Servicios Profesionales y Empresariales

Aquí tienes el artículo de: Septiembre, 2025

Integración de la ISO/IEC 42001 con otras normas ISO
(Por David Mondragón Tapia)

Introducción a la norma ISO/IEC 42001:2023

En la actualidad, el desarrollo y uso acelerado que presenta la inteligencia artificial (IA) como tecnología disruptiva, tanto en el sector público como en el privado, aunado al potencial previsto y aún por venir, sigue generando diversas preocupaciones en la sociedad y entre los grupos de expertos en el tema, respecto a la posible falta de robustez tecnológica, así como por el uso o aplicación que se le pudiera dar en los diferentes contextos y sectores de la vida, temiéndose que su uso irresponsable llegue a comprometer los derechos y principios fundamentales del ser humano. Ejemplos de esto, los hemos podido atestiguar con diferentes casos muy sonados en los medios de información, al enterarnos que se está utilizando la IA para identificar y manipular a las personas sin su consentimiento, calificar a las personas de manera masiva o encubrir el uso de sistemas de IA para propósitos que no se transparentan. Así pues, un sesgo en el uso o aplicación de los sistemas de IA se puede concretar, al inclinar las acciones decididas por el agente de IA hacia una persona o grupo de personas, un objeto o grupo de objetos, o una posición o posiciones respecto a un tema o asunto en particular.  Lo anterior, podría a su vez ser causado por alguna de las razones siguientes:

  • sesgos o errores en el diseño y desarrollo de los modelos y algoritmos integrados,
  • sesgos en el método de recolección, tipo y/o cantidad de datos utilizados,
  • sesgos durante el proceso de entrenamiento, pruebas y validaciones para la implementación del sistema de IA,
  • sesgos durante los pilotos realizados para el uso del sistema de IA,
  • sesgos o errores por las limitaciones impuestas por su entorno y su uso exclusivo,
  • y finalmente sesgos durante el proceso de interacción con el usuario para incrementar su aprendizaje y lograr una adaptación continua de la IA.

Cualquiera que sea la razón para un sesgo, lo importante es recalcar que aunque este pudiera ser bueno o malo, intencional o no intencional, al final este podría resultar en un acto de discriminación, injusticia o daño a las personas, grupos de personas o sociedades. Con base en lo anterior y con el fin de evitar este tipo de desviaciones o sesgos en el uso o aplicación de los sistemas de IA, la incorporación de estándares internacionales como la norma ISO/IEC 42001:2023, viene a aliviar la situación y a contribuir con el logro de dicho reto.

Integración de la ISO/IEC 42001 con otras normas ISO

Como ya se dijo anteriormente, la IA se viene aplicando y/o integrando aceleradamente en diversos sectores que utilizan tecnologías de la información y comunicación, previéndose con esta tendencia, que sea uno de los principales impulsores económicos de estas últimas (las TICs). Como resultado de lo anterior, se espera también que ciertos usos o aplicaciones puedan presentar desafíos sociales enormes para la humanidad, en el futuro cercano. Por esta razón, la norma ISO/IEC 42001 se creó con el propósito de apoyar a las organizaciones a desempeñar de manera responsable, su papel o rol en el desarrollo, uso, supervisión y suministro de productos y/o servicios que utilicen sistemas de IA.

Recordemos que al proporcionar o utilizar sistemas de IA, la organización puede establecer objetivos u obligaciones relacionadas con aspectos referentes a una gestión responsable de la IA, pero también con otros temas relacionados con otras normas de sistemas de gestión. Tales son los casos de las normas siguientes:

  • la ISO/IEC 27001 para la seguridad de la información, ciberseguridad y protección de la privacidad,
  • la ISO /IEC 27701 para la información de privacidad y
  • la ISO 9001 para la gestión de la calidad de los productos y/o servicios.

Así pues, al proporcionar, utilizar o desarrollar sistemas de IA, es posible fortalecer o complementar la gestión de la organización, mediante la integración de las normas antes citadas, junto con la norma ISO/IEC 42001:2023 para Sistemas de Gestión de IA (SGIA), dando lugar a la conformación de un Sistema de Gestión Integrado o Integral (SGI).

