·

Seguridad de la IA en la atención médica

Atención médica

TI de atención médica / CIO

Ley de IA de la UE explicada: lo que las organizaciones sanitarias necesitan saber

Una guía completa sobre la Ley de IA de la UE para organizaciones sanitarias. Comprende las clasificaciones de riesgo, los plazos de cumplimiento y las obligaciones para usuarios y proveedores

Documento de regulaciones UE con requisitos de cumplimiento sanitario

La Ley de IA de la UE (Reglamento UE 2024/1689) es el primer marco legal integral para regular la inteligencia artificial en la Unión Europea. El Parlamento Europeo la adoptó en marzo de 2024 y se publicó en el Diario Oficial de la Unión Europea en julio de 2024. Para las organizaciones sanitarias, añade una nueva capa de obligaciones jurídicamente vinculantes a los marcos existentes. Los hospitales, centros de atención primaria y proveedores de tecnología sanitaria que operan en los mercados de la UE o les suministran necesitan comprender qué exige la Ley, cuándo se aplican esos requisitos y quién es responsable de cumplirlos.

¿Qué es la Ley de IA de la UE?

La Ley de IA de la UE establece un marco legal unificado para los sistemas de inteligencia artificial, es decir, sistemas informáticos que procesan datos para generar predicciones o recomendaciones, utilizados en todos los sectores de la Unión Europea. Su propósito declarado es garantizar que los sistemas de IA comercializados o utilizados en el mercado de la UE sean seguros, transparentes, trazables, no discriminatorios y estén sujetos a supervisión humana. La Ley no solo se aplica a organizaciones con sede en la UE, sino también a proveedores y usuarios fuera de la UE cuyos sistemas de IA afecten a personas dentro de ella.

El reglamento está estructurado en torno a un sistema de clasificación basado en riesgos, con obligaciones escalonadas según el daño potencial que podría causar un sistema de IA. También introduce nuevas estructuras de gobernanza, incluida la Oficina Europea de IA, que se encuentra dentro de la Comisión Europea y supervisa la aplicación de las normas relativas a los modelos de IA de propósito general. Un modelo de IA de propósito general es un modelo de IA de gran tamaño entrenado con conjuntos de datos extensos que puede realizar una amplia gama de tareas.

¿Cuándo entra en vigor la Ley de IA de la UE?

La Ley entró en vigor el 1 de agosto de 2024. Las obligaciones se están introduciendo mediante un calendario de implementación por fases. Los responsables de la toma de decisiones sanitarias deben conocer los siguientes hitos clave:

  • Febrero de 2025: Se aplican las prohibiciones sobre sistemas de IA de riesgo inaceptable. La obligación de alfabetización en IA, es decir, contar con conocimientos suficientes para utilizar sistemas de IA adecuadamente, para todas las organizaciones que implementan IA también entra en vigor a partir de esta fecha.

  • Agosto de 2025: Se vuelven aplicables las normas que rigen los modelos de IA de propósito general, incluidos los modelos fundacionales que sustentan muchas herramientas clínicas de IA.

  • Agosto de 2026: Las obligaciones principales para los sistemas de IA de alto riesgo, incluidas las evaluaciones de conformidad, la documentación técnica y los requisitos de supervisión humana, se aplican en su totalidad. Este es el plazo crítico de cumplimiento para la mayoría de la IA sanitaria.

  • Agosto de 2027: Se aplica un período de transición ampliado específicamente a los sistemas de IA ya regulados como dispositivos médicos bajo el Reglamento de Dispositivos Médicos (MDR) o el Reglamento de Diagnóstico In Vitro (IVDR) que requieren evaluación por un Organismo Notificado. Estos sistemas tienen un año adicional para cumplir con los requisitos del artículo 6(1) de la Ley de IA.

La Comisión Europea ha propuesto ajustes al cronograma de normas de alto riesgo a través de la iniciativa Digital Omnibus, que aborda los desafíos de implementación, incluidos los retrasos en el desarrollo de normas armonizadas. Las organizaciones sanitarias deben seguir de cerca este proceso, ya que puede afectar cuándo ciertos requisitos de documentación de cumplimiento se vuelven exigibles en la práctica.

