Obligaciones del Reglamento de IA de la UE para la IA en productos sanitarios, sistemas de diagnóstico y apoyo a la decisión clínica. Abarca la interacción con el RPS/RPDIV y el doble cumplimiento del Annex I.
Por qué el Reglamento de IA de la UE reviste especial importancia en el ámbito sanitario
El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) establece sus obligaciones de cumplimiento más exigentes precisamente en los ámbitos en que los errores de la IA tienen consecuencias que pueden ser vitales. La sanidad y las ciencias de la vida se sitúan en la intersección de dos de estas exigencias: la clasificación estructural de la IA en productos sanitarios como de alto riesgo en virtud del Art. 6(1), y la densa regulación sectorial ya existente bajo el RPS (UE) 2017/745, el RPDIV (UE) 2017/746, el Art. 9 del GDPR y el Reglamento de Ensayos Clínicos (UE) 536/2014.
Para los proveedores y responsables del despliegue de IA en salud, esta intersección no es meramente acumulativa. Genera conjuntos de obligaciones estratificadas que deben diseñarse, documentarse y supervisarse de forma conjunta. Un sistema de IA integrado en un dispositivo de diagnóstico por imagen debe superar la evaluación de conformidad por un organismo notificado conforme al RPS y una evaluación de conformidad separada conforme al Reglamento de IA de la UE. Un hospital que implanta una herramienta de triaje basada en IA pasa a ser responsable del despliegue en virtud del Art. 26, con obligaciones propias que no pueden considerarse cumplidas por el simple hecho de que el proveedor disponga del marcado CE.
Las consecuencias del incumplimiento son proporcionalmente elevadas. Las autoridades supervisoras nacionales pueden imponer multas de hasta 30 millones de euros o el 6 % del volumen de negocio anual global por la comercialización de IA de alto riesgo no conforme. Más allá de las sanciones económicas, las órdenes de retirada del mercado, la suspensión del uso clínico y las medidas correctoras obligatorias pueden interrumpir la atención al paciente a gran escala.
La doble vía regulatoria
El rasgo estructural definitorio del cumplimiento en IA sanitaria es la aplicación simultánea del Derecho de seguridad de productos y del Derecho específico de IA. Cuando un sistema de IA constituye un componente de seguridad de un producto sanitario según la definición del Annex I del Reglamento de IA de la UE (con referencia cruzada al Nuevo Marco Legislativo), se clasifica automáticamente como de alto riesgo conforme al Art. 6(1) sin necesidad de ninguna evaluación adicional de la probabilidad o gravedad del daño. La clasificación es categórica.
Esto significa que las organizaciones deben mantener dos vías paralelas de evaluación de conformidad — una conforme al RPS o al RPDIV y otra conforme al Reglamento de IA de la UE — y deben acreditar el cumplimiento de ambas en la base de datos de la UE para sistemas de IA de alto riesgo (EUAI DB) antes de la comercialización.
Casos de uso de IA de alto riesgo — Productos sanitarios y prestación asistencial
IA en diagnóstico por imagen
Los sistemas de IA utilizados en radiología, anatomía patológica y oftalmología que analizan imágenes para detectar, clasificar o caracterizar lesiones, anomalías o estados de enfermedad son, en prácticamente todas las configuraciones clínicamente relevantes, componentes de seguridad de productos sanitarios de Clase IIa o superior conforme al RPS. Por tanto, son de alto riesgo en virtud del Art. 6(1) y deben cumplir con el Capítulo III, Sección 2 del Reglamento de IA de la UE, que abarca la gobernanza de datos (Art. 10), la documentación técnica (Art. 11, Annex IV), el registro automático (Art. 12), la transparencia (Art. 13), la supervisión humana (Art. 14) y la exactitud, robustez y ciberseguridad (Art. 15).
Sistemas de apoyo a la decisión clínica
Las herramientas de apoyo a la decisión clínica (ADC) abarcan un amplio espectro de riesgo en función de su papel funcional. La distinción regulatoria clave es si el sistema reemplaza o asiste al juicio clínico:
- Resultado autónomo o cuasi autónomo: Un sistema de ADC que genera una recomendación de prescripción, determina la dosis de un medicamento para un paciente, o clasifica a un paciente como necesitado de intervención de urgencia sin requerir revisión clínica previa a la actuación sobre el resultado, es probable que sea de alto riesgo conforme al Annex III y potencialmente constituya un producto sanitario conforme al RPS.
