Guía comparativa · Regulación IA

ISO 42001 vs EU AI Act:
el estándar y la ley

El EU AI Act (Reglamento 2024/1689) es ley obligatoria en la Unión Europea con sanciones de hasta €35 millones. ISO 42001 es el estándar técnico voluntario que ayuda a demostrar cumplimiento de esa ley — y de cualquier marco regulatorio de IA que Colombia y LATAM adopten.

ISO/IEC 42001:2023 EU AI Act 2024/1689 Vigencia: 2 agosto 2026
01

Qué es el EU AI Act y sus cuatro niveles de riesgo

El EU AI Act clasifica los sistemas de IA según su riesgo potencial. A mayor riesgo, mayores obligaciones. Aplica a cualquier proveedor o desplegador de IA cuyo output se use en la UE — independientemente de si la empresa está en Europa.

Riesgo inaceptable

Prohibido — sin excepciones

Sistemas de puntuación social, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos (con excepciones limitadas), predicción de delitos basada solo en perfiles, scraping masivo de imágenes faciales.

Alto riesgo

Regulado — obligaciones extensas antes de salir al mercado

IA en RRHH (contratación, evaluación), crédito, salud, educación, infraestructura crítica, biometría, administración de justicia, migración. Requiere evaluación de conformidad, registro en base de datos UE, supervisión humana, trazabilidad y documentación técnica.

Riesgo limitado

Transparencia obligatoria

Chatbots, deepfakes, generación de contenido sintético. El usuario debe saber que interactúa con IA. Obligaciones más ligeras que el alto riesgo.

Riesgo mínimo

Sin regulación específica

La mayoría de las aplicaciones de IA: filtros de spam, videojuegos con IA, recomendaciones de contenido no crítico. Sin obligaciones adicionales más allá del derecho general.

02

Comparativa: ISO 42001 vs EU AI Act

Dimensión ISO/IEC 42001:2023 EU AI Act (Reg. 2024/1689)
Naturaleza Estándar técnico voluntario — certificable por tercera parte Ley obligatoria de la UE — incumplimiento genera sanciones
Ámbito geográfico Global — aplica a cualquier organización del mundo que la adopte Obligatorio para quien coloque sistemas de IA en el mercado europeo o cuyo output se use en la UE, sin importar dónde esté la empresa
A quién aplica Cualquier organización que desarrolle, provea o use sistemas de IA Proveedores (desarrolladores), importadores, distribuidores y desplegadores de sistemas de IA en la UE
Enfoque principal Sistema de gestión organizacional: gobernanza, políticas, riesgos, ciclo de vida del AIMS Clasificación de riesgo del sistema de IA y cumplimiento de requisitos técnicos y de mercado por categoría
Sanciones No aplica (es un estándar, no una ley) Hasta €35M o el 7% del volumen de negocios global anual por violaciones al Art. 5 (prohibiciones)
Certificación Certificación ISO 42001 emitida por organismo acreditado Evaluación de conformidad (puede ser autoevaluación o tercera parte según tipo de riesgo)
Gestión de riesgos Requiere proceso de evaluación de riesgos e impactos del AIMS (Cláusula 6.1) Requiere sistema de gestión de riesgos documentado para sistemas de alto riesgo (Art. 9)
Transparencia Controles de transparencia e información para usuarios (Anexo A.8) Obligación de transparencia para chatbots y deepfakes; documentación técnica para alto riesgo
Datos de entrenamiento Requiere gestión de calidad, procedencia y preparación de datos (Anexo A.7) Requiere gobernanza de datos de entrenamiento para sistemas de alto riesgo (Art. 10)
Supervisión humana Control organizacional explícito (Anexo A.6.1.5) Obligación legal para sistemas de alto riesgo — intervención humana real y posible (Art. 14)
Modelos de IA de uso general (GPAI) No hace distinción específica entre tipos de modelos Obligaciones específicas para GPAI: documentación técnica, cumplimiento de copyright, evaluaciones adversariales si hay riesgo sistémico

¿Cómo se complementan? ISO 42001 como puente hacia el EU AI Act

ISO 42001 no reemplaza el EU AI Act, pero implementarla es la manera más estructurada de demostrar que la organización tiene los controles de gobernanza que el EU AI Act exige. Los requisitos de gestión de riesgos (Cláusula 6.1), supervisión humana (Anexo A.6.1), calidad de datos (Anexo A.7) y transparencia (Anexo A.8) de ISO 42001 se alinean directamente con los artículos 9, 10, 13 y 14 del EU AI Act para sistemas de alto riesgo.