Por qué la atención sanitaria es un sector prioritario bajo la Ley

La atención sanitaria está explícitamente identificada como un ámbito de alto riesgo en la Ley de IA porque los sistemas de IA utilizados en entornos clínicos pueden afectar directamente la seguridad del paciente, el acceso a la atención y los derechos fundamentales. Un sistema de IA que influye en una decisión diagnóstica, recomienda una vía de tratamiento o clasifica pacientes según la urgencia prevista conlleva un potencial real de daño si es inexacto, sesgado o se utiliza sin una supervisión humana adecuada.

La orientación de salud pública de la Comisión Europea sobre IA en atención sanitaria señala que los sistemas de IA de alto riesgo destinados a fines médicos deben satisfacer requisitos en torno a la mitigación de riesgos, la calidad de los datos, la transparencia y la supervisión humana. Esto refleja un reconocimiento más amplio de que lo que está en juego en la atención sanitaria difiere fundamentalmente de lo que ocurre en sectores como el marketing o la logística.

Un análisis comparativo de marcos de gobernanza de IA en cinco jurisdicciones encontró que los esquemas de clasificación de riesgos para la IA sanitaria están convergiendo internacionalmente, con el enfoque de la UE sirviendo como modelo influyente, particularmente en cómo distingue entre la IA que apoya la toma de decisiones y la IA que podría influir autónomamente en los resultados clínicos.

Cómo la Ley de IA de la UE clasifica los sistemas de IA

La Ley organiza los sistemas de IA en cuatro categorías de riesgo, cada una con un nivel diferente de obligación regulatoria.

Riesgo inaceptable

Los sistemas de IA que representan una amenaza clara para los derechos fundamentales o la seguridad están prohibidos por completo. Los ejemplos incluyen sistemas de puntuación social utilizados por autoridades públicas e IA que explota vulnerabilidades psicológicas. Estas prohibiciones se aplican desde febrero de 2025.

Alto riesgo

Sistemas de IA que plantean riesgos significativos para la salud, la seguridad o los derechos fundamentales, pero cuyos beneficios pueden justificar su uso bajo condiciones estrictas. Estos sistemas deben cumplir requisitos de cumplimiento extensos antes de su implementación. La IA sanitaria pertenece predominantemente a esta categoría.

Riesgo limitado

Sistemas de IA con obligaciones específicas de transparencia, como chatbots que deben revelar que son IA. Muchas herramientas digitales orientadas al paciente se incluyen aquí.

Riesgo mínimo

Sistemas de IA sin requisitos regulatorios específicos bajo la Ley, como filtros de spam o IA utilizada en videojuegos.

Una categoría separada cubre los modelos de IA de propósito general. Estos grandes modelos fundacionales sustentan muchas herramientas de lenguaje clínico y conllevan sus propias obligaciones independientemente del nivel de riesgo de la aplicación posterior construida sobre ellos.

¿Qué sistemas de IA sanitaria se clasifican como de alto riesgo?

El Anexo III de la Ley de IA especifica las categorías de sistemas de IA de alto riesgo. Para la atención sanitaria, la más relevante es el punto 5(a) del Anexo III: sistemas de IA destinados a ser utilizados como componentes de seguridad de dispositivos médicos, o como sistemas de IA independientes que son en sí mismos dispositivos médicos. La Ley cubre sistemas de IA utilizados para:

  • Diagnóstico y soporte a la decisión clínica: Incluye herramientas de IA que ayudan a identificar enfermedades, interpretar imágenes médicas o recomendar vías diagnósticas.

  • Recomendaciones de tratamiento: Sistemas de IA que sugieren o priorizan opciones de tratamiento para pacientes individuales.

  • Triaje de pacientes: Sistemas que asignan prioridad clínica o urgencia.

  • Monitorización de pacientes: Herramientas de IA que evalúan continuamente el estado del paciente y alertan sobre deterioros.

Un análisis revisado por pares en npj Digital Medicine encontró que aproximadamente el 75 % de los dispositivos médicos comerciales habilitados con IA están en radiología, y todos menos uno están clasificados como Clase IIa o superior bajo el MDR. Esto significa que la mayoría de la IA clínica implementada será tratada como de alto riesgo bajo la Ley de IA.

Los asistentes virtuales de salud y chatbots clínicos impulsados por IA ocupan una posición más matizada. Cuando proporcionan información clínica que podría influir en las decisiones del paciente, pueden ser clasificados como de alto riesgo. Cuando funcionan principalmente como interfaces de comunicación, pueden aplicarse obligaciones de transparencia de riesgo limitado en su lugar.

