¿Nuestra organización necesita la Inteligencia Artificial (IA)?
¿Seremos capaces de demostrar que lo estamos haciendo bien con la IA?
¿Qué ventajas y desventajas tiene la IA para nuestro negocio?
Cualquier organización que trabaje con IA debe conocer los dos grandes marcos que están definiendo las reglas del juego:
El Reglamento de Inteligencia Artificial (RIA) [3] es una Ley europea que establece un marco legal común para el desarrollo, comercialización y uso de sistemas de IA. Tiene un enfoque basado en riesgo: tiene en cuenta prácticas inaceptables, regula los sistemas con alto riesgo e impone requisitos de seguridad, transparencia y supervisión humana, con el objetivo de proteger los derechos fundamentales, garantizar la seguridad y fomentar al mismo tiempo la innovación tecnológica dentro del mercado europeo [1]. Es decir, define qué se debe cumplir y es de obligado cumplimiento.
La Norma ISO42001:2023 [8][2] es un marco internacional que establece los requisitos para crear, implantar, mantener y mejorar un Sistema de Gestión de la IA (SGIA) dentro de una organización, con el objetivo de asegurar que el desarrollo y uso de sistemas de IA sean responsables, fiables y estén alineados con principios éticos y regulatorios; se basa en la estructura harmonizada de las normas ISO establecidas en el Anexo SL [4] y en un enfoque de gestión de riesgos, abarcando aspectos como la gobernanza, la transparencia, la supervisión humana, la seguridad, la calidad de los datos y la mejora continua. Es decir, define cómo montar un sistema de gestión de IA y es de cumplimiento voluntario.
La integración de ambas no debe pasar por implementar ambas por separado, sino utilizar el marco de la ISO42001:2023 para demostrar y sostener el cumplimiento exigido en el RIA. Veremos más adelante en este artículo, una de las formas de cómo abordar dicha tarea, pero aclaremos primero una de las falsas ideas que se observan en bastantes directivos de empresas.
El RIA afecta a tu organización porque no regula la tecnología, regula el impacto de su uso
Existe la idea, bastante extendida, de que el RIA es una norma pensada solo para quienes desarrollan sistemas de IA y esto no es cierto. Aunque los proveedores, sobre todo en sistemas de alto riesgo, soportan obligaciones técnicas muy exigentes, su aplicación alcanza también a las organizaciones que utilizan herramientas de terceros, especialmente cuando lo hacen en entornos sensibles.
La clave está en la clasificación. Para empezar, hay prácticas directamente prohibidas. También, hay sistemas de alto riesgo que exigen evaluación de conformidad antes de su comercialización o puesta en servicio. Por último, hay otros que están sujetos a obligaciones más limitadas. En cualquier caso, el Reglamento distingue claramente entre las obligaciones del proveedor y las del responsable del despliegue. ¡Sí, tu organización!
Por eso el cumplimiento no empieza en la teoría, sino en algo mucho más básico: saber qué sistemas de IA se están utilizando o se van a utilizar dentro de la organización. Porque como bien es sabido, no se puede controlar ni proteger lo que no se sabe que se tiene [9].
Convergencia entre el Reglamento y la Norma
Como se indicaba antes, es necesario encontrar los puntos de cruce entre el RIA y la Norma, ya que si se hace correctamente se generan sinergias capaces de sostener ambos marcos con un esfuerzo mínimo. Veamos algunos de los momentos en los que ambos marcos regulatorios convergen:
| RIA | ISO42001:2023 |
| Artículo 9 Sistema de gestión de riesgos 1.Se establecerá, implantará, documentará y mantendrá un sistema de gestión de riesgos en relación con los sistemas de IA de alto riesgo. 2.El sistema de gestión de riesgos se entenderá como un proceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requerirá revisiones y actualizaciones sistemáticas periódicas. Constará de las siguientes etapas: […] |
6 Planificación 6.1 Acciones para abordar riesgos y oportunidades […] 6.1.2 Evaluación de riesgos de la IA La organización deberá definir y establecer un proceso de evaluación de riesgos de IA que: […] |
| Estos dos requisitos, en realidad corresponden a la misma exigencia vista desde dos ángulos distintos. Generarían la misma evidencia tanto para el auditor interno, como para cualquier regulador. | |
|
Artículo 10 Datos y gobernanza de datos […] 2.Los conjuntos de datos de entrenamiento, validación y prueba se someterán a prácticas de gobernanza y gestión de datos adecuadas para la finalidad prevista del sistema de IA de alto riesgo. Dichas prácticas se centrarán, en particular, en lo siguiente: […] 3.Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, suficientemente representativos y, en la mayor medida posible, carecerán de errores y estarán completos en vista de su finalidad prevista. Asimismo, tendrán las propiedades estadísticas adecuadas, por ejemplo, cuando proceda, en lo que respecta a las personas o los colectivos de personas en relación con los cuales está previsto que se utilice el sistema de IA de alto riesgo. Los conjuntos de datos podrán reunir esas características para cada conjunto de datos individualmente o para una combinación de estos. […] 5.En la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo de conformidad con lo dispuesto en el apartado 2, letras f) y g), del presente artículo, los proveedores de dichos sistemas podrán tratar excepcionalmente las categorías especiales de datos personales siempre que ofrezcan las garantías adecuadas en relación con los derechos y las libertades fundamentales de las personas físicas. Además de las disposiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680, para que se produzca dicho tratamiento deben cumplirse todas las condiciones siguientes:[…] |
