Obligațiile impuse de Regulamentul UE privind IA furnizorilor de sisteme AI pentru dispozitive medicale, sisteme de diagnosticare și suport pentru decizia clinică. Acoperă interacțiunea cu MDR/IVDR și dubla conformitate cu Annex I.
De ce Regulamentul UE privind IA are o Semnificație Deosebită în Sectorul Sănătății
Regulamentul UE privind IA (Regulamentul (UE) 2024/1689) creează cele mai exigente obligații de conformitate tocmai în domeniile în care erorile sistemelor AI au consecințe vitale. Sectorul sănătății și al științelor vieții se află la intersecția a două astfel de exigențe: clasificarea structurală a sistemelor AI pentru dispozitive medicale ca prezentând risc ridicat în temeiul Art. 6(1) al Regulamentului, și densitatea de reglementare existentă în sector, reglementată prin MDR (UE) 2017/745, IVDR (UE) 2017/746, GDPR Art. 9 și Regulamentul privind Studiile Clinice (UE) 536/2014.
Pentru furnizorii și operatorii de sisteme AI în sănătate, această intersecție nu este pur aditivă. Ea creează seturi stratificate de obligații care trebuie concepute, documentate și monitorizate împreună. Un sistem AI integrat într-un dispozitiv de imagistică diagnostică trebuie să satisfacă evaluarea de conformitate de către un organism notificat în temeiul MDR și o evaluare de conformitate separată în temeiul Regulamentului UE privind IA. Un spital care utilizează un instrument AI de triaj devine operator în temeiul Art. 26 cu obligații independente ce nu pot fi satisfăcute prin simpla invocare a marcajului CE al furnizorului.
Miza neconformității este pe măsură. Autoritățile de supraveghere naționale pot impune amenzi de până la 30 de milioane EUR sau 6% din cifra de afaceri anuală globală pentru introducerea pe piață a unor sisteme AI cu risc ridicat neconforme. Dincolo de sancțiunile financiare, ordinele de retragere de pe piață, suspendarea utilizării clinice și măsurile corective obligatorii pot întrerupe îngrijirea pacienților la scară largă.
Dubla Cale de Reglementare
Caracteristica structurală definitorie a conformității sistemelor AI în sănătate este aplicarea simultană a legislației privind siguranța produselor și a legislației specifice inteligenței artificiale. Acolo unde un sistem AI constituie o componentă de siguranță a unui dispozitiv medical, astfel cum este definit în Annex I al Regulamentului UE privind IA (prin trimitere la Noul Cadru Legislativ), acesta este clasificat automat ca prezentând risc ridicat în temeiul Art. 6(1), fără nicio evaluare suplimentară a probabilității sau gravității prejudiciului. Clasificarea este categorică.
Aceasta înseamnă că organizațiile trebuie să mențină două căi paralele de evaluare a conformității — una în temeiul MDR sau IVDR, alta în temeiul Regulamentului UE privind IA — și trebuie să demonstreze conformitatea cu ambele în baza de date UE pentru sistemele AI cu risc ridicat (EUAI DB) înainte de introducerea pe piață.
Cazuri de Utilizare a Sistemelor AI cu Risc Ridicat — Dispozitive Medicale și Furnizarea de Îngrijiri
Sisteme AI de Imagistică Diagnostică
Sistemele AI utilizate în radiologie, anatomie patologică și oftalmologie care analizează imagini pentru a detecta, clasifica sau caracteriza leziuni, anomalii sau stări patologice sunt, în aproape toate configurațiile relevante clinic, componente de siguranță ale dispozitivelor medicale de Clasa IIa sau mai înaltă conform MDR. Prin urmare, acestea prezintă risc ridicat în temeiul Art. 6(1) și trebuie să respecte Capitolul III Secțiunea 2 din Regulamentul UE privind IA, privind guvernanța datelor (Art. 10), documentația tehnică (Art. 11, Annex IV), jurnalizarea automată (Art. 12), transparența (Art. 13), supravegherea umană (Art. 14) și acuratețea, robustețea și securitatea cibernetică (Art. 15).
Sisteme de Suport pentru Decizia Clinică
Instrumentele de suport pentru decizia clinică (CDS) acoperă un spectru larg de riscuri în funcție de rolul lor funcțional. Distincția esențială din punct de vedere al reglementării este dacă sistemul înlocuiește sau asistă raționamentul clinic:
- Rezultat autonom sau cvasi-autonom: Un sistem CDS care generează o recomandare de prescripție, stabilește doza de medicament pentru un pacient sau clasifică un pacient ca necesitând intervenție de urgență fără a fi necesară revizuirea de către un clinician înainte ca rezultatul să fie pus în aplicare este, cel mai probabil, cu risc ridicat în temeiul Annex III și potențial constituie un dispozitiv medical conform MDR.
