·
Adopción de tecnología
Atención médica
TI de atención médica / CIO
Regulaciones de IA sanitaria en la UE: MDR, RGPD y Ley de IA
Navega las regulaciones de la UE para IA clínica. Comprende los requisitos de dispositivo médico MDR, la protección de datos del RGPD y las obligaciones de cumplimiento de la Ley de IA para organizaciones sanitarias

La IA sanitaria en Europa no se rige por un único marco regulatorio, sino por tres que operan simultáneamente, cada uno con su propia autoridad, obligaciones de cumplimiento y mecanismos de aplicación. Una herramienta de IA clínica que apoya las decisiones diagnósticas puede requerir el marcado CE como dispositivo médico, debe gestionar los datos de los pacientes conforme al Reglamento General de Protección de Datos (RGPD) y probablemente se clasifique como de alto riesgo según la Ley de IA de la UE. Estos marcos no se aplican de forma secuencial, sino en paralelo, y su interacción no siempre es sencilla.
Para las organizaciones sanitarias que evalúan o implementan IA, comprender este panorama regulatorio es un requisito previo para una adquisición responsable y un uso clínico seguro.
Los tres pilares regulatorios que toda empresa de IA sanitaria debe comprender
Tres marcos distintos de la UE rigen el despliegue de la IA clínica, cada uno con un enfoque principal diferente.
El Reglamento de Productos Sanitarios de la UE (MDR) 2017/745 regula la seguridad y el rendimiento. Su objetivo es determinar si un producto, incluido el software, es seguro para su propósito clínico previsto y si ha sido validado para funcionar según lo declarado.
El RGPD regula la privacidad. Se centra en cómo se recopilan, procesan, almacenan y comparten los datos personales, en particular los datos de salud, y en garantizar que las personas conserven derechos significativos sobre su información.
La Ley de IA de la UE (Reglamento (UE) 2024/1689, en vigor desde el 1 de agosto de 2024) regula el riesgo sistémico. Su enfoque está en que los sistemas de IA sean transparentes, responsables y estén sujetos a una adecuada supervisión humana, especialmente cuando afectan derechos fundamentales o decisiones críticas para la seguridad.
Como confirmó una FAQ conjunta del Grupo de Coordinación de Productos Sanitarios (MDCG) y el Consejo de IA de la UE (MDCG 2025-6) en 2025, los sistemas de IA que califican como dispositivos médicos deben cumplir simultáneamente con el MDR/IVDR y la Ley de IA. El cumplimiento de un marco no exime del cumplimiento de otro.
Cuándo la IA sanitaria califica como dispositivo médico según el MDR
Según el MDR 2017/745, la cuestión central es si una herramienta de software tiene un propósito médico previsto. Es decir, si su fabricante la destina para su uso en diagnóstico, prevención, monitorización, predicción, pronóstico, tratamiento o alivio de enfermedades. El software que cumple esta definición se clasifica como Software como Dispositivo Médico (SaMD) y debe cumplir con el régimen completo del MDR.
El propósito previsto es el factor determinante. Una herramienta de documentación que transcribe historias clínicas sin interpretar ni influir en las decisiones clínicas se encuentra en una posición regulatoria diferente a la de un sistema de IA que señala hallazgos anormales, sugiere diagnósticos o prioriza el triaje de pacientes. Este último tiene muchas más probabilidades de clasificarse como SaMD.
Cuando una herramienta se clasifica como dispositivo médico, el fabricante debe:
Realizar una evaluación de conformidad acorde a la clasificación de riesgo del dispositivo (Clase I a III)
Elaborar y mantener documentación técnica completa
Implementar un sistema de gestión de calidad (QMS)
Obtener el marcado CE antes de comercializar el dispositivo en la UE
Mantener la vigilancia poscomercialización e informar de incidentes graves
El análisis de King & Spalding de la guía MDCG 2025-6 identifica cinco áreas operativas clave donde convergen las obligaciones del MDR y la Ley de IA: sistemas de gestión, gobernanza de datos, documentación técnica, transparencia y supervisión humana, y ciberseguridad y precisión. Los fabricantes deben tratar estos aspectos como requisitos integrados, no como listas de verificación paralelas.
