El debate cambió de eje. Durante 2023 y 2024, las conversaciones de directorio giraban en torno a si convenía o no incorporar inteligencia artificial al negocio. En 2026 esa pregunta ya está resuelta: el modelo está corriendo en producción, el LLM está conectado al CRM, y hay decisiones automáticas operando sin intervención humana en algún punto de la cadena. Lo que tu directorio no resolvió todavía es cómo demostrar que esa IA está bien gobernada cuando alguien con autoridad pregunte.
Ese alguien puede ser un cliente enterprise pidiendo una cláusula contractual sobre uso responsable de IA. Puede ser un regulador europeo aplicando AI Act sobre tu producto SaaS exportado. Puede ser un juez evaluando un caso de discriminación algorítmica. Puede ser un comprador en una licitación pública latinoamericana que ya empieza a incorporar criterios de explicabilidad. La pregunta es la misma en todos los escenarios: mostrame el sistema de gestión, no la presentación comercial.
El costo real de la IA desordenada
Desplegar inteligencia artificial sin un sistema de gobernanza expone a la organización a cuatro frentes de riesgo simultáneos, y ninguno de ellos se cubre con buenas intenciones ni con un documento de política colgado en la intranet.
El primer frente es legal. Modelos entrenados con datasets sesgados producen decisiones discriminatorias en scoring crediticio, selección de personal, triage médico, asignación de cobertura. Cuando el daño ocurre, la responsabilidad no se diluye en el algoritmo: vuelve a la persona jurídica que lo puso en operación. Sin trazabilidad de cómo se entrenó, qué datos se usaron y quién aprobó el deploy, la defensa se vuelve insostenible.
El segundo frente es reputacional. Una alucinación pública de un chatbot corporativo, un sistema de recomendación que termina amplificando contenido tóxico, un modelo de detección de fraude que bloquea transacciones legítimas de un segmento específico: cada uno de esos eventos se convierte en titular, y el titular se convierte en pérdida de contratos.
El tercer frente es regulatorio. El AI Act de la Unión Europea ya está vigente con cronograma escalonado, y su alcance es extraterritorial: si tu producto se usa en territorio europeo, te aplica, aunque tu empresa esté en Buenos Aires, San Pablo o Ciudad de México. Brasil avanzó con su Marco Legal de IA. México discute en Cámara de Diputados. Chile tiene proyecto. Argentina prepara borrador. La ventana en la que operar sin marco normativo local es de meses, no de años.
El cuarto frente es operativo, y suele ser el primero en aparecer. Decisiones automáticas sin trazabilidad significa que cuando algo falla, nadie en la organización puede reconstruir qué versión del modelo tomó la decisión, con qué datos, bajo qué umbral de confianza. Eso no es un problema técnico: es un problema de control interno.
Qué exige el AI Act y qué viene en LATAM
El AI Act europeo clasifica los sistemas de IA en cuatro niveles de riesgo. Los sistemas de alto riesgo —que incluyen biometría, infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos— deben cumplir obligaciones sustantivas: gestión de riesgo documentada, gobernanza de datos, registro técnico, transparencia hacia el usuario, supervisión humana efectiva, robustez, precisión y ciberseguridad. Y exigen un sistema de gestión de calidad implementado.
Las regulaciones latinoamericanas en preparación siguen patrones similares, con énfasis variable. Brasil enfatiza protección de derechos fundamentales. México pone foco en sesgo algorítmico en sector público. Chile mira hacia interoperabilidad con OCDE. Argentina trabaja sobre principios y, previsiblemente, hacia un esquema sectorial. En ningún caso se está discutiendo si va a haber regulación. Se está discutiendo cuándo y bajo qué autoridad.
La pregunta operativa para tu empresa no es si la regulación llega. Es si cuando llegue tenés un sistema implementado, o si vas a estar improvisando políticas en las seis semanas posteriores a la primera multa pública.
ISO/IEC 42001:2023 — el sistema, no el checklist
ISO/IEC 42001:2023 es la primera norma internacional de sistema de gestión específica para inteligencia artificial. No es una guía de buenas prácticas ni un código de ética: es un Management System Standard con la misma arquitectura que ISO 27001 o ISO 9001, lo que significa que es auditable, certificable, y compatible con los marcos de gestión que tu organización probablemente ya tiene.
Lo que la norma pide concretamente:
- Política de IA aprobada por la dirección, alineada con la estrategia del negocio y comunicada hacia adentro y hacia afuera de la organización.
- Roles y responsabilidades definidos: quién es el dueño del sistema, quién aprueba el deploy, quién monitorea, quién responde ante incidentes.
