
ISO 42001: la certificación de IA que pedirán tus clientes
La ISO 42001 (formalmente ISO/IEC 42001:2023) es la primera norma internacional certificable de sistemas de gestión de inteligencia artificial. Define cómo debe una organización gobernar, documentar y auditar sus sistemas de IA a lo largo de todo su ciclo de vida: desde la evaluación de riesgos e impactos hasta la supervisión humana y la mejora continua. Es voluntaria, a diferencia del AI Act europeo, pero en España ya la exigen concursos públicos y grandes clientes como garantía de IA responsable, y la certifican entidades como AENOR, Bureau Veritas, DNV y SGS.
El movimiento del mercado es claro. KPMG se convirtió en mayo de 2025 en la primera de las Big Four en certificarse en España, y desde entonces la norma ha ido bajando en cascada: si una gran empresa certifica su gestión de IA, empieza a preguntar a sus proveedores por la suya. Si tu empresa desarrolla, integra o simplemente usa IA de forma intensiva para dar servicio a terceros, esta norma va a aparecer en tu camino antes de lo que crees. Veamos qué es exactamente y si te compensa.
¿Qué es la norma ISO 42001?
Es una norma de sistema de gestión, de la misma familia metodológica que la ISO 9001 (calidad) o la ISO 27001 (seguridad de la información). No certifica que un algoritmo concreto sea bueno o preciso: certifica que tu organización tiene un sistema ordenado para decidir qué IA usa, con qué riesgos, con qué controles y con qué responsables. Sus piezas centrales son:
- Contexto y alcance: qué sistemas de IA cubre el certificado y qué papel juegas (proveedor, usuario, distribuidor).
- Liderazgo y política de IA: la dirección aprueba una política y asigna roles y responsabilidades.
- Evaluación de riesgos e impactos: análisis de los efectos del sistema sobre personas y colectivos, no solo sobre el negocio.
- Controles del Anexo A: 38 controles agrupados en 9 objetivos, desde la calidad de los datos hasta la transparencia con el usuario final.
- Ciclo de mejora continua: auditorías internas, revisión por la dirección y corrección de desviaciones.
¿Qué empresas necesitan certificarse en ISO 42001?
Nadie está legalmente obligado, así que la pregunta correcta es a quién le compensa. En nuestra experiencia con empresas españolas, hay cuatro perfiles claros:
- Proveedores de software y servicios de IA: si vendes agentes, modelos o plataformas con IA a otras empresas, la certificación se está convirtiendo en requisito de compra, igual que pasó con la ISO 27001 en ciberseguridad.
- Empresas que licitan con la administración pública: los pliegos ya puntúan sistemas de gestión de IA, y en contratos sensibles empiezan a exigirlos.
- Sectores regulados: banca, seguros, sanidad y utilities usan la norma para demostrar diligencia ante sus supervisores.
- Empresas con sistemas de alto riesgo bajo el AI Act: selección de personal, scoring crediticio, educación. La certificación no sustituye a la ley, pero ordena todo lo que la ley pide.
¿Y una pyme que solo usa ChatGPT y un par de automatizaciones? Probablemente no necesita certificarse todavía, pero sí le conviene adoptar la lógica de la norma: inventario de sistemas de IA, responsable asignado y evaluación básica de riesgos. Es lo que recomendamos como punto de partida en nuestra guía de IA para empresas.
¿Cuánto cuesta la certificación ISO 42001?
No hay tarifa oficial: las certificadoras cotizan por días de auditoría, y estos dependen del tamaño de la organización, del número de sistemas de IA en el alcance y de su complejidad. Con esa cautela, el coste total de un primer ciclo suele tener tres partidas:
- Preparación interna o consultoría: la partida más variable. Si ya tienes ISO 27001, reutilizas buena parte del sistema documental y el esfuerzo baja de forma notable.
- Auditoría de certificación: honorarios de la entidad certificadora por la auditoría inicial en dos fases.
- Mantenimiento: auditorías de seguimiento anuales y renovación completa cada tres años.
Para una pyme con un alcance acotado, hablamos en conjunto de varios miles de euros repartidos en el primer año; para organizaciones grandes o con muchos sistemas de IA, la cifra sube de forma proporcional a los días de auditoría. Pide siempre presupuesto a dos o tres certificadoras acreditadas: las diferencias son mayores de lo que parece. Y pregunta por auditorías combinadas con normas que ya tengas: integrar ISO 27001 y 42001 en un mismo ciclo reduce días facturables y fatiga interna del equipo.
¿Qué relación tiene la ISO 42001 con el AI Act?
