Comparativa rápida: ISO 42001 vs EU AI Act
La diferencia fundamental en una sola tabla:
¿Qué es cada uno?
Publicado en diciembre de 2023, ISO 42001 establece los requisitos para crear, implementar, mantener y mejorar un sistema de gestión de inteligencia artificial dentro de una organización. Sigue la estructura de alto nivel (Annex SL) que comparte con ISO 27001 (ciberseguridad) e ISO 9001 (calidad).
Su Anexo A organiza los controles en categorías A.2–A.10: políticas de IA, roles y responsabilidades, recursos, gestión de activos, evaluaciones de impacto, cadena de suministro, documentación, registro de sistemas e incidentes.
- Certifiable — emite un certificado auditable
- Voluntario — ninguna ley lo exige directamente
- Organizacional — evalúa cómo gestiona IA la empresa
- Global — aplica en cualquier jurisdicción
Publicado en el Diario Oficial de la UE el 12 de julio de 2024 y en vigor desde el 1 de agosto de 2024, el EU AI Act es la primera ley integral de IA del mundo. Adopta un enfoque basado en riesgo con cuatro niveles: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo.
Para IA de alto riesgo (sistemas de contratación, crédito, salud, infraestructura crítica, aplicación de ley, entre otros), impone requisitos técnicos específicos: gobernanza de datos de entrenamiento, documentación técnica, transparencia, supervisión humana, precisión y ciberseguridad.
- Obligatorio — tiene fuerza de ley en la UE
- Extraterritorial — aplica si la IA es usada en la UE
- Por sistema — evalúa cada sistema de IA individualmente
- Escalonado — aplicación por fases hasta 2028 (Digital Omnibus)
Cronograma de entrada en vigor del EU AI Act
El Reglamento tiene un calendario de implementación escalonado. Actualizado con el Digital Omnibus aprobado por el Parlamento Europeo el 16 de junio de 2026 (423 votos a favor):
El Reglamento (UE) 2024/1689 entra en vigor el 1 de agosto de 2024. Comienza el período transitorio.
Quedan prohibidas las prácticas de IA inaceptables: sistemas de puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo y la educación, reconocimiento facial en espacios públicos (con excepciones), predicción criminal por perfilamiento.
Obligaciones para modelos de IA de uso general (LLMs como GPT, Gemini, Claude): documentación técnica, política de derechos de autor, evaluaciones para modelos de alto impacto. Obligaciones de alfabetización en IA para empleadores (Art. 4) y marco de gobernanza de la Oficina Europea de IA.
El Reglamento es plenamente vinculante. Las obligaciones de transparencia, gobernanza y supervisión humana aplican. El Digital Omnibus extendió el plazo específico de los sistemas de alto riesgo del Anexo III hasta diciembre 2027 — pero la arquitectura regulatoria ya exige preparación activa.
Marcado obligatorio de contenido generado por IA (watermarking, Art. 50). Nuevas prohibiciones: sistemas que generen contenido sexual íntimo no consentido o material de abuso sexual infantil (CSAM). Sanción: hasta €35M o el 7% del volumen anual global.
Plazo extendido desde agosto 2026. Fecha crítica para la mayoría de empresas: recursos humanos, scoring crediticio, diagnóstico médico, educación, infraestructura crítica, control migratorio y administración de justicia. Arts. 9–17: gestión de riesgos, documentación técnica Annex IV, registro EU (Art. 71), supervisión humana y evaluación de conformidad.
Plazo extendido desde agosto 2027. Sistemas de IA embebidos como componentes de seguridad en productos regulados por legislación sectorial europea: dispositivos médicos, maquinaria, vehículos, aviación.
ISO 42001 y EU AI Act operan en capas distintas — no son equivalentes
El error más común es pensar que certificarse en ISO 42001 equivale a cumplir el EU AI Act, o viceversa. No lo es. Cada uno opera en un nivel diferente de la pila de gobernanza de IA:
Requisitos sobre cada sistema de IA específico: sus datos, su precisión, su documentación técnica, su registro en base de datos de la UE. Aplica si el sistema es de alto riesgo según el Anexo III.
