Comparativa rápida: ISO 42001 vs EU AI Act

La diferencia fundamental en una sola tabla:

ISO/IEC 42001:2023
EU AI Act · Reg. (UE) 2024/1689
Naturaleza
Estándar internacional voluntario
Regulación de la UE — obligatoria
Publicado por
ISO/IEC — diciembre 2023
Parlamento y Consejo Europeo — julio 2024
¿Qué regula?
El sistema de gestión de IA de la organización
Los sistemas de IA específicos según su nivel de riesgo
Enfoque
Procesos, gobernanza, cultura organizacional
Características técnicas, documentación y ciclo de vida del sistema de IA
Ámbito geográfico
Global — cualquier país u organización
UE + extraterritorial (IA usada en la UE)
¿A quién aplica?
Cualquier organización que use o desarrolle IA
Proveedores, desplegadores, importadores y distribuidores de IA en la UE
Certificación
Certificación por organismo acreditado (ICONTEC, BV, SGS)
Evaluación de conformidad; organismo notificado para IA de alto riesgo
Sanciones por incumplimiento
Ninguna — es voluntario
Hasta €35M o 7% del volumen de negocio global
En vigor
Desde diciembre 2023
Desde agosto 2024 (escalonado hasta 2028 — Digital Omnibus)

¿Qué es cada uno?

ISO/IEC 42001:2023Sistema de Gestión de IA (SGIA)

Publicado en diciembre de 2023, ISO 42001 establece los requisitos para crear, implementar, mantener y mejorar un sistema de gestión de inteligencia artificial dentro de una organización. Sigue la estructura de alto nivel (Annex SL) que comparte con ISO 27001 (ciberseguridad) e ISO 9001 (calidad).

Su Anexo A organiza los controles en categorías A.2–A.10: políticas de IA, roles y responsabilidades, recursos, gestión de activos, evaluaciones de impacto, cadena de suministro, documentación, registro de sistemas e incidentes.

  • Certifiable — emite un certificado auditable
  • Voluntario — ninguna ley lo exige directamente
  • Organizacional — evalúa cómo gestiona IA la empresa
  • Global — aplica en cualquier jurisdicción
EU AI ActReglamento (UE) 2024/1689

Publicado en el Diario Oficial de la UE el 12 de julio de 2024 y en vigor desde el 1 de agosto de 2024, el EU AI Act es la primera ley integral de IA del mundo. Adopta un enfoque basado en riesgo con cuatro niveles: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo.

Para IA de alto riesgo (sistemas de contratación, crédito, salud, infraestructura crítica, aplicación de ley, entre otros), impone requisitos técnicos específicos: gobernanza de datos de entrenamiento, documentación técnica, transparencia, supervisión humana, precisión y ciberseguridad.

  • Obligatorio — tiene fuerza de ley en la UE
  • Extraterritorial — aplica si la IA es usada en la UE
  • Por sistema — evalúa cada sistema de IA individualmente
  • Escalonado — aplicación por fases hasta 2028 (Digital Omnibus)

Cronograma de entrada en vigor del EU AI Act

El Reglamento tiene un calendario de implementación escalonado. Actualizado con el Digital Omnibus aprobado por el Parlamento Europeo el 16 de junio de 2026 (423 votos a favor):

Ago 2024
Entrada en vigor

El Reglamento (UE) 2024/1689 entra en vigor el 1 de agosto de 2024. Comienza el período transitorio.

Feb 2025
Prohibiciones originales (Art. 5)

Quedan prohibidas las prácticas de IA inaceptables: sistemas de puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo y la educación, reconocimiento facial en espacios públicos (con excepciones), predicción criminal por perfilamiento.

Ago 2025
IA de uso general (GPAI) y gobernanza

Obligaciones para modelos de IA de uso general (LLMs como GPT, Gemini, Claude): documentación técnica, política de derechos de autor, evaluaciones para modelos de alto impacto. Obligaciones de alfabetización en IA para empleadores (Art. 4) y marco de gobernanza de la Oficina Europea de IA.

