ISO 42001Servicios tecnológicos B2B · 300-800 empleados · LATAM con clientes en UE

    Readiness ISO 42001 en proveedor tecnológico con exposición a EU AI Act

    Brecha del 30% que ninguna certificación cubre

    Empresa de servicios tecnológicos con cuatro productos basados en IA, comercializando dos de ellos a clientes en Unión Europea. Diagnóstico simultáneo ISO 42001 + EU AI Act reveló 31 hallazgos en el SGI-IA y tres artefactos estructurales obligatorios por el Act que ninguna certificación cubre.

    31
    Hallazgos
    8
    Mayores
    14
    Menores
    9
    Observaciones

    Contexto operativo

    Proveedor B2B con clientes en banca, retail y salud. Cuatro productos en producción con componentes de IA: dos clasificarían como "alto riesgo" bajo el AI Act (decisión automatizada sobre crédito y screening de candidatos). Sin SGI-IA formal previo. Sistema ISO 27001:2022 certificado y sistema ISO 9001 certificado vigentes.

    Pregunta del directorio

    La dirección había recibido una propuesta de implementación rápida con la promesa "ISO 42001 = compliance del AI Act". Solicitó una evaluación preliminar independiente antes de comprometer presupuesto.

    Metodología aplicada

    • 1Fase 1 (Board Intake): definición de alcance dual ISO 42001 + EU AI Act sobre los 4 productos. Mapeo de stakeholders incluyendo área legal y product.
    • 2Fase 2 (Diagnostic Snapshot): vista semáforo cláusula por cláusula contra ISO 42001 y matriz de alineamiento contra los Arts. 9-15, 17, 27 y 49-72 del Act.
    • 3Fase 3 (Clause-Based Gap Review): muestreo de evidencias en el ciclo de vida de los modelos. Entrevistas a 9 propietarios de control técnico y legal.
    • 4Fase 4 (Risk Prioritization): mapa de acción separando obligaciones del SGI-IA (cubribles con ISO 42001) y obligaciones del Act específicas (no cubribles con certificación).

    Cinco hallazgos prioritarios

    1. 01Tres brechas estructurales del AI Act sin cobertura: logs automatizados de eventos del sistema (Art. 12), FRIA (Art. 27), conformidad CE + registro europeo + post-market monitoring.
    2. 02Datasets de entrenamiento de los dos productos de alto riesgo: documentación de origen y calidad incompleta. Evaluación de sesgo desde la óptica de derechos fundamentales: ausente.
    3. 03Supervisión humana definida solo a nivel de equipo técnico. Autoridad de detener el modelo en producción no escalada al directorio.
    4. 04Información al usuario implementador (Art. 13 del Act): instrucciones de uso y limitaciones no documentadas con la especificidad que exige el Reglamento.
    5. 05Gestión de cambios al modelo: ausencia de control formal de versionado con criterio de re-validación pre-despliegue.

    Lo que el directorio decidió

    Decisión 01

    Construir simultáneamente los tres artefactos del Act faltantes en lugar de "ajustar después"

    Backlog técnico para arquitectura de logs + FRIA aprobada a 90 días + plan post-market monitoring a 120 días

    Decisión 02

    Auditoría interna conjunta SGI-IA + matriz Act antes de avanzar a certificación

    Proceso ejecutado, cierre de 6/8 mayores antes de la auditoría externa

    Decisión 03

    Integrar el SGI-IA con el SGSI ISO 27001 existente, no operarlos en paralelo

    Reducción aproximada del 28% en esfuerzo documental respecto a sistemas separados

    Decisión 04

    Política de comunicación: dejar de prometer compliance del Act por la sola certificación ISO 42001

    Materiales comerciales y legales actualizados

    Cierre con evidencia

    8 / 8
    Mayores cerradas
    12 / 14
    Menores cerradas
    5 / 9
    Observaciones

    La auditoría de certificación ISO 42001 fue conducida por organismo de certificación acreditado distinto del titular del informe preliminar, sin relación contractual entre ambas instancias. Resultado: aprobada, una no conformidad menor no crítica, dos observaciones. La conformidad con el EU AI Act se procesa por separado bajo régimen regulatorio europeo.

    Lecciones transferibles

    L1. La fórmula "ISO 42001 = compliance del AI Act" es factualmente incorrecta. Ninguna lectura honesta de los Arts. 17, 27, 49 y 72 permite sostenerla. Quien la declare sin matiz está vendiendo certificación, no auditándola.

    L2. La inversión en ISO 42001 no se pierde cuando se aborda el Act. Cubre aproximadamente el 70% del trabajo documental y operativo, bajo un esquema de auditoría externa creíble ante organismos notificados europeos.

    L3. Para proveedores con mercado UE: cruzar ambos requisitos en el mismo ciclo de auditoría preliminar es más eficiente que certificar primero y "ajustar" después al Act.

    L4. Las tres brechas estructurales (logs, FRIA, post-market monitoring) son arquitectura, no documentación. Se diseñan en el propio sistema de IA y en procesos de mercado, no en el SGI.

    "ISO 42001 cubre el 70% del trabajo. El 30% restante no lo cubre certificación: lo cubre arquitectura."

    ¿Su organización necesita una evaluación similar?

    Aplicable a la misma norma (ISO 42001) o a su equivalente sectorial. Diagnóstico inicial en 72 horas operativas con la metodología de cinco fases.

    Solicitar diagnóstico Ver detalle ISO 42001
    DiagnósticoWhatsApp