ISO/IEC 42001:2023 e la Ley de IA de la UE no se sustituyen, se complementan. La 42001 es la norma del sistema de gestión; el Reglamento es la ley del producto. Una empresa que opera 42001 produce, sin esfuerzo adicional, evidencia útil para 7 de los 17 artículos sustantivos del Reglamento. La auditoría 2026 de Impetora está en curso.
ISO/IEC 42001:2023 es un sistema de gestión: política, roles, gestión de riesgos, gobernanza de datos, ciclo de vida del modelo, evaluación de impacto, supervisión humana, monitorización y mejora continua. Sigue la estructura del Anexo SL común a ISO 9001, ISO 27001 e ISO 27701. Es voluntaria, certificable por organismos acreditados (ENAC en España).
El Reglamento (UE) 2024/1689 es ley: clasifica los sistemas por nivel de riesgo y fija obligaciones técnicas y de producto para los sistemas de alto riesgo. Es obligatoria, supervisada por autoridades públicas, con multas de hasta 35 millones EUR. La 42001 no exime del Reglamento, pero produce gran parte de la evidencia que el Reglamento exige documentar.
Artículo 9 (gestión de riesgos) ↔ controles A.5 y A.6.2 del Anexo A: política, identificación, análisis, evaluación y tratamiento de riesgos durante todo el ciclo de vida.
Artículo 10 (gobernanza de datos) ↔ control A.7 del Anexo A: calidad, representatividad, sesgos, datos especiales, ciclo de vida del dato.
Artículo 11 (documentación técnica) ↔ controles A.6.1 y A.8 del Anexo A: documentación del sistema, información para el desplegador, criterios de aceptación.
Artículo 12 (registros automáticos) ↔ control A.6.2.6 del Anexo A: registros del sistema durante el funcionamiento, retención y acceso.
Artículo 14 (supervisión humana) ↔ control A.9 del Anexo A: roles humanos, capacidades, instrucciones y procedimientos de override.
Artículo 15 (precisión, robustez, ciberseguridad) ↔ controles A.6.2.4, A.6.2.5 y A.6.2.7 del Anexo A: pruebas, validación, monitorización del rendimiento.
Artículo 17 (sistema de gestión de calidad) ↔ estructura completa del Anexo SL del Anexo A: política, planificación, soporte, operación, evaluación de desempeño y mejora.
Tres bloques quedan fuera del mapeo directo. Primero, la clasificación de riesgo del artículo 6 y la documentación de la excepción del 6.3, que son específicas del Reglamento. Segundo, la evaluación de conformidad y el marcado CE de los artículos 43 a 49, que son procedimientos del producto, no del sistema de gestión. Tercero, el registro en la base de datos europea, que es una obligación administrativa puntual.
Por tanto, una empresa con 42001 certificada todavía debe cumplir esos tres bloques de forma separada. La buena noticia: la documentación 42001 alimenta todos los expedientes de conformidad sin reescritura.
La secuencia que minimiza retrabajo. Primero, inventario y clasificación de riesgo de los sistemas de IA. Segundo, sistema de gestión 42001 sobre los sistemas en alcance, con DPIA del RGPD integrada. Tercero, documentación del Anexo IV del Reglamento construida sobre la evidencia que el sistema de gestión ya produce. Cuarto, evaluación de conformidad y registro en la base de datos europea.
El error que multiplica el trabajo es invertir el orden: documentar el Anexo IV antes de tener un sistema de gestión y, después, intentar reconstruir el sistema de gestión sobre documentos sueltos. La 42001 estructura el material; sin esa estructura, cada sistema reinventa el formato.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.