Certificación ISO con alcance definido, verificación pública y operación local en Argentina. Por qué G-CERTI

Inicio/Guías/Guía · IA

Guía · IA

EU AI Act y ISO/IEC 42001: qué necesitan los exportadores de software e IA argentinos

El reglamento europeo de IA no mira dónde está el proveedor, mira dónde se usa el resultado; para un exportador argentino, esa distinción cambia todo.

ARScotización local y factura argentina
Federalauditoría remota, híbrida y multisede
Globalverificación pública en gcerti.org

Por Fernando Arrieta · Director Regional de G-CERTI Argentina

Una empresa argentina puede no tener una sola oficina en Europa y quedar igual bajo el alcance del reglamento europeo de inteligencia artificial. Basta con que la salida de su sistema de IA —una recomendación, una clasificación, un texto generado— se use dentro de la Unión Europea. El EU AI Act no mira dónde está el proveedor: mira dónde se usa el resultado. Para un exportador de software argentino, esa distinción cambia todo.

Esta guía explica qué es el EU AI Act, a quién de la industria argentina alcanza, qué plazos rigen y qué papel cumple ISO/IEC 42001 en ese tablero. Una aclaración que ordena lo que sigue, y que conviene no perder de vista en ninguna conversación comercial: ISO/IEC 42001 no "cumple" el EU AI Act ni lo sustituye. Son cosas distintas —una norma voluntaria de sistema de gestión y un reglamento obligatorio—, y confundirlas es la forma más rápida de prometer algo que después no se sostiene.

El reglamento no pregunta si tu IA es buena. Pregunta si podés gobernar cómo la construís y qué hace.

Qué es

Qué es el reglamento europeo y por qué te alcanza desde Argentina

El EU AI Act —Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo— es la primera ley integral de inteligencia artificial del mundo. Entró en vigor el 1 de agosto de 2024 y clasifica los sistemas de IA por nivel de riesgo, imponiendo obligaciones proporcionales a ese riesgo.

Su lógica de riesgo se organiza en cuatro niveles:

  • Riesgo inaceptable. Prácticas prohibidas: manipulación subliminal, puntuación social, ciertos usos de identificación biométrica. Estas prohibiciones ya están en vigor (rigen desde febrero de 2025).
  • Alto riesgo. Sistemas listados en el Anexo III (empleo, crédito, educación, servicios esenciales, migración, entre otros) y los del Anexo I (componentes de seguridad de productos regulados). Son el corazón de las obligaciones: gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, registro de eventos, transparencia y evaluación de conformidad.
  • Riesgo limitado. Sujeto a obligaciones de transparencia (artículo 50): avisar al usuario que interactúa con una IA, etiquetar contenido generado o manipulado (incluidos deepfakes).
  • Riesgo mínimo. Sin obligaciones específicas; la mayoría de las aplicaciones cotidianas.

Lo que vuelve al reglamento relevante para una empresa argentina es su alcance extraterritorial. El EU AI Act aplica no solo a proveedores establecidos en la UE, sino también a proveedores de fuera de la Unión cuando el resultado (output) producido por el sistema de IA se utiliza dentro de la UE. Un modelo entrenado en Córdoba, desplegado desde un servidor en São Paulo y consumido por un usuario en Madrid puede quedar dentro del alcance.

Para el exportador argentino de software, el reglamento no es una noticia europea. Es una condición de acceso a uno de los mercados más grandes del mundo.

Plazos

El calendario vigente, hito por hito

El reglamento previó una aplicación escalonada. Los hitos que ya se cumplieron:

  • Febrero de 2025 — prohibiciones de prácticas de riesgo inaceptable y obligaciones de alfabetización en IA.
  • Agosto de 2025 — obligaciones para modelos de IA de propósito general (GPAI) y estructura de gobernanza.