Son complementarias, no intercambiables, y confundirlas sale caro. El AI Act es un reglamento europeo de obligado cumplimiento con sanciones de hasta 35 millones de euros o el 7% de la facturación global; la ISO 42001 es un estándar voluntario que demuestra buena gobernanza. Esta tabla resume las diferencias:
| Aspecto | AI Act (Reglamento UE 2024/1689) | ISO/IEC 42001:2023 |
|---|---|---|
| Naturaleza | Ley de obligado cumplimiento en toda la UE | Norma voluntaria certificable |
| Quién vigila | Autoridades públicas (en España, la AESIA) | Entidad certificadora acreditada |
| Consecuencia de incumplir | Multas de hasta 35 M€ o el 7% de la facturación | Pérdida o suspensión del certificado |
| Enfoque | Requisitos por nivel de riesgo del sistema | Sistema de gestión de toda la organización |
| Utilidad conjunta | Certificarse en ISO 42001 ordena y documenta gran parte de lo que el AI Act exige demostrar: es evidencia de diligencia, aunque no exime de cumplir la ley | |
Dicho de forma llana: el AI Act te dice qué es obligatorio; la ISO 42001 te da el método para tenerlo bajo control y poder demostrarlo. Y no olvides la tercera pata: si tus sistemas de IA tratan datos personales, el RGPD sigue aplicando por encima de todo.
Cómo prepararse: el camino realista para una pyme
¿Por dónde empezar sin morir en la documentación? Este es el itinerario que mejor funciona:
- Inventario de IA: lista todos los sistemas que usas o vendes, aunque sean herramientas de terceros. Sin inventario no hay alcance.
- Análisis de brechas: compara lo que haces hoy con los controles del Anexo A. Suele destapar sorpresas en calidad de datos y en transparencia con el usuario.
- Política y roles: una política de IA de dos páginas firmada por dirección vale más que cincuenta procedimientos que nadie lee.
- Evaluaciones de impacto: para cada sistema relevante, documenta a quién afecta y qué puede salir mal.
- Auditoría interna y certificación: cuando el sistema lleva unos meses rodando, pide la auditoría de fase 1.
Un consejo con criterio: no montes el sistema de gestión de espaldas al equipo técnico. Los certificados que se construyen solo desde calidad o legal acaban siendo papel mojado; los que funcionan nacen del trabajo conjunto entre quien gobierna y quien desarrolla. Así es como trabajamos en IAmanos cuando construimos sistemas de IA para clientes: la gobernanza se diseña a la vez que el software, no después.
Preguntas frecuentes sobre la ISO 42001
¿Cuánto se tarda en conseguir la certificación ISO 42001?
Para una pyme con alcance acotado, entre 4 y 9 meses desde el análisis de brechas hasta el certificado, según el punto de partida. Si ya existe un sistema ISO 27001 o 9001 maduro, el plazo se acorta porque se reutilizan la estructura documental y la cultura de auditoría.
¿Quién puede certificar la ISO 42001 en España?
Entidades de certificación acreditadas como AENOR, Bureau Veritas, DNV o SGS ya emiten certificados ISO/IEC 42001 en España. Conviene verificar la acreditación del organismo y pedir referencias de auditorías de IA reales, porque es una norma joven y la experiencia del equipo auditor importa.
¿La ISO 42001 sirve si solo uso IA de terceros como ChatGPT o Copilot?
Sí. La norma contempla el rol de organización usuaria de IA: en ese caso el sistema de gestión se centra en cómo seleccionas herramientas, qué datos les entregas, qué supervisión humana aplicas y cómo formas a tu plantilla. El alcance es más ligero que el de un desarrollador.
¿Hay que renovar la certificación ISO 42001?
Sí. Funciona con el ciclo habitual de tres años: auditoría de certificación inicial, auditorías de seguimiento anuales y auditoría de renovación completa al tercer año. Si el sistema deja de mantenerse o se detectan no conformidades mayores sin corregir, el certificado puede suspenderse o retirarse.
Si tus clientes ya te preguntan cómo gobiernas tu IA, o quieres adelantarte antes de que lo hagan, en IAmanos ayudamos a empresas españolas y europeas a construir sistemas de IA que nacen alineados con la ISO 42001, el AI Act y el RGPD, sin burocracia innecesaria. Reserva una consultoría gratuita de 30 minutos y evaluamos juntos qué alcance tiene sentido para tu caso.
Sigue leyendo
Convierte este conocimiento en resultados
Nuestro equipo implementa soluciones de IA para empresas B2B. Agenda una consultoría gratuita.


