A mesura que l'AI Act europeu desplega les seves obligacions —amb els requisits per als sistemes d'alt risc entrant en plena vigència l'agost de 2026—, les empreses s'enfronten a una pregunta incòmoda: com demostro que governo la meva intel·ligència artificial de forma responsable? La resposta té nom de norma: ISO 42001, el primer estàndard internacional de sistemes de gestió dedicat específicament a la IA. Aquesta guia explica què és la ISO 42001, com s'estructura, com es relaciona amb l'AI Act i quins passos cal seguir per certificar-se.
Què és la norma ISO 42001
La ISO/IEC 42001:2023 és la primera norma internacional creada específicament per establir un marc de gestió de la intel·ligència artificial a les organitzacions. Publicada a finals de 2023, defineix els requisits per implantar un Sistema de Gestió d'Intel·ligència Artificial (AIMS, per les seves sigles en anglès): un conjunt estructurat de polítiques, rols, processos i controls per desenvolupar i fer servir la IA de forma responsable, fiable i transparent.
Dit de forma senzilla, la ISO 42001 és a la intel·ligència artificial el que la ISO 27001 és a la seguretat de la informació: un marc certificable que demostra davant de clients, socis i reguladors que una organització gestiona la seva IA amb criteri i no de forma improvisada. És aplicable a qualsevol empresa, independentment de la seva mida o sector, i resulta especialment rellevant per a les que desenvolupen o fan servir sistemes de IA amb riscos significatius.
Per a què serveix la ISO 42001 i a qui li interessa?
La ISO 42001 serveix per governar l'ús de la IA amb claredat: definir responsabilitats, avaluar riscos, establir controls i mantenir la traçabilitat de les decisions al llarg del temps. En lloc de tractar la IA com una caixa negra, la norma obliga a documentar qui és responsable de què, com es gestionen els riscos i com es millora el sistema de forma contínua.
Li interessa, en primer lloc, a les organitzacions que ja operen o planegen operar sistemes de IA en àmbits sensibles —recursos humans, crèdit, salut, educació o infraestructura crítica—, on un error algorísmic té conseqüències reals. Però també a qualsevol empresa que vulgui diferenciar-se: cada vegada més licitacions i contractes B2B comencen a demanar garanties sobre l'ús responsable de la IA, i un certificat reconegut internacionalment és la forma més eficient d'aportar-les.
La ISO 42001 no és un exercici burocràtic: és la diferència entre poder respondre «sí, i aquí hi ha l'evidència» o quedar-se en silenci quan un client pregunta com controles els biaixos dels teus models.
Estructura de la norma: clàusules i controls de l'Annex A
La ISO 42001 segueix l'Estructura d'Alt Nivell (HLS) comuna a les normes de sistemes de gestió, cosa que facilita integrar-la amb la ISO 27001 o la ISO 9001 si l'empresa ja les té. Les seves clàusules 4 a 10 contenen els requisits del sistema de gestió:
- Clàusula 4 — Context de l'organització: entendre l'entorn i les parts interessades.
- Clàusula 5 — Lideratge: compromís de la direcció i política de IA.
- Clàusula 6 — Planificació: gestió de riscos i oportunitats.
- Clàusula 7 — Suport: recursos, competències i documentació.
- Clàusula 8 — Operació: gestió del cicle de vida dels sistemes de IA.
- Clàusula 9 — Avaluació del rendiment: auditories i seguiment.
- Clàusula 10 — Millora: correcció i millora contínua.
A això s'afegeixen dos annexos específics de IA. L'Annex A defineix al voltant de 39 controls organitzats en 9 dominis, que cobreixen tot el cicle de vida del sistema de IA; l'Annex B ofereix la guia d'implementació d'aquests controls. Els dominis inclouen, entre d'altres, les polítiques de IA, l'organització interna (rols i governança), els recursos per als sistemes de IA (dades, eines i infraestructura) i l'avaluació d'impacte de la IA sobre les persones afectades.