Requisitos sobre cómo la organización gobierna su uso de IA: políticas, roles, procesos, evaluaciones de impacto, inventario de sistemas, formación del equipo. Aplica a toda la organización.
En Colombia: CONPES 4144, Sentencia T-323/24 y Acuerdo PCSJA24-12243. Establecen los principios y obligaciones del Estado. ISO 42001 es el mecanismo operativo para cumplirlas.
Dónde se solapan: requisitos que cubre ISO 42001 y también exige el EU AI Act
Para organizaciones que deben cumplir ambos marcos, existe un solapamiento significativo que evita duplicar esfuerzo:
ISO 42001 A.9 exige un registro de sistemas IA con propósito, datos usados y responsable. El EU AI Act exige documentación técnica similar para IA de alto riesgo y el registro en la base de datos de la UE.
ISO 42001 A.6 exige AIIA (AI Impact Assessment) previa al despliegue. El EU AI Act Art. 9 exige gestión de riesgos para IA de alto riesgo. El proceso es análogo con mayor profundidad técnica requerida por el Reglamento.
ISO 42001 A.3 requiere roles con responsabilidad sobre sistemas de IA. El EU AI Act Art. 14 exige mecanismos de supervisión humana para IA de alto riesgo con capacidad de intervenir, anular o detener el sistema.
ISO 42001 A.9 aborda la información para partes interesadas. El EU AI Act Art. 13 y Art. 50 exigen instrucciones de uso transparentes y, para IA de interacción directa, informar al usuario de que interactúa con IA.
ISO 42001 §7.2 exige competencias documentadas para quienes gestionan sistemas de IA. El EU AI Act Art. 4 impone obligaciones de alfabetización en IA a los empleadores desde agosto 2025.
ISO 42001 A.10 exige detección, reporte y corrección de incidentes de IA. El EU AI Act Art. 72 exige reporte de incidentes graves con IA de alto riesgo a las autoridades nacionales de vigilancia de mercado.
Lo que el EU AI Act exige y ISO 42001 no cubre (para IA de alto riesgo)
Para organizaciones con IA clasificada como alto riesgo bajo el Anexo III del EU AI Act, estos requisitos van más allá del alcance de ISO 42001 y requieren trabajo adicional:
Prácticas específicas de gestión de datos para sistemas de alto riesgo: relevancia, representatividad, ausencia de sesgos, protección de datos. ISO 42001 toca este aspecto en A.8 pero no con el nivel de detalle técnico del Reglamento.
El EU AI Act exige una documentación técnica con formato y contenido muy específicos, incluyendo arquitectura del sistema, capacidades y limitaciones, datos de entrenamiento, métricas de rendimiento y pruebas realizadas.
Los sistemas de IA de alto riesgo deben tener capacidades de logging automático que permitan reconstruir el funcionamiento del sistema durante su vida útil. Es un requisito de diseño del sistema, no solo de proceso organizacional.
Los sistemas de IA de alto riesgo deben registrarse en la base de datos europea gestionada por la Comisión antes de ser comercializados. ISO 42001 no tiene ningún equivalente a este requisito administrativo.
Para IA de alto riesgo, el proveedor debe emitir una Declaración de Conformidad UE y, en muchos casos, obtener el marcado CE. Esto requiere el proceso formal de evaluación de conformidad, que ISO 42001 no reemplaza.
¿Qué necesita una organización colombiana?
Cumple CONPES 4144, T-323/24 y PCSJA24-12243. El EU AI Act no aplica directamente.
Si IA colombiana es usada por instituciones europeas, aplica el Reglamento.
Ventaja competitiva, due diligence, anticipación regulatoria. EU AI Act no vinculante.