Qué significa la Ley de IA de la UE para los dispositivos médicos de IA y la superposición con el MDR

Uno de los aspectos más complejos de la Ley de IA para las organizaciones sanitarias es su relación con la regulación de dispositivos médicos existente. Para obtener más información sobre por qué las herramientas de documentación de IA deben estar bajo el marco del MDR, consulte este análisis. Los sistemas de IA ya regulados como dispositivos médicos bajo el MDR o IVDR están sujetos a ambos marcos simultáneamente.

El análisis legal de Reed Smith describe esto como un marco de cumplimiento dual. Los sistemas de IA de dispositivos médicos clasificados como MDR Clase IIa, IIb o III, o IVDR Clase A a D, generalmente calificarán como de alto riesgo bajo la Ley de IA. La Ley de IA añade requisitos en torno a la calidad de los datos, la gobernanza de datos, el mantenimiento de registros, la transparencia, la rendición de cuentas y la supervisión humana que van más allá de lo que exige el MDR.

Las organizaciones pueden integrar los requisitos de la Ley de IA en la documentación del sistema de gestión de calidad existente. Se permite una única evaluación de conformidad cuando el Organismo Notificado está acreditado bajo ambos marcos. Sin embargo, las organizaciones sanitarias no deben asumir que el cumplimiento del MDR es suficiente. El informe de Hunton Andrews Kurth es explícito en que la Ley de IA introduce obligaciones adicionales, incluida la notificación de incidentes a las Autoridades de Vigilancia del Mercado dentro de los 15 días para incidentes graves, que no tienen equivalente directo en el MDR.

El análisis de White & Case señala además que la Ley de IA, el MDR y la Directiva de Responsabilidad de Productos revisada forman juntos lo que describen como un triángulo regulatorio que endurece la responsabilidad para los fabricantes de dispositivos médicos impulsados por IA, una consideración relevante para las decisiones de adquisición y la planificación de cumplimiento interno.

Obligaciones clave de cumplimiento para IA de alto riesgo en atención sanitaria

Las organizaciones que implementan o suministran sistemas de IA de alto riesgo en atención sanitaria deben cumplir un conjunto sustancial de requisitos. Las obligaciones principales bajo la Ley incluyen:

Evaluación de conformidad

Los sistemas de IA de alto riesgo deben someterse a una evaluación de conformidad antes de ser comercializados o puestos en servicio. Para dispositivos médicos de IA ya sujetos a revisión por un Organismo Notificado bajo el MDR, este proceso puede integrarse en la vía de evaluación existente.

Documentación técnica

Los proveedores deben mantener documentación técnica integral que cubra el diseño del sistema, la metodología de desarrollo, las características de los datos de entrenamiento, las métricas de rendimiento y las limitaciones conocidas. Esta documentación debe mantenerse actualizada durante todo el ciclo de vida del sistema.

Mecanismos de supervisión humana

Los sistemas de IA de alto riesgo deben diseñarse para permitir la supervisión humana, incluida la capacidad de los usuarios para monitorizar, comprender y, cuando sea necesario, anular o detener las salidas del sistema.

Obligaciones de transparencia

Los proveedores deben garantizar que los usuarios estén informados de que están interactuando o confiando en un sistema de IA. Para herramientas clínicas, esto incluye la divulgación clara del papel de la IA en la generación de resultados como sugerencias diagnósticas o documentación clínica.

Gobernanza de datos

Los datos de entrenamiento, validación y prueba deben cumplir con estándares de calidad. Los datos deben ser relevantes, representativos y estar libres de errores que puedan producir salidas discriminatorias o inseguras.

Monitorización poscomercialización

Los proveedores deben implementar sistemas para recopilar y analizar datos de rendimiento después de la implementación, e informar incidentes graves a la autoridad nacional correspondiente.

Alfabetización en IA

Aplicable desde febrero de 2025, todas las organizaciones que implementan sistemas de IA deben garantizar que el personal que trabaja con esos sistemas tenga conocimientos suficientes para comprender sus capacidades y limitaciones. HIMSS ha señalado que esta obligación se aplica en todos los niveles de riesgo, no solo en sistemas de alto riesgo.

Una revisión de alcance publicada en npj Digital Medicine que sintetiza evidencia sobre marcos de gobernanza de IA en organizaciones sanitarias identificó la supervisión humana, la transparencia y la monitorización posterior a la implementación como los componentes más citados de una gobernanza efectiva, alineándose estrechamente con lo que la Ley ahora exige.