- Rezultat filtrat pentru revizuire de către clinician: Un sistem CDS care prezintă diagnostice diferențiale ierarhizate sau semnalează rezultate de laborator ca anormale, în cazul în care un clinician calificat revizuiește și aprobă fiecare recomandare înainte ca aceasta să afecteze managementul pacientului, poate să nu se califice ca prezentând risc ridicat, cu condiția să nu îndeplinească independent criteriile din Annex III pe alte temeiuri.
Această distincție trebuie documentată în declarația privind scopul preconizat al sistemului AI, care face parte atât din documentația tehnică prevăzută de Regulamentul privind IA, cât și din dosarul tehnic MDR.
Prioritizarea Triajului Pacienților în Situații de Urgență
Sistemele AI care stabilesc ordinea în care pacienții de urgență primesc îngrijire — inclusiv modelele de predicție a sepsisului și sistemele de monitorizare în ATI care declanșează protocoale de escaladare — funcționează în condiții de presiune temporală și complexitate clinică ce fac supravegherea umană prevăzută de Art. 14 deosebit de exigentă. Organizațiile care le implementează trebuie să se asigure că mecanismul de supraveghere este cu adevărat eficient: clinicianul căruia îi este atribuită responsabilitatea de supraveghere trebuie să dispună de înțelegerea tehnică, accesul la raționamentul sistemului AI și timpul necesar în fluxul de lucru pentru a interveni înainte ca rezultatul sistemului să afecteze evoluția pacienților.
Sisteme AI pentru Screening în Sănătatea Mintală
Instrumentele AI utilizate pentru screeningul populațional sau individual al pacienților pentru afecțiuni de sănătate mintală — scoruri de risc pentru depresie, stratificarea riscului suicidar, screening pentru epuizare profesională — implică atât dispozițiile privind riscul ridicat din Regulamentul privind IA (în cazul în care influențează accesul la îngrijiri sau alocarea resurselor), cât și GDPR Art. 9 într-o dimensiune deosebit de sensibilă. Datele de sănătate mintală sunt date de sănătate în sensul GDPR; prelucrarea acestora în scopul antrenării sau inferenței AI necesită o bază juridică în temeiul Art. 9(2) și garanții adecvate în temeiul Art. 22 (procesul decizional automat individual).
Robotică Chirurgicală și Proceduri Ghidate prin Sisteme AI
Componentele AI integrate în sistemele robotice chirurgicale care adaptează în timp real parametrii procedurali — poziționarea instrumentelor, modularea feedback-ului haptic, clasificarea țesuturilor — sunt componente de siguranță ale dispozitivelor implantabile active sau ale dispozitivelor medicale de Clasa III conform MDR. Sarcina evaluării conformității este, în consecință, cea mai ridicată disponibilă: evaluarea de către un organism notificat în temeiul MDR Annex IX sau X, combinată cu evaluarea de conformitate prevăzută de Regulamentul UE privind IA în temeiul Art. 43. Obligațiile de supraveghere post-comercializare prevăzute de ambele cadre trebuie integrate într-un sistem unic de urmărire clinică și monitorizare a performanței.
Annex III Categoria 5(a) — Accesul la Servicii Esențiale de Sănătate
Dincolo de calea dispozitivelor medicale, Annex III, punctul 5(a) din Regulamentul UE privind IA clasifică separat ca prezentând risc ridicat sistemele AI utilizate pentru a determina accesul la servicii publice esențiale, inclusiv la serviciile de sănătate. Un sistem AI care determină dacă un pacient este eligibil pentru un tratament rambursat, este inclus pe o listă de așteptare pentru transplant sau este eligibil pentru un studiu clinic prezintă risc ridicat în temeiul acestei dispoziții, chiar dacă nu este integrat într-un dispozitiv medical.
Obligațiile Furnizorilor față de Obligațiile Operatorilor în Sectorul Sănătății
Obligațiile Furnizorilor
Organizațiile care dezvoltă, introduc pe piață sau pun în serviciu un sistem AI de sănătate cu risc ridicat în calitate de furnizori în temeiul Art. 16 trebuie să:
- Stabilească și implementeze un sistem de management al calității (QMS) în temeiul Art. 17, care să acopere controalele de proiectare, managementul riscului aliniat la ISO 14971 (armonizat pentru MDR) și procedurile de monitorizare post-comercializare.
