ISO/IEC 42001:2023 es la primera norma internacional del mundo sobre un sistema de gestión para la inteligencia artificial, publicada en diciembre de 2023 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Proporciona un marco estructurado para que las organizaciones establezcan, implementen, mantengan y mejoren de forma continua un sistema de gestión de IA (AIMS).
La norma sigue la estructura común de los sistemas de gestión ISO (Annex SL/Annex L) y abarca: el contexto organizativo y los requisitos de las partes interesadas, el compromiso de la dirección y la política de IA, la planificación de los riesgos y las oportunidades de la IA, la gestión de los recursos incluyendo la competencia en IA, la planificación y el control operativos de los sistemas de IA, la evaluación del desempeño y el seguimiento, y la mejora continua de la gestión de la IA.
Entre las principales áreas abordadas se incluyen la gestión de riesgos de la IA (identificación, evaluación y tratamiento de los riesgos específicos de los sistemas de IA), la gobernanza y la rendición de cuentas (asignación clara de la responsabilidad sobre las decisiones relacionadas con la IA), la transparencia (documentación de la finalidad del sistema de IA, el uso de los datos y la lógica de decisión), y las prácticas de IA responsable a lo largo de todo el ciclo de vida del sistema.
Proceso de certificación: Las organizaciones que buscan la certificación ISO 42001 siguen un recorrido estructurado: definir el alcance del sistema de gestión de IA (qué sistemas de IA o unidades de negocio quedan cubiertos), realizar un análisis de brechas frente a los requisitos de la norma, implementar los controles y la documentación requeridos, llevar a cabo una auditoría interna y, a continuación, contratar a un organismo de certificación externo acreditado para realizar una auditoría externa en dos etapas. La certificación suele tener una validez de tres años, con auditorías de seguimiento anuales.
Quién la necesita: ISO 42001 es relevante para cualquier organización que desarrolle, implemente u opere sistemas de IA, incluidos los proveedores de tecnología, las instituciones financieras, los proveedores de atención sanitaria, los organismos públicos y las empresas de servicios profesionales. Resulta especialmente valiosa para las organizaciones de sectores regulados, donde demostrar una gobernanza responsable de la IA ante clientes, reguladores y auditores es esencial.
Relación con ISO 27001: ISO 42001 está diseñada para complementar a ISO 27001 (sistemas de gestión de la seguridad de la información), no para reemplazarla. ISO 27001 aborda de forma general la confidencialidad, la integridad y la disponibilidad de los activos de información. ISO 42001 aborda los desafíos específicos de gobernanza, riesgo y rendición de cuentas que introducen los sistemas de IA, como el sesgo de los modelos, la opacidad, la deriva de los datos y las salidas no deseadas. Las organizaciones con certificación ISO 27001 pueden integrar ISO 42001 en su sistema de gestión existente, aprovechando los controles y la documentación compartidos.
Relevancia para Australia: ISO 42001 se alinea estrechamente con los requisitos emergentes de gobernanza de la IA en Australia. El Voluntary AI Safety Standard (2024) del Gobierno australiano y el marco de IA responsable del Department of Industry comparten el énfasis de ISO 42001 en la gestión de riesgos, la supervisión humana, la transparencia y la rendición de cuentas. Las organizaciones australianas que adoptan ISO 42001 están bien posicionadas a medida que se desarrolla una regulación específica de la IA a nivel nacional, y la norma ofrece un marco creíble para demostrar el cumplimiento de los requisitos del Privacy Act australiano en relación con la toma de decisiones automatizada.
ISO 42001 también complementa los requisitos del NIST AI RMF y del EU AI Act, creando un ecosistema de gobernanza internacional integral para las organizaciones que operan en múltiples jurisdicciones.