Quién es responsable: proveedores de IA frente a usuarios

La Ley de IA establece una distinción legal clara entre dos categorías de partes obligadas.

Proveedores

Los proveedores son organizaciones que desarrollan un sistema de IA, lo comercializan o lo ponen en servicio bajo su propio nombre o marca comercial. Esto incluye proveedores de IA, desarrolladores de software y empresas de tecnología sanitaria.

Usuarios

Los usuarios son organizaciones que utilizan un sistema de IA de alto riesgo bajo su propia autoridad en un contexto profesional. En atención sanitaria, esto significa hospitales, centros de atención primaria, sistemas integrados de atención y cualquier otra organización que utilice una herramienta de IA de terceros en flujos de trabajo clínicos o administrativos.

Esta distinción importa porque ambas partes tienen obligaciones distintas y no transferibles. Los proveedores son responsables de garantizar que sus sistemas cumplan con los requisitos técnicos y de documentación antes de la implementación. Los usuarios son responsables de garantizar que los sistemas se utilicen adecuadamente, que exista supervisión humana y que el personal esté suficientemente capacitado.

El análisis de la revista Diagnostic and Interventional Radiology es explícito en que las organizaciones sanitarias que actúan como usuarios no pueden simplemente confiar en el cumplimiento del proveedor. Deben verificar activamente que los sistemas de IA que utilizan cumplan con los requisitos de la Ley y que los procesos internos respalden el uso conforme.

Un matiz importante: las organizaciones sanitarias que desarrollan herramientas de IA internamente para su propio uso pueden calificar para una exención limitada, pero solo bajo condiciones específicas. La Ley aún exige adherencia a los estándares de calidad de datos y transparencia.

Qué significa realmente la supervisión humana en un contexto clínico

El requisito de supervisión humana de la Ley no es simplemente una formalidad legal. Refleja un principio sustantivo: que las decisiones relevantes que afectan a los pacientes no deben delegarse completamente a sistemas automatizados.

En la práctica, la supervisión humana significativa en flujos de trabajo clínicos implica:

  • Un profesional sanitario que revisa la documentación clínica generada por IA antes de que se guarde en el sistema de historias clínicas del paciente, en lugar de aceptarla sin revisión.

  • Un radiólogo que examina un hallazgo señalado por IA y realiza un juicio clínico independiente antes de actuar en consecuencia.

  • Un enfermero de triaje que evalúa una puntuación de prioridad generada por IA en el contexto de la observación directa del paciente, en lugar de tratarla como una instrucción definitiva.

  • Personal clínico que tiene la capacidad técnica y el permiso organizacional para anular o ignorar una salida de IA cuando el juicio clínico lo justifique.

Un comentario de BMJ Health Care Informatics que propone un enfoque estratificado por riesgo para la gobernanza de modelos de lenguaje grandes en la práctica clínica argumenta que la supervisión significativa requiere no solo mecanismos técnicos, sino también una cultura organizacional. Los profesionales sanitarios deben sentirse empoderados para cuestionar las salidas de IA, y las estructuras de gobernanza deben apoyar ese comportamiento.

La Ley exige que los sistemas de IA de alto riesgo se diseñen con mecanismos de supervisión integrados por defecto, no agregados como una idea tardía. Las organizaciones sanitarias que evalúan herramientas de IA deben analizar si el diseño del producto realmente apoya la revisión del profesional sanitario, o si las presiones del flujo de trabajo hacen que aprobar automáticamente las salidas de IA sea el camino de menor resistencia.

Gobernanza de datos y RGPD: cómo interactúan los dos marcos

La Ley de IA introduce obligaciones de gobernanza de datos que se sitúan junto a, pero no reemplazan, los requisitos existentes bajo el Reglamento General de Protección de Datos (RGPD). Las organizaciones sanitarias que operan bajo ambos marcos deben comprender que el cumplimiento del RGPD no satisface automáticamente los requisitos de datos de la Ley de IA.

Mientras que el RGPD se centra en el tratamiento lícito de datos personales, las disposiciones de gobernanza de datos de la Ley de IA se enfocan específicamente en la calidad y adecuación de los datos utilizados para entrenar, validar y probar sistemas de IA. La Ley exige que los conjuntos de datos de entrenamiento sean:

  • Relevantes y suficientemente representativos del caso de uso previsto.

