El Reglamento Europeo de IA entra en vigor en agosto de 2026. ¿Está tu sistema de gestión preparado?
El 2 de agosto de 2026 no es una fecha más en el calendario regulatorio europeo. Es el día en que el Reglamento (UE) 2024/1689, conocido como EU AI Act, despliega su aplicación plena para los sistemas de inteligencia artificial de alto riesgo. Las empresas que no estén adaptadas se exponen a sanciones de hasta 35 millones de euros o el 7% de su facturación global.
Y sin embargo, la mayoría de organizaciones todavía no han conectado esta obligación con algo que ya tienen: su sistema de gestión.
Qué dice exactamente el AI Act sobre gestión de la calidad
El Reglamento no es solo tecnología. En su artículo 17, establece una obligación directa para los proveedores de sistemas de IA de alto riesgo: deben implantar un sistema de gestión de la calidad que garantice el cumplimiento del reglamento.
Ese sistema debe incluir, entre otros aspectos:
- Políticas, procedimientos e instrucciones documentadas
- Técnicas de diseño y control de calidad del sistema de IA
- Procedimientos para la gestión de cambios y no conformidades
- Estrategias de supervisión posterior a la comercialización
- Comunicación con autoridades competentes
¿Os suena familiar? Debería. Son los pilares de cualquier sistema de gestión ISO bien implantado.
El AI Act no exige ISO 9001. Pero ISO 9001 cubre gran parte de lo que exige el AI Act.
Una empresa que ya cuenta con un sistema de gestión de calidad certificado bajo ISO 9001 tiene una ventaja real frente a quien empieza desde cero. El pensamiento basado en riesgos, la gestión documental, la revisión por la dirección, el control de proveedores externos: todos estos elementos ya están recogidos en ISO 9001 y todos son relevantes para cumplir con el AI Act.
Esto no significa que ISO 9001 sea suficiente por sí sola para cumplir el reglamento. Pero sí significa que quien ya la tiene implantada lleva mucho camino recorrido.
ISO 42001: la norma diseñada específicamente para la gestión de la IA
En 2023, ISO publicó la norma ISO/IEC 42001, el primer estándar internacional para sistemas de gestión de inteligencia artificial. Su estructura sigue el Anexo SL, el mismo marco que comparten ISO 9001, ISO 14001 o ISO 27001, lo que facilita su integración con sistemas de gestión ya existentes.
ISO 42001 cubre de forma específica lo que el AI Act exige en materia de gestión:
- Evaluación y gestión de riesgos a lo largo del ciclo de vida del sistema de IA
- Gobernanza de datos de entrenamiento, validación y prueba
- Supervisión humana y trazabilidad de decisiones automatizadas
- Gestión de incidentes y monitorización posterior al despliegue
- Política de IA y compromiso de la dirección
Buena parte de los requisitos del AI Act para sistemas de alto riesgo tienen su equivalente directo en los controles de ISO 42001. Certificarse bajo esta norma no garantiza automáticamente el cumplimiento del reglamento, pero construye una base sólida y demostrable ante cualquier autoridad supervisora.
¿A qué empresas afecta esto realmente?
Existe una percepción extendida de que el AI Act es cosa de grandes tecnológicas. No es así.
Afecta a cualquier organización que desarrolle, comercialice, importe o utilice sistemas de inteligencia artificial dentro del mercado europeo, independientemente de su tamaño y de dónde tenga su sede. Y desde febrero de 2025, la obligación de garantizar que el personal tenga un nivel suficiente de alfabetización en IA ya es exigible para todas las empresas que usen estos sistemas, sin excepción.
Los sectores con mayor exposición inmediata son aquellos que ya usan IA en procesos que afectan a personas: selección de personal, evaluación crediticia, diagnóstico médico, gestión de infraestructuras críticas, educación o seguridad. Pero la lista se amplía constantemente.
En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) está operativa desde 2023 y a partir de agosto de 2026 tendrá plenas competencias de inspección y sanción.
Qué debería estar haciendo tu empresa ahora
No hace falta esperar a agosto para actuar. Hay pasos concretos que cualquier organización puede dar hoy:
Inventariar los sistemas de IA en uso. Muchas empresas utilizan más herramientas de IA de las que creen, integradas en software de RRHH, CRM, atención al cliente o control de producción. El primer paso es saber qué hay.
Clasificar el nivel de riesgo. El AI Act establece cuatro niveles: riesgo inaceptable (prohibido), alto riesgo (obligaciones estrictas), riesgo limitado (transparencia) y riesgo mínimo (sin obligaciones específicas). La clasificación depende del uso, no de la tecnología.
Revisar el sistema de gestión existente. Si la organización ya cuenta con ISO 9001, el análisis de brechas frente a los requisitos del AI Act puede ser el punto de partida más eficiente. Muchos de los elementos ya están en su sitio.
Considerar ISO 42001. Para empresas que desarrollan o integran IA en sus procesos de negocio de forma relevante, esta norma ofrece el marco más completo para demostrar una gestión responsable y conforme con la regulación.
La posición de URS Spain
En URS Spain llevamos más de 30 años certificando sistemas de gestión. La llegada del AI Act y la publicación de ISO 42001 son, desde nuestra perspectiva, una evolución natural del mismo principio que ha guiado siempre la certificación: demostrar con evidencias que los procesos están bajo control.
Actualmente ofrecemos certificación en ISO 42001, con proceso de acreditación en curso. Para las organizaciones que ya cuentan con certificaciones ISO, la integración con ISO 42001 es más directa de lo que parece.
Si tu empresa está evaluando cómo posicionarse frente al AI Act, podemos ayudarte a entender qué tienes ya cubierto y qué queda por hacer. Sin necesidad de empezar desde cero.
¿Quieres saber si tu sistema de gestión actual está alineado con los requisitos del AI Act? Escríbenos y te lo analizamos.