Los hitos que todavía no vencieron:

  • 2 de agosto de 2026 — obligaciones de transparencia (artículo 50). Esta es la fecha que más importa para la mayoría de los exportadores argentinos de software, porque el deber de informar que un contenido o una interacción es generado por IA alcanza a un universo amplio de productos. Para sistemas ya en el mercado antes de esa fecha, el marcado específico del artículo 50(2) tiene una gracia adicional hasta el 2 de diciembre de 2026.
  • 2 de diciembre de 2027 — obligaciones para sistemas de alto riesgo del Anexo III.
  • 2 de agosto de 2028 — obligaciones para sistemas de alto riesgo del Anexo I (componentes de seguridad de productos).

Estas fechas surgen del calendario ajustado por el Digital Omnibus, el paquete legislativo que reordenó parte de los plazos de alto riesgo. El Digital Omnibus ya fue adoptado formalmente (Parlamento Europeo, 16 de junio de 2026; Consejo, 29 de junio de 2026), por lo que estos plazos son hoy calendario firme y no un acuerdo pendiente. Eso no significa que el reglamento esté cerrado en todos sus detalles: la implementación de alto riesgo sigue apoyándose en piezas que todavía se están terminando de construir, como las normas armonizadas.

Dicho de manera simple: la transparencia es la obligación con la fecha más próxima; el alto riesgo llega después, en 2027 y 2028. Un exportador prudente prepara la primera con seriedad y no pierde de vista la segunda.

Alcance

A quién de la industria argentina le toca

No todo exportador de software argentino queda igual de expuesto. El nivel de exposición depende de qué hace la IA y para qué se usa.

SaaS con funciones de IA que vende a clientes europeos

Es el caso más frecuente. Un producto argentino que genera texto, resume, clasifica o recomienda, y cuyo resultado consume un usuario en la UE, muy probablemente cae bajo las obligaciones de transparencia del artículo 50. Etiquetar salidas generadas por IA y avisar al usuario deja de ser buena práctica y pasa a ser condición.

Sistemas de IA en decisiones sensibles

Si el software interviene en selección de personal, evaluación crediticia, admisión educativa o acceso a servicios esenciales dentro de la UE, entra en la conversación de alto riesgo del Anexo III. Acá las obligaciones son sustanciales, y rigen desde diciembre de 2027.

Proveedores de modelos o componentes que otros integran

Una empresa argentina que provee un modelo o una API que un tercero incorpora a un producto vendido en Europa hereda parte de las responsabilidades de la cadena. El reglamento distribuye obligaciones entre proveedor, importador, distribuidor y responsable del despliegue.

Fintech y software financiero

El sector combina dos frentes: los datos personales y financieros que ya empujan hacia ISO/IEC 27001, y la creciente automatización de decisiones que activa el eje del EU AI Act. Para una fintech argentina con clientes europeos, los dos marcos conversan.

El patrón se repite: el reglamento no discrimina por el país del proveedor, sino por dónde se usa el resultado y para qué. Un exportador argentino no queda afuera por estar lejos. Podés ver el ángulo sectorial en certificación ISO para fintech, SaaS y tecnología.

ISO 42001

Dónde entra la norma de gestión de IA (y dónde no)

Acá está el punto que más se malinterpreta, y el que conviene decir con todas las letras.

Norma voluntaria de gestión

ISO/IEC 42001:2023 es una norma internacional voluntaria para sistemas de gestión de inteligencia artificial (SGIA). Establece cómo una organización gobierna el ciclo de vida de sus sistemas de IA: políticas, evaluación de impactos, gestión de datos, supervisión, relaciones con terceros. Su Anexo A contiene 38 controles organizados en 9 grupos —desde políticas de IA hasta relaciones con terceros y clientes—, y su cuerpo (cláusulas 4 a 10) comparte la estructura de alto nivel de las demás normas ISO de sistemas de gestión, incluida la evaluación de impacto de los sistemas de IA en la cláusula 8.

