La inteligencia artificial ya no es ciencia ficción. Está en tu CRM, en tu scoring crediticio, en tu cadena de suministro. ISO 42001 es la primera norma internacional para gestionar IA de forma responsable. Si tu empresa desarrolla, integra o usa IA, esta guía te explica todo lo que necesitás saber.
¿Qué es ISO 42001?
ISO/IEC 42001:2023 es el estándar internacional que define los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Inteligencia Artificial (SGIA). Publicada en diciembre de 2023, es la primera norma de gestión específica para IA.
No se trata de regular la tecnología en sí, sino de cómo la organización gobierna, controla y mejora el uso de IA. Cubre todo el ciclo de vida: desde el diseño y desarrollo hasta el despliegue, monitoreo y retiro de sistemas de IA.
Los pilares fundamentales de la norma son:
Gobernanza
Roles claros, políticas definidas y liderazgo comprometido con el uso responsable de IA.
Gestión de riesgos
Evaluación de impacto, sesgos, alucinaciones y riesgos éticos de cada sistema de IA.
Transparencia
Documentación de modelos, datos de entrenamiento, criterios de decisión y explicabilidad.
Mejora continua
Monitoreo de performance, reentrenamiento controlado y auditorías internas del SGIA.
El contexto regulatorio en Argentina
Argentina todavía no tiene una ley específica de IA, pero el ecosistema regulatorio se está moviendo rápido:
Plan Nacional de IA (actualización)
La Secretaría de Innovación actualizó el plan con foco en IA responsable, ética y estándares internacionales como referencia.
Proyecto de Ley de regulación de IA
Expediente S-1213/2024: propone clasificación de riesgo (similar al AI Act europeo), evaluaciones de impacto obligatorias y registro de sistemas de IA de alto riesgo.
Ley de Protección de Datos Personales (reforma)
La reforma incluye decisiones automatizadas y perfilamiento algorítmico. Exige transparencia cuando una IA toma decisiones que afectan personas.
Adopción ISO 42001 por IRAM
IRAM adoptó ISO 42001 como norma nacional. Las empresas que certifican ahora se anticipan a los marcos regulatorios que se están definiendo.
¿A quién aplica ISO 42001?
ISO 42001 aplica a cualquier organización que desarrolle, provea o use sistemas de IA, sin importar su tamaño. Pero no todas las empresas tienen la misma urgencia. Esta tabla te ayuda a evaluar tu nivel:
| Tipo de organización | Ejemplos | Urgencia |
|---|---|---|
| Desarrollan IA | Startups de ML, software houses con productos de IA, laboratorios de datos | Crítica |
| Integran IA en procesos críticos | Fintechs (scoring), healthtechs (diagnóstico), insurtech (suscripción) | Crítica |
| Usan IA generativa en procesos | Empresas con ChatGPT/Copilot en atención al cliente, contenido, análisis | Alta |
| Exportan servicios tech a UE/USA | Consultoras tech, software factories, BPO con componente de IA | Alta |
| Agtech / Industria 4.0 | Agricultura de precisión, manufactura con IA predictiva, logística smart | Moderada |
| Empresas con IA en soporte | Chatbots, recomendaciones, analytics básico | Recomendada |
Requisitos clave de ISO 42001
La norma sigue la estructura HLS de 10 cláusulas. Estos son los requisitos específicos que la diferencian de otras ISO:
Contexto + partes interesadas
Identificar quiénes se ven afectados por tus sistemas de IA: clientes, usuarios, empleados, reguladores, sociedad civil.
Liderazgo y política de IA
Política de IA responsable definida y comunicada. Roles claros: líder del SGIA, equipo de gobernanza de IA, comité de ética.
Planificación + evaluación de impacto
Evaluación de riesgos de IA (sesgos, alucinaciones, impacto social). Evaluación de impacto de IA obligatoria para sistemas de alto riesgo.
Soporte y competencias
Competencias técnicas y éticas del equipo de IA documentadas. Concienciación sobre riesgos de IA en toda la organización.
Operación del SGIA
Ciclo de vida de cada sistema de IA documentado: datos, desarrollo, validación, despliegue, monitoreo y retiro. Control de cambios.
