Contacto
CONTACT

IA en el sector sanitario: abordar la complejidad regulatoria

AI in Health Care

En julio de 2025, la Comisión Europea publicó su informe final Study on the Deployment of AI in Healthcare, un análisis de 241 páginas sobre cómo se adoptan (o no) las herramientas de inteligencia artificial en la práctica clínica. Como destaca el informe, los sistemas sanitarios modernos afrontan presiones urgentes como el envejecimiento de la población, enfermedades crónicas, escasez de personal y restricciones presupuestarias, y la IA ofrece un gran potencial para mejorar la eficiencia y el diagnóstico. Sin embargo, pese al rápido crecimiento de la investigación y los productos de IA, su uso clínico real sigue siendo limitado. El estudio clasifica los desafíos como tecnológicos (calidad e integración de los datos), jurídicos/regulatorios, organizativos, sociales y culturales. En particular, señala que la sanidad es uno de los sectores más regulados y que las “complejidades legales y normativas” son un obstáculo clave para su implantación.

Este artículo resume brevemente el alcance y las principales conclusiones del estudio y profundiza después en la complejidad regulatoria. Analizamos cómo múltiples normas nuevas y existentes de la UE, en especial la Ley de IA de la UE (AI Act), el Reglamento de Dispositivos Médicos (MDR) y el Reglamento de Diagnóstico In Vitro (IVDR), el RGPD, el Espacio Europeo de Datos Sanitarios (EHDS) y las normas actualizadas de responsabilidad por productos defectuosos, se solapan e interactúan entre sí.

Objetivo y principales conclusiones del estudio

El estudio de la UE tenía como objetivo trazar el panorama de la IA en la sanidad europea y extraer lecciones de ello. El informe identifica cuatro categorías de barreras:

  1. Problemas técnicos/de datos: dificultad para acceder a datos sanitarios de alta calidad e interoperables; falta de estándares.

  2. Problemas legales/regulatorios: mosaico de normas sobre productos de IA, protección de datos, dispositivos médicos, etc.

  3. Problemas organizativos/empresariales: carencias de financiación, reembolso poco claro de herramientas de IA, formación del personal.

  4. Problemas sociales/culturales: confianza de los profesionales, aceptación por parte de los pacientes, alfabetización digital y temor a la responsabilidad profesional.

Aunque la tecnología existe, el estudio “Study on the Deployment of AI in Healthcare” subraya que el marco regulador europeo no siempre está coordinado entre disciplinas, que no es exageración. Los innovadores se enfrentan a un complejo laberinto de exigencias europeas, algunas superpuestas, otras nuevas y otras aún en evolución, lo que puede retrasar o incluso impedir la implantación de la IA. Sin embargo, el estudio también destaca numerosos casos positivos en los que los hospitales superaron los obstáculos mediante unidades jurídicas o comités interdisciplinarios. Concluye que la UE está bien posicionada para apoyar un despliegue de la IA sanitaria seguro, ético y escalable, pero que es necesario armonizar los estándares de datos, mejorar la claridad normativa y supervisar el progreso.

Marcos normativos superpuestos

Una de las conclusiones centrales es que quienes implementan IA deben afrontar simultáneamente varios regímenes normativos. Los proveedores sanitarios y las empresas de IA, en particular, se enfrentan a una “tarta por capas” de obligaciones, entre ellas:

  • La Ley de IA de la UE (Reglamento (UE) 2024/1689) clasifica los sistemas de IA según su nivel de riesgo. La IA de alto riesgo (por ejemplo, sistemas que influyen en decisiones críticas) debe cumplir requisitos estrictos de calidad de datos, documentación, gestión de riesgos, transparencia y supervisión humana. Cualquier IA que forme parte de un producto regulado se considera automáticamente de “alto riesgo”. El artículo 6 establece que, si un sistema de IA es un componente de seguridad de un producto (por ejemplo, software en un dispositivo médico) o el propio producto, y este requiere una evaluación de conformidad por terceros, la IA se clasifica como de alto riesgo. Esta clasificación activa obligaciones como disponer de un sistema de gestión de riesgos, documentación técnica, normas de ciberseguridad, evaluaciones de impacto y requisitos de transparencia (art. 13: el usuario debe poder comprender el resultado del sistema) y de supervisión humana (art. 14: el diseño debe permitir dicha supervisión).

