Certificación de sistema de gestión
Es lo que resuelve una certificadora acreditada: 9001, 14001, 45001, 22000, 13485, 27001. Certifica cómo gestionás, es verificable públicamente y es lo que un comprador homologa.
Inicio/Guías/Guía · Exportación
Guía · Exportación
No hay una norma "de exportación": hay normas que el comprador y el sector vuelven condición de proveedor.
Por Fernando Arrieta · Director Regional de G-CERTI Argentina
Exportar desde Argentina rara vez se traba en la calidad del producto. Se traba en que el comprador del otro lado no tiene forma de verificar que atrás del producto hay un sistema de gestión que se sostiene. Ahí aparecen las normas ISO: no como sello decorativo, sino como el lenguaje común que un comprador en Rotterdam, San Pablo o Miami usa para homologar a un proveedor que no conoce. Un certificado bajo ISO/IEC 17021-1 le dice algo que tu folleto no le puede decir: que un tercero independiente auditó tu sistema y que puede verificarlo en línea.
Esta guía ordena una pregunta que llega mal formulada casi siempre: «qué ISO necesito para exportar». La respuesta corta es que no hay una norma «de exportación». Hay normas que el mercado de destino y tu sector vuelven condición de proveedor. Lo que sigue es cómo leer eso por destino, por sector y por tipo de comprador, con el ángulo argentino que importa: pesos, factura local, homologación como proveedor y acceso real a mercado.
Una aclaración de encuadre antes de entrar: certificar la empresa es una auditoría de tercera parte con decisión técnica independiente bajo ISO/IEC 17021-1. La formación de personas es otra cosa y no reemplaza esa auditoría. El organismo que certifica no implementa ni redacta la documentación del cliente: prepara el encuadre, audita y decide. Formar no es certificar.
El mito
Conviene desarmar el mito de entrada. Ninguna norma ISO es un requisito aduanero argentino para exportar. La AFIP/ARCA, el régimen de exportación y la posición arancelaria no piden ISO. Lo que piden ISO son los compradores, las cadenas de distribución y, en algunos rubros, la regulación del país de destino aplicada al producto, no a tu sistema de gestión.
Esto cambia la pregunta útil. No es «qué norma necesito para exportar en general?», sino «quién me la está pidiendo, para qué mercado, y con qué alcance?». De esas tres respuestas sale la norma correcta y —más importante— el alcance correcto del certificado. Un alcance inflado («toda la empresa» cuando el sistema cubre una sola línea de producción) no fortalece nada frente a un comprador que lee de verdad: aumenta el riesgo de hallazgos y debilita el certificado.
Conviene separarlas, porque cada una la resuelve un actor distinto:
Es lo que resuelve una certificadora acreditada: 9001, 14001, 45001, 22000, 13485, 27001. Certifica cómo gestionás, es verificable públicamente y es lo que un comprador homologa.
Muchas cadenas de retail y alimentos piden esquemas de producto o de industria (por ejemplo, esquemas reconocidos por GFSI en alimentos) que no son ISO de sistema y a veces conviven con ella.
Marcado, registro sanitario, requisitos aduaneros o de etiquetado del mercado importador. Eso lo define el destino y su autoridad, no la norma ISO ni la certificadora.
Esta guía cubre la primera capa —normas ISO de sistema de gestión— y señala dónde termina, porque el límite es parte del rigor: la certificación ordena y hace demostrable tu gestión; no reemplaza permisos, registros, habilitaciones ni requisitos aduaneros o sanitarios del destino.
Por sector
En el mercado argentino la exigencia se concentra por sector con bastante consistencia. Esta es la lectura práctica, ordenada por lo que más se pide.
Si exportás alimentos, bebidas, ingredientes o insumos para la industria alimentaria, el eje es la inocuidad. ISO 22000 (sistema de gestión de la inocuidad de los alimentos) es el marco que integra HACCP con un sistema de gestión auditable, y es lo que compradores y cadenas piden con más frecuencia para homologar a un proveedor alimentario.
El matiz importante: muchas grandes cadenas de retail internacional no piden ISO 22000 sino un esquema reconocido por GFSI (Global Food Safety Initiative) —FSSC 22000, BRCGS, IFS, entre otros—. FSSC 22000 se construye sobre ISO 22000 como estándar base, así que 22000 suele ser la puerta de entrada. Cuál te piden depende del comprador y del canal: no es lo mismo vender a una industria que a una cadena de supermercados europea.