Evaluación de desempeño + mejora
Monitoreo de performance de los sistemas de IA, auditoría interna del SGIA, revisión por la dirección y acción correctiva.
Controles del Anexo A: lo que hace única a ISO 42001
A diferencia de ISO 9001 o 14001, ISO 42001 incluye un Anexo A con 39 controles específicos para IA, agrupados en 9 dominios. Son la columna vertebral de la implementación:
| Dominio | Controles | Qué cubre |
|---|---|---|
| A.2 Políticas de IA | 2 | Política de IA, principios éticos y alineación con valores organizacionales |
| A.3 Organización interna | 3 | Roles, responsabilidades, supervisión, rendición de cuentas |
| A.4 Recursos para IA | 5 | Datos, infraestructura, herramientas, componentes de terceros, inventario de sistemas |
| A.5 Evaluación de impacto | 4 | Impacto en individuos y grupos, sociedad, sesgo y equidad, uso indebido |
| A.6 Ciclo de vida | 7 | Diseño, datos, desarrollo, verificación, validación, despliegue, operación |
| A.7 Datos | 5 | Calidad de datos, procedencia, etiquetado, privacidad, representatividad |
| A.8 Información | 4 | Transparencia, explicabilidad, comunicación a usuarios, documentación técnica |
| A.9 Uso de IA | 4 | Uso responsable, monitoreo continuo, supervisión humana, trazabilidad |
| A.10 Terceros | 5 | Proveedores de IA, APIs, modelos preentrenados, cadena de suministro de IA |
Ruta de implementación: paso a paso
Este es el camino más eficiente para llegar a la certificación ISO 42001:
Inventario de sistemas de IA
Relevá todos los sistemas, modelos, APIs y herramientas de IA que usa tu organización. Clasificá por criticidad y riesgo. Incluí IA generativa (ChatGPT, Copilot, etc.).
Evaluación de riesgos e impacto
Para cada sistema de IA: evaluá riesgos (sesgo, alucinación, privacidad, seguridad), impacto en personas y definí niveles de riesgo. Es la base de todo el SGIA.
Construí el SGIA
Definí política de IA, objetivos, roles (líder SGIA, comité de ética), procesos del ciclo de vida, controles del Anexo A aplicables y la Declaración de Aplicabilidad.
Documentá datos, modelos y decisiones
Documentación técnica de cada sistema: datos de entrenamiento (procedencia, calidad), arquitectura del modelo, criterios de decisión, pruebas de sesgo y explicabilidad.
Auditoría interna + Revisión por la dirección
Auditoría interna del SGIA completo. Revisión por la dirección con agenda específica de IA. Corrección de hallazgos antes de la certificación.
Auditoría de certificación
Etapa 1: revisión documental del SGIA y SoA (1-2 días). Etapa 2: verificación in-situ de la implementación (2-3 días). Decisión y emisión del certificado.
Errores frecuentes que retrasan la certificación
Tratar ISO 42001 como un proyecto solo de IT
Es un sistema de gestión organizacional. Requiere liderazgo, gobernanza y participación de la dirección. Si lo dejás solo al CTO, te falta el 50% de la norma.
No inventariar la IA "invisible"
Muchas empresas usan IA sin saberlo: recomendaciones de CRM, filtros de RRHH, chatbots de soporte, análisis predictivo embebido. Si no lo inventariaste, no lo podés gobernar.
Ignorar la cadena de suministro de IA
APIs de terceros (OpenAI, Google, AWS), modelos preentrenados, datasets comprados. ISO 42001 exige control de proveedores de IA. Si usás GPT-4 vía API, necesitás documentar riesgos y controles.
Evaluar riesgos solo técnicos
ISO 42001 exige evaluar impacto en personas: discriminación, privacidad, autonomía, bienestar. No alcanza con medir accuracy del modelo. Hay que pensar en quién se ve afectado.
Documentar una vez y olvidarse
Los modelos de IA cambian: se reentrenan, se actualizan los datos, cambian los prompts. ISO 42001 pide control de cambios y monitoreo continuo. No es un documento estático.