| Domini de l'Annex A (exemples) | Què cobreix |
|---|---|
| Polítiques de IA | Marc normatiu intern per a l'ús de la IA |
| Organització interna | Rols, responsabilitats i governança |
| Recursos per a sistemes de IA | Dades, eines i infraestructura |
| Avaluació d'impacte | Anàlisi de riscos i efectes sobre les persones |
| Cicle de vida del sistema | Disseny, desenvolupament, desplegament i retirada |
ISO 42001 i l'AI Act: com es complementen
Aquesta és la relació que genera més confusió, de manera que convé ser precís. Bona part dels requisits de l'AI Act estan coberts pels controls de la ISO 42001: la norma ajuda a estructurar la governança, la traçabilitat, la supervisió humana i la millora contínua que el reglament europeu exigeix documentar. La Comissió Europea ha indicat, a més, que les normes harmonitzades de la sèrie ISO/IEC 42xxx poden utilitzar-se com a eina per demostrar el compliment de l'AI Act.
Ara bé, hi ha un matís crític: estar certificat en ISO 42001 no substitueix l'anàlisi legal de conformitat amb l'AI Act. La norma és un marc de gestió, no un dictamen jurídic. La forma correcta d'entendre-ho és que la ISO 42001 construeix l'«esquelet» de governança sobre el qual s'acredita posteriorment el compliment legal específic. Per això moltes organitzacions comencen per una anàlisi de bretxes que compara el seu AIMS amb les obligacions concretes del reglament.
Per aprofundir en el marc legal, podeu consultar la nostra guia sobre la regulació de la IA i l'AI Act a Europa i la guia de compliment del GDPR i l'AI Act per a empreses.
Beneficis de certificar-se en ISO 42001
Més enllà del compliment, la certificació aporta avantatges tangibles:
- Compliment regulatori anticipat, que redueix el risc i el cost d'adaptar-se a l'AI Act a última hora.
- Confiança de clients, socis i usuaris, recolzada per un certificat de tercera part.
- Avantatge competitiu en licitacions i contractes que comencen a exigir governança de IA.
- Menys errors i menor exposició a biaixos o decisions automatitzades mal supervisades.
- Processos més eficients i millor documentats, que acceleren l'adopció de nous casos d'ús amb seguretat.
En conjunt, la norma permet desenvolupar IA de forma més estable i predictible, cosa que a mitjà termini redueix costos en lloc d'afegir-ne.
Errors freqüents en implantar la ISO 42001
Conèixer els entrebancs habituals estalvia mesos de feina. Aquests són els més comuns:
- Tractar-la com un projecte només de compliment. Reduir la ISO 42001 a omplir documents per passar l'auditoria desaprofita el seu valor real: millorar de debò com es gestiona la IA. Un AIMS que només existeix sobre el paper no resisteix ni el primer incident real.
- Deixar fora les àrees de negoci. La governança de la IA no és responsabilitat exclusiva de l'IT o del departament legal. Si els equips que dissenyen i fan servir els models no hi participen, els controls queden desconnectats de la pràctica.
- Copiar controls sense adaptar-los. Els 39 controls de l'Annex A són una referència, no una plantilla rígida. Aplicar-los sense ajustar-los al context i al nivell de risc de cada sistema genera burocràcia inútil.
- Oblidar l'avaluació d'impacte. La valoració dels efectes de la IA sobre les persones afectades és un dels punts on més fallen les organitzacions, i precisament un dels que connecta millor amb l'AI Act.
- No mantenir la traçabilitat en el temps. La certificació no és un punt final: sense auditories internes i millora contínua, el sistema es degrada i la següent auditoria de seguiment ho posa en evidència.
Evitar aquests errors no exigeix més pressupost, sinó enfocar la norma com el que és: una eina de gestió, no un tràmit.
Com certificar-se en ISO 42001 pas a pas
El camí cap a la certificació és ordenat i predictible:
- Anàlisi de bretxes (gap analysis). Compara la situació actual de l'organització amb els requisits de la norma per identificar què hi manca.
- Implantació de l'AIMS. Desplega polítiques, rols, controls de l'Annex A i processos de gestió de riscos. Aquesta fase sol dur de 3 a 6 mesos, segons la mida i la complexitat de l'organització.
