La rápida evolución de la Inteligencia Artificial ha impulsado la creación de nuevas normas que ayuden a las organizaciones a gestionarla de manera segura, fiable y conforme a la regulación europea. En este contexto emergen distintos estándares que, aunque relacionados, desempeñan funciones complementarias en el ecosistema de gobernanza y cumplimiento de la IA.

Por un lado, disponemos de ISO/IEC 42001:2023, la primera norma internacional que define los requisitos para un Sistema de Gestión de Inteligencia Artificial (SGIA) aplicable a cualquier organización que diseñe, desarrolle, implemente o utilice sistemas de IA. Sin valor regulatorio directo, la norma busca promover una gestión responsable y transparente de la IA mediante políticas, controles y procesos verificables a lo largo de su ciclo de vida, con énfasis en la gestión organizativa, la calidad de los datos, la evaluación de impactos, la trazabilidad y la mejora continua.

Por otro lado, como norma europea armonizada de CEN-CENELEC, figura la prEN 18286, actualmente en fase de borrador. En este documento se pretenden establecer los requisitos de un Sistema de Gestión de la Calidad (QMS) para cumplir con las obligaciones del Reglamento Europeo de Inteligencia Artificial (AI Act). Su objetivo no es la gestión ética en general, sino la demostración de conformidad legal con el artículo 17 del AI Act, especialmente para los proveedores de sistemas de IA de alto riesgo.

Solapamientos y Áreas Comunes

Ambas normas comparten una arquitectura común basada en la estructura de alto nivel ISO, lo que facilita su integración. Tanto ISO 42001 como prEN 18286 exigen: políticas documentados de IA, gestión del ciclo de vida completo, gestión de riesgos y trazabilidad documental. Ambos documentos promueven la trazabilidad, la transparencia y la evaluación continua de los sistemas de IA, siendo las cláusulas sobre gestión, ciclo de vida, control de datos, roles, evaluación de impacto y relación con terceros prácticamente equivalentes.

Ambas normas coinciden en exigir una gestión estructurada de la IA basada en políticas, riesgos, trazabilidad y control del ciclo de vida.

Diferencias

Las diferencias entre ISO/IEC 42001 y prEN 18286 reflejan propósitos y niveles de exigencia distintos. Mientras que ISO/IEC 42001 establece un marco voluntario de gestión ética y responsable de la IA, prEN 18286 traduce esas buenas prácticas en requisitos obligatorios para demostrar la conformidad con el Reglamento Europeo de IA (AI Act). Esto implica que prEN 18286 introduce componentes ausentes o menos desarrollados en la ISO 42001, como la evaluación del impacto en los derechos fundamentales, la vigilancia posmercado, la notificación de incidentes y la trazabilidad regulatoria.

En resumen, aunque ambas comparten una base común, prEN 18286 tiene un alcance más estricto, jurídico y verificable, convirtiéndose en una herramienta esencial para la certificación y supervisión de sistemas de IA de alto riesgo en Europa.

Las diferencias entre 42001 y prEN 28286 marcan una línea entre un sistema de gestión “ético y responsable” (ISO 42001) y un sistema de gestión con “conformidad legal” (prEN 18286).

Enfoque, Roles y Complementariedad

La conclusión tras un análisis exhaustivo de ambas normas es que son complementarias más que excluyentes. ISO 42001 sirve como marco de gestión organizacional, aplicable a cualquier entidad que desarrolle o utilice IA, incluidos los usuarios, los implementadores o los integradores. prEN 18286, en cambio, se dirige específicamente a los proveedores y fabricantes de sistemas de IA de alto riesgo, aunque sus principios también resultan útiles para importadores o distribuidores en la cadena de valor. Por ello, en organizaciones que desempeñan varios roles (por ejemplo, una empresa que desarrolla e implementa IA internamente), lo más eficiente sería implementar un sistema de gestión integrado que combine ambos estándares: ISO 42001 como estructura de gestión transversal y prEN 18286 como capa regulatoria que garantiza la conformidad con el AI Act.

Ambas normas son complementarias: ISO 42001 abarca parcialmente el AI Act como buena práctica, mientras que prEN 18286 lo cubre de forma completa y vinculante.

En resumen, ISO 42001 establece el “cómo gestionar la IA responsablemente”, y prEN 18286 define “cómo demostrar que esa gestión cumple la ley europea”. Adoptarlas conjuntamente permitirá a las organizaciones europeas no solo actuar con responsabilidad y ética, sino también certificarse con garantías de cumplimiento regulatorio en el nuevo marco jurídico de la IA.