- Elaboreze documentația tehnică în temeiul Annex IV, incluzând scopul preconizat, dosarul de management al riscului, descrierile seturilor de date de antrenament, rezultatele validării și testării, precum și planul de monitorizare post-comercializare.
- Înregistreze sistemul în baza de date UE înainte de introducerea pe piață (Art. 49).
- Asigure că sistemul poartă marcajul CE și furnizeze o Declarație UE de conformitate.
- Desemneze un reprezentant autorizat în UE dacă sunt stabiliți în afara UE.
- Păstreze documentația tehnică și jurnalele timp de 10 ani de la introducerea pe piață (Art. 18).
Obligațiile Operatorilor
Spitalele, clinicile, rețelele de farmacii și alte instituții de sănătate care acționează ca operatori ai unor sisteme AI de risc ridicat ale unor terți au obligații în temeiul Art. 26 care sunt independente de conformitatea furnizorului:
- Implementeze sistemul în sfera instrucțiunilor de utilizare ale furnizorului — orice utilizare în afara acestei sfere poate reclasifica instituția drept furnizor.
- Atribuie responsabilități de supraveghere umană personalului cu competența, autoritatea și instrumentele necesare pentru a monitoriza și interveni în funcționarea sistemului.
- Păstreze jurnalele operaționale pentru cel puțin șase luni, sau mai mult acolo unde legislația sectorială aplicabilă (vigilența MDR, legislația privind păstrarea documentelor medicale) impune aceasta.
- Raporteze prompt furnizorului incidentele grave sau defecțiunile și, în cazul în care siguranța pacienților este implicată, autorităților de sănătate relevante în temeiul procedurilor de vigilență prevăzute de MDR Art. 87.
- Efectueze evaluări ale impactului asupra drepturilor fundamentale (FRIA) în temeiul Art. 27 în cazul în care sistemul AI este utilizat pentru a lua sau a asista decizii care afectează pacienți individuali la scară largă.
Interacțiunea cu MDR, IVDR și GDPR
MDR și IVDR: Regimul Dublei Evaluări de Conformitate
Art. 6(1) din Regulamentul UE privind IA, coroborat cu Annex I, stabilește calea componentei de siguranță. Acolo unde un sistem AI este o componentă de siguranță a unui produs reglementat în temeiul MDR sau IVDR, evaluarea de conformitate prevăzută de Regulamentul UE privind IA trebuie integrată în procedura MDR/IVDR existentă. Art. 8(1) din Regulamentul UE privind IA acordă prioritate normelor sectoriale specifice MDR/IVDR acolo unde acestea impun obligații echivalente sau mai stricte, dar nu elimină obligațiile prevăzute de Regulamentul privind IA — ajustează procedura, nu cerința.
Pentru dispozitivele medicale de Clasa IIb și Clasa III cu AI integrat, o evaluare de către un organism notificat în temeiul MDR Annex IX (managementul calității) sau Annex X (examinarea de tip) este obligatorie. Același organism notificat, dacă este desemnat în temeiul Regulamentului privind IA, poate efectua evaluarea de conformitate prevăzută de acesta ca parte a unei proceduri integrate. Pentru SaMD (software ca dispozitiv medical) de Clasa I, producătorii trebuie să evalueze independent dacă sistemul AI se califică ca prezentând risc ridicat în temeiul Regulamentului privind IA pe alte temeiuri decât Art. 6(1).
GDPR Art. 9 și Datele de Antrenament
Datele de sănătate utilizate pentru a antrena, valida sau testa modele AI constituie date de categorie specială în temeiul GDPR Art. 9(1). Prelucrarea este interzisă în absența uneia dintre derogările prevăzute la Art. 9(2), cel mai relevant:
- Art. 9(2)(a): consimțământul explicit al persoanei vizate
- Art. 9(2)(h): prelucrarea necesară în scopul diagnosticului medical sau al furnizării asistenței medicale, sub rezerva secretului profesional
- Art. 9(2)(j): cercetarea științifică, sub rezerva garanțiilor prevăzute de Art. 89
Obligațiile de guvernanță a datelor prevăzute de Art. 10 din Regulamentul UE privind IA — care impun documentarea originii, metodelor de colectare, reprezentativității și limitărilor cunoscute ale seturilor de date — trebuie satisfăcute în mod coerent cu baza juridică GDPR aplicabilă. Utilizarea retrospectivă a seturilor de date clinice fără consimțământ explicit necesită o derogare pentru cercetare și, de regulă, aprobarea unui comitet de etică în temeiul Regulamentului privind Studiile Clinice sau al legislației naționale aplicabile privind cercetarea.
