Cuando un director de una pyme española empieza a recibir preguntas de sus clientes sobre el AI Act o el ISO 42001, la primera pregunta práctica es siempre la misma: «¿cuánto me va a costar esto?». La respuesta honesta es que depende de varios factores, pero los rangos de mercado en 2026 ya son suficientemente estables como para dar cifras orientativas útiles. Este artículo los detalla, explica qué incluye cada partida y describe los factores que mueven el precio hacia arriba o hacia abajo.
Qué es la gobernanza técnica de IA y por qué tiene coste propio
El Reglamento (UE) 2024/1689 de Inteligencia Artificial —conocido como AI Act— establece obligaciones diferenciadas según el nivel de riesgo del sistema de IA. La mayor parte de las pymes no desarrolla sistemas de IA de alto riesgo en el sentido estricto del reglamento (aquellos del Anexo III: crédito, empleo, infraestructuras críticas, justicia…), pero sí usa herramientas que encajan en la categoría de riesgo limitado o mínimo. Aun así, el AI Act impone obligaciones horizontales a todos los desplegadores de IA: desde políticas de uso aceptable hasta mecanismos de supervisión humana y registros de incidencias.
El estándar ISO 42001:2023 —Sistema de Gestión de IA— es la norma certificable que proporciona el marco de control interno para cumplir esas obligaciones de forma auditable. No es obligatorio por ley, pero cada vez más clientes corporativos y licitadores públicos lo exigen como evidencia de madurez. La gobernanza técnica de IA es, en definitiva, el conjunto de políticas, controles, registros y procesos que una organización necesita implantar para operar IA de forma responsable, trazable y conforme a la normativa.
Este trabajo técnico es distinto del asesoramiento legal sobre el AI Act (que pertenece a la esfera de la consultoría jurídica) y distinto también de la certificación ISO 42001 propiamente dicha (que emite un organismo acreditado externo como AENOR, Bureau Veritas o SGS). La gobernanza técnica es la preparación interna: inventario de sistemas, análisis de riesgo, controles técnicos, documentación y formación.
Rangos de precio orientativos en el mercado español (2026)
Los precios que se manejan en el mercado para proyectos de gobernanza técnica de IA en pymes de entre 20 y 250 empleados en España se estructuran en tres niveles según el alcance:
| Nivel del proyecto | Alcance típico | Duración estimada | Rango de honorarios (consultoría) |
|---|---|---|---|
| Nivel básico | Inventario de sistemas IA, clasificación de riesgo AI Act, política de uso aceptable, formación de equipo directivo | 6-10 semanas | 4.500 € – 9.000 € |
| Nivel intermedio | Todo lo anterior + controles técnicos documentados, registros de incidencias, procedimiento de supervisión humana, análisis de impacto en derechos fundamentales (FRIA) si aplica | 3-5 meses | 12.000 € – 22.000 € |
| Nivel certificación ISO 42001 | Implantación completa del Sistema de Gestión de IA + auditoría interna + preparación para la auditoría de certificación externa | 6-10 meses | 18.000 € – 40.000 € |
Fuentes de referencia para estos rangos: informes de mercado de ISACA (2025), encuesta anual de honorarios TI de ASTIC, y benchmarks publicados por firmas de consultoría especializadas en EEUU y la UE (Oliver Wyman AI Governance Report 2025, PwC AI Regulations Survey 2025). Los rangos excluyen la tasa de la auditoría de certificación externa, que es independiente y la factura directamente el organismo de certificación.
A estos honorarios de consultoría hay que sumar, cuando aplica, el coste de la auditoría de certificación ISO 42001. En el mercado español, organismos como AENOR, Bureau Veritas o SGS cobran entre 3.000 € y 8.000 € por la auditoría inicial de etapa 1 y etapa 2 en una pyme, más los costes de vigilancia anual. Esto varía según el número de empleados, la complejidad del alcance y el número de sistemas de IA declarados.
Factores que mueven el precio hacia arriba o hacia abajo
Número y complejidad de los sistemas de IA en uso
El primer determinante del precio es el inventario de sistemas. Una pyme que usa únicamente herramientas SaaS estándar con IA integrada (Microsoft Copilot, un chatbot comercial, herramientas de análisis de datos) tiene un alcance mucho más acotado que una empresa que ha desarrollado o personalizado modelos propios, o que usa IA en procesos que afectan a personas (selección de candidatos, scoring de crédito interno, detección de fraude). Cuantos más sistemas, más horas de análisis e inventario.