Ago 2026
Marco general EU AI Act en plena vigencia

El Reglamento es plenamente vinculante. Las obligaciones de transparencia, gobernanza y supervisión humana aplican. El Digital Omnibus extendió el plazo específico de los sistemas de alto riesgo del Anexo III hasta diciembre 2027 — pero la arquitectura regulatoria ya exige preparación activa.

Dic 2026
Watermarking IA generativa + nuevas prohibiciones (Digital Omnibus)

Marcado obligatorio de contenido generado por IA (watermarking, Art. 50). Nuevas prohibiciones: sistemas que generen contenido sexual íntimo no consentido o material de abuso sexual infantil (CSAM). Sanción: hasta €35M o el 7% del volumen anual global.

Dic 2027
IA de alto riesgo — Anexo III (Digital Omnibus)

Plazo extendido desde agosto 2026. Fecha crítica para la mayoría de empresas: recursos humanos, scoring crediticio, diagnóstico médico, educación, infraestructura crítica, control migratorio y administración de justicia. Arts. 9–17: gestión de riesgos, documentación técnica Annex IV, registro EU (Art. 71), supervisión humana y evaluación de conformidad.

Ago 2028
IA de alto riesgo — Anexo I (productos regulados, Digital Omnibus)

Plazo extendido desde agosto 2027. Sistemas de IA embebidos como componentes de seguridad en productos regulados por legislación sectorial europea: dispositivos médicos, maquinaria, vehículos, aviación.

ISO 42001 y EU AI Act operan en capas distintas — no son equivalentes

El error más común es pensar que certificarse en ISO 42001 equivale a cumplir el EU AI Act, o viceversa. No lo es. Cada uno opera en un nivel diferente de la pila de gobernanza de IA:

EU AI Act
Capa de producto / sistema

Requisitos sobre cada sistema de IA específico: sus datos, su precisión, su documentación técnica, su registro en base de datos de la UE. Aplica si el sistema es de alto riesgo según el Anexo III.

se apoya en ↓
ISO 42001
Capa de organización / gestión

Requisitos sobre cómo la organización gobierna su uso de IA: políticas, roles, procesos, evaluaciones de impacto, inventario de sistemas, formación del equipo. Aplica a toda la organización.

se apoya en ↓
Normativa local
Capa de política pública

En Colombia: CONPES 4144, Sentencia T-323/24 y Acuerdo PCSJA24-12243. Establecen los principios y obligaciones del Estado. ISO 42001 es el mecanismo operativo para cumplirlas.

Regla práctica: ISO 42001 cubre bien la capa de gestión y facilita el cumplimiento de la capa de política pública. Para la capa de producto en IA de alto riesgo del EU AI Act, es necesario un trabajo adicional específico por sistema.

Dónde se solapan: requisitos que cubre ISO 42001 y también exige el EU AI Act

Para organizaciones que deben cumplir ambos marcos, existe un solapamiento significativo que evita duplicar esfuerzo:

ISO 42001EU AI Act
Inventario y registro de sistemas de IA

ISO 42001 A.9 exige un registro de sistemas IA con propósito, datos usados y responsable. El EU AI Act exige documentación técnica similar para IA de alto riesgo y el registro en la base de datos de la UE.

ISO 42001EU AI Act
Evaluaciones de impacto algorítmico

ISO 42001 A.6 exige AIIA (AI Impact Assessment) previa al despliegue. El EU AI Act Art. 9 exige gestión de riesgos para IA de alto riesgo. El proceso es análogo con mayor profundidad técnica requerida por el Reglamento.

ISO 42001EU AI Act
Supervisión humana

ISO 42001 A.3 requiere roles con responsabilidad sobre sistemas de IA. El EU AI Act Art. 14 exige mecanismos de supervisión humana para IA de alto riesgo con capacidad de intervenir, anular o detener el sistema.

ISO 42001EU AI Act
Transparencia e información a usuarios

ISO 42001 A.9 aborda la información para partes interesadas. El EU AI Act Art. 13 y Art. 50 exigen instrucciones de uso transparentes y, para IA de interacción directa, informar al usuario de que interactúa con IA.