Una complicación práctica es la escasez de Organismos Notificados designados, las organizaciones independientes de evaluación de conformidad requeridas para las clasificaciones de dispositivos de mayor riesgo. Baker McKenzie ha señalado que este cuello de botella, junto con una brecha significativa en las normas armonizadas para riesgos específicos de IA como el sesgo algorítmico y la deriva del modelo, genera retrasos reales para los fabricantes que buscan acceso al mercado.
RGPD e IA clínica: qué cuenta como datos de categoría especial y por qué importa
Los datos de salud procesados por sistemas de IA se consideran datos de categoría especial según el artículo 9 del RGPD, lo que implica el nivel más alto de protección disponible bajo la ley de protección de datos de la UE. Esta clasificación se aplica independientemente de si el sistema de IA es el responsable principal de los datos o un encargado posterior. La naturaleza de los datos, y no el papel del procesador, determina la clasificación.
Para los despliegues de IA clínica, esto tiene varias implicaciones directas.
Base legal. El tratamiento de datos de salud de categoría especial requiere tanto una base legal según el artículo 6 como una condición adicional según el artículo 9. En contextos clínicos, las condiciones del artículo 9 más comúnmente aplicables son: tratamiento necesario para el diagnóstico médico o la prestación de atención sanitaria (artículo 9(2)(h)), tratamiento por razones de interés público en salud pública (artículo 9(2)(i)) y, cuando ninguna aplica, consentimiento explícito (artículo 9(2)(a)). El consentimiento rara vez es la base más adecuada en entornos clínicos, dado el desequilibrio de poder inherente entre pacientes y proveedores de atención sanitaria.
Minimización de datos y limitación de finalidad. Los sistemas de IA deben tratar solo los datos necesarios para su propósito especificado, y esos datos no pueden reutilizarse sin una nueva base legal. Esto genera una tensión particular cuando los proveedores desean usar datos clínicos para el entrenamiento o mejora del modelo, un uso que normalmente es distinto del propósito clínico original.
Derechos del interesado. Los pacientes conservan derechos de acceso, rectificación y, en ciertas circunstancias, supresión, incluso cuando sus datos han sido tratados por sistemas de IA. Las organizaciones sanitarias deben poder responder a estas solicitudes en relación con los datos mantenidos o tratados por proveedores de IA externos.
Una revisión de los marcos de privacidad y gobernanza para dispositivos sanitarios impulsados por IA destacó que el cumplimiento del RGPD en entornos clínicos habilitados por IA requiere no solo controles técnicos, sino también estructuras de gobernanza continuas, incluidas evaluaciones de impacto de protección de datos (DPIA), registros de actividades de tratamiento y acuerdos de encargado de datos claramente definidos.
Residencia de datos y flujos de datos transfronterizos en IA sanitaria de la UE
El RGPD impone restricciones estrictas sobre la transferencia de datos personales fuera del Espacio Económico Europeo (EEE). Para los proveedores de IA clínica, esto significa que cuando los datos de pacientes se procesan o almacenan en infraestructuras ubicadas fuera del EEE, incluidas plataformas en la nube alojadas en EE. UU. u otros lugares, deben existir mecanismos de transferencia específicos.
Los mecanismos principales son:
Decisiones de adecuación, cuando la Comisión Europea ha determinado que un tercer país proporciona un nivel equivalente de protección de datos (actualmente aplicable a un número limitado de jurisdicciones)
Cláusulas Contractuales Tipo (SCC), que imponen obligaciones contractuales tanto al exportador como al importador de datos
Normas Corporativas Vinculantes (BCR), utilizadas principalmente dentro de grupos empresariales multinacionales
Para las organizaciones sanitarias, la pregunta práctica no es simplemente si un proveedor ha firmado SCC, sino dónde se procesan y almacenan realmente los datos. La residencia de datos en la UE significa que los datos de pacientes se procesan y almacenan en infraestructuras físicamente ubicadas dentro del EEE. Esto elimina la necesidad de mecanismos de transferencia transfronteriza y simplifica considerablemente el cumplimiento del RGPD. Las organizaciones sanitarias deben exigir a los proveedores que especifiquen esto en la documentación contractual.