  • Libres de errores y brechas de integridad que puedan causar salidas inseguras.

  • Examinados en busca de sesgos potenciales que puedan conducir a resultados discriminatorios en contextos clínicos.

El comentario revisado por pares de npj Digital Medicine destaca que los sistemas de IA entrenados con conjuntos de datos que subrepresentan a ciertas poblaciones de pacientes, por edad, etnia, sexo o perfil de comorbilidad, pueden producir salidas sistemáticamente peores para esos grupos, con implicaciones directas para la seguridad del paciente. Los requisitos de gobernanza de datos de la Ley están diseñados para abordar este riesgo.

La residencia de datos en la UE es una consideración adicional. Las organizaciones sanitarias que adquieren herramientas de IA de proveedores no pertenecientes a la UE deben confirmar dónde se procesan y almacenan los datos del paciente, tanto para satisfacer los requisitos del RGPD como para garantizar el cumplimiento de las disposiciones de transparencia y rendición de cuentas de la Ley de IA. El Espacio Europeo de Datos de Salud (EHDS), que entró en vigor en 2025, añade una capa adicional de gobernanza de datos aplicable específicamente a los datos de salud.

Qué deben estar haciendo ahora las organizaciones sanitarias

Dado el cronograma de implementación por fases, las organizaciones sanitarias tienen una ventana definida para prepararse. Los siguientes pasos representan el núcleo de un programa de cumplimiento práctico:

  • Auditar las herramientas de IA actuales: Identificar cada sistema de IA en uso en toda la organización, incluidas herramientas integradas en sistemas de historias clínicas, software de diagnóstico, automatización administrativa y aplicaciones orientadas al paciente.

  • Evaluar clasificaciones de riesgo: Para cada sistema identificado, determinar si entra en la categoría de alto riesgo bajo el Anexo III de la Ley, o si conlleva obligaciones de transparencia de riesgo limitado.

  • Revisar contratos con proveedores: Examinar acuerdos con proveedores de IA para comprender cómo se asignan las obligaciones de cumplimiento. Los contratos deben especificar qué parte es responsable de las evaluaciones de conformidad, la documentación técnica y la monitorización poscomercialización.

  • Designar un responsable de gobernanza de IA: Asignar la responsabilidad interna del cumplimiento de la Ley de IA. En organizaciones más grandes, esto puede ubicarse dentro de una función de informática clínica, legal o de gobernanza de la información. En centros más pequeños, puede requerir apoyo externo.

  • Preparar documentación: Comenzar a compilar o solicitar la documentación técnica requerida para sistemas de alto riesgo, incluida evidencia de evaluaciones de conformidad, garantías de calidad de datos y mecanismos de supervisión humana.

  • Implementar capacitación en alfabetización en IA: La obligación de alfabetización en IA se aplica desde febrero de 2025. Las organizaciones que aún no han abordado esto deben priorizar la capacitación para el personal clínico y administrativo que interactúa con herramientas de IA.

  • Establecer procesos de notificación de incidentes: Establecer procedimientos internos para identificar y escalar incidentes relacionados con IA, alineados con el requisito de la Ley de informar incidentes graves a las autoridades nacionales dentro de los 15 días.

Un estudio comparativo de gobernanza en cinco jurisdicciones encontró que las organizaciones que desarrollaron proactivamente estructuras internas de gobernanza de IA antes de los plazos regulatorios estaban mejor posicionadas para cumplir con los requisitos de cumplimiento que aquellas que esperaron a que comenzara la aplicación.

Cómo evaluar a los proveedores de IA para el cumplimiento de la Ley de IA de la UE

Los equipos de adquisiciones e informática clínica que evalúan productos de IA deben tratar el cumplimiento de la Ley de IA de la UE como un requisito estándar de diligencia debida, junto con la evidencia clínica y la seguridad de los datos. Las preguntas clave para hacer a los proveedores incluyen:

  • Clasificación de riesgo: ¿Cómo clasifica el proveedor este sistema bajo la Ley de IA? ¿Qué evidencia respalda esa clasificación?

  • Evaluación de conformidad: ¿El sistema se ha sometido a una evaluación de conformidad? Cuando se requiere un Organismo Notificado, ¿qué organismo la realizó?

  • Documentación técnica: ¿Puede el proveedor proporcionar documentación técnica completa, incluidas características de los datos de entrenamiento, puntos de referencia de rendimiento y limitaciones conocidas?

