ISO 42001: la certificación de IA que pedirán tus clientes
Normativa y cumplimiento28 de junio de 2026

ISO 42001: la certificación de IA que pedirán tus clientes

La ISO 42001 (formalmente ISO/IEC 42001:2023) es la primera norma internacional certificable de sistemas de gestión de inteligencia artificial. Define cómo debe una organización gobernar, documentar y auditar sus sistemas de IA a lo largo de todo su ciclo de vida: desde la evaluación de riesgos e impactos hasta la supervisión humana y la mejora continua. Es voluntaria, a diferencia del AI Act europeo, pero en España ya la exigen concursos públicos y grandes clientes como garantía de IA responsable, y la certifican entidades como AENOR, Bureau Veritas, DNV y SGS.

El movimiento del mercado es claro. KPMG se convirtió en mayo de 2025 en la primera de las Big Four en certificarse en España, y desde entonces la norma ha ido bajando en cascada: si una gran empresa certifica su gestión de IA, empieza a preguntar a sus proveedores por la suya. Si tu empresa desarrolla, integra o simplemente usa IA de forma intensiva para dar servicio a terceros, esta norma va a aparecer en tu camino antes de lo que crees. Veamos qué es exactamente y si te compensa.

¿Qué es la norma ISO 42001?

Es una norma de sistema de gestión, de la misma familia metodológica que la ISO 9001 (calidad) o la ISO 27001 (seguridad de la información). No certifica que un algoritmo concreto sea bueno o preciso: certifica que tu organización tiene un sistema ordenado para decidir qué IA usa, con qué riesgos, con qué controles y con qué responsables. Sus piezas centrales son:

  • Contexto y alcance: qué sistemas de IA cubre el certificado y qué papel juegas (proveedor, usuario, distribuidor).
  • Liderazgo y política de IA: la dirección aprueba una política y asigna roles y responsabilidades.
  • Evaluación de riesgos e impactos: análisis de los efectos del sistema sobre personas y colectivos, no solo sobre el negocio.
  • Controles del Anexo A: 38 controles agrupados en 9 objetivos, desde la calidad de los datos hasta la transparencia con el usuario final.
  • Ciclo de mejora continua: auditorías internas, revisión por la dirección y corrección de desviaciones.

¿Qué empresas necesitan certificarse en ISO 42001?

Nadie está legalmente obligado, así que la pregunta correcta es a quién le compensa. En nuestra experiencia con empresas españolas, hay cuatro perfiles claros:

  1. Proveedores de software y servicios de IA: si vendes agentes, modelos o plataformas con IA a otras empresas, la certificación se está convirtiendo en requisito de compra, igual que pasó con la ISO 27001 en ciberseguridad.
  2. Empresas que licitan con la administración pública: los pliegos ya puntúan sistemas de gestión de IA, y en contratos sensibles empiezan a exigirlos.
  3. Sectores regulados: banca, seguros, sanidad y utilities usan la norma para demostrar diligencia ante sus supervisores.
  4. Empresas con sistemas de alto riesgo bajo el AI Act: selección de personal, scoring crediticio, educación. La certificación no sustituye a la ley, pero ordena todo lo que la ley pide.

¿Y una pyme que solo usa ChatGPT y un par de automatizaciones? Probablemente no necesita certificarse todavía, pero sí le conviene adoptar la lógica de la norma: inventario de sistemas de IA, responsable asignado y evaluación básica de riesgos. Es lo que recomendamos como punto de partida en nuestra guía de IA para empresas.

¿Cuánto cuesta la certificación ISO 42001?

No hay tarifa oficial: las certificadoras cotizan por días de auditoría, y estos dependen del tamaño de la organización, del número de sistemas de IA en el alcance y de su complejidad. Con esa cautela, el coste total de un primer ciclo suele tener tres partidas:

  • Preparación interna o consultoría: la partida más variable. Si ya tienes ISO 27001, reutilizas buena parte del sistema documental y el esfuerzo baja de forma notable.
  • Auditoría de certificación: honorarios de la entidad certificadora por la auditoría inicial en dos fases.
  • Mantenimiento: auditorías de seguimiento anuales y renovación completa cada tres años.

Para una pyme con un alcance acotado, hablamos en conjunto de varios miles de euros repartidos en el primer año; para organizaciones grandes o con muchos sistemas de IA, la cifra sube de forma proporcional a los días de auditoría. Pide siempre presupuesto a dos o tres certificadoras acreditadas: las diferencias son mayores de lo que parece. Y pregunta por auditorías combinadas con normas que ya tengas: integrar ISO 27001 y 42001 en un mismo ciclo reduce días facturables y fatiga interna del equipo.

¿Qué relación tiene la ISO 42001 con el AI Act?

