Log in
Sign up
AI governance framework concentric rings diagram: OECD principles, NIST AI RMF, ISO 42001, EU AI Act

Sections

Marco de gobernanza de la IA: la guía completa

Cada organización que despliega IA enfrenta el mismo problema: el panorama regulatorio y normativo se ha fragmentado en cuatro marcos que se solapan, cada uno con un alcance, peso jurídico y lógica operativa diferente. Adoptar solo uno genera lagunas. Implementar los cuatro sin una estructura clara duplica el trabajo.

Esta guía mapea los cuatro principales marcos de gobernanza de la IA, explica sus interacciones y ofrece un plan de secuenciación práctico para organizaciones que construyen un programa de cumplimiento multi-marco.

Qué es un marco de gobernanza de la IA

Un marco de gobernanza de la IA es un conjunto estructurado de políticas, procesos, roles y controles que rige cómo una organización desarrolla, despliega y monitoriza sus sistemas de IA. Responde a tres preguntas: quién es responsable de las decisiones de IA, cómo se identifican y gestionan los riesgos, y qué pruebas demuestran que los controles funcionan.

La distinción entre política y marco es fundamental. Una política establece qué debe ocurrir. Un marco define cómo organizar todo lo que debe ocurrir, quién posee cada componente y cómo los componentes se interconectan. Sin un marco, el cumplimiento se convierte en una lista de acciones aisladas sin un responsable global del programa.

Tres pilares aparecen en todos los marcos principales: responsabilidad, transparencia y gestión de riesgos.

El calendario regulatorio ya no es teórico

En España y en toda la Unión Europea, el Reglamento IA (Reglamento (UE) 2024/1689) establece plazos concretos. Las prohibiciones sobre prácticas de riesgo inaceptable están en vigor desde febrero de 2025. Las obligaciones para proveedores de modelos de IA de uso general se aplican desde agosto de 2025. Los requisitos completos para sistemas de IA de alto riesgo entrarán en vigor en agosto de 2026.

La AEPD (Agencia Española de Protección de Datos) ha publicado guías sobre el uso de IA compatibles con la protección de datos que se alinean con el enfoque basado en riesgo del Reglamento IA. La adopción de ISO 42001 se acelera: según una encuesta de Sprinto de 2025, el 76% de las organizaciones planea obtener la certificación durante el año.

Los cuatro marcos que todo responsable de gobernanza IA debe conocer

NIST AI Risk Management Framework (AI RMF)

El NIST publicó el AI RMF 1.0 en enero de 2023. El marco se organiza en cuatro funciones:

  • GOVERN: estructuras de responsabilidad, políticas y mecanismos de supervisión
  • MAP: identificación de riesgos antes del despliegue
  • MEASURE: cuantificación y prueba de riesgos de IA
  • MANAGE: priorización y tratamiento de riesgos identificados

NIST AI RMF es voluntario, flexible y se adapta a organizaciones de cualquier tamaño y sector.

ISO/IEC 42001:2023: el estándar certificable para la gestión de IA

ISO 42001 es el primer estándar internacional certificable por terceros para la gobernanza de IA. Sigue la estructura Annex SL de ISO 27001 e ISO 9001, facilitando la integración con sistemas de gestión existentes.

Las cláusulas 4 a 10 son auditables. El Anexo A define 38 controles en nueve dominios. La certificación tiene una duración trienal con auditorías de vigilancia anuales. ISO/IEC 42006:2025 define los requisitos de competencia para los auditores.

El Reglamento IA europeo: la primera regulación vinculante del mundo

El Reglamento (UE) 2024/1689 clasifica los sistemas de IA en cuatro niveles de riesgo:

  • Inaceptable: prohibido desde febrero de 2025
  • Alto riesgo: obligaciones estrictas desde agosto de 2026 (evaluación de conformidad, gestión de riesgos, documentación técnica, registro en la base de datos UE)
  • Limitado: solo obligaciones de transparencia
  • Mínimo: sin obligaciones

Las sanciones por las infracciones más graves alcanzan 35 millones de euros o el 7% de la facturación mundial. El reglamento tiene alcance extraterritorial.

Principios de la OCDE sobre IA: la referencia global

Los Principios de la OCDE sobre IA (OECD/LEGAL/0449), adoptados en 2019 y actualizados en 2024, identifican cinco principios fundamentales: crecimiento inclusivo, valores humanos y equidad, transparencia y explicabilidad, robustez y seguridad, y responsabilidad. Adoptados por 47 jurisdicciones, son no vinculantes pero constituyen una referencia de facto para los reguladores globales.