- Resultado filtrado para revisión del clínico: Un sistema de ADC que presenta diagnósticos diferenciales ordenados o señala resultados analíticos como anómalos, y en el que un clínico cualificado revisa y aprueba cada recomendación antes de que afecte al manejo del paciente, puede no calificarse como de alto riesgo, siempre que no cumpla de forma independiente los criterios del Annex III por otros motivos.
Esta distinción debe quedar documentada en la declaración de finalidad prevista del sistema de IA, que forma parte tanto de la documentación técnica conforme al Reglamento de IA como del expediente técnico conforme al RPS.
Priorización del triaje de pacientes en entornos de urgencias
Los sistemas de IA que priorizan el orden de atención a los pacientes de urgencias — incluidos los modelos de predicción de sepsis y los sistemas de monitorización en UCI que activan protocolos de escalada — operan en condiciones de presión temporal y complejidad clínica que hacen especialmente exigente la supervisión humana conforme al Art. 14. Las organizaciones que los implantan deben garantizar que el mecanismo de supervisión sea genuinamente eficaz: el clínico responsable de la supervisión debe contar con la comprensión técnica, el acceso al razonamiento de la IA y el tiempo en el flujo de trabajo necesarios para intervenir antes de que el resultado del sistema afecte a los resultados del paciente.
IA para el cribado en salud mental
Las herramientas de IA utilizadas para cribar poblaciones o pacientes individuales en busca de trastornos de salud mental — puntuaciones de riesgo de depresión, estratificación del riesgo de suicidio, cribado de burnout — activan tanto las disposiciones sobre alto riesgo del Reglamento de IA (cuando influyen en el acceso a la atención o en la asignación de recursos) como el Art. 9 del GDPR en una dimensión especialmente sensible. Los datos de salud mental son datos de salud a efectos del GDPR; su tratamiento para el entrenamiento o la inferencia de IA requiere una base jurídica conforme al Art. 9(2) y garantías adecuadas conforme al Art. 22 (toma de decisiones individuales automatizadas).
Robótica quirúrgica y procedimientos guiados por IA
Los componentes de IA integrados en sistemas de robótica quirúrgica que adaptan en tiempo real los parámetros del procedimiento — posicionamiento de instrumentos, modulación del feedback háptico, clasificación de tejidos — son componentes de seguridad de dispositivos implantables activos o productos sanitarios de Clase III conforme al RPS. La carga de la evaluación de conformidad es, en consecuencia, la más elevada posible: evaluación por organismo notificado conforme al Annex IX o X del RPS, combinada con la evaluación de conformidad conforme al Reglamento de IA de la UE en virtud del Art. 43. Las obligaciones de seguimiento poscomercialización de ambos marcos deben integrarse en un único sistema de seguimiento clínico y de monitorización del rendimiento.
Categoría 5(a) del Annex III — Acceso a servicios sanitarios esenciales
Más allá de la vía del producto sanitario, el punto 5(a) del Annex III del Reglamento de IA de la UE clasifica separadamente como de alto riesgo los sistemas de IA utilizados para determinar el acceso a servicios públicos esenciales, incluida la sanidad. Un sistema de IA que determina si un paciente reúne las condiciones para recibir un tratamiento reembolsado, es incluido en una lista de espera para trasplante, o es elegible para participar en un ensayo clínico, es de alto riesgo en virtud de esta disposición aunque no esté integrado en un producto sanitario.
Obligaciones del proveedor frente al responsable del despliegue en el ámbito sanitario
Obligaciones del proveedor
Las organizaciones que desarrollan, comercializan o ponen en servicio un sistema de IA en salud de alto riesgo en calidad de proveedores conforme al Art. 16 deben:
- Establecer e implementar un sistema de gestión de la calidad (SGC) conforme al Art. 17, que incluya controles de diseño, gestión de riesgos alineada con la ISO 14971 (armonizada con el RPS) y procedimientos de seguimiento poscomercialización.