ISO 42001 (SGIA) vs ISO 27001 (SGSI)

La integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de Seguridad de la Información o SGSI (ISO 27001), en la mayoría de los contextos, permitirá que la seguridad sea clave para lograr los objetivos de la organización con respeto a los sistemas de IA. La forma en que esto último se logra, dependerá de cómo la organización defina sus objetivos de seguridad, naturalmente de su contexto, así como también de sus propias políticas organizacionales. Si una organización identifica la necesidad de implementar un Sistema de Gestión de IA y a la vez, definir y abordar los objetivos de seguridad de la información de manera exhaustiva y sistemática, puede implementar también un Sistema de Gestión de Seguridad de la Información conforme a la norma ISO 27001. Lo anterior será posible, gracias a que tanto la norma ISO/IEC 27001 como la norma ISO/IEC 42001, utilizan la “estructura de alto nivel (dada por el anexo SL)”, por lo que su uso integrado se facilita y resulta benéfico para la organización. En este caso considere solamente, que la forma de implementar los controles de IA referentes al desarrollo responsable de los sistemas de IA y que se relacionan con la seguridad de la información, puede integrarse con la implementación del SGSI de la organización.

ISO 42001 (SGIA) vs ISO 27701 (SGIP)

De la misma forma, la integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de Información Privada o SGIP (ISO 27701) -por cierto, este último se basa también en el SGSI-, en muchos contextos y ámbitos de aplicación, conlleva que los sistemas de IA procesen información de identificación personal (PII por sus siglas en inglés) junto con otros tipos de información (ej. comercial, geográfica, transaccional, entre otras). De acuerdo con lo anterior, la organización puede bien definir sus objetivos y sus propias políticas de privacidad, para cumplir entonces con las obligaciones aplicables en la materia. Así pues, similar al caso de la norma ISO/IEC 27001, la organización puede beneficiarse de la integración del Sistema de Gestión de Información Privada, con el Sistema de Gestión de IA. Para este otro caso, hay que considerar también que tanto los objetivos como los controles de IA referentes a la valoración de impactos del sistema de IA, así como los que buscan la alineación con las políticas organizacionales y que se relacionan con la privacidad del Sistema de Gestión de IA, pueden integrarse con la implementación de SGIP de la organización.

ISO 42001 (SGIA) vs ISO 9001 (SGC)

Finalmente, la integración o complementación de un Sistema de Gestión de IA (ISO 42001) con un Sistema de Gestión de la Calidad o SGC (ISO 9001), podrá significar para muchas partes interesadas u organizaciones, que el cumplimiento con la norma ISO 9001 sea una señal importantísima respecto a la orientación hacia el cliente, así como de la auténtica preocupación por procurar una eficacia y mejora continua del SGC y de sus productos y/o servicios en el alcance. Así pues, la realización de una evaluación independiente para cumplir con los requisitos de la norma ISO 9001, además de facilitar el negocio o abrir puertas, inspirará también la confianza en cualquier cliente respecto a los productos y/o servicios que recibe de la organización (proveedor). Con lo anterior, el nivel de confianza del cliente en una organización o sistema de IA, puede verse reforzado considerablemente cuando se implementa un Sistema de Gestión de IA junto con un Sistema de Gestión de la Calidad, sobre todo cuando se utilizan o incorporan tecnologías de IA en los productos y/o servicios. Por último y con base en lo antes dicho, podemos afirmar que el Sistema de Gestión de IA puede complementarse con un Sistema de Gestión de la Calidad, al mostrar conformidad con los requisitos de la norma ISO 9001, ayudando así a cualquier organización a alcanzar sus objetivos estratégicos y de gestión en materia de IA.

Otras normas ISO relevantes

Además de las normas ISO 27001, 27701 y 9001 para los sistemas de gestión anteriormente mencionados, un Sistema de Gestión de Inteligencia Artificial o SGIA, también puede utilizarse junto con otros sistemas de gestión específicos para un sector. Tales son los casos siguientes:

  • la norma ISO 22000 para un sistema de IA que es utilizado en la producción, preparación y logística de los alimentos,
  • la norma ISO 13485 para cumplir con los requisitos relacionados con el software de dispositivos médicos o 
  • la norma IEC 62304 para cumplir con otro tipo de requisitos aplicables al sector médico.

Referencias consultadas

1. International Standard ISO/IEC 42001:2023. Information Technology - Artificial Intelligence - Management System. First Edition, Dic-2023.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.