La regulación se adelanta. La certificación te deja listo.

Gobernanza de sistemas de IA

Regulación

AI Act de la Unión Europea (Reglamento 2024/1689), primer marco regulatorio integral sobre inteligencia artificial.

Qué exige

El AI Act clasifica los sistemas de IA por nivel de riesgo y exige a quienes desarrollan o despliegan sistemas de alto riesgo gestión de riesgos, gobernanza de datos, supervisión humana, documentación técnica y trazabilidad a lo largo del ciclo de vida.

La norma que ayuda

ISO/IEC 42001:2023 define un sistema de gestión de inteligencia artificial con un enfoque de riesgo y de ciclo de vida muy próximo al espíritu del AI Act. Operar este sistema ayuda a una organización a ordenar su gobernanza de IA y a llegar mejor preparada cuando deba demostrar control sobre sus modelos.

Protección de datos personales

Regulación

GDPR en la Unión Europea (Reglamento 2016/679), LGPD en Brasil (Ley 13.709/2018) y un conjunto creciente de leyes nacionales de protección de datos en América Latina.

Qué exige

Estos marcos exigen una base legal para tratar datos personales, principios de minimización y finalidad, derechos de los titulares, gestión de brechas y demostración de responsabilidad proactiva sobre cómo se gobierna la privacidad.

La norma que ayuda

ISO/IEC 27701 extiende el sistema de seguridad de la información de ISO/IEC 27001 hacia la gestión de la privacidad, con controles para responsables y encargados del tratamiento. Adoptar esta estructura ayuda a una organización a ordenar sus prácticas de privacidad y a respaldar con evidencia su responsabilidad proactiva.

Ciberseguridad y resiliencia digital

Regulación

Directiva NIS2 en la Unión Europea, regímenes sectoriales de ciberseguridad y exigencias contractuales de clientes y cadenas de suministro que piden controles demostrables.

Qué exige

Estos marcos piden gestión del riesgo de seguridad, control de accesos, respuesta ante incidentes, continuidad y evidencia de que los controles existen y se mantienen en el tiempo, no solo en el papel.

La norma que ayuda

ISO/IEC 27001:2022 establece un sistema de gestión de seguridad de la información basado en riesgo, con un catálogo de controles auditables. Operarlo ayuda a una organización a estructurar su postura de seguridad y a responder con evidencia cuando un cliente, un regulador o una auditoría la exigen.

Prevención del soborno y la corrupción

Regulación

Marcos anticorrupción de alcance extraterritorial como la FCPA (Estados Unidos) y la UK Bribery Act, junto con legislación nacional de integridad y compliance en la región.

Qué exige

Estos marcos esperan que la organización demuestre diligencia debida, controles sobre terceros, canales de denuncia, formación y un programa de integridad vivo y supervisado por la alta dirección.

La norma que ayuda

ISO 37001:2016 define un sistema de gestión antisoborno con los componentes que estos marcos esperan ver. Implementarlo ayuda a una organización a articular su programa de integridad y a mostrar, ante reguladores o socios, que el control existe y se ejecuta.

Reporte ambiental y de carbono

Regulación

Directiva CSRD de la Unión Europea sobre reporte de sostenibilidad corporativa y un conjunto creciente de exigencias de reporte ESG y de huella de carbono a lo largo de las cadenas de valor globales.

Qué exige

Estos marcos piden información ambiental fiable y comparable: gestión de impactos, medición de emisiones y datos que puedan sostenerse ante un tercero, no estimaciones declarativas.

La norma que ayuda

ISO 14001:2015 ordena la gestión ambiental con enfoque de ciclo de vida, y la familia ISO 14064 aporta el marco para cuantificar y verificar emisiones de gases de efecto invernadero. Apoyarse en estas normas ayuda a una organización a producir datos ambientales defendibles para sus reportes de sostenibilidad.