El estándar global de IA para las empresas, disponible en español

La inteligencia artificial (IA) ha emergido como una de las tecnologías más disruptivas del siglo XXI, transformando industrias, modelos de negocio y comportamientos sociales. Sin embargo, junto con sus beneficios, también plantea riesgos significativos en materia de privacidad, sesgos algorítmicos, transparencia o riesgos regulatorios crecientes.

Para abordar estos desafíos, las organizaciones internacionales ISO e IEC han desarrollado la Norma ISO/IEC 42001:2023, el primer estándar internacional enfocado en establecer un Sistema de Gestión para la Inteligencia Artificial (SGIA), en cuya elaboración han participado los expertos españoles a través del Subcomité UNE de Inteligencia artificial y big data (CTN-UNE 71/SC 42) donde están representadas 57 entidades con 136 expertos. Ahora, ha sido adoptada como norma española UNE-ISO/IEC 42001:2025 por la Asociación Española de Normalización, UNE. Esta Norma busca proporcionar un marco estructurado para gestionar el desarrollo y uso de sistemas de IA de forma ética, segura y legalmente conforme.

Los sistemas de IA plantean potencialmente, con respecto a los sistemas informáticos tradicionales, consideraciones específicas como:

• El uso de la IA para la toma de decisiones automatizada, a veces de forma no transparente ni explicable, puede requerir una gestión específica más allá de la gestión de los sistemas informáticos clásicos.

• El uso del análisis de datos, el descubrimiento y el aprendizaje automático, en lugar de la lógica codificada por humanos para diseñar sistemas, aumenta las oportunidades de aplicación de los sistemas de IA y, al mismo tiempo, cambia la forma en que dichos sistemas se desarrollan, justifican y despliegan.

• Los sistemas de IA que realizan un aprendizaje continuo cambian su comportamiento con el uso. Esto requiere una consideración especial para asegurar que su uso responsable continúe, aunque haya cambios de comportamiento.

Las necesidades y objetivos, procesos, tamaño y estructura de la organización, así como las expectativas de las distintas partes interesadas, influyen en el establecimiento e implementación del sistema de gestión de la IA. Otros factores que influyen en el establecimiento e implementación del sistema de gestión de la IA son los numerosos casos de uso de la IA y la necesidad de encontrar el equilibrio adecuado entre los mecanismos de gobernanza y la innovación.

Las organizaciones pueden optar por aplicar estos requisitos utilizando un enfoque basado en el riesgo para asegurarse de que se aplica el nivel adecuado de control para los casos de uso, servicios o productos específicos de IA en el ámbito de la organización. Es de esperar que todos estos factores de influencia cambien y se revisen cada cierto tiempo.

El sistema de gestión de la IA debería integrarse en los procesos y la estructura general de gestión de la organización. Las cuestiones específicas relacionadas con la IA deberían tenerse en cuenta en el diseño de los procesos, los sistemas de información y los controles. Ejemplos cruciales de dichos procesos de gestión son:

• La determinación de los objetivos de la organización, implicación de las partes interesadas y política de la organización.

• La gestión del riesgo y oportunidades.

• Los procesos para la gestión de las inquietudes relacionadas con la fiabilidad de los sistemas de IA, como la protección, seguridad, equidad, transparencia, calidad de los datos y calidad de los sistemas de IA durante su ciclo de vida.

• Los procesos para la gestión de proveedores, socios y terceros que provean o desarrollen sistemas de IA para la organización.

Cuando sean necesarios esos otros marcos de trabajo, se recomienda tener en cuenta los estándares desarrollados por los Comités europeo CEN/CLC/JTC 21 Artificial Intelligence, internacional ISO/IEC JTC 1/SC 42 Artificial intelligence u otros documentos de los indicados en la Bibliografía de la Norma UNE-ISO/IEC 42001:2025. La normalización en materia de IA está en plena efervescencia y es necesaria una actualización permanente para estar al día.

Una organización que cumpla con los requisitos de la Norma UNE-ISO/IEC 42001 puede generar evidencias de su responsabilidad y rendición de cuentas en relación con su papel respecto a los sistemas de IA.

La Norma UNE-ISO/IEC 42001:2025 especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la IA (SGIA) en el contexto de una organización. Está destinada para ser utilizada por una organización que provea o use productos o servicios que utilicen sistemas de IA y pretende ayudar a la organización a desarrollar, proveer o usar sistemas de IA de forma responsable en la consecución de sus objetivos y a cumplir los requisitos aplicables, las obligaciones relacionadas con las partes interesadas y las expectativas de éstas.

Esta Norma es aplicable a cualquier organización, independientemente de su tamaño, tipo y naturaleza, que provea o use productos o servicios que utilicen sistemas de IA.

Entre sus características principales se incluyen:

• Gestión de riesgos y oportunidades. Uno de los pilares fundamentales de la Norma UNE-ISO/IEC 42001:2025 es la gestión del riesgo. Las organizaciones deben identificar, evaluar y mitigar riesgos asociados al desarrollo, despliegue y operación de sistemas de IA, incluyendo aquellos que afectan a derechos humanos, reputación empresarial y cumplimiento normativo; lo que junto con la identificación de oportunidades permite a las organizaciones equilibrar la innovación con la gobernanza responsable.