Un análisis comparativo de políticas sobre regulación de ciberseguridad en salud digital en EE. UU., la UE e India señaló que el enfoque de la UE sobre la soberanía de datos en atención sanitaria es significativamente más prescriptivo que en otras jurisdicciones, lo que influye en cómo los proveedores globales de IA diseñan sus productos para los mercados europeos.
Cómo la Ley de IA de la UE clasifica la IA sanitaria y qué significa alto riesgo en la práctica
La Ley de IA de la UE establece un sistema de clasificación basado en riesgos con cuatro niveles: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. La mayoría de las herramientas de IA clínica, incluidos los sistemas de soporte diagnóstico, herramientas de triaje y asistentes de documentación clínica que influyen en las vías de atención, probablemente se encuadren en la categoría de alto riesgo.
Según el artículo 6(1) y el Anexo I de la Ley de IA, los sistemas de IA que están regulados como dispositivos médicos según el MDR o IVDR se clasifican automáticamente como sistemas de IA de alto riesgo. El SaMD con marcado CE está, por tanto, sujeto tanto a los requisitos de conformidad del MDR como al régimen completo de cumplimiento de la Ley de IA para sistemas de alto riesgo.
El análisis de Hunton Andrews Kurth sobre la aplicación de la Ley de IA a dispositivos médicos establece las obligaciones clave para los sistemas de IA de alto riesgo:
Documentación técnica: Registros detallados del diseño del sistema, datos de entrenamiento, metodología de validación y limitaciones conocidas
Gestión de riesgos: Un sistema continuo de gestión de riesgos que cubra riesgos específicos de IA, incluido el sesgo algorítmico y la deriva del modelo
Gobernanza de datos: Requisitos sobre conjuntos de datos de entrenamiento, validación y prueba, incluida la detección de sesgos y controles de calidad de datos
Transparencia e instrucciones de uso: Documentación clara para que los implementadores y usuarios comprendan las capacidades y limitaciones del sistema
Supervisión humana: Medidas técnicas y organizativas que garanticen que las personas puedan monitorear, anular e intervenir efectivamente en las salidas de IA
Evaluación de conformidad: Evaluación formal antes de la comercialización, con monitoreo poscomercialización continuo
Registro: Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE para sistemas de IA
La Ley de IA también introduce obligaciones de alfabetización en IA, vigentes desde febrero de 2025, que exigen que los proveedores e implementadores garanticen que el personal que trabaja con sistemas de IA tenga suficiente comprensión de las capacidades y limitaciones de la tecnología. Taylor Wessing señala que esta obligación se aplica a las organizaciones sanitarias que implementan herramientas de IA, no solo a los proveedores que las suministran.
Dónde se superponen el MDR, el RGPD y la Ley de IA y dónde entran en conflicto
Los tres marcos comparten varios aspectos comunes. Todos requieren transparencia sobre cómo funciona un sistema, qué datos utiliza y cuáles son sus limitaciones. Todos exigen gestión de riesgos documentada. Todos imponen obligaciones de monitoreo poscomercialización o continuo.
Donde el MDR exige vigilancia poscomercialización y la Ley de IA requiere monitoreo poscomercialización, estas obligaciones pueden, en principio, abordarse mediante un proceso unificado.
Un análisis revisado por pares publicado en 2025 que examina el nexo regulatorio entre la Ley de IA y el MDR/IVDR confirmó que el QMS requerido bajo el MDR puede servir como base para el cumplimiento de la Ley de IA, y que los requisitos de documentación técnica bajo ambos marcos pueden integrarse en lugar de duplicarse. El artículo 8 de la Ley de IA contempla explícitamente esta integración para dispositivos médicos de IA.
Sin embargo, existen tensiones reales.
Retención de datos frente a minimización de datos. La Ley de IA fomenta, y en algunos casos exige, la retención de datos de entrenamiento, conjuntos de datos de validación y registros con fines de auditoría y responsabilidad. Los principios de minimización de datos y limitación de almacenamiento del RGPD apuntan en la dirección opuesta. Los proveedores deben gestionar esta tensión de forma explícita, normalmente mediante calendarios de retención específicos por propósito y anonimización cuando sea factible.