- Gestión del ciclo de vida de los modelos: desde el diseño y la selección de datos hasta el retiro, pasando por entrenamiento, validación, despliegue y monitoreo continuo.
- Evaluación de impacto y gestión de riesgo de IA: identificación de riesgos específicos al uso de IA, no riesgos genéricos copiados de otro marco.
- Supervisión humana efectiva: definir dónde, cuándo y cómo una persona puede intervenir, modificar o detener una decisión automatizada.
- Registro de decisiones y trazabilidad: cuando un cliente, un regulador o un auditor pregunte por qué el modelo decidió lo que decidió, hay un expediente que lo explica.
- Mejora continua y revisión por la dirección: el sistema vive, no es un certificado que se cuelga en la pared.
Implementada con seriedad, ISO/IEC 42001 no es un costo regulatorio. Es la columna vertebral de cómo tu organización va a poder seguir vendiendo IA a clientes que cada vez la exigen más calificada.
Trust-by-design: cómo se conecta con ISO 27001 e ISO 27701
ISO/IEC 42001 no funciona en aislamiento. Forma stack con dos normas que probablemente ya conocés: ISO/IEC 27001 para seguridad de la información, e ISO/IEC 27701 para gestión de privacidad. Las tres juntas dan respuesta operativa a la pregunta integral que un cliente enterprise va a hacer en su due diligence: cómo cuidás la información que recibís, cómo protegés los datos personales que procesás, y cómo gobernás la IA que entrenás con todo eso.
Esa integración —que en la industria empieza a llamarse trust-by-design— evita el error costoso de implementar tres sistemas paralelos con tres comités, tres conjuntos de documentos y tres ciclos de auditoría desacoplados. La arquitectura de Annex SL permite estructura común, riesgos integrados y revisión única por la dirección. Lo que el mercado va a premiar en los próximos 24 meses no es tener una norma certificada: es tener el stack funcionando como sistema.
Quiénes deberían estar mirando esto hoy
El alcance práctico de ISO/IEC 42001 es más amplio de lo que un primer vistazo sugiere. Hay cinco perfiles donde la decisión de avanzar ya no admite postergación.
PyMEs SaaS con cliente enterprise. Si tu producto incorpora un modelo de IA y tu cliente es una corporación global, la cláusula de gobernanza de IA va a aparecer en la próxima renovación de contrato. Llegar con sistema implementado convierte una objeción comercial en un diferenciador.
Gobiernos y proveedores de licitaciones públicas LATAM. Los pliegos empiezan a incorporar requisitos de explicabilidad, supervisión humana y trazabilidad para soluciones de IA. Sin sistema certificable, la oferta queda fuera de la grilla técnica.
Bancos y fintech con scoring algorítmico. El uso de modelos para decisiones crediticias, antifraude y onboarding biométrico cae directo en categoría alto-riesgo bajo AI Act y bajo regulación sectorial financiera. La supervisión humana documentada deja de ser opción.
Healthtech con triage o diagnóstico asistido. Cualquier modelo que apoye decisiones clínicas requiere ciclo de vida controlado, validación con datos representativos y registro de decisiones. ISO/IEC 42001 da el marco; la norma sectorial específica se construye encima.
Retail con personalización y recomendación. Los modelos de recomendación tocan datos personales, perfilamiento y, eventualmente, prácticas comerciales bajo escrutinio regulatorio. La línea entre personalización útil y manipulación algorítmica la traza el sistema de gestión, no el equipo de marketing.
Validar alcance importa, especialmente en una norma emergente
ISO/IEC 42001 se publicó en diciembre de 2023. Es una norma joven, en la que el ecosistema de evaluación todavía está en formación. Antes de prometer certificación acreditada, hay que verificar organismo, norma, alcance vigente y reglas del mercado de destino.
La distinción práctica es simple: un certificado o informe sólo tiene valor frente a un regulador o cliente exigente cuando puede trazarse a un esquema reconocido y a un alcance aplicable. Para G-CERTI, ISO 42001 debe tratarse como gobernanza técnica, formación y ruta de auditoría sujeta a validación de alcance.
El próximo movimiento
Si tu empresa entrenó un modelo, conectó un LLM en producción o automatizó un proceso de decisión con impacto en personas, contratos o ingresos, no estás frente a una pregunta técnica. Estás frente a una decisión de gobierno corporativo que define cómo vas a competir los próximos cinco años.
La conversación con tu directorio que conviene tener este trimestre es corta. ¿Tenemos un sistema de gestión de IA implementado, alguien dentro de la organización lo dirige, hay registro de decisiones y supervisión humana definida? Si la respuesta es no, el costo de empezar ahora es siempre menor que el costo de empezar cuando el regulador, el cliente o el incidente público te obliguen.