ISO 42001EU AI Act
Formación y competencias del equipo

ISO 42001 §7.2 exige competencias documentadas para quienes gestionan sistemas de IA. El EU AI Act Art. 4 impone obligaciones de alfabetización en IA a los empleadores desde agosto 2025.

ISO 42001EU AI Act
Gestión de incidentes y monitoreo

ISO 42001 A.10 exige detección, reporte y corrección de incidentes de IA. El EU AI Act Art. 72 exige reporte de incidentes graves con IA de alto riesgo a las autoridades nacionales de vigilancia de mercado.

Lo que el EU AI Act exige y ISO 42001 no cubre (para IA de alto riesgo)

Para organizaciones con IA clasificada como alto riesgo bajo el Anexo III del EU AI Act, estos requisitos van más allá del alcance de ISO 42001 y requieren trabajo adicional:

📊
Gobernanza de datos de entrenamiento (Art. 10)

Prácticas específicas de gestión de datos para sistemas de alto riesgo: relevancia, representatividad, ausencia de sesgos, protección de datos. ISO 42001 toca este aspecto en A.8 pero no con el nivel de detalle técnico del Reglamento.

📋
Documentación técnica normalizada (Art. 11 + Anexo IV)

El EU AI Act exige una documentación técnica con formato y contenido muy específicos, incluyendo arquitectura del sistema, capacidades y limitaciones, datos de entrenamiento, métricas de rendimiento y pruebas realizadas.

📝
Registro automático de eventos (Art. 12)

Los sistemas de IA de alto riesgo deben tener capacidades de logging automático que permitan reconstruir el funcionamiento del sistema durante su vida útil. Es un requisito de diseño del sistema, no solo de proceso organizacional.

🏛️
Registro en base de datos de la UE (Art. 71)

Los sistemas de IA de alto riesgo deben registrarse en la base de datos europea gestionada por la Comisión antes de ser comercializados. ISO 42001 no tiene ningún equivalente a este requisito administrativo.

Declaración de conformidad UE y marcado CE

Para IA de alto riesgo, el proveedor debe emitir una Declaración de Conformidad UE y, en muchos casos, obtener el marcado CE. Esto requiere el proceso formal de evaluación de conformidad, que ISO 42001 no reemplaza.

¿Qué necesita una organización colombiana?

¿Solo opera en Colombia?
¿Tiene clientes o presencia en la UE?
Entidad del sector público
ISO 42001

Cumple CONPES 4144, T-323/24 y PCSJA24-12243. El EU AI Act no aplica directamente.

ISO 42001+ EU AI Act

Si IA colombiana es usada por instituciones europeas, aplica el Reglamento.

Empresa privada (fintech, salud, tecnología)
ISO 42001

Ventaja competitiva, due diligence, anticipación regulatoria. EU AI Act no vinculante.

ISO 42001+ EU AI Act

Ambos son necesarios. ISO 42001 construye la base; EU AI Act añade requisitos técnicos por sistema según su clasificación de riesgo.

Empresa tecnológica que exporta IA
ISO 42001

Mínimo necesario para licitaciones y due diligence de inversión.

ISO 42001+ EU AI Act

Obligatorio si la IA llega al mercado europeo. Empezar con ISO 42001 acelera el cumplimiento del EU AI Act.

Cómo SoberanIA cubre ambos marcos

SoberanIA está diseñada para que un solo sistema de gestión cubra tanto ISO 42001 como las obligaciones organizacionales del EU AI Act:

Inventario de sistemas IA — cubre ISO A.9 y documentación técnica EU AI Act
Evaluaciones de impacto (AIIA) — alineadas con A.6 ISO 42001 y Art. 9 EU AI Act
15 políticas de gobernanza — cubren requisitos A.2–A.3 y Art. 9, 13, 14 EU AI Act
Gestión de incidentes (A.10) — trazabilidad para Art. 72 EU AI Act (reporte a autoridades)
Roles y comités de gobernanza — supervisión humana documentada (A.3 / Art. 14)
Programas de formación — cumple §7.2 ISO 42001 y Art. 4 EU AI Act (alfabetización)
Reportes PDF auditables — evidencia para organismos de certificación ISO y evaluación de conformidad EU
Normativa colombiana integrada — CONPES 4144, T-323/24 y PCSJA24-12243 mapeados en cada módulo
Un diagnóstico gratuito — dos marcos cubiertos: evaluamos tu nivel de madurez frente a ISO 42001 y el EU AI Act en 20 preguntas. Recibes un reporte PDF con tu hoja de ruta.

