Dos lenguajes para una misma operación
ISO/IEC 42001:2023 y el Reglamento (UE) 2024/1689 — conocido como EU AI Act — comparten lenguaje, no jurisdicción. Uno es un sistema de gestión voluntario; el otro, una regulación de cumplimiento obligatorio extraterritorial para todo proveedor que comercialice o ponga en servicio sistemas de IA en el mercado europeo. El cruce no es simétrico, y entender esa asimetría es la primera decisión de un directorio que opera o exporta a la UE.
El análisis de los nueve dominios de obligaciones materiales del Capítulo III del Act contra las cláusulas 4-10 de ISO 42001 y sus 38 controles de Anexo A revela un alineamiento operativo del 70% para sistemas de alto riesgo. El 30% restante son brechas estructurales que no se cubren con certificación, sin importar cuán riguroso sea el sistema de gestión. Una organización con ISO 42001 certificada que comercialice un sistema de alto riesgo en la UE todavía debe construir tres artefactos adicionales.
Cobertura, parcialidad y brechas estructurales
Cobertura plena: sistema de gestión de calidad (Art. 17), supervisión humana (Art. 14), robustez técnica (Art. 15) cuando se complementa con ISO 27001 + ISO 23894. Cobertura parcial: gobernanza de datos (Art. 10) y transparencia hacia el implementador (Art. 13) requieren información específica que ISO 42001 no detalla pero aproxima. Brechas estructurales: logs automatizados de eventos del sistema (Art. 12), evaluación de impacto sobre derechos fundamentales o FRIA (Art. 27), conformidad CE + registro europeo + post-market monitoring (Arts. 16, 49, 72).
Sobre el solapamiento con ISO 27001 e ISO/IEC 23894: ver el comparador interactivo de los 37 controles compartidos entre ISO 27001 y ISO 42001, con filtros por dominio y nivel de overlap.
Las tres brechas estructurales no se resuelven con documentación. Los logs automatizados se diseñan en la arquitectura del propio sistema de IA, no en el sistema de gestión. La FRIA es un artefacto exigible a autoridades públicas y prestadores de servicios esenciales que ISO 42001 no contempla. La declaración de conformidad CE, el marcado CE y la inscripción en la base de datos europea son obligaciones regulatorias separadas que conviven con la certificación pero no la sustituyen.
Qué decidir antes de invertir
Para directorios que operan o exportan a la UE: la decisión no es ISO 42001 o cumplimiento del Act. Es en qué orden cerrar las brechas. La ruta operativa más eficiente cruza ambos requisitos en el mismo ciclo de auditoría preliminar, construye desde el día uno los tres artefactos faltantes, y reaprovecha el 70% del trabajo documental que ISO 42001 entrega bajo un esquema externo creíble ante los organismos notificados europeos.
Material aplicado: caso de readiness ISO 42001 en proveedor tecnológico con exposición a EU AI Act.
Para directorios cuyo alcance es solo LATAM: ISO 42001 sola es suficiente para gobernanza interna creíble. La FRIA y el registro europeo no aplican. El log automatizado sigue siendo buena práctica de auditabilidad. Y por escrito: la fórmula "ISO 42001 = compliance del AI Act" es factualmente incorrecta. Quien la declare sin matiz está vendiendo certificación, no auditándola. Para un directorio que confía en el rigor del juicio, esa distinción no es menor.
Hallazgos clave
- ISO 42001 cubre aproximadamente 70% de los requisitos del EU AI Act para sistemas de alto riesgo
- Tres brechas estructurales: logs automatizados de eventos, FRIA, conformidad CE + post-market monitoring
- Ninguna certificación ISO 42001 confiere automáticamente conformidad con el Act
Qué debería revisar tu directorio ahora
- Verificar si existe un dueño ejecutivo visible del sistema de IA y no solo responsables técnicos dispersos.
- Exigir evidencia de métricas, revisiones periódicas y criterios de intervención humana en modelos críticos.
- Cruzar el programa de IA con seguridad, privacidad, compliance y objetivos de negocio antes de escalar.
Señales para auditar de inmediato
- Modelos en producción sin análisis de impacto actualizado.
- Riesgos de sesgo o degradación tratados de forma genérica y no por caso de uso.
- Equipos técnicos tomando decisiones sin un criterio formal de supervisión ejecutiva.
¿Quiere aplicar estos hallazgos a su organización?
Solicite un diagnóstico ISO de 72 horas para identificar brechas reales en su sistema de gestión.
Solicitar diagnóstico