Anexo A A.7 Datos para sistemas de IA A.7.2 - Datos para el desarrollo y mejora del sistema de IA: La organización deberá definir, documentar e implementar procesos de gestión de datos relacionados con el desarrollo de sistemas de IA. A.7.3 – Adquisición de datos: La organización deberá determinar y documentar los detalles sobre la adquisición y selección de los datos utilizados en los sistemas de IA. A.7.4 – Calidad de los datos para los sistemas de IA: La organización deberá definir y documentar los requisitos de calidad de los datos y garantizar que los datos utilizados para desarrollar y operar el sistema de IA cumplan con esos requisitos. A.7.5 – Procedencia de los datos: La organización deberá definir y documentar un proceso para registrar la procedencia de los datos utilizados en sus sistemas de IA a lo largo de los ciclos de vida de los datos y del sistema de IA. |
| En este caso, se puede observar que el RIA exige ciertos criterios de representatividad y mitigación de sesgos, mientras que a su vez los controles del Anexo 7 proporcionan una metodología que permite formalizar la trazabilidad del origen, los criterios de preparación y su correspondiente validación, todo ello en un procedimiento reproducible a lo largo del tiempo. | |
| ANEXO IV Documentación técnica a que se refiere el artículo 11, apartado 1 La documentación técnica a que se refiere el artículo 11, apartado 1, incluirá como mínimo la siguiente información, aplicable al sistema de IA pertinente: 1. Una descripción general del sistema de IA que incluya: a) su finalidad prevista, el nombre del proveedor y la versión del sistema de tal manera que se refleje su relación con versiones anteriores; […] 2.Una descripción detallada de los elementos del sistema de IA y de su proceso de desarrollo, incluidos: a) los métodos y las medidas adoptados para el desarrollo del sistema de IA […] b) las especificaciones de diseño del sistema […] 3. Información detallada acerca de la supervisión, el funcionamiento y el control del sistema de IA […] |
7 Soporte […] 7.5 Información documentada […] 7.5.3 Control de la información documentada La información documentada requerida por el sistema de gestión de IA y por este documento deberá ser controlado para garantizar: a) esté disponible y sea adecuado para su uso, dónde y cuándo se necesite; b) esté adecuadamente protegido (por ejemplo, contra pérdida de confidencialidad, uso indebido o pérdida de integridad). |
| Por un lado, el RIA exige una documentación mínima y, por otro lado, la ISO42001:2023 la organiza para que se encuentre disponible, localizable y actualizada. | |
Como se observa de estos ejemplos, ambos marcos se complementan de forma que quien sepa aprovecharlos conjuntamente, tendrá muchas ventajas y se ahorrará muchos quebraderos de cabeza.
Llegó el momento de integrarlos, ¿Por dónde empezar?
Es importante destacar que la integración de ambos marcos se puede realizar de diversas formas. Cada organización puede adaptar la secuencia, los procesos y la profundidad de los controles según su tamaño, sector, capacidad o madurez en gestión de IA. Lo que se presenta a continuación es una de las formas posibles, diseñada para cubrir de manera sistemática tanto el cumplimiento regulatorio del RIA como la gobernanza de SGIA de la ISO42001:2023.
Veamos un paso a paso:
1. Identificar el alcance de los sistemas de IA
a. Inventariar todos los sistemas de IA propios y de terceros.
b. Clasificarlos según nivel de riesgo: prohibidos, alto riesgo, con obligaciones de transparencia, riesgo mínimo.
c. Registrar responsables: proveedor, del despliegue, importador, distribuidor, etc.
2. Mapear requisitos regulatorios RIA
a. Analizar artículos del RIA y anexos técnicos aplicables a cada sistema.
b. Identificar obligaciones por sujeto y por nivel de riesgo: transparencia, documentación técnica, pruebas de conformidad, registro de sistemas, etc.
3. Mapear requisitos ISO42001:2023
a. Revisar cláusulas 4–10 y controles del Anexo A.
b. Identificar procesos, políticas y controles que pueden cubrir obligaciones RIA.
c. Por ejemplo:
i. evaluación de desempeño ISO → pruebas de conformidad RIA.
ii. control de calidad de datos ISO → gestión de datos de alto riesgo RIA.
4. Realizar análisis de brechas (GAP)
a. Comparar requisitos del RIA con procesos y controles ISO existentes.
b. Identificar dónde faltan controles, documentación o evidencias objetivas.