Reglamento obligatorio

El EU AI Act es un reglamento obligatorio. No se "certifica": se cumple. Y su cumplimiento se verifica, según el caso, mediante evaluaciones de conformidad, documentación técnica y —para alto riesgo— procedimientos específicos previstos en la ley.

La relación entre ambos es de apoyo, no de equivalencia:

  • Certificar ISO/IEC 42001 no otorga cumplimiento del EU AI Act ni exime de ninguna obligación legal.
  • Pero implementar un sistema de gestión bajo 42001 ordena la evidencia que el reglamento después va a pedir: gobernanza documentada, evaluación de impactos, trazabilidad de datos, roles definidos, gestión de proveedores. Una empresa que ya gobierna su IA con método llega mucho mejor parada a demostrar cumplimiento que una que improvisa.

La Comisión Europea trabaja además en normas armonizadas específicas para el AI Act, bajo mandato a CEN-CENELEC. La primera de ellas, centrada en el sistema de gestión de calidad para fines regulatorios del AI Act, está en proceso de voto formal durante 2026, con publicación estimada para el último tramo del año; a la fecha de esta guía todavía no está publicada en el Diario Oficial de la UE. El estándar de gestión (ISO/IEC 42001) y esas normas armonizadas europeas son piezas distintas del tablero: ISO/IEC 42001 no es, ni va a convertirse automáticamente en, una norma armonizada del EU AI Act, y por sí sola no otorga presunción de conformidad.

Dicho sin vueltas: 42001 no es el reglamento, pero es la forma más ordenada de construir la casa antes de que venga la inspección. Una advertencia de método que vale para todo el ecosistema de certificación: el organismo que certifica un sistema de gestión no asesora sobre cómo cumplir el reglamento ni implementa el sistema por la empresa. Esa separación —entre quien prepara y quien audita— es lo que le da valor al certificado. Formar equipos, preparar la evidencia y decidir la estrategia de cumplimiento son tareas de la empresa (o de sus asesores); auditar y certificar el sistema de gestión es una función independiente.

Podés ver qué cubre la norma y cómo se certifica en Argentina en la ficha de ISO/IEC 42001.

Preparación

Cómo se prepara un exportador argentino

Para una empresa argentina que exporta software con IA a Europa, el orden importa más que la velocidad. Un camino razonable:

  • Mapear el output. Determinar si el resultado del sistema de IA se usa dentro de la UE, y por qué vía (cliente directo, integración de un tercero, distribuidor). Esto define si el reglamento alcanza al producto y en qué rol.
  • Clasificar por riesgo. Ubicar cada funcionalidad de IA en la pirámide de riesgo del reglamento. La mayoría de los productos SaaS caen en transparencia (artículo 50); algunos, en alto riesgo.
  • Atacar primero la transparencia. Como es la obligación con fecha más cercana (agosto de 2026), conviene resolver etiquetado de contenido generado y avisos de interacción con IA antes que nada.
  • Ordenar la gobernanza con 42001. Implementar un sistema de gestión de IA da estructura a la evidencia que el reglamento pedirá: evaluación de impactos, gestión de datos, supervisión humana, gestión de proveedores.
  • Cruzar con seguridad y datos. Si el producto maneja datos personales o financieros, ISO/IEC 27001 y la privacidad de la información suelen ir de la mano del gobierno de la IA.

Para las empresas que operan en Argentina, G-CERTI Argentina encuadra alcance, sedes, dotación y tiempos con lectura local —cotización en pesos, factura argentina, auditoría remota, híbrida o multisede— antes de iniciar cualquier auditoría formal del sistema de gestión. La certificación de ISO/IEC 42001 la emite la red bajo ISO/IEC 17021-1 y queda sujeta al resultado técnico de la auditoría y a la decisión de certificación; no equivale a, ni sustituye, el cumplimiento del EU AI Act. La acreditación internacional de ISO/IEC 42001 todavía está consolidándose a nivel global —es una norma joven (2023) y el ecosistema de acreditación específico para SGIA sigue en desarrollo—, así que este punto se comunica siempre con esa salvedad, nunca como acreditación plena ya disponible hoy.

