La inteligencia artificial está transformando el sector de los dispositivos médicos, impulsando herramientas de diagnóstico, guiando cirugías robóticas y proporcionando recomendaciones personalizadas de tratamiento. Sin embargo, la innovación supera la regulación. Con el Reglamento de IA de la UE provisionalmente adoptado y la Directiva revisada de Responsabilidad por Productos (PLD) en vigor, los fabricantes de dispositivos médicos enfrentan un nuevo y complejo panorama legal marcado por obligaciones superpuestas y riesgos de responsabilidad en evolución.
En teoría, la UE busca armonizar las reglas sobre seguridad, transparencia y responsabilidad de la IA. En la práctica, prevalece un mosaico fragmentado de requisitos de cumplimiento, incertidumbres legales y preguntas abiertas sobre la responsabilidad—especialmente cuando los sistemas de IA actúan con autonomía.
Esto es lo que los fabricantes necesitan saber:
1. Alto riesgo por defecto: enfrentando una doble carga regulatoria
El Reglamento de IA de la UE clasifica como «alto riesgo» cualquier sistema de IA empleado en dispositivos médicos que afecte el diagnóstico, tratamiento o monitorización del paciente. Esta designación activa requisitos estrictos: gestión integral de riesgos, aseguramiento de calidad, gobernanza de datos, registro y transparencia, y mecanismos obligatorios de supervisión humana.
Crucialmente, los dispositivos médicos habilitados con IA deben cumplir también con el Reglamento de Dispositivos Médicos (MDR) de la UE. Esto crea un proceso dual de evaluación de conformidad — uno bajo el Reglamento de IA y otro bajo el MDR. Aunque el Reglamento de IA incluye disposiciones horizontales para armonizar evaluaciones, la duplicación sigue siendo considerable, especialmente para IA adaptativa o software que evoluciona mediante actualizaciones. Los fabricantes deben anticipar mayor complejidad y demanda de recursos para el cumplimiento.
2. Autonomía legal vs. autonomía técnica: responsabilidad en un entorno cada vez más autónomo
El Reglamento de IA exige una «supervisión humana apropiada» de los sistemas de IA de alto riesgo. Sin embargo, en entornos sanitarios con recursos limitados, queda poco claro qué constituye una supervisión eficaz.
Sistemas de IA como robots quirúrgicos o herramientas de apoyo a decisiones pueden operar semi-autónomamente — o de manera independiente dentro de parámetros definidos. A medida que aumenta la autonomía técnica, los marcos tradicionales de responsabilidad se tensionan. Por ejemplo, si un robot médico con IA toma una decisión dañina basada en modelos probabilísticos, o una herramienta diagnóstica falla por datos sesgados, ¿quién asume la responsabilidad legal?
Este escenario va más allá de la teoría. Los tribunales deberán enfrentar casos donde ninguna parte haya «causado» directamente el daño: el dispositivo funcionó según lo previsto, los hospitales siguieron las instrucciones y la IA operó dentro de límites preprogramados. El derecho actual de la UE no ofrece una solución doctrinal clara para estas situaciones.
3. Retirada de la Directiva de Responsabilidad por IA: un vacío regulatorio
Hasta principios de 2025, la Comisión Europea promovía una Directiva de Responsabilidad por IA (ALD) para cubrir las lagunas en reclamaciones basadas en culpa relacionadas con IA. Esta iniciativa buscaba reglas armonizadas adaptadas a tecnologías autónomas emergentes.
Sin embargo, la ALD fue retirada silenciosamente debido a desacuerdos políticos y temores de superposición con leyes nacionales de responsabilidad civil. Esta retirada deja un vacío regulatorio. Sin un marco de responsabilidad por culpa a nivel de la UE para IA, las víctimas de daños relacionados con IA deben confiar en leyes nacionales fragmentadas de negligencia o en la Directiva sobre responsabilidad por los daños causados por productos defectuosos revisada (PLD) ninguna de las cuales está completamente preparada para sistemas de IA autónomos y evolutivos.