Nivel de riesgo de los sistemas según el AI Act
El AI Act clasifica los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibidos), alto riesgo (obligaciones estrictas), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin obligaciones específicas). Si alguno de los sistemas de la empresa cae en la categoría de alto riesgo según el Anexo III del reglamento, el coste del cumplimiento se multiplica: hay que elaborar documentación técnica exhaustiva, realizar evaluaciones de conformidad, registrar el sistema en la base de datos de la UE y someterse a revisiones periódicas.
Madurez documental previa de la organización
Una empresa que ya tiene implantado un Sistema de Gestión de Seguridad de la Información (ISO 27001) o un Sistema de Gestión de Calidad (ISO 9001) parte con ventaja: ya tiene estructura documental, procedimientos de auditoría interna y cultura de control interno. El esfuerzo de implantación de ISO 42001 se reduce porque los marcos son compatibles y muchos controles son reutilizables. En empresas sin ninguna certificación previa, el proyecto parte de cero y el coste aumenta.
Necesidad de adaptaciones tecnológicas
La gobernanza técnica no es solo papel. En muchos casos requiere implementar controles reales en los sistemas: registros de logs de decisiones automatizadas, mecanismos de override manual, filtros de sesgo, controles de deriva del modelo o integraciones entre plataformas para tener trazabilidad. Cada adaptación técnica suma horas de desarrollo que van más allá de los honorarios de consultoría. Si el proyecto requiere trabajo de ingeniería, el presupuesto global puede crecer entre un 30 % y un 80 % respecto al coste de consultoría puro.
Tamaño del equipo y alcance de la formación
El AI Act exige que las personas que operan sistemas de IA tengan formación adecuada. Cuanto mayor es el número de empleados que usan o supervisan herramientas de IA, más sesiones de formación son necesarias. Un equipo de 5 personas que usa IA internamente tiene unas necesidades de formación muy distintas a las de una empresa con 80 usuarios distribuidos en varios departamentos.
Qué incluye un proyecto de gobernanza técnica de IA bien ejecutado
Independientemente del rango de precio, un proyecto riguroso de cumplimiento técnico del AI Act e ISO 42001 debería cubrir estas fases:
- Inventario y clasificación: Identificar todos los sistemas de IA en uso o en desarrollo, clasificar su nivel de riesgo según el AI Act y determinar si la empresa actúa como proveedor, desplegador o ambos.
- Análisis de brechas: Comparar el estado actual con los requisitos del AI Act y de ISO 42001 para identificar los controles que faltan.
- Diseño e implantación de controles: Redactar políticas de uso aceptable, procedimientos de supervisión humana, mecanismos de incidencias y registros de decisiones.
- Formación y sensibilización: Formar al equipo directivo y a los usuarios operativos sobre obligaciones, riesgos y procedimientos.
- Auditoría interna y preparación para certificación: Verificar la eficacia de los controles antes de la auditoría externa si el objetivo es la certificación ISO 42001.
¿Vale la pena la certificación ISO 42001 para una pyme?
La respuesta depende del sector y del perfil de clientes. En 2025 y 2026, la demanda de certificación ISO 42001 está creciendo especialmente en tres segmentos:
- Proveedores de la Administración Pública que participan en licitaciones donde el pliego ya pide evidencias de gobernanza de IA.
- Empresas B2B que venden a grandes corporaciones con programas de homologación de proveedores que incluyen criterios de IA responsable.
- Empresas del sector financiero, sanitario y educativo que operan sistemas de IA clasificados como de alto riesgo o que rozan esa categoría.
Para empresas fuera de estos perfiles, el nivel básico o intermedio —sin certificación formal— puede ser suficiente para cumplir con las obligaciones legales del AI Act y documentar el compromiso ante clientes. La certificación formal es un diferenciador comercial, no un requisito universal.