El camino general de certificación, etapa por etapa, está en Cómo certificar ISO en Argentina; el ángulo específico de vender al exterior, en certificación ISO para exportar desde Argentina; y los términos técnicos, en el glosario.

Exportar IA a Europa no se resuelve con una declaración. Se resuelve con evidencia gobernada, y con la humildad de separar lo que es ley obligatoria de lo que es buena gestión voluntaria. Confundir las dos cosas es el error que después se paga caro; distinguirlas con claridad es, muchas veces, lo que ordena el proyecto.

Encuadrá alcance, sedes y dotación con lectura local antes de iniciar cualquier auditoría formal del sistema de gestión.

Cotizar ISO 42001

Preguntas frecuentes

Preguntas frecuentes.

¿El EU AI Act me alcanza si mi empresa está en Argentina y no tiene oficina en Europa?

Puede alcanzarte. El reglamento aplica a proveedores de fuera de la UE cuando el resultado producido por el sistema de IA se usa dentro de la Unión. No depende de dónde esté tu empresa, sino de dónde se utiliza la salida de tu sistema. Un producto argentino cuyo output consume un usuario europeo puede quedar dentro del alcance.

¿Certificar ISO/IEC 42001 significa que cumplo el EU AI Act?

No. ISO/IEC 42001 es una norma de sistema de gestión voluntaria; el EU AI Act es un reglamento obligatorio. Certificar 42001 no otorga cumplimiento legal ni exime de ninguna obligación del reglamento. Lo que hace es ordenar la gobernanza y la evidencia que el reglamento después pide, de modo que la empresa llegue mejor preparada a demostrar cumplimiento.

¿Qué fecha del EU AI Act debería preocuparme primero?

La del 2 de agosto de 2026, cuando rigen las obligaciones de transparencia del artículo 50 (avisar que se interactúa con IA, etiquetar contenido generado). Es la que alcanza a más productos de software. Las obligaciones de alto riesgo llegan después —diciembre de 2027 para el Anexo III, agosto de 2028 para el Anexo I— y conviene seguirlas de cerca a medida que se publican las normas armonizadas que las van a acompañar.

¿Cuántos controles tiene ISO/IEC 42001?

El Anexo A de ISO/IEC 42001:2023 lista 38 controles, organizados en 9 grupos que van desde las políticas de IA hasta las relaciones con terceros y clientes. No son una checklist obligatoria: la organización selecciona y adapta los controles según su evaluación de impactos y de riesgos.

¿La formación en ISO/IEC 42001 certifica a mi empresa como cumplidora del EU AI Act?

No, por dos motivos. Primero, formar personas no certifica a una empresa: la certificación del sistema de gestión requiere auditoría y decisión técnica independiente. Segundo, ni la formación ni la certificación 42001 otorgan cumplimiento del EU AI Act, que es un régimen legal distinto. Formar, certificar el sistema de gestión y cumplir el reglamento son tres cosas diferentes.

¿ISO/IEC 42001 es una norma armonizada del EU AI Act?

No. Las normas armonizadas del EU AI Act son un conjunto específico que se está desarrollando bajo mandato de la Comisión Europea a CEN-CENELEC, y la primera de ellas todavía está en trámite de publicación. ISO/IEC 42001 es una norma internacional de sistema de gestión que sirve de apoyo a la gobernanza, pero no equivale a una norma armonizada ni otorga presunción de conformidad por sí sola.

Siguiente paso

De la consulta a la propuesta.

Encuadramos alcance, sedes, dotación y tiempos con lectura local, en pesos, antes de iniciar una auditoría formal.

Cotizar certificación
WhatsApp