  • Marcado CE: Para dispositivos médicos de IA, ¿está en vigor el marcado CE bajo el MDR o IVDR, y se ha actualizado para reflejar los requisitos de la Ley de IA?

  • Supervisión humana por diseño: ¿Cómo apoya el diseño del producto la revisión y anulación por parte del profesional sanitario? ¿Puede el proveedor demostrar esto en un flujo de trabajo real?

  • Residencia de datos: ¿Dónde se procesan y almacenan los datos del paciente? ¿Esto cumple con los requisitos del RGPD y EHDS?

  • Monitorización poscomercialización: ¿Qué procesos tiene el proveedor para el monitoreo continuo del rendimiento y la notificación de incidentes?

  • Dependencias de modelos de propósito general: Si el producto está construido sobre un modelo fundacional, ¿qué obligaciones se aplican a ese modelo bajo las disposiciones de propósito general y cómo las gestiona el proveedor?

El verificador de cumplimiento de la Plataforma de Información Única de la Ley de IA, mantenido por la Comisión Europea, proporciona una herramienta estructurada para evaluar dónde se sitúa un sistema de IA dado dentro del marco regulatorio, un punto de partida útil para los equipos de adquisiciones.

Sanciones por incumplimiento

La estructura de sanciones de la Ley de IA está escalonada para reflejar la gravedad de la infracción:

  • Hasta 35 millones de euros o el 7 % de la facturación anual global (lo que sea mayor) por infracciones que involucren sistemas de IA prohibidos.

  • Hasta 15 millones de euros o el 3 % de la facturación anual global (lo que sea mayor) por infracciones de otras obligaciones, incluidos los requisitos de sistemas de alto riesgo.

  • Hasta 7,5 millones de euros o el 1,5 % de la facturación anual global (lo que sea mayor) por proporcionar información incorrecta o engañosa a las autoridades.

La aplicación será gestionada a nivel de cada Estado miembro a través de autoridades supervisoras nacionales designadas. La Oficina Europea de IA tendrá responsabilidad de supervisión para el cumplimiento de los modelos de propósito general. Las sanciones pueden aplicarse a los usuarios, no solo a los desarrolladores y proveedores de IA, cuando el usuario no haya cumplido con sus propias obligaciones bajo la Ley.

El análisis de responsabilidad de White & Case señala que la retirada de la Directiva de Responsabilidad de IA independiente en febrero de 2025 significa que las reclamaciones de responsabilidad civil se canalizarán a través de la Directiva de Responsabilidad de Productos revisada en lugar de un instrumento de responsabilidad de IA dedicado. Esto no reduce la exposición financiera para las organizaciones que se encuentren en violación de la Ley de IA en sí.

Glosario: términos clave de la Ley de IA de la UE para profesionales sanitarios

Proveedor

Una organización o individuo que desarrolla un sistema de IA, lo comercializa en el mercado de la UE o lo pone en servicio bajo su propio nombre. Incluye proveedores de IA y empresas de tecnología sanitaria.

Usuario

Una organización o individuo que utiliza un sistema de IA de alto riesgo en un contexto profesional bajo su propia autoridad. Los hospitales, centros de atención primaria y otras organizaciones sanitarias que utilizan herramientas de IA de terceros son usuarios.

Sistema de IA de alto riesgo

Un sistema de IA enumerado en el Anexo III de la Ley, o utilizado como componente de seguridad en un producto regulado bajo legislación sectorial específica como el MDR. Está sujeto a las obligaciones de cumplimiento más extensas de la Ley.

Evaluación de conformidad

Un proceso formal mediante el cual un proveedor demuestra que un sistema de IA de alto riesgo cumple con los requisitos de la Ley. Dependiendo del tipo de sistema, puede realizarlo el propio proveedor o un Organismo Notificado acreditado.

Monitorización poscomercialización

Un proceso continuo mediante el cual los proveedores recopilan y analizan datos sobre el rendimiento en el mundo real de un sistema de IA implementado, con el objetivo de identificar riesgos o degradación del rendimiento no detectados durante la evaluación previa a la comercialización.

Evaluación de impacto en los derechos fundamentales

Una evaluación estructurada que los usuarios de ciertos sistemas de IA de alto riesgo deben realizar antes de la implementación, evaluando el impacto potencial en los derechos fundamentales, incluida la no discriminación, la privacidad y el acceso a la atención sanitaria.

