidencias y no conformidades
  • Supervisión posterior a la comercialización (post-market monitoring)
  • Canales de comunicación con autoridades competentes

Todo ello resulta muy familiar cuando ya trabaje con normas ISO de sistemas integrado de gestión.

ISO/IEC 42001: la norma específica para la gestión de la IA

En 2023, ISO publicó la ISO/IEC 42001, el primer estándar internacional para sistemas de gestión de inteligencia artificial. Su estructura basada en Anexo SL facilita la integración con ISO 9001, ISO 14001 o ISO 27001. La norma ISO 42001 aborda de forma directa los aspectos que el AI Act exige para los sistemas de IA de alto riesgo:

  • Evaluación y gestión de riesgos durante todo el ciclo de vida del sistema de IA
  • Gobernanza de datos de entrenamiento, validación y prueba
  • Supervisión humana y trazabilidad de decisiones automatizadas
  • Gestión de incidentes y monitorización tras el despliegue
  • Política de IA y compromiso demostrable de la alta dirección

Muchos requisitos del AI Act tienen su equivalente directo en los controles de ISO 42001, lo que convierte a esta norma en el marco más sólido para demostrar cumplimiento regulatorio ante autoridades supervisoras.

¿A qué empresas aplica realmente el AI Act?

El AI Act no es solo para grandes tecnológicas. Afecta a cualquier organización que desarrolle, comercialice, implante o utilice sistemas de IA en la Unión Europea, independientemente de su tamaño o país de origen. Además es obligatoria la alfabetización en IA del personal para todas las empresas que utilicen sistemas de inteligencia artificial.

En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) tiene las competencias de inspección y sanción.

Contacta con nosotros y te ayudamos a evaluar si tu sistema de gestión está alineado con el AI Act

FAQs AI Act e ISO 42001

El AI Act no exige explícitamente la certificación ISO 9001, pero muchos de sus requisitos están ya cubiertos por esta norma:

  • Enfoque basado en riesgos. Integra identificación de riesgos para asegurar cumplimiento AI Act y confianza regulatoria.
  • Gestión documental. Asegura trazabilidad documental para cumplimiento AI Act, transparencia y control normativo.
  • Revisión por la dirección. Evalúa decisiones directivas para garantizar cumplimiento AI Act y gestión responsable IA.
  • Control de proveedores y procesos externalizados. Controla proveedores externalizados para cumplir AI Act, seguridad y transparencia

Una empresa con ISO 9001 implantada parte con una ventaja clara frente a aquellas que deben construir su sistema desde cero. Pero ISO 9001 por sí sola no garantiza el cumplimiento del Reglamento 2024/1689, pero reduce significativamente la brecha inicial.

Los pasos clave  que debe hacer para implantar AI Act son:

  1. Inventariar los sistemas de IA. Muchas organizaciones utilizan IA integrada en RRHH, CRM, atención al cliente o producción sin ser plenamente conscientes de ello.
  2. Clasificar el nivel de riesgo. El AI Act distingue entre:
    • Riesgo inaceptable (prohibido)
    • Alto riesgo
    • Riesgo limitado (obligaciones de transparencia)
    • Riesgo mínimo
      La clasificación depende del uso del sistema, no de la tecnología.
  3. Revisar el sistema de gestión existente

Si tu organización ya dispone de ISO 9001, un análisis de brechas frente al AI Act es el punto de partida más eficiente.
4. Valorar la implantación de ISO 42001
Especialmente relevante para organizaciones que desarrollan o integran IA de forma estratégica en sus procesos de negocio.

Nuestra experiencia en consultoría de sistemas de gestión e IA te ayudará a demostrar, con un sistema de gestión ISO 42001, que los procesos de la «AI Act» están controlados y son responsables.

Como consultoría ISO, ofrecemos consultoría especializada para la implantación y certificación de ISO/IEC 42001, así como su integración con sistemas ISO existentes.

Si tu empresa está evaluando cómo posicionarse frente al Reglamento (UE) 2024/1689, podemos ayudarte a identificar qué requisitos ya cumples y qué aspectos deben reforzarse, sin empezar desde cero.