Sectores argentinos típicos: frigoríficos, aceiteras, molinos, lácteos, bodegas, packing de frutas y hortalizas, miel, pesca. En varios de estos rubros conviven ISO 22000 con ISO 14001 (gestión ambiental, exigida por casas matrices y cadenas europeas) y a veces ISO 9001 como piso de calidad.
Para manufactura general, metalmecánica, autopartes, plásticos y bienes industriales, el piso es ISO 9001 (gestión de calidad). Es la norma que un comprador industrial da por descontada: sin 9001, en muchas cadenas ni entrás a la lista de proveedores homologables.
En automotriz la exigencia sube: las terminales suelen pedir IATF 16949, el esquema específico del sector automotor. No es una norma ISO —lo desarrolla la IATF (International Automotive Task Force) con las terminales— sino un esquema de industria que se construye sobre ISO 9001 y no se certifica de forma independiente de ella. Y en cadenas europeas y de grandes marcas, además de calidad se pide ISO 14001 (ambiental) y, en rubros con riesgo operativo, ISO 45001 (seguridad y salud ocupacional) como parte del onboarding de proveedor.
Si exportás dispositivos médicos, insumos hospitalarios o productos para la salud, la norma de sistema es ISO 13485 (gestión de calidad para dispositivos médicos). No es opcional en la práctica: es la puerta de entrada para homologar productos y proveedores en casi todos los mercados regulados.
El matiz de destino pesa acá más que en cualquier otro rubro. ISO 13485 es el sistema de gestión, pero el acceso al mercado depende de la regulación del país importador aplicada al producto: marcado y evaluación de conformidad en la Unión Europea bajo su reglamento de productos sanitarios, registro ante la autoridad sanitaria del destino, requisitos del importador. La norma ordena tu sistema; no sustituye el registro regulatorio del producto en el mercado de llegada.
Si exportás software, SaaS, servicios de datos o BPO que procesa información de clientes extranjeros, el requisito recurrente es ISO/IEC 27001 (seguridad de la información). Compradores corporativos, casas matrices y clientes en Estados Unidos y Europa lo piden en el proceso de vendor security assessment: sin un ISMS certificado, el cuestionario de seguridad se vuelve un cuello de botella en cada venta.
Matiz de destino relevante para Argentina: si además manejás datos personales de residentes de la Unión Europea, aparece el marco de protección de datos europeo (RGPD), que es regulación, no ISO. La pieza ISO que se mapea a ese mundo es ISO/IEC 27701 (gestión de la privacidad de la información, norma independiente y certificable por sí sola), que se apoya en el ISMS de 27001. Certificar 27701 no te vuelve «conforme al RGPD» por sí solo —eso es cumplimiento legal—, pero ordena y hace demostrable la gestión de privacidad frente a un cliente que la exige.
Empresas de servicios ambientales, logística, energía y proveedores de operadoras suelen enfrentar exigencia de ISO 14001 (ambiental) y ISO 45001 (seguridad y salud) como condición HSE de sus clientes internacionales o de las casas matrices. Cuando el comprador es una multinacional o una operadora, la gestión ambiental y de seguridad certificada es requisito de homologación, no un extra.
Por destino
El destino no suele cambiar cuál norma ISO de sistema te piden —eso lo define más el sector y el comprador— pero sí cambia qué se agrega por encima: la regulación de acceso al mercado. Acá el rigor obliga a ser prudente: los requisitos regulatorios por país cambian y deben confirmarse contra la autoridad del destino antes de comprometer nada a un cliente. Lo que sigue es orientación de encuadre, no una tabla de requisitos país por país.
Es el destino más exigente en homologación de proveedores. En alimentos, las cadenas de retail suelen pedir esquemas reconocidos por GFSI (base ISO 22000). En ambiental, ISO 14001 es requisito frecuente de proveedor. En dispositivos médicos y en muchos productos, el acceso depende del marcado y la evaluación de conformidad europea aplicada al producto, más allá de tu sistema ISO. En datos personales, el RGPD aplica cuando tratás datos de residentes de la UE.
En servicios de datos y software, ISO/IEC 27001 es la moneda de confianza en los vendor assessments. En alimentos, además de esquemas de inocuidad, hay requisitos regulatorios de la autoridad sanitaria estadounidense sobre el producto y la instalación, que son distintos de la certificación ISO. En dispositivos médicos, el acceso depende del régimen regulatorio del producto del destino.
Para muchos rubros industriales y alimentarios, ISO 9001 e ISO 22000 son el lenguaje común de homologación entre proveedores y compradores regionales. Ciertos productos requieren, además, conformidad con reglamentación técnica del país de destino, que es certificación de producto y no de sistema de gestión.