  • Los Reglamentos de Dispositivos Médicos y de Diagnóstico In Vitro (MDR 2017/745 y IVDR 2017/746) son las normas existentes que rigen los dispositivos médicos y de diagnóstico. El software destinado a fines médicos puede calificarse como “dispositivo médico” (MDR) o “diagnóstico in vitro” (IVDR). En particular, la MDR introdujo la Regla 11, específica para el software: los programas que proporcionan información para decisiones diagnósticas o terapéuticas, o que monitorizan funciones fisiológicas, se clasifican automáticamente en una categoría de mayor riesgo. Cumplir la MDR/IVDR implica satisfacer los requisitos generales de seguridad y rendimiento (Anexo I), realizar evaluaciones clínicas y, normalmente, someterse a revisión por un Organismo Notificado antes de su comercialización. Para los dispositivos de mayor clase, este proceso es riguroso, similar a una aprobación formal.

  • El Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679) es la ley básica de protección de datos de la UE. Casi todos los sistemas de IA sanitaria procesan datos personales, a menudo altamente sensibles. El RGPD exige una base legal para el tratamiento y establece principios estrictos (minimización de datos, limitación de finalidad, responsabilidad, transparencia). Concede derechos a los pacientes (acceso, información sobre decisiones automatizadas, etc.). Los responsables deben garantizar la conformidad con el RGPD, por ejemplo, obteniendo un consentimiento válido o cumpliendo las excepciones del artículo 9, además de proporcionar información transparente. También impone normas sobre seguridad y notificación de brechas de datos.

  • El Reglamento del Espacio Europeo de Datos Sanitarios (EHDS, Reglamento (UE) 2025/327) es el nuevo marco adoptado en 2025, que entrará en vigor en 2027. Crea mecanismos específicos para el uso secundario de los datos electrónicos de salud con fines de investigación, innovación o salud pública. No sustituye al RGPD, sino que lo complementa. Cada Estado miembro establecerá organismos de acceso a datos sanitarios que concederán “permisos de datos” a investigadores o empresas que deseen utilizar datos más allá de la atención directa. El reglamento proporciona una base jurídica explícita (en línea con el art. 9 del RGPD) con salvaguardias y derechos de exclusión para los pacientes. En la práctica, una empresa de IA que necesite grandes conjuntos de datos clínicos deberá cumplir tanto con los permisos del EHDS como con las normas del RGPD —añadiendo otra capa de complejidad—.

  • La nueva Directiva sobre responsabilidad por productos (Directiva (UE) 2024/2853) amplía expresamente su alcance a software e IA. Ahora el software se considera un “producto”, cerrando así una laguna previa. La reforma introduce además presunciones de causalidad para facilitar las reclamaciones, como en el artículo 10, que permite a los tribunales presumir que un producto defectuoso causó un daño cuando ambos son coherentes y el demandante tiene dificultades excesivas para probarlo. Esto facilita las demandas contra desarrolladores de IA.
    No obstante, este régimen aún se está transponiendo a los ordenamientos nacionales, y la Directiva específica sobre responsabilidad en IA fue retirada, por lo que persiste la incertidumbre. Las empresas de IA deben prepararse para una responsabilidad más estricta, aunque la distribución exacta de las obligaciones sigue evolucionando.

Todos estos marcos se solapan en muchas aplicaciones de IA sanitaria. Por ejemplo, un software diagnóstico basado en IA será probablemente tanto un dispositivo médico (MDR) como un sistema de alto riesgo (AI Act), lo que implica obtener el marcado CE y elaborar un expediente técnico conforme al artículo 11 del AI Act, en la práctica, una doble documentación. Si utiliza datos de pacientes, se aplican a la vez el RGPD y el EHDS. Y si la IA provoca un diagnóstico erróneo, el desarrollador podría enfrentarse a reclamaciones de responsabilidad por producto según la nueva directiva, además de la posible responsabilidad profesional del médico.

Se necesita mayor claridad

Ante estos obstáculos, el estudio ofrece propuestas concretas para aportar mayor claridad y coordinación al panorama europeo de la IA sanitaria, un paso en la dirección correcta.