- Auditoria interna i revisió per la direcció. Verifica que el sistema funciona abans de l'auditoria externa.
- Auditoria de certificació (Stage 1 i Stage 2). Una entitat acreditada revisa primer la documentació i després la implantació real. Des de l'Stage 1 fins a l'emissió del certificat solen passar entre 60 i 90 dies.
- Manteniment. El certificat és voluntari i té una validesa de tres anys, amb auditories de seguiment periòdiques per mantenir-ne la vigència.
A Technova Partners ajudem les empreses a recórrer aquest camí amb criteri: des del diagnòstic de governança fins a la preparació de l'auditoria, connectant la norma amb els vostres casos d'ús reals de IA. La nostra feina en serveis de dades i intel·ligència artificial parteix sempre d'un equilibri entre innovació i control.
Preguntes freqüents sobre la ISO 42001
És obligatòria la ISO 42001? No. La certificació és voluntària. Tot i això, atès que els seus controls cobreixen bona part del que l'AI Act exigeix documentar, certificar-se és una de les formes més eficients de preparar-se per al compliment regulatori i de demostrar governança responsable davant de tercers.
En què es diferencia de la ISO 27001? La ISO 27001 gestiona la seguretat de la informació; la ISO 42001 gestiona la intel·ligència artificial. Comparteixen estructura (HLS), de manera que una organització que ja tingui la 27001 pot integrar la 42001 amb un esforç raonable, reutilitzant gran part del seu sistema de gestió.
Quant triga a obtenir-se la certificació? Depèn del punt de partida, però com a referència: la implantació de l'AIMS dura de 3 a 6 mesos i el procés d'auditoria, entre 60 i 90 dies des de l'Stage 1. El termini total realista ronda els sis mesos a un any.
Serveix per complir l'AI Act? Ajuda molt, però no substitueix l'anàlisi legal. La ISO 42001 aporta el marc de governança i bona part de l'evidència; la conformitat legal específica amb l'AI Act requereix, a més, una anàlisi jurídica dels sistemes concrets.
Quines empreses haurien de prioritzar la certificació? Les que desenvolupen o fan servir IA en àmbits d'alt risc —recursos humans, crèdit, salut, educació, infraestructura crítica o aplicacions judicials— són les primeres candidates, perquè és on l'AI Act és més exigent i el cost d'un error és major. També les que competeixen en licitacions B2B on la governança de IA comença a ser un criteri d'adjudicació. Per a una pime que gairebé no fa servir IA de forma puntual, en canvi, pot ser més sensat començar per una política interna bàsica i escalar cap a la certificació quan l'ús de IA creixi.
Cal tenir ja la ISO 27001 per certificar-se en la 42001? No és un requisit, però ajuda. Totes dues comparteixen l'Estructura d'Alt Nivell, de manera que si ja gestioneu la seguretat de la informació amb la 27001, gran part del sistema de gestió —polítiques, auditories internes, gestió de riscos— es reutilitza, i la implantació de la 42001 resulta més ràpida.
Conclusió
La ISO 42001 s'ha convertit en la referència per governar la intel·ligència artificial de forma responsable i demostrable. Resumint:
- És el primer estàndard internacional de gestió de IA, certificable i aplicable a qualsevol organització.
- La seva estructura combina les clàusules d'un sistema de gestió amb controls específics de IA (Annex A) i la seva guia d'implementació (Annex B).
- Es complementa amb l'AI Act —cobreix bona part de les seves exigències de governança— però no substitueix l'anàlisi legal.
- La certificació és voluntària, vàlida tres anys, i aporta confiança, compliment anticipat i avantatge competitiu.
Com més aviat s'aborden aquests aspectes, menor serà la pressió quan les obligacions de l'AI Act per als sistemes d'alt risc entrin en plena vigència: la governança no s'improvisa les setmanes prèvies a una auditoria o a un requeriment d'un client. Voleu preparar la vostra organització per certificar el sistema de gestió de la IA i anticipar-vos a l'AI Act? Parleu amb el nostre equip i dissenyem conjuntament un full de ruta de governança de IA connectat als vostres casos d'ús reals.