En la práctica: una organización certificada en ISO 42001 puede usar esa evidencia documentada para acelerar la evaluación de conformidad con el EU AI Act, reduciendo significativamente el esfuerzo regulatorio.

03

¿Aplica el EU AI Act a empresas colombianas?

Impacto en Colombia y LATAM

Directamente, sí — si la empresa colombiana coloca sistemas de IA en el mercado europeo o si su output se usa en la UE. Un proveedor de software colombiano con clientes europeos que use IA en sus productos debe cumplir el EU AI Act.

Indirectamente, también. Las multinacionales con operaciones en Colombia y casas matrices en Europa exigirán a sus proveedores colombianos evidencia de cumplimiento. El "efecto Bruselas" — donde la regulación europea se convierte en estándar global de facto — ya ocurrió con el GDPR y se repetirá con el EU AI Act.

Adicionalmente, Colombia tiene su propia hoja de ruta de IA (Minciencias, febrero 2024) alineada con principios éticos internacionales. El CONPES 3975, la Ley 2069 de 2020 y el Marco Ético para la IA de Colombia apuntan en la misma dirección que el EU AI Act. Implementar ISO 42001 hoy posiciona a la organización para cualquier marco regulatorio que Colombia formalice.

04

Preguntas frecuentes

¿Desde cuándo es obligatorio el EU AI Act?
El Reglamento se publicó el 12 de julio de 2024. Las prohibiciones de sistemas de riesgo inaceptable aplican desde febrero de 2025. Las obligaciones para sistemas de alto riesgo y modelos GPAI entran en vigor de forma escalonada hasta agosto de 2026. Hay plazos de transición hasta 2030 para algunos sistemas ya en el mercado.
Si mi empresa no vende en Europa, ¿me aplica el EU AI Act?
Si sus sistemas de IA no llegan al mercado europeo ni su output se usa en la UE, el EU AI Act no le aplica directamente. Pero: sus clientes multinacionales sí pueden exigirle cumplimiento como parte de su cadena de suministro. Y la regulación colombiana que se está construyendo adopta los mismos principios.
¿La certificación ISO 42001 es suficiente para cumplir el EU AI Act?
No de forma automática, pero es el camino más eficiente. ISO 42001 provee la estructura de gestión que el EU AI Act requiere. Para sistemas de alto riesgo, el EU AI Act exige evaluaciones de conformidad específicas (algunas de tercera parte), registro en la base de datos europea y documentación técnica adicional. ISO 42001 cubre la gobernanza organizacional; la conformidad regulatoria requiere además cumplir los requisitos técnicos por tipo de sistema.
¿Qué es un sistema GPAI y qué obligaciones tiene?
Los modelos de IA de propósito general (General Purpose AI) como GPT-4, Claude o Gemini tienen obligaciones específicas: documentación técnica, resumen de datos de entrenamiento, cumplimiento del Derecho de autor. Si presentan riesgo sistémico (más de 10^25 FLOPs de entrenamiento), deben además hacer evaluaciones adversariales, reportar incidentes graves y garantizar ciberseguridad. Los modelos open source con licencia libre tienen obligaciones reducidas, excepto si presentan riesgo sistémico.

¿Sus sistemas de IA son de alto riesgo según el EU AI Act?

Iconoi analiza su portafolio de IA, clasifica el riesgo regulatorio real y le dice qué hacer — con entregables que soporten tanto ISO 42001 como el EU AI Act.

Hablar con un especialista Diagnóstico gratuito