Transparencia frente a confidencialidad comercial. Tanto la Ley de IA como el RGPD exigen transparencia significativa sobre cómo los sistemas de IA procesan datos y generan resultados. En la práctica, los proveedores pueden resistirse a divulgar arquitecturas de modelos propietarias. Los marcos no resuelven completamente esta tensión.
Sesgo algorítmico y principio de equidad del RGPD. El RGPD exige que el tratamiento automatizado sea justo, pero no especifica cómo debe medirse la equidad en los sistemas de IA. La Ley de IA introduce requisitos de gobernanza de datos más específicos sobre la detección de sesgos, pero el comentario académico ha señalado que ningún marco proporciona orientación metodológica definitiva para los desarrolladores de IA sanitaria.
El panorama regulatorio está en constante evolución. Dos propuestas legislativas de la UE en competencia, el Ómnibus Digital (liderado por DG CONNECT) y la enmienda MDR/IVDR de DG SANTE, buscan simplificar la superposición entre la Ley de IA y el MDR. El análisis del Centro Petrie-Flom de la Facultad de Derecho de Harvard plantea preocupaciones de que los esfuerzos de simplificación podrían debilitar inadvertidamente las salvaguardas de supervisión humana, particularmente para clínicos y pacientes. El resultado de estas propuestas sigue siendo incierto a mediados de 2026.
Quién es responsable bajo cada marco: el proveedor, el hospital o ambos
La responsabilidad regulatoria bajo los tres marcos está distribuida y la asignación difiere según el marco aplicable.
Bajo el MDR, la obligación principal recae en el fabricante, normalmente el proveedor de IA. El fabricante es responsable de la evaluación de conformidad, el marcado CE, la documentación técnica y la vigilancia poscomercialización. Una organización sanitaria que implementa un SaMD con marcado CE sin modificarlo generalmente actúa como operador y tiene obligaciones más limitadas.
Bajo el RGPD, la asignación depende de quién determina los fines y medios del tratamiento. Una organización sanitaria que implementa un sistema de IA para tratar historias clínicas de pacientes suele ser el responsable de datos, con responsabilidad principal sobre la base legal, los derechos de los pacientes y las obligaciones de DPIA. El proveedor de IA, que trata datos en nombre de la organización, suele ser el encargado de datos, vinculado por un acuerdo de encargado de datos (DPA) que especifica el alcance y las condiciones del tratamiento.
Bajo la Ley de IA de la UE, se distingue entre proveedores (quienes desarrollan o comercializan sistemas de IA) e implementadores (quienes usan sistemas de IA en un contexto profesional). Los proveedores asumen la carga principal de cumplimiento para sistemas de IA de alto riesgo, cubriendo documentación técnica, evaluación de conformidad y registro. Los implementadores tienen sus propias obligaciones: implementar medidas de supervisión humana, garantizar la alfabetización en IA entre el personal, monitorear el rendimiento del sistema en uso y suspender el uso cuando surjan preocupaciones de seguridad.
El análisis de White & Case del panorama posterior a la Directiva de Responsabilidad de IA, tras la retirada de esa directiva en febrero de 2025, confirma que la Directiva de Responsabilidad de Productos revisada ahora forma parte del marco de responsabilidad para dispositivos médicos impulsados por IA, con implicaciones tanto para fabricantes como para implementadores cuando el daño resulta de un sistema de IA defectuoso.
Un hospital que implementa una herramienta de IA clínica no puede asumir que el cumplimiento regulatorio es enteramente responsabilidad del proveedor. La claridad contractual sobre roles, obligaciones y asignación de responsabilidades es esencial antes del despliegue.
Qué deben preguntar las organizaciones sanitarias a los proveedores de IA antes del despliegue
Los equipos de adquisición y los líderes clínicos que evalúan herramientas de IA para despliegue clínico deben obtener respuestas claras y documentadas a las siguientes preguntas.
Sobre el MDR y el estado de dispositivo médico:
¿Este producto está clasificado como dispositivo médico según el MDR 2017/745 de la UE?
Si es así, ¿cuál es su clasificación de riesgo y se ha obtenido el marcado CE?