Ambos son necesarios. ISO 42001 construye la base; EU AI Act añade requisitos técnicos por sistema según su clasificación de riesgo.
Mínimo necesario para licitaciones y due diligence de inversión.
Obligatorio si la IA llega al mercado europeo. Empezar con ISO 42001 acelera el cumplimiento del EU AI Act.
Cómo SoberanIA cubre ambos marcos
SoberanIA está diseñada para que un solo sistema de gestión cubra tanto ISO 42001 como las obligaciones organizacionales del EU AI Act:
Diagnóstico gratuito para empresas
Preguntas frecuentes: ISO 42001 vs EU AI Act
Depende del nivel de riesgo de tus sistemas. Para IA de riesgo mínimo o limitado, ISO 42001 cubre con creces las obligaciones del EU AI Act. Para IA de alto riesgo (Anexo III), el EU AI Act exige requisitos adicionales específicos del sistema — datos de entrenamiento, métricas de precisión, registros técnicos, evaluación de conformidad — que van más allá de lo que cubre el sistema de gestión de ISO 42001. En ese caso, ISO 42001 es un punto de partida sólido, pero no suficiente por sí solo.
Sí, si su IA es utilizada en la Unión Europea. El EU AI Act tiene alcance extraterritorial: aplica a cualquier proveedor que coloque un sistema de IA en el mercado europeo o cuya salida de IA sea usada en la UE, independientemente de dónde esté establecida la empresa. Empresas colombianas que exportan soluciones de IA, tienen clientes europeos o son filiales de grupos europeos están bajo su alcance.
No de manera oficial al momento de la publicación del EU AI Act (agosto 2024). El Reglamento prevé que la Comisión Europea publique estándares armonizados que generen presunción de conformidad. ISO 42001 es candidato natural para ser reconocido, pero ese proceso de armonización formal estaba en curso. Implementar ISO 42001 ya genera evidencia relevante, pero no equivale formalmente a la presunción de conformidad que tendrá un estándar armonizado.
La certificación ISO 42001 la emite un organismo de certificación acreditado sobre el SISTEMA DE GESTIÓN de IA de la organización (¿tienes políticas, roles, procesos y controles adecuados?). La evaluación de conformidad del EU AI Act se realiza sobre sistemas de IA específicos y evalúa sus características técnicas, documentación, datos y funcionamiento. Para IA de alto riesgo, puede requerir un organismo notificado (tercero independiente). Son evaluaciones complementarias que operan en capas distintas.
El EU AI Act entró en vigor el 1 de agosto de 2024. Las prohibiciones originales aplicaron desde febrero de 2025. El Digital Omnibus (aprobado por el Parlamento Europeo el 16 de junio de 2026) extendió los plazos clave: los sistemas de alto riesgo del Anexo III (RRHH, crédito, atención médica, infraestructura) tienen hasta el 2 de diciembre de 2027. Los sistemas embebidos en productos regulados (Anexo I: dispositivos médicos, maquinaria, vehículos) tienen hasta el 2 de agosto de 2028. El watermarking de contenido IA y nuevas prohibiciones aplican desde el 2 de diciembre de 2026.
Principalmente: (1) empresas tecnológicas colombianas que venden o despliegan IA para clientes en la UE; (2) filiales de grupos europeos con operación en Colombia; (3) empresas que exportan servicios de IA o participan en cadenas de suministro de IA europeas. Para entidades del sector público colombiano que no operan en Europa, el EU AI Act no es directamente vinculante, aunque el CONPES 4144 y T-323/24 crean obligaciones análogas.
¿Tu organización necesita ISO 42001, EU AI Act o ambos?
Cuéntanos en qué sector operas y si tienes presencia en Europa. En 30 minutos te decimos exactamente qué necesitas y en qué orden implementarlo.
También puede interesarte: Guía ISO 42001 en Colombia · CONPES 4144, T-323/24 y PCSJA24-12243 · Vanta vs SoberanIA · Kit gratuito ISO 42001