Integrarea Supravegherii Post-Comercializare
Atât MDR (Art. 83, Urmărirea Clinică Post-Comercializare) cât și Regulamentul UE privind IA (Art. 72, monitorizarea post-comercializare) impun colectarea și analiza continuă a datelor privind performanța în condiții reale. Acolo unde ambele se aplică, un sistem unic integrat de supraveghere post-comercializare poate satisface ambele cadre, cu condiția să capteze punctele de date impuse de fiecare — inclusiv cerințele MDR privind dovezile clinice și cerințele Regulamentului privind IA referitoare la jurnalizarea automată a funcționării sistemelor AI.
Autorități de Supraveghere
Agenția Europeană pentru Medicamente și Agențiile Naționale pentru Medicamente
Agenția Europeană pentru Medicamente (EMA) nu are un rol direct de aplicare în temeiul Regulamentului UE privind IA pentru sistemele AI care nu sunt produse medicinale, însă orientările sale privind AI în dezvoltarea de produse medicinale și farmacovigilența sunt relevante pentru companiile din sectorul științelor vieții. Agențiile naționale pentru medicamente — inclusiv ANSM (Franța), BfArM (Germania) și echivalentele acestora — exercită autoritatea de supraveghere a pieței în temeiul MDR și IVDR și pot investiga sistemele AI integrate în dispozitive medicale ca parte a mandatului lor de supraveghere post-comercializare.
Organismele Notificate
Pentru sistemele AI cu risc ridicat care sunt componente de siguranță ale dispozitivelor medicale, organismele notificate desemnate în temeiul MDR/IVDR și, separat sau în comun, în temeiul Regulamentului UE privind IA efectuează evaluările de conformitate. Certificatele acestora sunt o condiție prealabilă pentru marcajul CE. Organismele notificate pot suspenda sau retrage certificatele în cazul în care supravegherea post-comercializare relevă neconformități.
Autoritățile Naționale de Supraveghere a Sistemelor AI
Fiecare stat membru al UE a desemnat sau este în curs de a desemna o autoritate națională de supraveghere a sistemelor AI (autoritate competentă în temeiul Art. 70 din Regulamentul UE privind IA). În sectorul sănătății, coordonarea dintre autoritatea de supraveghere a sistemelor AI și agenția națională pentru medicamente este necesară acolo unde jurisdicțiile se suprapun. Autoritatea de supraveghere a sistemelor AI are competența de a solicita documentație, de a efectua audituri, de a impune măsuri corective și de a sesiza cazurile în vederea aplicării de sancțiuni financiare.
Foaie de Parcurs pentru Conformitate — Priorități pentru Sistemele AI în Sănătate
Etapa 1: Clasificarea și Evaluarea Domeniului de Aplicare
Cartografiați toate sistemele AI în curs de dezvoltare sau implementare în raport cu Art. 6(1) (componentă de siguranță a unui dispozitiv medical) și Annex III, punctul 5(a) (accesul la servicii esențiale). Documentați scopul preconizat al fiecărui sistem cu suficientă precizie pentru a susține deciziile de clasificare atât în temeiul Regulamentului privind IA, cât și al MDR/IVDR. Angajați consilieri juridici specializați în reglementare pentru a evalua instrumentele CDS de frontieră.
Etapa 2: Planificarea Dublei Evaluări de Conformitate
Pentru fiecare sistem AI cu risc ridicat care este totodată un dispozitiv medical, identificați calea de evaluare a conformității MDR/IVDR aplicabilă și determinați dacă organismul notificat desemnat este de asemenea acreditat în temeiul Regulamentului UE privind IA. Planificați evaluarea de conformitate ca procedură integrată ori de câte ori este posibil, pentru a reduce duplicarea.
Etapa 3: Guvernanța Datelor și Alinierea la GDPR
Auditați seturile de date de antrenament și validare pentru sistemele AI în sănătate. Documentați bazele juridice în temeiul GDPR Art. 9(2) pentru toate datele de sănătate utilizate în dezvoltarea modelelor. Stabiliți proceduri de guvernanță a datelor în temeiul Art. 10 din Regulamentul UE privind IA și asigurați-vă că acestea sunt reflectate în documentația tehnică impusă de Annex IV.
