Data (Use and Access) Act 2025
Las decisiones automatizadas sobre personas necesitan salvaguardas documentadas —revisión humana significativa y transparencia— a partir de febrero de 2026.
ISO/IEC 42001 por región
El Reino Unido eligió una vía sectorial y basada en principios —sin una única ley de IA—, por lo que el cumplimiento en materia de IA se reparte entre la ICO, la FCA, la MHRA, Ofcom y otros reguladores, además de la exposición al EU AI Act para las empresas que venden en Europa. ISO/IEC 42001 ofrece a las organizaciones británicas un único sistema de gestión de IA coherente y certificable que responde a todos ellos a la vez.
El panorama regulatorio
A fecha de 2026, el Reino Unido ha evitado deliberadamente una única ley integral sobre IA; la posición del gobierno es que la IA se regula mejor "en el punto de uso" por los reguladores expertos que ya supervisan cada sector. Las expectativas transversales provienen de la Data (Use and Access) Act 2025 —que establece salvaguardas para las decisiones automatizadas sobre personas a partir de febrero de 2026— y de un próximo código de buenas prácticas sobre IA de la ICO. Los reguladores sectoriales añaden sus propias normas, y las empresas británicas con impacto en el mercado de la UE también quedan sujetas al EU AI Act.
Qué lo impulsa
Las decisiones automatizadas sobre personas necesitan salvaguardas documentadas —revisión humana significativa y transparencia— a partir de febrero de 2026.
Un deber legal (en vigor en mayo de 2026) para que la ICO elabore orientación sobre IA, seguido de una guía actualizada sobre decisiones automatizadas.
La FCA (Consumer Duty), la MHRA (productos sanitarios), Ofcom (Online Safety Act), Ofgem, la SRA y la CMA fijan cada uno expectativas sobre IA para sus industrias.
Las empresas británicas que afectan al mercado de la UE también deben cumplir las obligaciones de alto riesgo de la UE, que ahora aplican desde diciembre de 2027.
Los compradores empresariales y los organismos públicos exigen cada vez más a los proveedores una gobernanza de IA demostrable.
Cómo encaja ISO/IEC 42001
Un único sistema de gestión cuya evidencia satisface a la vez las salvaguardas de la ICO y a múltiples reguladores sectoriales, en lugar de una respuesta separada para cada uno.
Los controles de supervisión humana, transparencia y evaluación de impacto son exactamente lo que esperan la DUAA y la ICO.
El mismo AIMS cubre tu exposición al EU AI Act, sin necesidad de un sistema paralelo.
Un certificado acreditado es evidencia creíble tanto para clientes como para auditores y reguladores.
Preguntas
No hay una única. A fecha de 2026, el Reino Unido regula la IA a través de los reguladores existentes, además de la Data (Use and Access) Act 2025 y un próximo código de buenas prácticas de la ICO. ISO/IEC 42001 te da un único sistema de gestión que responde a todos ellos de forma conjunta.
Sí, de forma extraterritorial cuando afectas al mercado de la UE; las obligaciones de alto riesgo aplican desde diciembre de 2027. Un único AIMS ISO/IEC 42001 cubre tanto tu exposición en el Reino Unido como en la UE.
Ningún certificado te hace cumplidor automáticamente, pero los controles de supervisión, transparencia y evaluación de impacto de la norma se corresponden directamente con las expectativas de la ICO sobre decisiones automatizadas y te aportan las salvaguardas documentadas que busca.
Relacionado
El kit ofrece los controles de supervisión, transparencia, impacto y auditoría que satisfacen a los reguladores británicos y tu exposición al EU AI Act de una sola vez.