Diagnóstico gratuito para empresas

Preguntas frecuentes: ISO 42001 vs EU AI Act

Depende del nivel de riesgo de tus sistemas. Para IA de riesgo mínimo o limitado, ISO 42001 cubre con creces las obligaciones del EU AI Act. Para IA de alto riesgo (Anexo III), el EU AI Act exige requisitos adicionales específicos del sistema — datos de entrenamiento, métricas de precisión, registros técnicos, evaluación de conformidad — que van más allá de lo que cubre el sistema de gestión de ISO 42001. En ese caso, ISO 42001 es un punto de partida sólido, pero no suficiente por sí solo.

Sí, si su IA es utilizada en la Unión Europea. El EU AI Act tiene alcance extraterritorial: aplica a cualquier proveedor que coloque un sistema de IA en el mercado europeo o cuya salida de IA sea usada en la UE, independientemente de dónde esté establecida la empresa. Empresas colombianas que exportan soluciones de IA, tienen clientes europeos o son filiales de grupos europeos están bajo su alcance.

No de manera oficial al momento de la publicación del EU AI Act (agosto 2024). El Reglamento prevé que la Comisión Europea publique estándares armonizados que generen presunción de conformidad. ISO 42001 es candidato natural para ser reconocido, pero ese proceso de armonización formal estaba en curso. Implementar ISO 42001 ya genera evidencia relevante, pero no equivale formalmente a la presunción de conformidad que tendrá un estándar armonizado.

La certificación ISO 42001 la emite un organismo de certificación acreditado sobre el SISTEMA DE GESTIÓN de IA de la organización (¿tienes políticas, roles, procesos y controles adecuados?). La evaluación de conformidad del EU AI Act se realiza sobre sistemas de IA específicos y evalúa sus características técnicas, documentación, datos y funcionamiento. Para IA de alto riesgo, puede requerir un organismo notificado (tercero independiente). Son evaluaciones complementarias que operan en capas distintas.

El EU AI Act entró en vigor el 1 de agosto de 2024. Las prohibiciones originales aplicaron desde febrero de 2025. El Digital Omnibus (aprobado por el Parlamento Europeo el 16 de junio de 2026) extendió los plazos clave: los sistemas de alto riesgo del Anexo III (RRHH, crédito, atención médica, infraestructura) tienen hasta el 2 de diciembre de 2027. Los sistemas embebidos en productos regulados (Anexo I: dispositivos médicos, maquinaria, vehículos) tienen hasta el 2 de agosto de 2028. El watermarking de contenido IA y nuevas prohibiciones aplican desde el 2 de diciembre de 2026.

Principalmente: (1) empresas tecnológicas colombianas que venden o despliegan IA para clientes en la UE; (2) filiales de grupos europeos con operación en Colombia; (3) empresas que exportan servicios de IA o participan en cadenas de suministro de IA europeas. Para entidades del sector público colombiano que no operan en Europa, el EU AI Act no es directamente vinculante, aunque el CONPES 4144 y T-323/24 crean obligaciones análogas.

¿Tu organización necesita ISO 42001, EU AI Act o ambos?

Cuéntanos en qué sector operas y si tienes presencia en Europa. En 30 minutos te decimos exactamente qué necesitas y en qué orden implementarlo.

Diagnóstico gratuito

También puede interesarte: Guía ISO 42001 en Colombia · CONPES 4144, T-323/24 y PCSJA24-12243 · Vanta vs SoberanIA · Kit gratuito ISO 42001