ISO/IEC 42001: guía de implementación del sistema de gestión de IA

Qué es ISO/IEC 42001

ISO/IEC 42001:2023 es la primera norma internacional para sistemas de gestión de inteligencia artificial (SGIA). Publicada conjuntamente por ISO e IEC en diciembre de 2023, establece los requisitos para implantar, mantener y mejorar de forma continua la gobernanza de la IA, con independencia del tamaño o el sector de la organización.

A diferencia de una ley, la norma no impone obligaciones jurídicas: aporta un marco estructurado y certificable para demostrar que una organización desarrolla y utiliza la IA de manera responsable.

Cómo se estructura

Sigue la estructura de alto nivel (Anexo SL) común a ISO/IEC 27001 e ISO 9001, lo que facilita integrarla con los sistemas de gestión existentes. Las cláusulas 4 a 10 cubren el contexto de la organización, el liderazgo, la planificación, el soporte, la operación, la evaluación del desempeño y la mejora.

El Anexo A enumera los controles de referencia (políticas, organización interna, recursos, evaluación de impacto, ciclo de vida del sistema de IA, datos, información para las partes interesadas y relaciones con terceros); el Anexo B ofrece orientación de implementación, y los Anexos C y D abordan objetivos, fuentes de riesgo y aplicación sectorial.

Cómo implementarla, paso a paso

Una implantación típica sigue estos pasos: (1) definir el alcance y el contexto del SGIA; (2) obtener el compromiso de la dirección y aprobar una política de IA; (3) realizar una evaluación de riesgos y una evaluación de impacto de los sistemas de IA; (4) seleccionar y aplicar los controles pertinentes del Anexo A; (5) documentar los procesos y operar el sistema; (6) realizar auditorías internas; (7) llevar a cabo la revisión por la dirección; y (8), de forma opcional, obtener la certificación de un organismo acreditado.

Relación con la Ley de IA de la UE y el NIST

ISO/IEC 42001 es el «cómo»: aporta el sistema de gestión que permite cumplir de forma ordenada las obligaciones del «qué». La Ley de IA de la UE define obligaciones legales para los sistemas de alto riesgo, mientras que el marco de gestión de riesgos de IA del NIST es una referencia voluntaria. Los tres son complementarios: un SGIA conforme a la norma 42001 facilita demostrar la diligencia que exige la regulación.

Por dónde empezar

Empiece por un inventario de los sistemas de IA en uso, un análisis de brechas frente a los controles del Anexo A y la aprobación de una política de IA. Estos tres elementos sientan las bases del sistema y resultan útiles aunque no se busque la certificación.

Fuentes

ISO/IEC 42001:2023 (ISO) · Reglamento (UE) 2024/1689 — Ley de IA · NIST AI Risk Management Framework. Información general, no asesoramiento jurídico; verifique siempre con las fuentes oficiales.