Modelo de IA de propósito general

Un modelo de IA de gran tamaño entrenado con conjuntos de datos extensos que puede realizar una amplia gama de tareas. Los modelos fundacionales que sustentan muchas herramientas de lenguaje clínico caen en esta categoría y conllevan obligaciones específicas bajo la Ley independientemente de la aplicación posterior.

Alfabetización en IA

El conocimiento y las habilidades necesarias para utilizar sistemas de IA adecuadamente, evaluar críticamente sus resultados y comprender sus limitaciones. Las organizaciones deben garantizar que el personal relevante posea suficiente alfabetización en IA a partir de febrero de 2025.

Documentación técnica

El registro formal que un proveedor debe mantener cubriendo el diseño, desarrollo, características de los datos, metodología de prueba y rendimiento de un sistema de IA. Es requerido para todos los sistemas de IA de alto riesgo y debe mantenerse actualizado durante toda la vida operativa del sistema.

Preguntas frecuentes

▶ ¿Qué es la Ley de IA de la UE y se aplica a las organizaciones sanitarias?

La Ley de IA de la UE (Reglamento UE 2024/1689) es el primer marco legal integral para regular la inteligencia artificial en la Unión Europea. Se aplica a cualquier organización que comercialice sistemas de IA en el mercado de la UE o los utilice para afectar a personas dentro de la UE, incluidos hospitales, centros de atención primaria y proveedores de tecnología sanitaria. No solo se aplica a organizaciones con sede en la UE: su alcance extraterritorial significa que los proveedores no pertenecientes a la UE también están cubiertos si sus sistemas afectan a pacientes de la UE.

▶ ¿Cuándo necesitan cumplir las organizaciones sanitarias con la Ley de IA de la UE?

Las obligaciones se están introduciendo por fases. Las prohibiciones sobre sistemas de IA de riesgo inaceptable y el requisito de alfabetización en IA se aplican desde febrero de 2025. Las normas para modelos de IA de propósito general se aplican a partir de agosto de 2025. Las obligaciones principales para sistemas de IA de alto riesgo, incluidas las evaluaciones de conformidad y los requisitos de supervisión humana, se aplican en su totalidad a partir de agosto de 2026. Los sistemas de IA ya regulados como dispositivos médicos bajo el Reglamento de Dispositivos Médicos tienen un período de transición ampliado hasta agosto de 2027.

▶ ¿Qué sistemas de IA sanitaria se clasifican como de alto riesgo bajo la Ley?

La Ley clasifica los sistemas de IA utilizados para diagnóstico, soporte a la decisión clínica, recomendaciones de tratamiento, triaje de pacientes y monitorización de pacientes como de alto riesgo. Un análisis revisado por pares en npj Digital Medicine encontró que aproximadamente el 75 % de los dispositivos médicos comerciales habilitados con IA están en radiología y clasificados como Clase IIa o superior bajo el Reglamento de Dispositivos Médicos. Esto significa que la mayoría de la IA clínica implementada será tratada como de alto riesgo bajo la Ley.

▶ ¿Cuál es la diferencia entre un proveedor y un usuario bajo la Ley de IA de la UE?

Los proveedores son organizaciones que desarrollan un sistema de IA y lo comercializan bajo su propio nombre: esto incluye proveedores de IA y empresas de tecnología sanitaria. Los usuarios son organizaciones que utilizan un sistema de IA de alto riesgo en un contexto profesional, como hospitales y centros de atención primaria que utilizan herramientas de IA de terceros. Ambas partes tienen obligaciones distintas que no pueden transferirse a la otra. Las organizaciones sanitarias que actúan como usuarios no pueden simplemente confiar en el cumplimiento del proveedor: deben verificar activamente que los sistemas cumplan con los requisitos de la Ley y que los procesos internos respalden el uso conforme.

▶ ¿El cumplimiento del MDR satisface los requisitos de la Ley de IA de la UE para dispositivos médicos de IA?

No. Los sistemas de IA regulados como dispositivos médicos bajo el Reglamento de Dispositivos Médicos están sujetos a ambos marcos simultáneamente. La Ley de IA añade requisitos en torno a la calidad de los datos, la gobernanza de datos, el mantenimiento de registros, la transparencia, la rendición de cuentas y la supervisión humana que van más allá de lo que exige el Reglamento de Dispositivos Médicos. Las organizaciones pueden integrar los requisitos de la Ley de IA en la documentación del sistema de gestión de calidad existente, pero el cumplimiento del MDR por sí solo no es suficiente.