Son complementarias, no intercambiables, y confundirlas sale caro. El AI Act es un reglamento europeo de obligado cumplimiento con sanciones de hasta 35 millones de euros o el 7% de la facturación global; la ISO 42001 es un estándar voluntario que demuestra buena gobernanza. Esta tabla resume las diferencias:

AspectoAI Act (Reglamento UE 2024/1689)ISO/IEC 42001:2023
NaturalezaLey de obligado cumplimiento en toda la UENorma voluntaria certificable
Quién vigilaAutoridades públicas (en España, la AESIA)Entidad certificadora acreditada
Consecuencia de incumplirMultas de hasta 35 M€ o el 7% de la facturaciónPérdida o suspensión del certificado
EnfoqueRequisitos por nivel de riesgo del sistemaSistema de gestión de toda la organización
Utilidad conjuntaCertificarse en ISO 42001 ordena y documenta gran parte de lo que el AI Act exige demostrar: es evidencia de diligencia, aunque no exime de cumplir la ley

Dicho de forma llana: el AI Act te dice qué es obligatorio; la ISO 42001 te da el método para tenerlo bajo control y poder demostrarlo. Y no olvides la tercera pata: si tus sistemas de IA tratan datos personales, el RGPD sigue aplicando por encima de todo.

Cómo prepararse: el camino realista para una pyme

¿Por dónde empezar sin morir en la documentación? Este es el itinerario que mejor funciona:

  1. Inventario de IA: lista todos los sistemas que usas o vendes, aunque sean herramientas de terceros. Sin inventario no hay alcance.
  2. Análisis de brechas: compara lo que haces hoy con los controles del Anexo A. Suele destapar sorpresas en calidad de datos y en transparencia con el usuario.
  3. Política y roles: una política de IA de dos páginas firmada por dirección vale más que cincuenta procedimientos que nadie lee.
  4. Evaluaciones de impacto: para cada sistema relevante, documenta a quién afecta y qué puede salir mal.
  5. Auditoría interna y certificación: cuando el sistema lleva unos meses rodando, pide la auditoría de fase 1.

Un consejo con criterio: no montes el sistema de gestión de espaldas al equipo técnico. Los certificados que se construyen solo desde calidad o legal acaban siendo papel mojado; los que funcionan nacen del trabajo conjunto entre quien gobierna y quien desarrolla. Así es como trabajamos en IAmanos cuando construimos sistemas de IA para clientes: la gobernanza se diseña a la vez que el software, no después.

Preguntas frecuentes sobre la ISO 42001

¿Cuánto se tarda en conseguir la certificación ISO 42001?

Para una pyme con alcance acotado, entre 4 y 9 meses desde el análisis de brechas hasta el certificado, según el punto de partida. Si ya existe un sistema ISO 27001 o 9001 maduro, el plazo se acorta porque se reutilizan la estructura documental y la cultura de auditoría.

¿Quién puede certificar la ISO 42001 en España?

Entidades de certificación acreditadas como AENOR, Bureau Veritas, DNV o SGS ya emiten certificados ISO/IEC 42001 en España. Conviene verificar la acreditación del organismo y pedir referencias de auditorías de IA reales, porque es una norma joven y la experiencia del equipo auditor importa.

¿La ISO 42001 sirve si solo uso IA de terceros como ChatGPT o Copilot?

Sí. La norma contempla el rol de organización usuaria de IA: en ese caso el sistema de gestión se centra en cómo seleccionas herramientas, qué datos les entregas, qué supervisión humana aplicas y cómo formas a tu plantilla. El alcance es más ligero que el de un desarrollador.

¿Hay que renovar la certificación ISO 42001?

Sí. Funciona con el ciclo habitual de tres años: auditoría de certificación inicial, auditorías de seguimiento anuales y auditoría de renovación completa al tercer año. Si el sistema deja de mantenerse o se detectan no conformidades mayores sin corregir, el certificado puede suspenderse o retirarse.

Si tus clientes ya te preguntan cómo gobiernas tu IA, o quieres adelantarte antes de que lo hagan, en IAmanos ayudamos a empresas españolas y europeas a construir sistemas de IA que nacen alineados con la ISO 42001, el AI Act y el RGPD, sin burocracia innecesaria. Reserva una consultoría gratuita de 30 minutos y evaluamos juntos qué alcance tiene sentido para tu caso.

Sigue leyendo

AI Act europeo: qué obliga a tu empresa en 2026
Normativa y cumplimiento
AI Act europeo: qué obliga a tu empresa en 2026
RGPD e inteligencia artificial: guía práctica para pymes españolas
Normativa y cumplimiento
RGPD e inteligencia artificial: guía práctica para pymes españolas
VeriFactu 2027: guía clara para pymes y autónomos (sin agobios)
Normativa y cumplimiento
VeriFactu 2027: guía clara para pymes y autónomos (sin agobios)

Convierte este conocimiento en resultados

Nuestro equipo implementa soluciones de IA para empresas B2B. Agenda una consultoría gratuita.

Conversemos

¿No sabes por dónde empezar?

Déjanos tu correo y te contactamos para una consultoría gratuita.

🔒100% privado
Respuesta en 24h
Sin compromiso
+300 empresas ya empezaron así
Más artículos
1