La gobernanza corporativa de la inteligencia artificial: la ISO/IEC 42001 como nuevo estándar jurídico de cumplimiento
La gobernanza corporativa de la inteligencia artificial: la ISO/IEC 42001 como nuevo estándar jurídico de cumplimiento
Por Santiago Carretero Sánchez
Profesor Titular de Filosofía del Derecho. Universidad Rey Juan Carlos
Abogado del Ilustre Colegio de la Abogacía de Madrid
La inteligencia artificial ha dejado de ser una herramienta tecnológica reservada a departamentos de innovación para convertirse en un elemento estructural de la estrategia empresarial. Las organizaciones que incorporan sistemas de IA ya no solo afrontan desafíos técnicos o económicos, sino también importantes obligaciones jurídicas derivadas del Reglamento Europeo de Inteligencia Artificial (AI Act). En este contexto, la gobernanza de la IA adquiere una dimensión esencial: no basta con utilizar sistemas inteligentes de manera eficiente, sino que resulta imprescindible gestionarlos conforme a principios de legalidad, transparencia, supervisión humana y responsabilidad organizativa.
Precisamente en esta dirección se orienta la creciente relevancia de la ISO/IEC 42001:2023, primer estándar internacional específicamente diseñado para establecer un sistema de gestión de la inteligencia artificial. Aunque formalmente constituye una norma técnica de carácter voluntario, su influencia jurídica es cada vez mayor, pues ofrece un marco sistemático para demostrar que una organización ha implantado procedimientos adecuados de identificación, evaluación y control de los riesgos derivados del empleo de sistemas inteligentes.
La evolución del Derecho europeo confirma esta tendencia. El AI Act no exige expresamente la certificación conforme a la ISO/IEC 42001, pero sí impone obligaciones organizativas que encuentran en dicho estándar un instrumento especialmente adecuado para acreditar el cumplimiento diligente de las exigencias regulatorias. Entre ellas destacan la evaluación continua de riesgos, la documentación técnica, la trazabilidad de las decisiones automatizadas, la supervisión humana efectiva, la gestión de incidentes y la mejora permanente de los procesos internos.
Desde la perspectiva del Derecho mercantil, esta transformación supone un cambio profundo en la concepción tradicional del gobierno corporativo. Los consejos de administración ya no pueden limitar su función al control financiero o al seguimiento de los riesgos económicos. La inteligencia artificial pasa a integrarse en el núcleo mismo de las políticas de gestión empresarial, de manera que la supervisión de los algoritmos constituye una nueva manifestación del deber de diligencia de los administradores. La adopción de decisiones estratégicas basadas en sistemas inteligentes exige establecer protocolos claros sobre responsabilidad, auditoría, control interno y asignación de funciones.
La gobernanza algorítmica tampoco puede identificarse con una mera cuestión informática. Nos encontramos ante un verdadero problema jurídico transversal en el que confluyen el Derecho de sociedades, el Derecho administrativo, la protección de datos personales, la responsabilidad civil, el Derecho laboral y la regulación de los consumidores. La utilización de inteligencia artificial afecta simultáneamente a múltiples bienes jurídicos y exige mecanismos coordinados que permitan garantizar la protección efectiva de los derechos fundamentales.
En este escenario adquiere especial importancia el concepto de AI Governance, entendido como el conjunto de políticas, procedimientos y estructuras organizativas destinadas a garantizar que los sistemas inteligentes actúen conforme a la normativa vigente y a los principios éticos que inspiran el Derecho europeo. La gobernanza deja así de identificarse exclusivamente con el cumplimiento formal de obligaciones legales para convertirse en un verdadero instrumento de dirección estratégica de la organización.
La norma ISO/IEC 42001 responde precisamente a esta nueva concepción. Inspirándose en la estructura de otros sistemas internacionales de gestión, como la ISO 9001 o la ISO 27001, propone un modelo basado en la mejora continua, la identificación sistemática de riesgos y la integración de la inteligencia artificial en la cultura organizativa de la empresa. El énfasis no recae únicamente sobre el funcionamiento técnico de los algoritmos, sino sobre la capacidad institucional de la organización para anticipar problemas, adoptar medidas preventivas y responder adecuadamente cuando se produzcan incidentes.
Especial relevancia presenta la documentación de las decisiones automatizadas. La trazabilidad constituye uno de los pilares fundamentales tanto del AI Act como de la ISO/IEC 42001. Poder reconstruir el proceso seguido por un sistema inteligente, identificar los datos utilizados, conocer los criterios empleados por el algoritmo y determinar quién asumió la supervisión humana son elementos imprescindibles para garantizar la rendición de cuentas (accountability), principio que se consolida como uno de los ejes de la regulación europea de la inteligencia artificial.
Desde una perspectiva práctica, la implantación de un sistema de gobernanza conforme a la ISO/IEC 42001 ofrece importantes ventajas jurídicas. Facilita la preparación frente a auditorías regulatorias, mejora la defensa de la organización en supuestos de responsabilidad civil o administrativa, incrementa la confianza de clientes e inversores y contribuye a demostrar que la empresa ha actuado con la diligencia exigible en la gestión de los riesgos tecnológicos. Aunque la certificación no excluye automáticamente la responsabilidad jurídica, sí constituye un elemento probatorio relevante para acreditar la existencia de un modelo organizativo razonable y conforme con las mejores prácticas internacionales.
En definitiva, la inteligencia artificial inaugura una nueva etapa en la evolución del cumplimiento normativo empresarial. Si durante las últimas décadas el protagonismo correspondió a la protección de datos personales y a los programas de compliance penal, la década actual parece destinada a consolidar la gobernanza algorítmica como uno de los principales ámbitos de actuación del Derecho de la empresa. En este proceso, la ISO/IEC 42001 no debe contemplarse únicamente como una especificación técnica, sino como un auténtico referente jurídico de buena administración, gestión responsable y cumplimiento normativo en la era de la inteligencia artificial.
La incorporación progresiva de este estándar a las prácticas empresariales permitirá fortalecer la confianza en los sistemas inteligentes y facilitará que la innovación tecnológica avance de manera compatible con los valores constitucionales y con la protección efectiva de los derechos fundamentales. El verdadero reto jurídico ya no consiste únicamente en regular la inteligencia artificial, sino en gobernarla adecuadamente desde el interior de las organizaciones.
Referencias (APA 7.ª edición)
European Parliament & Council. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L 1689.
International Organization for Standardization, & International Electrotechnical Commission. (2023). ISO/IEC 42001:2023. Information technology—Artificial intelligence—Management system.
Organización Internacional de Normalización. (2023). ISO/IEC 42001:2023 Artificial intelligence management systems.
OECD. (2024). OECD Framework for the Classification of AI Systems.
NIST. (2024). Artificial Intelligence Risk Management Framework (AI RMF 1.0). National Institute of Standards and Technology.
European Commission. (2025). Guidance on the implementation of the AI Act.
CincoDías Legal. (2026, 14 de julio). La IA se sienta en el consejo: del experimento al gobierno corporativo.

Comentarios
Publicar un comentario