Plazos del AI Act: cuándo hay que estar en regla
El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada:
| Fecha | Qué entra en aplicación |
|---|---|
| 2 de febrero de 2025 | Prohibición de sistemas de riesgo inaceptable (manipulación subliminal, scoring social masivo, etc.) |
| 2 de agosto de 2025 | Obligaciones de los modelos de IA de uso general (GPAI), incluidos los de alto impacto como los modelos de más de 10^25 FLOPs de entrenamiento |
| 2 de agosto de 2026 | Plena aplicación para sistemas de IA de alto riesgo (Anexo III) y obligaciones para desplegadores |
| 2 de agosto de 2027 | Extensión a sistemas de IA de alto riesgo ya en el mercado antes de agosto de 2026 (producto existente) |
Para la mayoría de las pymes, el hito crítico es agosto de 2026. Con seis meses de margen mínimo para implantar controles, la ventana para iniciar el proyecto está abierta ahora. Los proyectos de nivel básico pueden completarse en 6-10 semanas; los de certificación ISO 42001 necesitan entre 6 y 10 meses. Empezar hoy significa llegar cómodamente antes del plazo.
Diferencia entre cumplimiento legal AI Act y certificación ISO 42001
Es un error frecuente confundir ambas cosas. El AI Act es derecho positivo europeo: incumplirlo conlleva sanciones de hasta 35 millones de euros o el 7 % de la facturación global, según la infracción. La ISO 42001 es voluntaria: nadie puede multarte por no estar certificado. Lo que la norma aporta es un marco de trabajo estructurado que facilita demostrar el cumplimiento del AI Act y de otras obligaciones de gobernanza ante clientes, auditores y autoridades de control.
Dicho de otro modo: puedes cumplir el AI Act sin ISO 42001, pero la certificación te da la documentación que el regulador podría pedirte. Desde Summum IA acompañamos a las empresas en ambas vías: el cumplimiento técnico del reglamento y, cuando el cliente lo decide, la certificación ISO 42001 con un organismo acreditado de su elección.
Preguntas frecuentes
¿Una pyme que solo usa ChatGPT o Copilot tiene obligaciones bajo el AI Act?
Sí, aunque son obligaciones más ligeras. Como desplegador de un sistema de IA de uso general, la pyme debe garantizar que sus empleados reciben formación adecuada, que el uso está dentro de las condiciones del proveedor y que existe un mecanismo de supervisión humana para las decisiones relevantes. Además, si el sistema se usa en contextos de riesgo limitado (por ejemplo, chatbots que interactúan con clientes), hay obligaciones de transparencia: informar al usuario de que está interactuando con IA.
¿Cuánto tarda en amortizarse el coste de la gobernanza técnica de IA?
No hay una fórmula universal, pero los vectores de retorno más claros son: evitar sanciones (que en casos graves pueden ser desproporcionadas para una pyme), ganar licitaciones donde se pide evidencia de gobernanza, y reducir el riesgo reputacional ante un incidente de IA (decisión discriminatoria, fuga de datos procesados por IA, etc.). En sectores B2B con clientes grandes, la certificación ISO 42001 puede ser el factor que desbloquea contratos que de otro modo se pierden en la homologación de proveedores.
¿La certificación ISO 42001 cubre también la protección de datos procesados por IA?
ISO 42001 cubre la gobernanza del sistema de IA, no la protección de datos en sentido amplio. Para los datos personales procesados por IA sigue siendo necesario cumplir el RGPD y, cuando aplica, los requisitos de protección de datos desde el diseño (privacy by design) que exige el AI Act para sistemas de alto riesgo. En proyectos integrales, lo habitual es abordar ambas capas en coordinación: la gobernanza de IA (ISO 42001 + AI Act) y la protección de datos (RGPD + evaluaciones de impacto). Si tu empresa necesita alinear ambas normativas, el equipo de Summum Consultoría puede asesorarte en la parte legal del RGPD en paralelo al proyecto técnico.
¿Puedo financiar este proyecto con ayudas públicas?
En 2025-2026 existen varias líneas de financiación aplicables. El programa Kit Consulting de Red.es permite financiar entre 12.000 € y 24.000 € en consultoría estratégica para pymes de entre 10 y 249 empleados (el importe máximo de 24.000 € corresponde al segmento de 100 a 249 empleados), y la gobernanza de IA entra dentro del ámbito elegible como consultoría de transformación digital avanzada. También hay convocatorias autonómicas en Castilla y León y Canarias para proyectos de digitalización e innovación tecnológica. Consulta con tu gestor de ayudas el encaje de cada convocatoria con el perfil de tu empresa antes de comprometer el presupuesto propio.