Cuando el comprador es una casa matriz o una marca global, el requisito viaja con el comprador, no con el país: pide el paquete que aplica a su cadena (9001 + 14001 + 45001, o 27001, o el esquema de inocuidad que use), sin importar demasiado el origen geográfico.
La regla que ordena todo esto: el certificado ISO de sistema es reconocido internacionalmente cuando la certificadora está acreditada, porque la acreditación se apoya en acuerdos de reconocimiento mutuo entre organismos de acreditación. Eso es lo que hace que un certificado emitido en Argentina lo pueda leer y verificar un comprador en cualquier destino. Pero ese reconocimiento cubre tu sistema de gestión; el acceso del producto al mercado lo sigue gobernando la regulación del destino.
El alcance
Acá está la decisión que más impacta y la que peor se toma. El alcance del certificado —qué actividades, qué sedes, qué productos cubre— es lo que un comprador lee primero. Tres criterios prácticos:
El encuadre de alcance se resuelve antes de la auditoría formal, con datos concretos: norma, actividad exportadora, sedes, dotación, requisito puntual del comprador y estado del sistema.
Si ya tenés el cuestionario de proveedor o el requisito del cliente por escrito, ese documento es el mejor insumo para definir alcance.
El proceso
La certificación sigue el esquema de auditoría de tercera parte de ISO/IEC 17021-1, igual para cualquier norma. Con lente exportador, los puntos que más importan:
Firewall, dicho claro: el organismo que certifica no hace consultoría ni implementación para la empresa que audita, y la formación de personas no condiciona ni acelera la decisión técnica.
El alcance define el presupuesto y los días de auditoría. El primer paso es un encuadre serio en pesos, con factura argentina.
Cotizar para exportarSeguir leyendo
Esta guía cubre el mapa por destino y sector. Para el paso siguiente:
Preguntas frecuentes
No como requisito aduanero. Ninguna norma ISO es obligatoria por ley para exportar. Lo que la vuelve necesaria en la práctica es el comprador, la cadena de distribución o —en ciertos rubros— la regulación de producto del país de destino. La pregunta útil no es "¿necesito ISO?" sino "¿quién me la está pidiendo y para qué mercado?".
No existe una norma única de exportación. Según qué exportás y a quién, aparece ISO 9001 (calidad), ISO 22000 (inocuidad alimentaria), ISO 13485 (dispositivos médicos), ISO/IEC 27001 (seguridad de la información), ISO 14001 (ambiental) o ISO 45001 (seguridad y salud). El sector y el comprador definen cuál.
Depende del canal. Muchas industrias homologan con ISO 22000, pero varias cadenas de retail internacional piden esquemas reconocidos por GFSI (FSSC 22000, BRCGS, IFS), que se construyen sobre ISO 22000 más requisitos sectoriales propios del esquema. Conviene pedirle al comprador el requisito exacto por escrito antes de definir el alcance.
No. ISO/IEC 27001 certifica tu sistema de gestión de seguridad de la información; el RGPD es regulación de protección de datos y su cumplimiento es una obligación legal, no una certificación. La pieza ISO que se mapea a privacidad es ISO/IEC 27701 (norma independiente y certificable por sí sola), que ordena y hace demostrable la gestión de datos personales, pero tampoco reemplaza el cumplimiento legal.
Sí, cuando la certificadora está acreditada, porque la acreditación se apoya en acuerdos de reconocimiento mutuo entre organismos de acreditación. Eso permite que un comprador en otro país lea y verifique tu certificado. Ese reconocimiento cubre tu sistema de gestión; el acceso del producto al mercado lo sigue gobernando la regulación del destino.
No. La certificación ISO ordena y hace demostrable tu sistema de gestión, pero no sustituye permisos, registros sanitarios, marcado de conformidad ni requisitos aduaneros del mercado importador. Son capas distintas: una la resuelve la certificadora, la otra la autoridad del destino.
Depende del alcance, la dotación, las sedes y el estado del sistema. El plazo se define en la propuesta formal, después del encuadre de alcance; los días de auditoría se calculan con los criterios de IAF MD 5. No hay un número único para todas las empresas.
No. La formación capacita a personas; es académica y profesional. La certificación de la empresa requiere una auditoría de tercera parte con decisión técnica independiente bajo ISO/IEC 17021-1. Formar no es certificar, y ninguna capacitación condiciona ni acelera esa decisión.
Siguiente paso
Encuadramos alcance, sedes, dotación y tiempos con lectura local, en pesos, antes de iniciar una auditoría formal.
Cotizar certificación