ISO 42001: la nueva pregunta que reguladores y auditores van a hacerle a tu utility

Cuando la IA empieza a tomar decisiones, ¿quién responde?

En los últimos 24 meses, la IA en utilities pasó de curiosidad a operación. Modelos predictivos de demanda, asistentes generativos para atención al cliente, copilotos de mantenimiento — ya están en producción en empresas de energía de Argentina, Perú, Colombia, México y Chile. Lo que todavía no ocurrió es la respuesta institucional: cuando una IA participa en una decisión operativa o regulatoria, ¿cómo se demuestra que esa decisión fue trazable, auditable y conforme a un marco de gestión responsable?

Esa es la pregunta que ISO 42001 intenta responder. Y es la pregunta que reguladores, auditores y juntas directivas van a empezar a hacer — en algunos casos ya la están haciendo.

Qué es ISO 42001 (y por qué no es una norma más)

ISO 42001 fue publicada a fines de 2023 por la Organización Internacional de Normalización. Es el PRIMER estándar internacional certificable para Sistemas de Gestión de IA. Hasta su publicación existían marcos voluntarios — el NIST AI RMF, los principios de la OCDE — pero ninguno con la estructura formal de una norma ISO certificable. La diferencia importa: un marco voluntario es una referencia; una norma ISO certificable es algo que un auditor externo puede verificar y que un regulador puede exigir como evidencia.

• Identificación y evaluación de riesgos de los sistemas de IA
• Políticas y controles a lo largo de todo el ciclo de vida del modelo (datos, entrenamiento, despliegue, monitoreo, retiro)
• Trazabilidad de las decisiones algorítmicas
• Roles y responsabilidades para la gobernanza de IA
• Mejora continua bajo el modelo PDCA compartido con ISO 27001 e ISO 9001

Por qué le importa específicamente al sector energético

Las utilities son infraestructura crítica. Cualquier decisión asistida por IA — desde el pronóstico de demanda que alimenta el despacho hasta los modelos de priorización de mantenimiento — tiene un nivel de escrutinio regulatorio que no existe en e-commerce. Hay tres razones específicas por las que el sector energético debería prestar atención ahora.

La superficie de IA crece más rápido que la capacidad de gobernarla

El Shadow AI — empleados que usan ChatGPT, Claude o Gemini sin gobernanza corporativa — ya es la principal fuente de fuga de datos sensibles en utilities de la región. ISO 42001 obliga a una respuesta institucional, no individual. Sin inventario de sistemas de IA, no hay gobernanza posible.

Los reguladores latinoamericanos están armando su posición

ENRE, ENARGAS y entidades subnacionales se están moviendo hacia requisitos explícitos de auditabilidad algorítmica. La ventana para llegar preparado se está cerrando. Las utilities que empiecen hoy tendrán entre 12 y 24 meses de ventaja sobre las que esperen a que el requisito sea obligatorio.

Inversores institucionales y bancos multilaterales lo están empezando a pedir

Toda utility que busque financiamiento del BID, CAF o bancos europeos va a encontrar, crecientemente, requisitos de gobernanza de IA en la due diligence. ISO 42001 es la respuesta legible para esa conversación — una respuesta que un comité de crédito puede evaluar sin necesidad de entender los detalles técnicos del modelo.

ISO 27001 ya no alcanza (pero sigue siendo necesaria)

Una confusión frecuente: "ya tenemos ISO 27001, ¿no es lo mismo?". No. ISO 27001 protege los DATOS de tu utility — confidencialidad, integridad, disponibilidad. ISO 42001 protege las DECISIONES AUTOMATIZADAS que esos datos alimentan. Son complementarias, no redundantes.

Para una utility en 2026, la respuesta completa al regulador necesita los dos marcos. Tener uno sin el otro deja un flanco expuesto.

Cómo empezar (sin convertirlo en un proyecto de dos años)

ISO 42001 puede sonar intimidante, pero su estructura está deliberadamente alineada con ISO 27001 e ISO 9001. Si ya operás bajo alguno de esos marcos, gran parte de la infraestructura de gestión ya existe. Lo que cambia es el alcance.

• 1. Inventario de IA. Identificar todos los sistemas de IA en uso, incluyendo Shadow AI. Sin inventario, no hay gobernanza posible.
• 2. Análisis de brecha contra ISO 42001. Comparar las prácticas actuales contra los controles de la norma.
• 3. Definir un perímetro de datos. Qué puede salir del entorno de la utility, qué debe quedarse on-premise, qué proveedores de IA están aprobados para cada nivel de sensibilidad.
• 4. Audit trail técnico. Cada interacción con modelos de IA debe ser registrada, firmada y archivada de forma no manipulable. Es trabajo de ingeniería real, no procedimental.
• 5. Política de uso aceptable de IA. Documentada, comunicada, entrenada y monitoreada — no alcanza con tenerla escrita.
• 6. Auditoría interna y, eventualmente, certificación externa.

El plazo realista para la certificación en una utility mediana es de entre 12 y 24 meses, dependiendo del punto de partida. El que empieza hoy llega certificado cuando el regulador todavía está definiendo los requisitos — esa es la posición que querés tener.

La oportunidad de quien llega temprano

ISO 42001 todavía es nueva. Las primeras utilities en LATAM que la adopten no van a seguir un estándar — lo van a definir. Esa posición tiene valor regulatorio, valor reputacional y valor de negociación frente a inversores y organismos de financiamiento multilateral.

La pregunta definitoria de este momento no es SI van a tener ISO 42001. Es CUÁNDO — y si van a llegar como pioneras o como rezagadas.