¿Puede proporcionar la Declaración de Conformidad y el resumen de seguridad y rendimiento clínico?
¿Cómo se realiza la vigilancia poscomercialización y cómo se informan los incidentes?
Sobre el RGPD y el tratamiento de datos:
¿Dónde se procesan y almacenan los datos de los pacientes? ¿Se garantiza la residencia de datos en la UE?
¿Firmará un Acuerdo de Encargado de Datos conforme al artículo 28 del RGPD?
¿Hay una Evaluación de Impacto de Protección de Datos disponible para revisión?
¿Se utilizan los datos de los pacientes para el entrenamiento o mejora del modelo? Si es así, ¿sobre qué base legal?
¿Cómo se gestionan los derechos del interesado (acceso, supresión, rectificación)?
Sobre la Ley de IA de la UE:
¿Este sistema está clasificado como sistema de IA de alto riesgo según la Ley de IA de la UE?
¿Qué evaluación de conformidad se ha completado o está planificada según la Ley de IA?
¿Qué documentación técnica está disponible que cubra datos de entrenamiento, validación y limitaciones conocidas?
¿Qué mecanismos de supervisión humana están integrados en el sistema?
¿El sistema está registrado en la base de datos de sistemas de IA de la UE?
Sobre seguridad y auditoría:
¿La organización posee certificación ISO 27001 vigente?
¿Qué capacidades de registro de auditoría proporciona el sistema?
¿Cómo se identifican y abordan las vulnerabilidades de ciberseguridad después del despliegue?
Sobre alfabetización en IA:
¿Qué capacitación o documentación se proporciona para apoyar las obligaciones de alfabetización en IA según la Ley de IA?
Las respuestas incompletas o evasivas a estas preguntas deben considerarse una señal de riesgo significativa en la adquisición.
Cómo está evolucionando el panorama regulatorio: qué vigilar durante 2026 y más allá
La Ley de IA de la UE entró en vigor en agosto de 2024, pero sus obligaciones se aplican en un cronograma por fases. Los hitos clave incluyen:
Febrero de 2025: Se aplican las prohibiciones sobre sistemas de IA de riesgo inaceptable. Entran en vigor las obligaciones de alfabetización en IA para proveedores e implementadores
Agosto de 2026: Las obligaciones para sistemas de IA de alto riesgo según el Capítulo III se aplican en su totalidad, incluidas las de dispositivos médicos de IA según el Anexo I
Agosto de 2027: Aplicabilidad completa de todas las disposiciones restantes
La guía de cumplimiento de MDX CRO señala que existen disposiciones transitorias para sistemas de IA ya legalmente en el mercado antes de agosto de 2026, pero estas disposiciones son temporales y no eximen a los fabricantes del cumplimiento completo eventual.
Dos desarrollos adicionales merecen atención cercana.
El Reglamento del Espacio Europeo de Datos de Salud (EHDS) entró en vigor el 26 de marzo de 2025. El EHDS crea un marco para el uso secundario de datos de salud, incluido el desarrollo e investigación de IA, en los Estados miembros de la UE. La orientación oficial de la Comisión Europea sobre IA en atención sanitaria identifica el EHDS como un facilitador clave del desarrollo responsable de IA clínica, pero su interacción con el principio de limitación de finalidad del RGPD requerirá aclaración continua a medida que avance la implementación.
Las propuestas de simplificación en competencia, el Ómnibus Digital y la enmienda MDR/IVDR de DG SANTE, buscan reducir la carga de cumplimiento en la intersección MDR/Ley de IA. Como ha observado el Centro Petrie-Flom de la Facultad de Derecho de Harvard, el resultado de estas propuestas podría alterar significativamente el panorama de cumplimiento para la IA clínica, ya sea simplificando los requisitos de conformidad dual o, si se debilitan las disposiciones de supervisión humana, creando nuevos riesgos para la seguridad del paciente.
La incertidumbre sobre la legalidad del uso de IA en contextos clínicos específicos sigue siendo un desafío real para los proveedores de atención sanitaria, incluso cuando existen marcos. El cumplimiento regulatorio en IA clínica no es una casilla de verificación única en la adquisición. Requiere monitoreo continuo de un entorno regulatorio en constante evolución y una estructura de gobernanza capaz de responder a medida que cambian las obligaciones.