▶ ¿Qué significa el requisito de supervisión humana en la práctica para el personal clínico?

La supervisión humana significa que las decisiones relevantes que afectan a los pacientes no deben delegarse completamente a sistemas automatizados. En la práctica, implica que un profesional sanitario revise la documentación clínica generada por IA antes de que se guarde en el sistema de historias clínicas del paciente, que un radiólogo haga un juicio independiente sobre un hallazgo señalado por IA y que un enfermero de triaje evalúe una puntuación de prioridad generada por IA frente a la observación directa del paciente. El personal clínico también debe tener tanto la capacidad técnica como el permiso organizacional para anular una salida de IA cuando su juicio clínico lo justifique.

▶ ¿Cómo interactúa la Ley de IA de la UE con el RGPD para las organizaciones sanitarias?

La Ley de IA introduce obligaciones de gobernanza de datos que se sitúan junto al RGPD pero no lo reemplazan. El cumplimiento del RGPD no satisface automáticamente los requisitos de datos de la Ley de IA. Mientras que el RGPD se centra en el tratamiento lícito de datos personales, la Ley de IA se enfoca específicamente en la calidad y adecuación de los datos utilizados para entrenar, validar y probar sistemas de IA. Los conjuntos de datos de entrenamiento deben ser relevantes, representativos y examinados en busca de sesgos que puedan producir salidas discriminatorias o inseguras para grupos particulares de pacientes.

▶ ¿Cuáles son las sanciones por incumplimiento de la Ley de IA de la UE?

La estructura de sanciones está escalonada. Las infracciones que involucren sistemas de IA prohibidos pueden resultar en multas de hasta 35 millones de euros o el 7 % de la facturación anual global, lo que sea mayor. Las infracciones de obligaciones de sistemas de alto riesgo pueden resultar en multas de hasta 15 millones de euros o el 3 % de la facturación anual global. Proporcionar información incorrecta a las autoridades puede resultar en multas de hasta 7,5 millones de euros o el 1,5 % de la facturación anual global. Las sanciones pueden aplicarse a los usuarios así como a los proveedores cuando el usuario no haya cumplido con sus propias obligaciones.

▶ ¿Qué deben estar haciendo ahora las organizaciones sanitarias para prepararse para la Ley de IA de la UE?

Las organizaciones deben comenzar auditando cada sistema de IA actualmente en uso, incluidas herramientas integradas en sistemas de historias clínicas, software de diagnóstico y aplicaciones orientadas al paciente. Cada sistema debe evaluarse frente a las clasificaciones de riesgo de la Ley. Los contratos con proveedores deben revisarse para confirmar cómo se asignan las obligaciones de cumplimiento. La obligación de alfabetización en IA se aplica desde febrero de 2025, por lo que la capacitación para el personal que interactúa con herramientas de IA debe ser una prioridad si aún no se ha abordado. Los procesos internos de notificación de incidentes alineados con el requisito de notificación de incidentes graves en 15 días de la Ley también deben estar en vigor.

▶ ¿Qué preguntas deben hacer los equipos de adquisiciones a los proveedores de IA sobre el cumplimiento de la Ley de IA de la UE?

Los equipos de adquisiciones deben preguntar a los proveedores cómo clasifican su sistema bajo la Ley y qué evidencia respalda esa clasificación. Deben solicitar confirmación de si se ha completado una evaluación de conformidad y, cuando se requiere un Organismo Notificado, qué organismo la realizó. La documentación técnica completa, incluidas las características de los datos de entrenamiento y las limitaciones conocidas, debe estar disponible a solicitud. Los proveedores también deben poder demostrar cómo el diseño del producto apoya la revisión y anulación por parte del profesional sanitario, confirmar dónde se procesan y almacenan los datos del paciente, y explicar sus procesos de monitorización poscomercialización y notificación de incidentes.

Empieza a usar Tandem hoy

Únete a miles de facultativos que disfrutan de una documentación sin estrés.

Empieza a usar Tandem hoy

Únete a miles de facultativos que disfrutan de una documentación sin estrés.

Empieza a usar Tandem hoy

Únete a miles de facultativos que disfrutan de una documentación sin estrés.