Recomendaciones principales:

    • Estandarización y directrices armonizadas. Se subraya la necesidad de normas comunes de la UE sobre datos sanitarios e IA. El estudio recomienda establecer estándares técnicos comunes para la gobernanza, los formatos y la interoperabilidad de los datos. La estandarización facilitaría el intercambio seguro de información (respetando RGPD/EHDS) y el desarrollo de modelos de IA generalizables. También propone directrices sobre mitigación de sesgos y calidad de datos. La Comisión ya ha solicitado formalmente a CEN/CENELEC que desarrolle normas sobre supervisión de sistemas de IA (por ejemplo, diseño “human-in-the-loop”).

    • Orientación y apoyo centralizados (“ventanilla única”). Los actores del sector consideran que disponer de una orientación clara sería de gran ayuda. El 67 % de los clínicos encuestados lo calificaron como una “buena práctica”.

    • Desarrollo de capacidades en las instituciones sanitarias. Contar con personal jurídico o de cumplimiento especializado en salud digital acelera los procesos. El informe sugiere que la financiación europea apoye centros de excelencia o redes profesionales en derecho sanitario tecnológico para compartir buenas prácticas y formar a los clínicos en normativa básica.

    • Entornos de prueba y marcos adaptativos. La Ley de IA ya prevé “sandbox regulatorios” donde se pueden probar sistemas de alto riesgo bajo supervisión. El estudio recomienda utilizarlos específicamente para IA sanitaria con pruebas clínicas controladas, y pide que las directrices y actos delegados (por ejemplo, sobre supervisión humana) se finalicen rápidamente.

    • Armonización legislativa en la UE. Se propone mejorar la coordinación entre los distintos marcos, por ejemplo, alineando el AI Act con la MDR/IVDR. En la práctica, podría implicar una única evaluación cuando sea posible: si un Organismo Notificado ya evalúa un dispositivo médico con IA según la MDR, podría verificar también los requisitos del AI Act en el mismo proceso.

    • Claridad en materia de responsabilidad e indemnización. Para reducir la inseguridad jurídica, el estudio señala la necesidad de aclarar cómo se aplicarán las nuevas normas de responsabilidad por productos. Mientras tanto, se recomienda fomentar la adopción de buenas prácticas para mitigar el riesgo legal.

Conclusión

El informe de la UE afirma lo evidente: el actual panorama regulatorio resulta frustrante y arriesgado para los proveedores sanitarios y las empresas de IA. Muchos proyectos prometedores se estancan bajo el peso de obligaciones superpuestas; los equipos destinan recursos escasos a la documentación en lugar de la validación clínica, y los directivos temen por la seguridad del paciente, el daño reputacional y la responsabilidad incierta, mientras los médicos dudan en usar herramientas no claramente autorizadas.

Hasta que el marco legal sea más claro, podemos aportar apoyo pragmático y orientado a resultados para reducir el riesgo inmediato y mantener la innovación en marcha. En la práctica, esto significa:

    • una evaluación regulatoria urgente para identificar los regímenes aplicables (AI Act, MDR/IVDR, RGPD, EHDS, normas de responsabilidad),

    • una hoja de ruta de cumplimiento priorizada, y

    • documentos desplegables rápidamente (expediente técnico, evaluaciones de impacto de protección de datos, textos de consentimiento, planes de vigilancia poscomercialización).

Trabajamos con los equipos clínicos y de TI para diseñar mecanismos de supervisión humana y auditoría que cumplan múltiples normas a la vez, asesoramos en los procesos de certificación y relación con los Organismos Notificados, gestionamos los procedimientos de acceso a datos del EHDS y ayudamos a asignar y mitigar los riesgos contractuales y de seguros entre proveedores y compradores. Nuestro enfoque consiste en traducir la incertidumbre en acciones claras y graduales, de modo que las organizaciones puedan seguir desplegando soluciones seguras y basadas en la evidencia mientras avanza la armonización regulatoria.

Contáctenos para hablar de su caso.

Aviso Legal:
El contenido de este blog se proporciona únicamente con fines informativos generales y no constituye asesoramiento jurídico. Si bien nos esforzamos por asegurar que la información sea precisa y esté actualizada, puede que no refleje los desarrollos legales más recientes ni las circunstancias específicas de tu organización. Los lectores no deben actuar basándose en la información contenida en este blog sin antes buscar asesoramiento legal profesional. El uso de esta información no crea una relación abogado-cliente.

 

more posts:
Categorías
Etiquetas