- Elaborar documentación técnica conforme al Annex IV, que comprenda la finalidad prevista, el expediente de gestión de riesgos, las descripciones de los datos de entrenamiento, los resultados de validación y pruebas, y el plan de seguimiento poscomercialización.
- Registrar el sistema en la base de datos de la UE antes de la comercialización (Art. 49).
- Garantizar que el sistema ostente el marcado CE y proporcionar una Declaración UE de Conformidad.
- Designar un Representante Autorizado en la UE si la organización está establecida fuera de la UE.
- Conservar la documentación técnica y los registros durante 10 años desde la comercialización (Art. 18).
Obligaciones del responsable del despliegue
Los hospitales, clínicas, redes de farmacias y demás instituciones sanitarias que actúan como responsables del despliegue de sistemas de IA de alto riesgo de terceros tienen obligaciones en virtud del Art. 26 que son independientes del cumplimiento del proveedor:
- Implantar el sistema dentro del ámbito de aplicación de las instrucciones de uso del proveedor — cualquier uso fuera de ese ámbito puede reclasificar a la institución como proveedora.
- Asignar las responsabilidades de supervisión humana a personal con la competencia, la autoridad y los medios para monitorizar e intervenir en el funcionamiento del sistema.
- Conservar registros operativos durante al menos seis meses, o por un período mayor cuando así lo exija la legislación sectorial aplicable (vigilancia conforme al RPS, normativa sobre registros hospitalarios).
- Comunicar al proveedor sin demora los incidentes graves o disfunciones, y cuando la seguridad del paciente esté implicada, a las autoridades sanitarias pertinentes conforme a los procedimientos de vigilancia del Art. 87 del RPS.
- Realizar evaluaciones de impacto sobre los derechos fundamentales (EIDF) conforme al Art. 27 cuando el sistema de IA se utilice para adoptar o apoyar decisiones que afecten a pacientes individuales a gran escala.
Interacción con el RPS, el RPDIV y el GDPR
RPS y RPDIV: el régimen de doble evaluación de conformidad
El Art. 6(1) del Reglamento de IA de la UE, interpretado conjuntamente con el Annex I, establece la vía del componente de seguridad. Cuando un sistema de IA es un componente de seguridad de un producto regulado conforme al RPS o al RPDIV, la evaluación de conformidad conforme al Reglamento de IA de la UE debe integrarse en el procedimiento RPS/RPDIV existente. El Art. 8(1) del Reglamento de IA de la UE otorga primacía a las normas sectoriales del RPS/RPDIV cuando estas impongan obligaciones equivalentes o más estrictas, pero no elimina las obligaciones del Reglamento de IA — ajusta el procedimiento, no el requisito.
Para los productos sanitarios de Clase IIb y Clase III con IA integrada, es obligatoria la evaluación por un organismo notificado conforme al Annex IX del RPS (gestión de la calidad) o al Annex X (examen de tipo). El mismo organismo notificado, si está designado conforme al Reglamento de IA, puede llevar a cabo la evaluación de conformidad conforme a este último como parte de un procedimiento integrado. Para el SaMD de Clase I (software como producto sanitario), los fabricantes deben evaluar de forma independiente si el sistema de IA es de alto riesgo conforme al Reglamento de IA por motivos distintos del Art. 6(1).
Art. 9 del GDPR y datos de entrenamiento
Los datos de salud utilizados para entrenar, validar o probar modelos de IA son datos de categoría especial conforme al Art. 9(1) del GDPR. Su tratamiento está prohibido salvo que concurra alguna de las excepciones del Art. 9(2), siendo las más relevantes:
- Art. 9(2)(a): consentimiento explícito del interesado
- Art. 9(2)(h): tratamiento necesario para el diagnóstico médico o la prestación de asistencia sanitaria, sujeto al secreto profesional
- Art. 9(2)(j): investigación científica, sujeta a las garantías del Art. 89
Las obligaciones de gobernanza de datos del Art. 10 del Reglamento de IA de la UE — que exigen documentar el origen, los métodos de recopilación, la representatividad y las limitaciones conocidas de los conjuntos de datos — deben cumplirse de forma coherente con la base jurídica aplicable del GDPR. El uso retrospectivo de conjuntos de datos clínicos sin consentimiento explícito requiere una excepción por razones de investigación y, normalmente, la aprobación de un comité de ética conforme al Reglamento de Ensayos Clínicos o la normativa nacional de investigación aplicable.