Preguntas frecuentes
▶ ¿Qué marcos regulatorios se aplican a la IA clínica en Europa?
Tres marcos de la UE se aplican simultáneamente a la IA clínica. El Reglamento de Productos Sanitarios (MDR) 2017/745 regula la seguridad y el rendimiento. El Reglamento General de Protección de Datos (RGPD) regula cómo se recopilan, procesan y almacenan los datos de los pacientes. La Ley de IA de la UE (Reglamento (UE) 2024/1689), en vigor desde el 1 de agosto de 2024, regula la transparencia, la responsabilidad y la supervisión humana. Una FAQ conjunta del Grupo de Coordinación de Productos Sanitarios y el Consejo de IA de la UE confirmó en 2025 que el cumplimiento de un marco no sustituye el cumplimiento de otro.
▶ ¿Cuándo califica una herramienta de IA clínica como dispositivo médico según el MDR de la UE?
Una herramienta de IA clínica califica como dispositivo médico cuando su fabricante la destina para su uso en diagnóstico, prevención, monitorización, predicción, pronóstico, tratamiento o alivio de enfermedades. El software que cumple esta definición se clasifica como Software como Dispositivo Médico (SaMD). Una herramienta de documentación que transcribe historias clínicas sin influir en las decisiones clínicas se encuentra en una posición regulatoria diferente a la de un sistema de IA que señala hallazgos anormales o prioriza el triaje de pacientes. Este último tiene muchas más probabilidades de clasificarse como SaMD y debe obtener el marcado CE antes de comercializarse en la UE.
▶ ¿Cómo se aplica el RGPD a los datos de salud procesados por sistemas de IA?
Los datos de salud procesados por sistemas de IA se consideran datos de categoría especial según el artículo 9 del RGPD, lo que implica el nivel más alto de protección disponible bajo la ley de protección de datos de la UE. Para tratarlos se requiere tanto una base legal según el artículo 6 como una condición adicional según el artículo 9. En contextos clínicos, las condiciones más comúnmente aplicables son el tratamiento necesario para el diagnóstico médico o la prestación de atención sanitaria, y el tratamiento por razones de interés público en salud pública. Los sistemas de IA también deben aplicar la minimización de datos, lo que significa que solo pueden tratar los datos necesarios para su propósito especificado, y esos datos no pueden reutilizarse sin una nueva base legal.
▶ ¿Qué significa la residencia de datos en la UE para los proveedores de IA clínica?
La residencia de datos en la UE significa que los datos de pacientes se procesan y almacenan en infraestructuras físicamente ubicadas dentro del Espacio Económico Europeo (EEE). El RGPD impone restricciones estrictas sobre la transferencia de datos personales fuera del EEE, por lo que cuando un proveedor trata datos en infraestructuras ubicadas en EE. UU. u otros lugares, deben existir mecanismos de transferencia específicos, como las Cláusulas Contractuales Tipo. La residencia de datos en la UE elimina la necesidad de estos mecanismos y simplifica considerablemente el cumplimiento del RGPD. Las organizaciones sanitarias deben exigir a los proveedores que especifiquen los acuerdos de residencia de datos en la documentación contractual.
▶ ¿Cómo clasifica la Ley de IA de la UE las herramientas de IA sanitaria?
La Ley de IA de la UE establece un sistema de clasificación basado en riesgos con cuatro niveles: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. La mayoría de las herramientas de IA clínica, incluidos los sistemas de soporte diagnóstico, herramientas de triaje y asistentes de documentación clínica que influyen en las vías de atención, probablemente se encuadren en la categoría de alto riesgo. Según el artículo 6(1) y el Anexo I de la Ley de IA, los sistemas de IA regulados como dispositivos médicos según el MDR se clasifican automáticamente como sistemas de IA de alto riesgo, lo que los hace sujetos tanto a los requisitos de conformidad del MDR como al régimen completo de cumplimiento de la Ley de IA para sistemas de alto riesgo.
▶ ¿Dónde se superponen o entran en conflicto el MDR, el RGPD y la Ley de IA de la UE?
