IA en clínicas y centros sanitarios: AI Act, MDR y RGPD para PYMES del sector salud
Los sistemas de IA destinados al diagnóstico, triaje, monitorización o tratamiento en el ámbito sanitario se rigen simultáneamente por el AI Act (alto riesgo cuando son componente de seguridad de un producto sanitario), por el Reglamento (UE) 2017/745 de productos sanitarios (MDR) y por el RGPD respecto al tratamiento de datos de salud.
Triple marco regulatorio que coexiste
Una clínica que utilice un software de apoyo al diagnóstico por imagen, un asistente de triaje en urgencias o una herramienta de predicción de riesgo clínico se enfrenta a tres regímenes simultáneos. El AI Act se aplica como componente de seguridad de un producto sanitario en virtud del Anexo I; el MDR exige marcado CE como producto sanitario; y el RGPD impone garantías reforzadas por tratarse de categorías especiales de datos.
La buena noticia es que el AI Act se ha diseñado para no duplicar trámites: cuando el sistema ya está sujeto a MDR, gran parte de las obligaciones se canalizan a través de la evaluación de conformidad existente. La PYME deployer debe sin embargo cumplir sus propias obligaciones de uso conforme, supervisión humana y formación.
Qué exige al centro sanitario como deployer
Verificar que el sistema dispone de marcado CE conforme al MDR y de declaración de conformidad del AI Act. Utilizarlo estrictamente conforme a las indicaciones del fabricante. Garantizar que el profesional sanitario mantiene supervisión efectiva sobre cada decisión asistida, con capacidad real para apartarse de la sugerencia automática.
Formación específica del personal clínico que opera la herramienta, alineada con el Artículo 4 y con las exigencias deontológicas de la profesión. Registro de incidentes adversos y comunicación al fabricante y, cuando proceda, a la autoridad sanitaria.
Protección de datos: lo no negociable
Los datos de salud son categoría especial del Artículo 9 RGPD. El tratamiento requiere base jurídica reforzada (consentimiento explícito o habilitación legal específica), evaluación de impacto del Artículo 35, registro de actividades, medidas técnicas reforzadas (cifrado, segmentación, control de acceso por roles) y, si el proveedor procesa datos por cuenta del centro, contrato de encargo del Artículo 28.
Para investigación clínica o entrenamiento secundario de modelos, hay que valorar adecuadamente el principio de minimización, la posibilidad de seudonimización efectiva y, en su caso, el dictamen del Comité de Ética asistencial o de investigación.
Información al paciente y consentimiento
El paciente debe ser informado de forma clara y comprensible cuando una decisión clínica que le afecta se apoya en un sistema de IA, así como del carácter no sustitutivo de la valoración médica humana. Esa información se integra en el consentimiento informado clínico, no se sustituye por una cláusula genérica de privacidad.
El paciente conserva el derecho a solicitar valoración exclusivamente humana en los términos del Artículo 22 RGPD y la lex artis aplicable.
Gestión de incidentes y vigilancia post-comercialización
El centro debe disponer de un procedimiento documentado para identificar y comunicar incidentes graves (errores diagnósticos sistemáticos, sesgos detectados, fallos de seguridad). Es obligatoria la comunicación al fabricante y, según el caso, a las autoridades sanitarias autonómica y estatal y a la AESIA cuando corresponda.