La IA está transformando la atención sanitaria. Puede detectar patrones en imágenes, predecir el deterioro de pacientes, priorizar vías de atención y automatizar decisiones rutinarias. Pero cuando la IA realiza o asiste en tareas médicas, queda claramente dentro de dos marcos regulatorios sustanciales: el Reglamento de Dispositivos Médicos de la UE (MDR/IVDR) y la Ley de Inteligencia Artificial de la UE (AI Act). Los reguladores europeos esperan que los fabricantes demuestren tanto la seguridad clínica como la gobernanza algorítmica de la IA utilizada con fines médicos.
Este artículo analiza los principales retos que surgen en la intersección de ambos marcos.
Diez puntos de fricción que los reguladores observarán de cerca
1. Ambigüedad en la clasificación: ¿es un dispositivo, un software o un sistema de IA?
A primera vista parece un tema administrativo. En la práctica, es crucial: la calificación bajo el MDR depende del propósito previsto, mientras que la AI Act clasifica como “alto riesgo” a la IA integrada en dispositivos sujetos a evaluación por terceros. Sin embargo, muchos productos fronterizos dependen de los hechos concretos. Pequeñas diferencias en el etiquetado, la comercialización o el despliegue pueden cambiar todo el camino de cumplimiento y sus consecuencias legales.
Por qué importa: Una mala clasificación puede llevar a medidas de ejecución, retirada del producto o evaluaciones retrospectivas onerosas de conformidad.
2. Ciclo de vida vs. aprobaciones únicas: ¿quién regula las actualizaciones?
La AI Act trata las actualizaciones de modelos, el reentrenamiento y el “drift” como fenómenos de ciclo de vida que deben ser gobernados de manera continua. El MDR se centra en la verificación, validación y, sobre todo, en si los cambios desencadenan nuevos procedimientos de conformidad. La cuestión de qué constituye una “modificación sustancial” bajo la AI Act y cuándo requiere una nueva evaluación de conformidad es tanto técnica como estratégica.
Por qué importa: La capacidad de actualizar un modelo tras su comercialización (para mejorar el rendimiento o corregir sesgos) tiene un gran valor de producto y comercial, pero también puede exigir una reevaluación y suspender la disponibilidad del producto.
3. Sistemas de calidad: Dos lenguajes en un solo proceso
Un SGC basado en ISO 13485 es la primera opción para dispositivos médicos. La AI Act exige controles de calidad específicos para IA (gobernanza de datos, trazabilidad de modelos, registros). Integrar ambos sin crear vacíos ni inconsistencias es un ejercicio de gobernanza complejo que a menudo requiere redefinir responsabilidades dentro de la organización.
Por qué importa: Evidencias de SGC mal alineadas pueden satisfacer a un regulador y fallar ante otro, creando una exposición de cumplimiento no deseada.
4. Gestión de riesgos: Seguridad clínica vs. daños algorítmicos
La ISO 14971 gestiona bien los riesgos de dispositivos. No fue diseñada para riesgos algorítmicos como sesgo en los datos, inversión de modelos, envenenamiento de datos o discriminación sistémica. La AI Act añade la expectativa de un análisis y mitigación de riesgos algorítmicos. Conectar ambos y decidir qué riesgos residuales son aceptables requiere tanto criterio clínico como una estrategia legal clara.
Por qué importa: Los fallos algorítmicos pueden producir daños clínicos y violaciones de derechos fundamentales. Ambos son sancionables y catastróficos para la reputación.
5. Gobernanza de datos: Procedencia, representatividad y privacidad
Tanto el MDR como la AI Act exigen prácticas sólidas de datos, pero desde ángulos distintos. El MDR busca datos que respalden la evidencia clínica, mientras que la AI Act demanda calidad demostrable de los conjuntos de datos, representatividad y documentación. Si añadimos el RGPD, hay que equilibrar el tratamiento lícito y la minimización con la necesidad de conjuntos de datos amplios y diversos que reduzcan el sesgo.