Los cuatro marcos como capas complementarias

  • Capa 1 (valores): Principios OCDE
  • Capa 2 (proceso de riesgo): NIST AI RMF
  • Capa 3 (sistema de gestión): ISO 42001
  • Capa 4 (obligaciones legales): Reglamento IA europeo

Mapeo de controles entre marcos

La Cláusula 5 de ISO 42001 (Liderazgo) y la función GOVERN del NIST requieren ambas una política de IA documentada y un compromiso visible de la dirección.

La Cláusula 6 de ISO 42001 (Planificación) cubre aproximadamente el 60% de los requisitos del Artículo 9 del Reglamento IA (sistema de gestión de riesgos), según el análisis de organismos de certificación.

La Cláusula 9 de ISO 42001 (Evaluación del desempeño) se alinea directamente con la función MEASURE del NIST: las pruebas generadas para una alimentan directamente la otra.

Dos normas europeas en desarrollo en el CEN-CENELEC, prEN 18228 y prEN 18282, proporcionarán especificaciones técnicas adicionales alineadas con el Reglamento IA.

Elegir el punto de partida

Exposición al mercado UE: Comenzar con la clasificación de riesgos según el Reglamento IA. Identificar cada sistema, determinar su nivel de riesgo y priorizar los sistemas de alto riesgo.

Necesidad de certificación: Comenzar con ISO 42001, que estructura el programa de gobernanza de forma que beneficia simultáneamente la conformidad NIST y el Reglamento IA.

Organización fuera de la UE sin necesidad inmediata de certificación: Comenzar con NIST AI RMF e incorporar ISO 42001 cuando la certificación se convierta en requisito.

Construir un programa multi-marco

Un programa eficaz sigue cinco etapas: inventario de sistemas IA, clasificación de riesgos, selección de controles (Anexo A de ISO 42001 como columna vertebral), recopilación de pruebas y monitorización continua.

AI Sigil integra estas cinco etapas en una plataforma unificada que mapea los controles sobre los cuatro marcos simultáneamente y detecta brechas antes de que lo hagan los auditores.

Conclusión

Los cuatro marcos de gobernanza IA no son alternativas, son capas complementarias. Las organizaciones que los superponen correctamente construyen programas que satisfacen simultáneamente a reguladores, organismos de certificación y equipos de compras.

Fuentes: NIST AI RMF 1.0 (enero 2023); ISO/IEC 42001:2023; ISO/IEC 42006:2025; Reglamento (UE) 2024/1689 (Reglamento IA), DO L, 12 de julio de 2024; Principios de la OCDE sobre IA (OECD/LEGAL/0449), actualización mayo 2024; Gartner, análisis del mercado de plataformas de gobernanza IA, febrero 2026; Sprinto, encuesta sobre adopción de ISO 42001, 2025; prEN 18228 y prEN 18282 (CEN-CENELEC, solo referencia nominal).

Elena Vargas

Leyes de inteligencia artificial en 2026: el mapa global de cumplimiento

¿Proveedor, responsable del despliegue o modelo GPAI? Así encajan el Reglamento europeo de IA, las leyes de EE.UU., NIST AI RMF e ISO 42001 en 2026.

Marco de gobernanza de la IA: la guía completa

Compara NIST AI RMF, ISO 42001, el Reglamento IA y los principios OCDE. Descubre qué marco se adapta a tu organización y cómo implementarlos juntos.

Human-in-the-Loop vs Human-on-the-Loop: guía de supervisión de la IA

Elegir entre human-in-the-loop y human-on-the-loop: 7 ejes de decisión, lectura del artículo 14 del Reglamento de IA y anclaje en ISO/IEC 42001.

Marcos de gobernanza de la IA: NIST AI RMF, ISO 42001, Reglamento de IA y principios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Reglamento de IA y principios OCDE comparados, con mapeo de controles y árbol de decisión para elegir el marco adecuado.

ISO 42001 no cubre el Reglamento de IA: la pila de normas que realmente necesita

Una certificación ISO 42001 no le pone en regla con el Reglamento de IA. Estas son las normas armonizadas que cuentan de verdad y cómo desplegarlas.