4. Responsabilidad por productos: un ajuste imperfecto para la IA compleja
La PLD actualizada introduce enmiendas específicas para IA: amplía la definición de «producto» para incluir software y componentes digitales; crea presunciones refutables de causalidad en casos con dificultad probatoria; y afirma la responsabilidad objetiva por productos defectuosos sin necesidad de culpa.
Sin embargo, persisten importantes desafíos:
-
Causalidad y defectuosidad: La responsabilidad objetiva aplica solo si el producto es «defectuoso.» Definir el defecto en contextos de IA es complejo jurídica y técnicamente. Por ejemplo, ¿es defectuoso un modelo de aprendizaje automático que diagnostica erróneamente el 2% de los casos si aún supera a expertos humanos? ¿Dónde está el umbral de razonabilidad?
-
Responsabilidad multipartita: Los sistemas de IA suelen depender de insumos modulares — software, datos de entrenamiento, integración de sistemas — desarrollados por entidades distintas. Asignar culpa o causalidad a través de una cadena de suministro dispersa sigue siendo complejo e incierto.
- IA adaptativa y evolución post-lanzamiento: La PLD presume que la responsabilidad está vinculada al estado del producto en el momento de su puesta en el mercado. Los modelos de IA adaptativa que «aprenden» o modifican comportamientos tras la comercialización desafían esta presunción. ¿Son los fabricantes responsables por defectos surgidos de adaptaciones posteriores o se reinicia la responsabilidad?
La IA de alto riesgo debe cumplir con estándares de explicabilidad y transparencia según el Reglamento de IA. Sin embargo, muchas herramientas médicas de IA de alto rendimiento — especialmente modelos de aprendizaje profundo que identifican patrones sutiles en imágenes o datos genéticos — son intrínsecamente opacas.
Esto crea tensión legal: los fabricantes deben divulgar información significativa sobre el funcionamiento y limitaciones del sistema mientras protegen la propiedad intelectual y manejan modelos inherentemente inescrutables. Si una recomendación de IA causa daño y ni clínicos ni desarrolladores pueden explicar su lógica, ¿dónde recae la responsabilidad?
6. Supervisión postmercado: vigilancia continua e incertidumbre legal
El Reglamento de IA exige una monitorización continua del desempeño en uso real, complementando las obligaciones existentes del MDR. Los fabricantes deben evaluar el desempeño del dispositivo y garantizar que los componentes de IA operen consistentemente dentro de márgenes de riesgo aceptables.
Sin embargo, la PLD no aborda la responsabilidad derivada de adaptaciones postmercado. Por ejemplo, si cambios demográficos o clínicos degradan el rendimiento del modelo y los fabricantes no lo detectan, ¿es defectuoso el producto o existe responsabilidad? La ley sigue siendo ambigua.
7. Pasos prácticos para fabricantes
Dada la incertidumbre y evolución normativa, cumplir con la regulación no basta para mitigar riesgos legales. Los fabricantes deberían:
-
Realizar auditorías legales y técnicas exhaustivas de los componentes de IA.
-
Implementar controles rigurosos de versiones y seguimiento de actualizaciones.
-
Mantener documentación detallada sobre datos de entrenamiento, métricas de desempeño y limitaciones.
-
Incorporar mecanismos de seguridad y garantizar capacidad de intervención humana significativa.
-
Planificar vigilancia postmercado robusta, incluyendo monitorización temprana de la deriva del modelo en entornos clínicos.
Conclusión: Ir más allá del cumplimiento
El Reglamento de IA de la UE y la PLD revisada suponen avances importantes hacia la seguridad y responsabilidad de la IA. No obstante, siguen siendo incompletos e imperfectos para la complejidad de sistemas críticos en el sector salud.
Los fabricantes de dispositivos médicos con IA deben superar una visión superficial del cumplimiento normativo. La carga de la responsabilidad se está desplazando, de forma sutil pero decidida, hacia los productores, lo cual exige un enfoque proactivo y sofisticado que integre previsión legal y rigor técnico.