Integración del seguimiento poscomercialización
Tanto el RPS (Art. 83, Seguimiento Clínico Poscomercialización) como el Reglamento de IA de la UE (Art. 72, seguimiento poscomercialización) exigen la recopilación y el análisis continuos de datos de rendimiento en condiciones reales. Cuando ambos son aplicables, un único sistema integrado de seguimiento poscomercialización puede satisfacer ambos marcos, siempre que capture los puntos de datos exigidos por cada uno — incluyendo los requisitos de evidencia clínica del RPS y los requisitos del Reglamento de IA sobre registro automático del funcionamiento del sistema de IA.
Autoridades de supervisión
Agencia Europea de Medicamentos y agencias nacionales del medicamento
La Agencia Europea de Medicamentos (EMA) no tiene un papel de supervisión directo conforme al Reglamento de IA de la UE en lo relativo a la IA que no constituye un medicamento, pero sus orientaciones sobre IA en el desarrollo de medicamentos y en farmacovigilancia son de referencia para las empresas del sector de las ciencias de la vida. Las agencias nacionales del medicamento — entre ellas la ANSM (Francia), la BfArM (Alemania) y sus equivalentes — ejercen la autoridad de vigilancia del mercado conforme al RPS y al RPDIV, y pueden investigar los sistemas de IA integrados en productos sanitarios en el marco de su mandato de vigilancia poscomercialización.
Organismos notificados
Para los sistemas de IA de alto riesgo que son componentes de seguridad de productos sanitarios, los organismos notificados designados conforme al RPS/RPDIV y, de forma separada o conjunta, conforme al Reglamento de IA de la UE llevan a cabo las evaluaciones de conformidad. Sus certificados son un requisito previo para el marcado CE. Los organismos notificados pueden suspender o retirar los certificados cuando la vigilancia poscomercialización revele incumplimientos.
Autoridades nacionales de supervisión de IA
Cada Estado miembro de la UE ha designado o está designando una autoridad nacional de supervisión de IA (autoridad competente conforme al Art. 70 del Reglamento de IA de la UE). En el sector sanitario, se requiere coordinación entre la autoridad de supervisión de IA y la agencia nacional del medicamento cuando las competencias se solapan. La autoridad de supervisión de IA tiene poderes para solicitar documentación, realizar auditorías, imponer medidas correctoras y remitir casos para la imposición de sanciones económicas.
Hoja de ruta de cumplimiento — Prioridades para la IA en salud
Paso 1: Clasificación y evaluación del alcance
Mapear todos los sistemas de IA en desarrollo o implantación conforme al Art. 6(1) (componente de seguridad de un producto sanitario) y al punto 5(a) del Annex III (acceso a servicios esenciales). Documentar la finalidad prevista de cada sistema con la precisión suficiente para fundamentar las decisiones de clasificación tanto conforme al Reglamento de IA como conforme al RPS/RPDIV. Consultar a asesores regulatorios para evaluar las herramientas de ADC en situaciones limítrofes.
Paso 2: Planificación de la doble evaluación de conformidad
Para cada sistema de IA de alto riesgo que sea también un producto sanitario, identificar la vía de evaluación de conformidad aplicable conforme al RPS/RPDIV y determinar si el organismo notificado designado está también acreditado conforme al Reglamento de IA de la UE. Planificar la evaluación de conformidad como un procedimiento integrado en la medida de lo posible para reducir duplicidades.
Paso 3: Gobernanza de datos y alineación con el GDPR
Auditar los conjuntos de datos de entrenamiento y validación de los sistemas de IA en salud. Documentar las bases jurídicas conforme al Art. 9(2) del GDPR para todos los datos de salud utilizados en el desarrollo de modelos. Establecer procedimientos de gobernanza de datos conforme al Art. 10 del Reglamento de IA de la UE y garantizar que se reflejen en la documentación técnica exigida por el Annex IV.
