En este artículo mostramos qué diferencia concretamente al EU AI Act del ISO 42001, dónde se superponen y cómo las pymes pueden cumplir ambos requisitos de manera eficiente con un único enfoque estratégico.
El EU AI Act regula QUÉ está permitido. ISO 42001 estructura CÓMO utilizar la IA de manera responsable. Ambos juntos conforman una verdadera gobernanza de IA. – Christian Paredes, EUCERTA
Lo que el EU AI Act exige concretamente a las PYME
El EU AI Act clasifica los sistemas de IA según categorías de riesgo. Para la mayoría de las pymes, dos categorías son relevantes: sistemas con riesgo mínimo —entre los que se incluyen chatbots, filtros de spam y la mayoría de las herramientas de negocio— y sistemas de alto riesgo, como la IA en la toma de decisiones de personal, la evaluación crediticia o el sector sanitario. Estos últimos están sujetos a requisitos significativamente más estrictos: documentación técnica, supervisión humana, registro en la base de datos de la UE y evaluaciones de conformidad periódicas.
A esto se suman las obligaciones para los proveedores de los denominados modelos de IA de uso general, es decir, variantes de GPT y modelos fundacionales similares. Quien integre dichos modelos en sus propios productos a través de una API asume obligaciones adicionales de transparencia y documentación. Lo que muchos pasan por alto: el mero uso de un sistema de alto riesgo en la propia empresa puede generar obligaciones propias, incluso si no se ha desarrollado el sistema internamente.
Lo que ISO 42001 ofrece – y por qué es más que simple cumplimiento normativo
Mientras que el EU AI Act representa principalmente un marco jurídico con prohibiciones, obligaciones y sanciones, ISO 42001 es una norma de sistema de gestión. Esto significa que no prescribe qué IA está permitida, sino cómo una organización debe utilizar la IA de manera sistemática, transparente y consciente del riesgo. El Sistema de Gestión de Inteligencia Artificial (AIMS, por sus siglas en inglés) según ISO 42001 abarca directrices, procesos, roles, análisis de riesgos y estructuras de documentación; en resumen: todo lo que una organización necesita para operar la IA no solo de forma legal, sino también de manera responsable.
Precisamente por eso, ISO 42001 no es una alternativa a la EU AI Act, sino su base operativa. Quien opera un AIMS certificado según ISO 42001 ya cuenta con la estructura y la documentación necesarias para la mayoría de los requisitos de la AI Act. La norma actúa como prueba de una gobernanza diligente, y eso tiene un valor tangible frente a autoridades, clientes y socios.
La doble estrategia: Una inversión, dos requisitos cumplidos
El núcleo de la estrategia dual reside en el reconocimiento de que ambos requisitos comparten las mismas bases: un inventario completo de todos los sistemas de IA, un análisis sistemático de riesgos, responsabilidades claras y documentación. Quien construya estas bases de forma sólida —como un AIMS conforme a ISO 42001— habrá completado ya la mitad del cumplimiento del AI Act. La otra mitad consiste en la clasificación legalmente conforme de los sistemas utilizados en las categorías de riesgo del AI Act, lo cual resulta considerablemente más sencillo desde el AIMS que partiendo de cero.
Para la implementación, recomendamos a las PYME una secuencia clara: primero establecer y certificar el AIMS conforme a ISO 42001, luego evaluar el propio panorama de IA en función de las clases de riesgo del AI Act y derivar las obligaciones específicas. Este enfoque no solo ahorra tiempo en comparación con dos proyectos separados, sino que también evita documentación redundante y estructuras de gobernanza contradictorias. Con EUCERTA, el AIMS puede certificarse en 48 horas, lo que hace que el punto de partida para ambas vías de cumplimiento sea significativamente más corto de lo que muchos esperan.
Conclusión: Quien empieza hoy, mañana tendrá una doble protección
La oleada regulatoria en torno a la IA no se reducirá en los próximos años, sino que será mayor. Quienes comiencen hoy con una estrategia integrada de cumplimiento de ISO 42001 y el EU AI Act están construyendo una base que no solo les protege de las sanciones actuales, sino que también les hace resilientes ante los requisitos futuros. La pregunta ya no es si, sino cuándo, y la respuesta para los propietarios de pymes con visión estratégica es: ahora.
Comience ahora con su certificación ISO 42001 – la base para una gobernanza sostenible de la IA. app.eucerta.com
