El Reglamento (UE) 2024/1689 (AI Act) entra en aplicación general el 2 de agosto de 2026 —a solo dos semanas de esta publicación— (las obligaciones de alto riesgo del Anexo III quedan aplazadas al 2 de diciembre de 2027 por el Digital Omnibus, acuerdo político del 7 de mayo de 2026 pendiente de publicación en el DOUE tras la aprobación del Parlamento Europeo (16-jun-2026) y el Consejo (29-jun-2026)), y muchas empresas que ya están certificando o han certificado ISO/IEC 42001 nos hacen la misma pregunta: si ya tengo el sistema de gestión de IA, ¿tengo ya cubierto el AI Act? La respuesta corta es: en gran parte sí, pero no del todo. Este artículo mapea, control a control, dónde coincide el Anexo A de ISO 42001 con las obligaciones legales del Reglamento y dónde queda un hueco que el certificado, por sí solo, no cierra.
Por qué se solapan (y por qué no son lo mismo)
ISO/IEC 42001:2023 es una norma de sistema de gestión, de adopción voluntaria: certifica que la organización gobierna su IA de forma sistemática, con política, roles, inventario, evaluación de riesgos e impacto, controles y mejora continua. El AI Act es una ley de obligado cumplimiento en toda la UE que impone requisitos concretos según el rol (proveedor, implementador, importador, distribuidor) y el nivel de riesgo del sistema. Ambos marcos comparten una arquitectura de gestión de riesgos muy parecida —no es casualidad: ISO/IEC 42001 se diseñó pensando en marcos regulatorios como el europeo—, y esa arquitectura común es lo que permite reutilizar buena parte del trabajo. Pero un certificado ISO 42001 no exime de las obligaciones legales del Reglamento: no sustituye la declaración de conformidad, no sustituye el registro obligatorio en la base de datos de la UE para sistemas de alto riesgo, y no evita las sanciones del art. 99 si la ley se incumple.
Tabla de equivalencias: Anexo A de ISO 42001 vs. obligaciones del AI Act
| Ámbito de control | ISO/IEC 42001 (Anexo A / cláusulas del sistema) | AI Act (obligación legal) | ¿Se solapa? |
|---|---|---|---|
| Gestión de riesgos | Evaluación de riesgos de IA a lo largo del ciclo de vida, como proceso continuo del sistema de gestión | Art. 9: sistema de gestión de riesgos «continuo e iterativo» para sistemas de alto riesgo, con identificación, estimación, evaluación de medidas y pruebas frente a umbrales definidos | Alto — misma lógica de proceso continuo, el AI Act añade el requisito de testing frente a métricas predefinidas |
| Gobernanza de datos | Controles sobre calidad, origen y gestión de datos usados por los sistemas de IA | Art. 10: datos de entrenamiento, validación y prueba «pertinentes, suficientemente representativos y, en la mayor medida posible, libres de errores», con examen de sesgos | Alto — mismo objetivo de calidad de datos, el AI Act detalla el examen de sesgos con más precisión jurídica |
| Registro y trazabilidad | Controles de documentación y registro de eventos relevantes del sistema de gestión | Art. 12: registro automático de eventos (logs) durante toda la vida del sistema de alto riesgo, exigible desde el 2-dic-2027 (aplazado por el Digital Omnibus; el art. 113 fijaba originalmente el 2-ago-2026) | Medio — el sistema de gestión pide registrar, el AI Act exige que el propio sistema de IA lo haga técnicamente de forma automática |
| Supervisión humana | Roles y responsabilidades definidos (propietario del sistema, aprobador, nivel de autonomía aceptado) | Art. 14: supervisión humana efectiva, con capacidad de override, parada de emergencia y verificación reforzada en biometría | Medio — el SGIA define quién supervisa, el AI Act exige además que el propio sistema esté diseñado para permitirlo |
| Alfabetización del personal | Formación y competencia del personal que interviene en el sistema de gestión de IA | Art. 4: alfabetización en IA de proveedores e implementadores, vigente desde el 2-feb-2025 —ya exigible hoy— | Alto — es prácticamente el mismo control con nombre distinto |
| Documentación técnica | Documentación del sistema de gestión: alcance, inventario, políticas, evidencias de auditoría | Art. 11 y Anexo IV: expediente técnico específico por sistema de alto riesgo (descripción, desarrollo, datos, validación, supervisión post-mercado) | Parcial — el SGIA aporta el marco documental, pero el Anexo IV exige un expediente técnico por sistema con contenido propio que no genera la norma por sí sola |
| Evaluación de conformidad | No contemplada — ISO 42001 certifica el sistema de gestión, no un producto concreto | Evaluación de conformidad, marcado CE y registro en la base de datos de la UE para sistemas de alto riesgo del Anexo III | Ninguno — obligación legal propia que el certificado no cubre |
| Régimen sancionador | No aplica — es una norma voluntaria, sin sanciones asociadas | Art. 99: hasta 35 M€/7% (prohibiciones art. 5), 15 M€/3% (incumplimientos operacionales), 7,5 M€/1% (información engañosa); a pymes se aplica el importe más bajo de cada tramo | Ninguno directo — pero un SGIA certificado es evidencia de diligencia que las autoridades pueden ponderar |
Nota: el mapeo anterior compara el propósito y la estructura de los controles habituales de un sistema de gestión de IA conforme a ISO/IEC 42001 con el texto literal de los artículos citados del Reglamento (UE) 2024/1689, consultado en EUR-Lex y en el compendio artículo por artículo de artificialintelligenceact.eu. No es una tabla de equivalencia oficial ni sustituye un análisis de conformidad específico para tu organización.