• Ética y responsabilidad. Promueve el uso ético y responsable de la IA, abordando consideraciones como la transparencia, equidad y privacidad, fundamentales para generar confianza entre las partes interesadas. Estos elementos deben integrarse en toda la cadena de valor del sistema de IA.

• Trazabilidad y transparencia. Esta-blece la necesidad de procesos que aseguren la trazabilidad y transparencia en los sistemas de IA en todo su ciclo de vida, facilitando la comprensión y explicación de las decisiones tomadas por dichos sistemas.

• Gobernanza organizacional. La Norma UNE-ISO/IEC 42001:2025 establece estructuras de gobernanza que deben incluir responsabilidades claras, políticas internas, capacitación continua, auditorías internas y mecanismos de mejora continua. Esto asegura que el SGIA esté alineado con la estrategia de la organización.

• Mejora continua. Alienta a las organizaciones a revisar y mejorar constantemente sus prácticas de gestión de IA para adaptarse a los avances tecnológicos y cambios en el entorno operativo. Siguiendo el modelo clásico Planificar-Hacer-Verificar-Actuar, la Norma UNE-ISO/IEC 42001:2025 propone un enfoque iterativo para optimizar constantemente los procesos relacionados con la IA, adaptándose al cambio tecnológico, legal y social.

La implementación de la Norma UNE-ISO/IEC42001:2025 ofrece múltiples beneficios a las organizaciones:

• Reputación y confianza. Demuestra el compromiso de la organización con prácticas de IA responsables, fortaleciendo su reputación y fomentando la confianza entre clientes, socios, inversores, reguladores, organismos supervisores y demás partes interesadas.

• Eficiencia operativa. Al estandarizar procesos relacionados con la IA, se pueden lograr ahorros de costes y mejoras en la eficiencia operativa, reduciendo ineficiencias, duplicidades y errores. Esto contribuye a una mayor productividad y mejor uso de los recursos tecnológicos y humanos.

• Ventaja competitiva. Las organizaciones que adopten la Norma UNE-ISO/IEC 42001:2025 pueden diferenciarse en el mercado al demostrar una gestión sólida y responsable de la IA. En un mercado donde cada vez más empresas incorporan inteligencia artificial, aquellas que lo hagan bajo un marco reconocible internacionalmente, ético y estructurado se destacarán como líderes responsables, atrayendo clientes, inversores y talento cualificado.

• Cumplimiento legal. La Norma UNE-ISO/IEC 42001:2025 ayuda a las organizaciones a cumplir con las regulaciones y leyes relacionadas con la IA al proporcionar un marco claro para la gestión de riesgos y la implementación de prácticas responsables. Esto es especialmente relevante en un entorno legal en constante evolución, donde las organizaciones deben adaptarse rápidamente a nuevos requisitos.

• Integración con otros sistemas de gestión de ISO. Aplica la estructura de alto nivel armonizada (idénticos números de capítulo, títulos de capítulo, texto y términos comunes y definiciones básicas) desarrollada para potenciar el alineamiento entre las normas de sistemas de gestión y ser compatible e integrarse fácilmente con otros sistemas de gestión de ISO/IEC. Esta integración permite a las organizaciones gestionar de manera coherente y eficiente múltiples aspectos de su operativa, desde la seguridad de la información hasta la gestión de la calidad o la responsabilidad ambiental, entre otros.

La inteligencia artificial (IA) se está consolidando como un factor clave de competitividad para empresas e instituciones públicas, además de influir de forma creciente en nuestras interacciones sociales. Sin embargo, su aplicación plantea desafíos significativos, como la falta de transparencia o explicación en sus decisiones; o su naturaleza dinámica derivada del aprendizaje continuo, que la distingue de los sistemas determinísticos tradicionales.

Para aprovechar todo el potencial de la IA y abordar adecuadamente sus riesgos, se requiere una gestión estructurada y eficaz de estos sistemas. En este contexto, la Norma ISO/IEC 42001 establece los requisitos para implementar, mantener y mejorar de forma continua un sistema de gestión de la inteligencia artificial en el seno de una organización. Ofreciendo un marco que permite, a empresas, Administraciones públicas e instituciones, incorporar salvaguardas adaptadas a las particularidades propias de la IA.

Uno de los aspectos más destacados de la Norma es su compatibilidad con otros sistemas de gestión, lo que facilita su integración en estructuras organizativas ya existentes. Asimismo, promueve un enfoque basado en el riesgo, permitiendo a cada organización aplicar los controles más adecuados en función de su contexto, sus usos específicos de la IA y las expectativas de las partes interesadas.

Adoptar la Norma ISO/IEC 42001 no es solamente cumplir con una norma, es asumir un compromiso estratégico con la confianza, la calidad y la rendición de cuentas en el uso de la IA.