IA y gestion

ISO 42005 — Evaluación de impacto de sistemas de IA

La ISO/IEC 42005:2025 es la primera norma internacional que establece cómo evaluar los efectos de un sistema de IA sobre personas, grupos y sociedad a lo largo de todo su ciclo de vida. Si tu empresa desarrolla o despliega IA, este análisis ya no es opcional: el Reglamento Europeo de IA lo exige para sistemas de alto riesgo.

NormaISO/IEC 42005:2025
PublicaciónMayo 2025
ÁmbitoCualquier organización que desarrolle o use IA

La ISO/IEC 42005:2025 fue publicada en mayo de 2025 por ISO e IEC como norma de directrices —no certificable— diseñada para que las organizaciones evalúen de forma sistemática el impacto de sus sistemas de inteligencia artificial. A diferencia de ISO 42001, que define el sistema de gestión de IA a nivel organizativo, la 42005 desciende al nivel de cada sistema concreto: qué efectos produce, sobre quién, en qué momento del ciclo de vida y qué controles mitigan esos efectos. Es el complemento técnico que completa el cuadro de gobernanza.

La norma estructura la evaluación en torno a seis dimensiones de impacto: social, económica, medioambiental, ética, de privacidad y de gobernanza. Para cada dimensión se identifican los grupos afectados —empleados, usuarios finales, terceros, comunidades—, se analiza la probabilidad y la severidad del impacto, y se documentan las medidas de mitigación adoptadas. El resultado es un registro auditado que demuestra diligencia debida ante reguladores, socios y clientes. Este enfoque se alinea directamente con el Artículo 27 del AI Act europeo, que exige evaluaciones de impacto sobre derechos fundamentales a los organismos públicos, entidades privadas que prestan servicios públicos y desplegadores de determinados sistemas de IA de alto riesgo.

En Summum Calidad acompañamos este proceso desde el análisis inicial hasta la integración de las conclusiones en el sistema de gestión de IA existente —o en construcción—. Con más de 18 años de experiencia en implantaciones de sistemas normalizados y cerca de 200 certificaciones ISO acompañadas desde 2007, sabemos traducir requisitos técnicos en procedimientos que el equipo interno puede sostener sin depender de consultores externos. Si ya dispones de ISO 42001, la 42005 es el paso natural para demostrar que tu gobernanza de IA opera también a nivel de sistema, no solo de organización.

El proceso de ISO 42005.

El proceso · cuatro tiempos
01

Inventario y priorización de sistemas

Identificamos todos los sistemas de IA en uso o desarrollo, definimos umbrales de evaluación y priorizamos según nivel de riesgo, sector y exposición regulatoria bajo el AI Act.

02

Evaluación de impactos por dimensión

Analizamos cada sistema en las seis dimensiones de la norma (social, económica, medioambiental, ética, privacidad, gobernanza), identificando grupos afectados, probabilidad y severidad de cada impacto.

03

Plan de mitigación y controles

Diseñamos medidas técnicas y procedimentales para reducir los impactos negativos identificados, los vinculamos al registro de riesgos y establecemos responsables internos de seguimiento.

04

Documentación, aprobación y monitoreo continuo

Formalizamos el informe de evaluación con trazabilidad completa, obtenemos la aprobación interna requerida y configuramos el proceso de revisión periódica conforme al ciclo de vida del sistema.

Qué incluye

Qué incluye ISO 42005.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Inventario de sistemas de IA

    Catálogo estructurado de todos los sistemas que deben someterse a evaluación, con criterios de priorización y umbrales documentados.

  • Plantillas de evaluación normalizadas

    Cuestionarios y matrices alineados con la ISO/IEC 42005:2025 y los requisitos del AI Act para cada categoría de riesgo.

  • Análisis de partes interesadas afectadas

    Identificación y clasificación de todos los grupos potencialmente impactados: empleados, clientes, proveedores y comunidad.

  • Registro de impactos y controles

    Documento auditado que recoge impactos identificados, valoración de riesgo, medidas de mitigación adoptadas y evidencias asociadas.

  • Integración con ISO 42001

    Vinculación de los resultados de la evaluación al sistema de gestión de IA existente o en implantación, cerrando el bucle de gobernanza.

  • Formación del equipo interno

    Capacitación práctica para que el equipo responsable de IA pueda ejecutar evaluaciones sucesivas de forma autónoma sin depender de apoyo externo continuo.

Preguntas frecuentes sobre ISO 42005.

¿ISO 42005 es certificable?

No. La ISO/IEC 42005:2025 es una norma de directrices, no de requisitos. No existe un proceso de certificación por tercera parte para esta norma. Su valor reside en el rigor metodológico que aporta y en la documentación auditada que genera, que sirve como evidencia de diligencia debida ante reguladores y auditores del AI Act.

¿Qué diferencia hay entre ISO 42001 e ISO 42005?

ISO 42001 define el sistema de gestión de IA a nivel de toda la organización y sí es certificable. ISO 42005 opera al nivel de cada sistema de IA concreto y proporciona el método para evaluar su impacto específico. Son complementarias: 42001 da el marco; 42005 lo aplica sistema a sistema.

¿A qué empresas afecta la evaluación de impacto de IA?

A cualquier organización que desarrolle, implante o use sistemas de IA, especialmente si operan en sectores de alto riesgo según el AI Act (recursos humanos, crédito, acceso a servicios esenciales, infraestructura crítica). Las empresas que proveen IA a administraciones públicas o sectores regulados tienen obligaciones más estrictas y plazos más cercanos.

¿Cuánto tiempo lleva completar una evaluación de impacto según ISO 42005?

Depende del número de sistemas y su complejidad. Para una pyme con uno o dos sistemas de IA en producción, un proceso bien guiado puede completarse en cuatro a ocho semanas. El mayor esfuerzo recae en el inventario inicial y en la identificación de grupos afectados; una vez establecida la metodología, las evaluaciones sucesivas son significativamente más rápidas.

¿La ISO 42005 cumple con el AI Act europeo?

La norma se alinea con el Artículo 27 del AI Act, que obliga a los organismos públicos, a las entidades privadas que prestan servicios públicos y a los desplegadores de sistemas de IA de alto riesgo incluidos en los puntos 5(b) y 5(c) del Anexo III a realizar evaluaciones de impacto sobre derechos fundamentales. Aunque ISO 42005 no está armonizada oficialmente con el Reglamento, su aplicación aporta evidencia sólida de cumplimiento y sistematiza el proceso que el AI Act exige documentar.