Los tres marcos exigen transparencia, gestión de riesgos documentada y obligaciones de monitoreo continuo. Un análisis revisado por pares publicado en 2025 confirmó que el sistema de gestión de calidad requerido bajo el MDR puede servir como base para el cumplimiento de la Ley de IA, y que los requisitos de documentación técnica bajo ambos marcos pueden integrarse en lugar de duplicarse. Sin embargo, existen tensiones reales. La Ley de IA fomenta la retención de datos de entrenamiento y registros con fines de auditoría, mientras que los principios de minimización de datos y limitación de almacenamiento del RGPD apuntan en la dirección opuesta. Los proveedores deben gestionar esta tensión de forma explícita, normalmente mediante calendarios de retención específicos por propósito y anonimización cuando sea factible.
▶ ¿Quién es responsable del cumplimiento regulatorio: el proveedor de IA o la organización sanitaria?
La responsabilidad está distribuida en los tres marcos, y la asignación difiere según el marco aplicable. Bajo el MDR, la obligación principal recae en el fabricante, normalmente el proveedor de IA, que es responsable del marcado CE, la documentación técnica y la vigilancia poscomercialización. Bajo el RGPD, la organización sanitaria que implementa el sistema de IA suele ser el responsable de datos, con responsabilidad principal sobre la base legal y los derechos de los pacientes, mientras que el proveedor actúa como encargado de datos. Bajo la Ley de IA de la UE, los proveedores asumen la carga principal de cumplimiento para sistemas de IA de alto riesgo, pero las organizaciones implementadoras tienen sus propias obligaciones, incluida la implementación de supervisión humana y garantizar la alfabetización en IA del personal. Un hospital que implementa una herramienta de IA clínica no puede asumir que el cumplimiento regulatorio es enteramente responsabilidad del proveedor.
▶ ¿Qué preguntas deben hacer las organizaciones sanitarias a los proveedores de IA antes del despliegue?
Los equipos de adquisición deben pedir a los proveedores que confirmen si el producto tiene marcado CE como dispositivo médico y cuál es su clasificación de riesgo. Sobre protección de datos, deben preguntar dónde se procesan y almacenan los datos de los pacientes, si se garantiza la residencia de datos en la UE y si los datos de los pacientes se utilizan para el entrenamiento del modelo y sobre qué base legal. Sobre la Ley de IA de la UE, deben preguntar si el sistema está clasificado como de alto riesgo, qué evaluación de conformidad se ha completado y qué mecanismos de supervisión humana están integrados. Sobre seguridad, deben preguntar si el proveedor posee certificación ISO 27001 vigente. Las respuestas incompletas o evasivas deben considerarse una señal de riesgo significativa en la adquisición.
▶ ¿Cuándo entran en pleno vigor las obligaciones de la Ley de IA de la UE para sistemas de IA clínica de alto riesgo?
La Ley de IA de la UE entró en vigor el 1 de agosto de 2024, pero sus obligaciones se aplican en un cronograma por fases. Las prohibiciones sobre sistemas de IA de riesgo inaceptable y las obligaciones de alfabetización en IA para proveedores e implementadores entraron en vigor en febrero de 2025. Las obligaciones para sistemas de IA de alto riesgo según el Capítulo III, incluidas las de dispositivos médicos de IA, se aplican en su totalidad desde agosto de 2026. La aplicabilidad completa de todas las disposiciones restantes será en agosto de 2027. Existen disposiciones transitorias para sistemas de IA ya legalmente en el mercado antes de agosto de 2026, pero son temporales y no eximen a los fabricantes del cumplimiento completo eventual.
▶ ¿Qué es el Espacio Europeo de Datos de Salud y cómo afecta a la IA clínica?
El Reglamento del Espacio Europeo de Datos de Salud (EHDS) entró en vigor el 26 de marzo de 2025. Crea un marco para el uso secundario de datos de salud, incluido el desarrollo e investigación de IA, en los Estados miembros de la UE. La Comisión Europea identifica el EHDS como un facilitador clave del desarrollo responsable de IA clínica. Su interacción con el principio de limitación de finalidad del RGPD, que restringe que los datos se reutilicen sin una nueva base legal, requerirá aclaración continua a medida que avance la implementación.