Paso 4: Protocolos de supervisión humana
Diseñar e implementar mecanismos de supervisión humana conforme al Art. 14 para cada implantación de IA de alto riesgo. La supervisión debe ser operativamente realista: requiere personal formado, mecanismos de intervención accesibles e integración en el flujo de trabajo — no una mera formalidad. Para los entornos de urgencias con presión temporal, el diseño de la supervisión requiere especial atención.
Paso 5: Integración del seguimiento poscomercialización
Diseñar un sistema de seguimiento poscomercialización que satisfaga tanto los requisitos del Annex III del RPS (SCPC) como los del Art. 72 del Reglamento de IA de la UE. Establecer procedimientos de notificación de incidentes que se ajusten a los plazos de vigilancia del RPS (Art. 87: los incidentes graves deben notificarse en un plazo de 15 días) y a la notificación de incidentes graves conforme al Reglamento de IA en virtud del Art. 73.
Paso 6: Diligencia debida del responsable del despliegue
Las instituciones sanitarias que adquieran herramientas de diagnóstico o ADC de IA de terceros deben exigir a los proveedores que aporten la Declaración UE de Conformidad, las instrucciones de uso y un resumen de la documentación técnica. Los contratos de adquisición deben especificar las obligaciones de conservación de registros, las responsabilidades en materia de notificación de incidentes y los límites del alcance de uso permitido, a fin de evitar una reclasificación involuntaria como proveedor.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
No. Las evaluaciones de conformidad conforme al RPS y al RPDIV y las evaluaciones de conformidad conforme al Reglamento de IA de la UE son obligaciones jurídicas diferenciadas que se aplican en paralelo. Un sistema de IA integrado en un producto sanitario de Clase IIb debe cumplir con ambos marcos regulatorios de forma independiente. Cuando un organismo notificado ya interviene en virtud del RPS o del RPDIV, ese mismo organismo puede ser igualmente designado como organismo notificado en virtud del Reglamento de IA, lo que permite una evaluación coordinada; no obstante, el cumplimiento íntegro de ambos marcos sigue siendo obligatorio.
No de forma automática. La clasificación depende de la función y del nivel de autonomía de la herramienta. Si el sistema de IA reemplaza o anula sustancialmente el juicio clínico — por ejemplo, determinando de forma autónoma un diagnóstico o prescribiendo un tratamiento — es más probable que sea calificado como de alto riesgo en virtud del Annex III o como componente de seguridad de un producto sanitario conforme al Art. 6(1). Si el sistema únicamente señala o filtra información para un clínico que conserva plena autoridad de decisión, puede quedar fuera de la definición de alto riesgo, siempre que no cumpla otros criterios del Annex III.
El Art. 10 del Reglamento de IA de la UE exige que los conjuntos de datos de entrenamiento, validación y prueba estén sujetos a prácticas de gobernanza de datos que cubran el origen, los métodos de recopilación, los sesgos conocidos y la representatividad. Para la IA en salud, esta obligación se cruza con el Art. 9 del GDPR, que clasifica los datos de salud como datos de categoría especial y exige una base jurídica explícita — generalmente el consentimiento explícito o una excepción al amparo del Art. 9(2)(h) o (j) — para su tratamiento. Los proveedores deben documentar la composición de los conjuntos de datos en la documentación técnica exigida por el Annex IV y demostrar que los datos de entrenamiento no introducen sesgos sistemáticos que puedan comprometer la exactitud diagnóstica en subpoblaciones de pacientes.
Los hospitales que actúan como responsables del despliegue de sistemas de IA de alto riesgo en virtud del Art. 26 deben: verificar que el sistema de IA ostente el marcado CE y cuente con una Declaración UE de Conformidad; aplicar las instrucciones de uso del proveedor; asignar las responsabilidades de supervisión humana a personal clínico cualificado; conservar los registros de funcionamiento del sistema durante un mínimo de seis meses; y comunicar los incidentes graves o las disfunciones al proveedor y, cuando la seguridad del paciente esté en juego, a las autoridades sanitarias competentes conforme a las normas de vigilancia aplicables del RPS. Los responsables del despliegue no pueden modificar los sistemas de IA de alto riesgo de forma que altere su finalidad prevista sin activar las obligaciones de reevaluación.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.