Integración con ISO 27001: la combinación ideal
Si manejás datos sensibles con IA — y casi siempre es el caso — la combinación ISO 42001 + ISO 27001 es natural y altamente recomendada:
- Gobernanza de IA sin controles de seguridad robustos
- Gestión de datos de IA sin framework de infosec
- Clientes tech piden ambas certificaciones
- Documentación separada si agregás 27001 después
- IA responsable + seguridad de información
- Misma estructura HLS = documentación unificada
- Ahorro del 25-35% en auditorías combinadas
- Cumplís data governance y AI governance juntos
Tiempos y costos reales
Construir el SGIA desde cero: inventario, evaluación de riesgos, documentación, controles y auditoría interna.
La estructura de gestión ya existe. Solo necesitás los controles específicos de IA del Anexo A y la evaluación de impacto.
Ciclo completo de 3 años (certificación + 2 vigilancias). Hasta 50 empleados, 1-3 sistemas de IA.
Casos de uso: ¿dónde aplica en Argentina?
Scoring crediticio con ML
Modelos que deciden si una persona accede a crédito. Riesgo de sesgo por género, ubicación o edad. ISO 42001 exige evaluación de impacto, transparencia y supervisión humana.
Diagnóstico asistido por IA
Algoritmos que procesan imágenes médicas o datos clínicos. Riesgo de falsos negativos con impacto vital. Necesitás trazabilidad, validación y control de cambios riguroso.
Agricultura de precisión
Modelos predictivos para riego, fertilización y cosecha. Datos satelitales, sensores IoT. Menor riesgo ético, pero alto impacto económico en decisiones automatizadas.
Filtrado de CVs con IA
Herramientas que preseleccionan candidatos. Alto riesgo de sesgo por género, edad, universidad. La reforma de datos personales en Argentina ya cubre decisiones automatizadas.
ChatGPT / Copilot en procesos
Atención al cliente, generación de contenido, análisis de documentos. Riesgos: alucinaciones, data leakage, propiedad intelectual. Necesitás políticas de uso y control de datos.
Suscripción y claims con ML
Modelos que evalúan riesgo de siniestro o automatizan aprobación de reclamos. Riesgo de discriminación. Regulador de seguros mira cada vez más la IA en pricing.
¿Usás IA en tu empresa?
Te ayudamos a implementar ISO 42001. Cotización en 24h, sin letra chica.
Preguntas frecuentes
¿ISO 42001 es obligatoria en Argentina?
No. Hoy es una certificación voluntaria. Sin embargo, el proyecto de ley de regulación de IA (expediente S-1213/2024) contempla estándares internacionales como referencia. Implementar ISO 42001 ahora te anticipa a la regulación y demuestra gobernanza responsable ante clientes, socios e inversores.
¿Quiénes necesitan ISO 42001?
Cualquier organización que desarrolle, provea o use sistemas de IA: fintechs con scoring crediticio, healthtechs con diagnóstico asistido, empresas de logística con optimización algorítmica, agtech con modelos predictivos, y cualquier empresa que integre IA generativa en procesos que afectan personas.
¿Se puede integrar con ISO 27001?
Sí, y es altamente recomendable. Ambas comparten la Estructura de Alto Nivel (HLS) de ISO. Los controles de seguridad de datos de ISO 27001 complementan la gobernanza de IA de ISO 42001. Un sistema integrado ahorra hasta un 30% en auditorías y evita documentación duplicada.
¿Cuánto tarda la implementación?
Para una empresa con 1-3 sistemas de IA y algo de documentación existente, entre 3 y 5 meses. Si ya tenés ISO 27001, el plazo se reduce a 2-3 meses porque la estructura de gestión ya está armada. La auditoría de certificación agrega 2-4 semanas más.
¿Qué pasa si uso IA generativa (ChatGPT, Copilot, etc.)?
ISO 42001 aplica a todos los tipos de IA, incluyendo IA generativa. Si tu empresa usa herramientas como ChatGPT en procesos de negocio, necesitás gobernanza: políticas de uso, control de datos que se comparten, validación de outputs y gestión de riesgos de alucinaciones y sesgos.
¿Cuánto cuesta certificar ISO 42001?
Para una PyME tecnológica con 1-2 sistemas de IA y hasta 50 empleados, el ciclo de 3 años (certificación + 2 vigilancias) va de USD 4.500 a USD 7.000 dependiendo de la complejidad. Usá nuestra calculadora para estimar el costo según tu caso específico.