Por qué importa: Prácticas de datos deficientes pueden bloquear la aprobación regulatoria, provocar investigaciones y aumentar la exposición a responsabilidad civil.
6. Transparencia y supervisión humana: ¿cuánta y para quién?
La AI Act impone obligaciones de transparencia y que los sistemas de alto riesgo permitan supervisión humana significativa. El MDR exige instrucciones de uso claras y flujos de trabajo clínicos seguros. El desafío práctico consiste en alinear la información dirigida a los clínicos con las necesidades más técnicas de transparencia de la AI Act sin generar documentos confusos o arriesgados legalmente.
Por qué importa: Transparencia insuficiente o engañosa aumenta el riesgo de mal uso, consultas regulatorias y reclamaciones de responsabilidad.
7. Ciberseguridad: Nuevas superficies de ataque
La IA introduce vulnerabilidades novedosas: la superficie de ataque ahora incluye modelos, pipelines de entrenamiento y conjuntos de datos. Los reguladores esperan controles de ciberseguridad que protejan no solo los datos de los pacientes sino también la integridad del modelo, ya que manipular un modelo puede traducirse directamente en daños al paciente.
Por qué importa: Incidentes de ciberseguridad pueden activar obligaciones de notificación tanto bajo el MDR como bajo la AI Act y escalar rápidamente en daños reputacionales.
8. Evaluación del rendimiento: Resultados clínicos vs. métricas estadísticas
Los reguladores pedirán evidencia de resultados clínicos y validación técnica rigurosa (calibración, desempeño por subgrupos, métricas de drift). Los estudios clínicos pueden servir a ambos fines, pero alinear diseño, endpoints y planes estadísticos para cumplir con las dos expectativas es complejo.
Por qué importa: Evidencia débil o desalineada puede significar retrasos en el acceso al mercado o limitaciones en las indicaciones de uso.
9. Evaluación de conformidad: ¿Quién audita y para qué?
Para IA de alto riesgo en dispositivos médicos, el camino de evaluación de conformidad será típicamente a través de organismos notificados bajo MDR, lo que implica que una sola auditoría debe demostrar cumplimiento con ambos marcos. Pero los organismos notificados aún están operativizando cómo evaluar los requisitos de la AI Act, y las diferencias de enfoque entre compradores, proveedores y auditores generan incertidumbre comercial real.
Por qué importa: Una falta de alineación temprana con el organismo notificado puede forzar retrabajos costosos o limitar el alcance de la certificación.
10. Seguimiento poscomercialización: ¿Un panel de control o varios?
Ambos marcos exigen monitorización activa tras la entrada en el mercado, pero miden cosas diferentes y establecen umbrales distintos. La AI Act espera monitorización continua del algoritmo (drift, métricas de equidad) además de la vigilancia MDR (eventos adversos, rendimiento clínico). Integrar estos sistemas y determinar qué desencadena informes regulatorios o acciones correctivas es más difícil de lo que parece.
Por qué importa: Un mal diseño de la monitorización puede provocar señales de seguridad perdidas, reportes tardíos y riesgo de sanciones.
Cómo podemos ayudar
Estamos dispuestos a trabajar con su equipo de cumplimiento (interno) para identificar vacíos legales y cuestiones prácticas de cumplimiento en la intersección IA–MDR.
Ya sea que necesite un análisis de brechas enfocado, un plan de remediación priorizado, la redacción y revisión de documentación técnica o políticas, capacitación específica del personal o apoyo en la interacción con su organismo notificado y otras partes interesadas, podemos ofrecer soluciones pragmáticas y defendibles, adaptadas a su producto y objetivos comerciales.
Colaboramos con equipos de ingeniería, clínicos y legales para traducir la incertidumbre regulatoria en acciones claras y auditables, de manera confidencial y con el objetivo de minimizar interrupciones en el mercado.
Contáctenos para organizar una breve llamada y conversaremos sobre su situación y próximos pasos.
