Saltar al contenido
Mariano Orquín vCISO · Ciberseguridad
Volver a Insights
Seguridad de IA 5 min de lectura

Tu organización ya usa IA. La pregunta del directorio será quién responde cuando se equivoque.

ISO/IEC 42001 es la primera norma internacional de gestión de IA. No es un sello de innovación: es el marco con el que vas a tener que demostrar que la IA que usás está bajo control.

La IA entró a las organizaciones por la puerta de atrás. Un equipo probó un copiloto, marketing automatizó textos, finanzas sumó un modelo de scoring. Nadie firmó nada. Y un día el directorio pregunta lo único que importa: si uno de esos modelos toma una decisión que perjudica a un cliente, ¿quién responde?

Esa pregunta ya tiene un marco para responderla, y se llama ISO/IEC 42001.

Qué es y qué exige

ISO/IEC 42001 es el primer estándar internacional para un Sistema de Gestión de Inteligencia Artificial (AIMS), publicado en diciembre de 2023, con su versión en español (UNE-ISO/IEC 42001) disponible desde 2025. No regula la tecnología: regula cómo la gobernás.

Sigue la misma lógica que ISO 27001 (la del ciclo de mejora continua) pero aplicada a IA. Exige, entre otras cosas:

  • Un inventario de casos de uso de IA y de los riesgos que cada uno introduce.
  • Roles y responsabilidades claros sobre cada sistema (quién lo aprueba, quién lo supervisa, quién responde).
  • Controles de transparencia, sesgo, supervisión humana y trazabilidad de las decisiones.
  • Evidencia documentada y auditable por un tercero independiente.

La palabra clave es auditable. No alcanza con tener buenas intenciones sobre IA responsable: hay que poder demostrarlo.

El contexto: gobernanza antes que regulación

Hoy, en la mayor parte de LATAM, certificar ISO 42001 es voluntario. Esa es exactamente la ventana de oportunidad. Las organizaciones que la adoptan ahora no lo hacen porque una ley las obligue, sino porque entienden hacia dónde va el viento: la Unión Europea ya legisló IA, y la historia de la regulación tecnológica en la región es la de adoptar, con algunos años de retraso, el estándar que se impone afuera.

El efecto cascada

Como con toda norma de gestión, la presión no va a venir primero de un regulador. Va a venir de un cliente. El primer gran comprador que exija a sus proveedores “demostrar gobierno responsable de IA” va a convertir ISO 42001 en un requisito de licitación de un día para el otro. Y la diferencia entre las organizaciones que la tienen y las que no, no se va a medir en madurez tecnológica: se va a medir en contratos ganados o perdidos.

Las preguntas que tu directorio debería estar haciéndose

  • ¿Tenemos siquiera un inventario de dónde estamos usando IA hoy, incluyendo lo que los equipos adoptaron sin avisar?
  • Si un modelo nuestro toma una decisión que discrimina o perjudica a un cliente, ¿quién es el responsable designado, y qué evidencia tenemos de cómo se controló?
  • ¿Estamos viendo la gobernanza de IA como un freno a la innovación, o como la condición que nos va a permitir escalarla sin que el directorio pierda el sueño?

La IA no espera permiso para entrar a tu organización. La única decisión que te queda es si vas a gobernarla a propósito, o explicar después por qué no lo hiciste.

Este análisis hace referencia a normativa vigente al momento de su publicación. La regulación cambia: verificá la vigencia y los plazos con la fuente oficial antes de tomar decisiones.

Fuentes

Agendá una conversación