ISO/IEC 42001

Definición

ISO/IEC 42001 es una norma de sistema de gestión que especifica los requisitos para establecer y mejorar de forma continua un Sistema de Gestión de Inteligencia Artificial (AIMS) a lo largo del ciclo de vida de la IA de una organización.

Alcance

Cualquier organización que provea o use IA, de cualquier tamaño o sector. Gobierna el sistema de gestión en torno a la IA —no un producto concreto— por lo que complementa marcos específicos de producto o riesgo en vez de reemplazarlos.

Requisitos clave

• Un sistema de gestión de IA certificable, estructurado como otras normas de gestión ISO.
• Exige una política de IA, compromiso de la dirección y roles y responsabilidades claramente asignados.
• Se centra en la evaluación de riesgos de IA y la evaluación de impacto del sistema de IA.
• Proporciona un conjunto de controles de referencia (Anexo A) y guía de implementación (Anexo B).
• Se basa en el ciclo Planificar-Hacer-Verificar-Actuar para la mejora continua.
• Complementa la regulación (EU AI Act) y los marcos de riesgo (NIST AI RMF).

Controles

Política y roles de gobernanza de IA

Establece una política organizativa de IA y asigna responsables: la gobernanza empieza por la dirección, no por las herramientas.

Evaluación de riesgos de IA

Identifica, analiza y trata los riesgos de forma sistemática a lo largo del ciclo de vida, y mantén la evaluación actualizada.

Evaluación de impacto del sistema de IA

Evalúa los impactos en las personas y la sociedad (equidad, seguridad, derechos), no solo el riesgo técnico.

Controles del ciclo de vida (Anexo A)

Aplica controles de datos, diseño, despliegue y operación, seleccionando los relevantes para tu contexto.

Mejora continua (PDCA)

Audita, revisa y mejora el sistema de gestión de forma cíclica, para que la gobernanza siga el ritmo del cambio.

Lista de verificación

• 01Define el alcance del AIMS y una política organizativa de IA.
• 02Asigna roles de gobernanza, responsabilidades y rendición de cuentas de la dirección.
• 03Ejecuta evaluaciones de riesgos de IA y de impacto del sistema de IA.
• 04Selecciona e implementa los controles relevantes del Anexo A.
• 05Documenta objetivos, procesos y evidencia de operación.
• 06Establece auditoría interna y revisión por la dirección.
• 07Ejecuta el ciclo Planificar-Hacer-Verificar-Actuar y busca la certificación si lo deseas.

Errores comunes

• Tratarlo como un proyecto puntual en vez de un sistema de gestión continuo.
• Documentar una política contra la que nadie opera en el día a día.
• Confundirlo con el cumplimiento del EU AI Act: la certificación no es conformidad legal.
• Saltarse la evaluación de impacto y reducirla solo a riesgo técnico.

Ejemplos

• Una empresa que monta un AIMS para gobernar todo su uso de IA bajo una política y un proceso de riesgo.
• Una evaluación de impacto que revela un riesgo de equidad antes de desplegar un modelo.
• Una auditoría interna y revisión por la dirección anuales que cierran brechas de gobernanza.

FAQs

¿ISO/IEC 42001 es lo mismo que cumplir el EU AI Act?

No. La norma es un sistema de gestión voluntario y certificable; el EU AI Act es ley vinculante. Un AIMS bien llevado apoya el cumplimiento legal, pero no lo satisface por sí solo.

¿Se puede certificar?

Sí. Igual que ISO 27001, un organismo acreditado puede auditar y certificar el sistema de gestión de IA de una organización frente a la norma.

¿Cómo se relaciona con NIST AI RMF?

Son complementarios: NIST AI RMF da un marco de gestión de riesgos y características de confiabilidad; ISO/IEC 42001 da la estructura certificable de sistema de gestión para operar la gobernanza de forma continua.

Referencias

• ISO/IEC 42001:2023 — AI management system
• ISO — What is an AI management system?

Gobernanza relacionada