5. Definir plan de integración y acciones correctivas
a. Asignar responsabilidades internas (cumplimiento, TI, CISO, operaciones, legal, etc).
b. Crear políticas, procedimientos y registros necesarios para cubrir requisitos legales.
c. Priorizar acciones para sistemas de alto riesgo.
6. Actualizar los procesos de la ISO42001:2023 para cumplir con el RIA
a. Integrar los requisitos regulatorios en procesos de gestión de IA.
b. Asegurar trazabilidad con las obligaciones del RIA vinculadas a las evidencias exigidas por la ISO (políticas, logs, registros de pruebas, documentación técnica).
7. Formación y sensibilización
a. Capacitar a los equipos de desarrollo, operaciones y cumplimiento sobre los riesgos del RIA y su uso correcto.
b. Garantizar que todos comprendan su rol en la gestión del riesgo y cumplimiento.
8. Monitorización y auditoría interna
a. Revisar periódicamente cumplimiento del RIA dentro del sistema ISO42001:2023.
b. Revisar el inventario de sistemas de IA utilizados, detectar desviaciones de cumplimiento de ambos marcos, documentar los hallazgos y actualizar los controles según sea necesario.
9. Mejora continua
a. Ajustar procesos y controles según cambios regulatorios o nuevas interpretaciones (jurisprudencia), revisar las nuevas implementaciones de IA.
b. Incorporar feedback de auditorías internas y externas.
c. Mantener registro de evidencia objetiva para inspecciones o auditorías regulatorias.
Conclusión
Integrar el RIA y la ISO42001:2023 no es una cuestión formal ni documental; es una decisión estratégica que habilita decisiones de negocio, desde mantenerse en competición en el mercado actual hasta abrir nuevas líneas de servicio y participación en licitaciones. El Reglamento marca el terreno de juego y las consecuencias de no cumplir. La ISO ofrece la estructura para jugar con orden, método y trazabilidad, incluso aunque no esté certificada.Las organizaciones que entienden esta convergencia ahora ya no están trabajando en su cumplimiento como una reacción, sino entendiendo el contexto y trabajando sistemáticamente. No improvisan ante una inspección ni corren antes de una auditoría, sino que ya disponen de procesos, evidencias y responsabilidades claras integradas en su operativa diaria y en su cultura organizacional.
En un entorno donde la IA ya no es experimental y donde la supervisión regulatoria será creciente, la ventaja no está en tener más tecnología, sino en tenerla gobernada. Integrar ambos marcos no es duplicar esfuerzos, es convertir la obligación legal en capacidad organizativa sostenible.
La cuestión, por tanto, no es si integrar RIA e ISO42001:2023, sino cuándo empezar a hacerlo de manera estructurada.
Si quiere saber en qué punto se encuentra su organización con respecto a la IA o ponerse manos a la obra para su adecuación, desde ISEC podemos ayudarle [5][6][7].
Referencias
[1] AESIA. Obtenido de Guia 1. Introducción al Reglamento de IA: https://aesia.digital.gob.es/storage/media/01-guia-introductoria-al-reglamento-de-ia-1770802981.pdf
[2] Amaya, J. R. (11 de Marzo de 2026). ISEC Auditors. Obtenido de La nueva era de la IA responsable: cómo implementar un SGIA con ISO/IEC 42001: https://blog.isecauditors.com/implantacion-de-un-sgia-iso-iec-42001-2023
[3] Diario Oficial de la Unión Europea. (2024 de Julio de 12). Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (Inteligencia Artificial). Obtenido de https://www.boe.es/buscar/doc.php?id=DOUE-L-2024-81079
[4] International Organization for Standardization. (30 de Julio de 2025). Annex SL Appendix 2 - Harmonized structure for MSS with guidance for use. Obtenido de https://www.iso.org/cms/render/live/en/sites/isoorg/home.isoDocumentsDownload.do?t=2EVmNRpfMEK8NcTL_uoAJceDlxYmmqpQWNk3r1MeLNWCXk6i10vZ-R5FEjIK-UOe
[5] ISEC Auditors. (s.f.). Auditoría Integral de Seguridad para Ecosistemas de IA. Obtenido de https://www.isecauditors.com/auditoria-integral-de-seguridad-para-ecosistemas-de-IA
[6] ISEC Auditors. (s.f.). Evaluación y Soporte al Cumplimiento en el Uso de IA. Obtenido de https://www.isecauditors.com/evaluacion-y-soporte-al-cumplimiento-uso-inteligencia-artificial
[7] ISEC Auditors. (s.f.). Implementación de SGIA ISO 42001. Obtenido de https://www.isecauditors.com/implementacion-sgia-iso-42001
[8] ISO. (2023). Norma ISO/IEC 42001:2023 - Tecnología de la información — Inteligencia artificial — Sistema de gestión.
[9] Prieto, J. A. (05 de Septiembre de 2025). ISEC Auditors. Obtenido de Del “Shadow IT” al “Shadow AI”: los nuevos fantasmas de los sistemas de información: https://blog.isecauditors.com/del-shadow-it-al-shadow-ai-los-nuevos-fantasmas-de-los-sistemas-de-informacion