Etapa 4: Protocoale de Supraveghere Umană
Proiectați și implementați mecanisme de supraveghere umană în temeiul Art. 14 pentru fiecare implementare a unui sistem AI cu risc ridicat. Supravegherea trebuie să fie operațional realistă: necesită personal instruit, mecanisme de intervenție accesibile și integrare în fluxul de lucru — nu o bifă formală. Pentru situațiile de urgență cu presiune temporală, proiectarea supravegherii necesită o atenție deosebită.
Etapa 5: Integrarea Supravegherii Post-Comercializare
Proiectați un sistem de supraveghere post-comercializare care să satisfacă atât cerințele MDR Annex III (PMCF), cât și cerințele Art. 72 din Regulamentul UE privind IA. Stabiliți proceduri de raportare a incidentelor care să fie aliniate la termenele de vigilență MDR (Art. 87: incidentele grave raportate în termen de 15 zile) și la raportarea incidentelor grave prevăzute de Regulamentul privind IA în temeiul Art. 73.
Etapa 6: Diligența Necesară a Operatorilor
Instituțiile de sănătate care achiziționează instrumente AI de diagnosticare sau CDS de la terți ar trebui să solicite furnizorilor Declarația UE de conformitate, instrucțiunile de utilizare și un rezumat al documentației tehnice. Contractele de achiziție ar trebui să specifice obligațiile privind păstrarea jurnalelor, responsabilitățile de raportare a incidentelor și limitele sferei de utilizare permisă, pentru a evita reclasificarea involuntară drept furnizor.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Nu. Evaluările de conformitate MDR și IVDR și evaluările de conformitate prevăzute de Regulamentul UE privind IA sunt obligații juridice distincte care se aplică în paralel. Un sistem AI integrat într-un dispozitiv medical de Clasa IIb trebuie să satisfacă ambele cadre de reglementare în mod independent. Acolo unde un organism notificat este deja implicat în temeiul MDR sau IVDR, acel organism poate fi desemnat și ca organism notificat în temeiul Regulamentului privind IA, permițând o evaluare coordonată, însă respectarea deplină a ambelor cadre rămâne obligatorie.
Nu în mod automat. Clasificarea depinde de funcția și autonomia instrumentului. Dacă sistemul AI înlocuiește sau suprascrie în mod substanțial raționamentul clinic — de exemplu, stabilind în mod autonom un diagnostic sau prescriind un tratament — este mai probabil să se califice ca prezentând risc ridicat în temeiul Annex III sau ca o componentă de siguranță a unui dispozitiv medical în temeiul Art. 6(1). Dacă sistemul doar semnalează sau filtrează informații pentru un clinician care păstrează deplina autoritate decizională, acesta poate fi exclus din definiția riscului ridicat, cu condiția să nu îndeplinească alte criterii din Annex III.
Art. 10 din Regulamentul UE privind IA impune ca seturile de date utilizate pentru antrenament, validare și testare să fie supuse unor practici de guvernanță a datelor care să vizeze originea, metodele de colectare, prejudecățile cunoscute și reprezentativitatea. Pentru sistemele AI în sănătate, această obligație se intersectează cu Art. 9 din GDPR, care clasifică datele de sănătate ca date de categorie specială și impune o bază juridică explicită — de regulă consimțământul explicit sau o derogare în temeiul Art. 9(2)(h) sau (j) — pentru prelucrare. Furnizorii trebuie să documenteze compoziția seturilor de date în documentația tehnică impusă de Annex IV și să demonstreze că datele de antrenament nu introduc prejudecăți sistematice care ar putea compromite acuratețea diagnostică pentru subpopulații de pacienți.
Spitalele care acționează ca operatori de sisteme AI cu risc ridicat în temeiul Art. 26 trebuie să: verifice că sistemul AI poartă marcajul CE și dispune de o Declarație UE de conformitate; implementeze instrucțiunile de utilizare ale furnizorului; atribuie responsabilități de supraveghere umană personalului clinic calificat; păstreze jurnalele de funcționare a sistemului pentru minimum șase luni; și raporteze incidentele grave sau defecțiunile furnizorului și, în cazul în care siguranța pacienților este afectată, autorităților de sănătate competente în temeiul regulilor de vigilență MDR aplicabile. Operatorii nu pot modifica sistemele AI cu risc ridicat în moduri care le alterează scopul preconizat fără a declanșa obligații de re-evaluare.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.