Lo que ISO 42001 ya te da hecho
Si tu empresa ya tiene el sistema de gestión de IA implantado —alcance definido, inventario de sistemas, política, análisis de riesgos e impactos, roles asignados, gestión de proveedores y ciclo de mejora continua auditado—, has recorrido la parte más pesada del trabajo de gobernanza que también pide el AI Act. En concreto, llegas con ventaja a tres frentes: la gestión de riesgos del art. 9, la gobernanza de datos del art. 10 y, sobre todo, la alfabetización del art. 4 —que además ya es exigible desde febrero de 2025, no desde agosto de 2026—. El inventario de sistemas de IA que exige un SGIA maduro es también el primer paso obligado para clasificar qué sistemas caen en el Anexo III de alto riesgo, así que el trabajo de inventariar no se hace dos veces.
Lo que el AI Act exige y ISO 42001 no cierra por sí sola
Tres piezas quedan fuera del alcance de la norma de gestión, y ninguna consultoría honesta debería vender el certificado como si las cubriera:
- La evaluación de conformidad y el marcado CE de un sistema de alto riesgo concreto, con su registro en la base de datos pública de la UE, es un trámite legal específico por sistema —no lo genera un sistema de gestión, por muy maduro que esté—.
- El expediente técnico del Anexo IV tiene un contenido mínimo propio (descripción general, datos de entrenamiento, validación, supervisión post-mercado) que va más allá de la documentación habitual de un SGIA y se redacta sistema por sistema, no una sola vez para toda la organización.
- El registro automático de eventos del art. 12 y la supervisión humana efectiva del art. 14 exigen que el propio sistema de IA esté diseñado técnicamente para permitirlo —logging real, mecanismos de parada de emergencia—, algo que corresponde a la capa de implementación técnica, no al sistema de gestión.
Esta última pieza es precisamente donde entra la adecuación técnica al AI Act de Summum IA: los controles técnicos de los arts. 8-15 se implementan en el sistema de IA, no en el manual del SGIA, y es habitual que el mismo equipo que certifica la 42001 coordine esa capa técnica para no dejar el hueco abierto.
Qué hacer si ya tienes ISO 42001 y te preocupa el AI Act
- Revisa tu inventario de sistemas de IA y clasifica cuáles caen en las 8 categorías de alto riesgo del Anexo III (biometría, infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia).
- Para los que sí son de alto riesgo, comprueba si el expediente técnico existente cubre las seis secciones del Anexo IV o si falta documentación específica.
- Verifica que el registro automático de eventos (art. 12) y la supervisión humana (art. 14) están implementados a nivel técnico, no solo descritos en la política del SGIA.
- Confirma que la alfabetización en IA del personal (art. 4) está documentada de forma que pueda acreditarse ante una inspección — esta obligación ya es exigible hoy, no en agosto.
- Determina la evaluación de conformidad y el registro ante la autoridad que correspondan a cada sistema de alto riesgo antes del 2 de diciembre de 2027, fecha aplazada por el Digital Omnibus (acuerdo político del 7 de mayo de 2026, pendiente de publicación en el DOUE tras la aprobación del Parlamento Europeo (16-jun-2026) y el Consejo (29-jun-2026)).
Si tu empresa ya certifica o está implantando ISO 42001 con Summum Calidad, este mapeo es el punto de partida para saber exactamente qué falta —ni más ni menos— antes de la fecha límite. Y si el sistema de gestión convive con un análisis de impacto en las personas afectadas, la evaluación de impacto de IA conforme a ISO 42005 es la pieza que completa esa capa, complementaria al propio SGIA.
Preguntas frecuentes
¿Certificar ISO 42001 me exime de cumplir el AI Act?
No. ISO 42001 es una norma voluntaria de sistema de gestión; el AI Act es una ley de obligado cumplimiento con sanciones propias (art. 99). El certificado demuestra gobernanza sistemática y puede considerarse evidencia de diligencia, pero no sustituye la evaluación de conformidad, el marcado CE ni el registro legal de los sistemas de alto riesgo.
¿Qué controles del Anexo A se solapan más con el AI Act?
Los de gestión de riesgos (equivalente al art. 9), gobernanza de datos (art. 10) y, sobre todo, la formación y competencia del personal, que coincide casi literalmente con la alfabetización en IA del art. 4 —ya vigente desde el 2 de febrero de 2025—.
¿Necesito ISO 42001 para cumplir el AI Act?
No es obligatoria. El AI Act no exige ninguna certificación específica para la mayoría de sistemas; exige cumplir sus obligaciones directamente. Pero un SGIA certificado organiza el trabajo necesario para cumplirlas de forma mucho más eficiente que abordar cada obligación de forma aislada, y evita duplicar el inventario, el análisis de riesgos y la formación del personal.
¿Y si mi empresa no tiene ningún sistema de alto riesgo del Anexo III?
Aun así, el art. 4 (alfabetización) aplica a cualquier proveedor o implementador de IA, y las obligaciones de transparencia del art. 50 pueden aplicar según el tipo de sistema. El mapeo de controles sigue siendo útil para no sobredimensionar el esfuerzo: un SGIA proporcional evita implantar controles de alto riesgo en sistemas que no lo son.