Skip to content
Confir.
Prueba gratuita
Blog

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Industry Guide2 February 2026· 18 min de lectura

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

La mayoría de los hospitales, clínicas y sistemas de salud que despliegan IA no la construyen: la compran, la licencian o la conectan a flujos de trabajo clínicos existentes. Eso los convierte en responsables del despliegue en virtud del Artículo 26 del Reglamento (UE) 2024/1689. Los responsables del despliegue cargan con obligaciones más ligeras que los proveedores, pero esas obligaciones son reales, documentadas y exigibles. Esta lista de comprobación traza, en orden, los pasos que una organización sanitaria debe dar, desde el primer inventario hasta la vigilancia continua.

Si necesita el enfoque de clasificación de productos —cómo la IA de diagnóstico integrada en un producto sanitario alcanza el marcado CE en virtud del MDR 2017/745— eso vive en la página sobre IA sanitaria y productos sanitarios. Si está construyendo un programa de gobernanza desde cero, empiece por la guía de gobernanza sanitaria. Esta página trata del recorrido operativo: qué hace, en qué orden y frente a qué plazos.

Paso 1 — Inventariar todos los sistemas de IA en uso

No se puede clasificar lo que no se ha encontrado. Las organizaciones sanitarias ejecutan habitualmente IA que no han catalogado formalmente: ayuda a la decisión radiológica integrada en el PACS, modelos de estratificación de riesgos incorporados en la historia clínica electrónica, herramientas de programación de triaje adquiridas por un servicio sin intervención del departamento central de TI.

Empiece con un ejercicio de descubrimiento estructurado a través de los sistemas clínicos, operativos y administrativos. Para cada sistema, documente el proveedor, la finalidad prevista, la población de pacientes a la que afecta, si los resultados alimentan decisiones clínicas y si el proveedor ha compartido un marcado CE o una declaración de conformidad. Ningún sistema es demasiado menor como para no registrarlo: el filtro del Artículo 6, apartado 3 (véase el Paso 2), eliminará las entradas de bajo riesgo; no puede aplicarlo a sistemas que no sabe que existen.

El registro de IA de Confir le permite añadir cada sistema en lenguaje sencillo y almacena las respuestas de admisión que impulsan la clasificación. Basado en reglas, determinista: las mismas entradas producen la misma clasificación cada vez.

Paso 2 — Clasificar cada sistema: dos vías hacia el alto riesgo

En virtud del Artículo 6, un sistema de IA sanitaria alcanza la condición de alto riesgo por una de dos vías.

Vía A — Componente de seguridad de un producto del Anexo I (art. 6, apdo. 1)

Si la IA es un componente de seguridad de un producto sanitario regulado por el MDR 2017/745 o el IVDR 2017/746, es de alto riesgo por definición. La evaluación de la conformidad se realiza junto con el proceso MDR/IVDR y el plazo es el 2 de agosto de 2028. Ejemplos: un algoritmo de análisis de imagen de TC que señala nódulos pulmonares e integrado en el software del escáner; un algoritmo de diagnóstico in vitro que interpreta datos de biomarcadores. Para la mayoría de los hospitales que despliegan, estos sistemas llegan con la documentación de conformidad MDR ya en mano; su obligación es verificarla (Paso 3).

Vía B — Sistema autónomo enumerado en el Anexo III

La IA clínica autónoma que no está integrada en un producto regulado alcanza la condición de alto riesgo a través del Anexo III. Dos puntos son directamente relevantes en sanidad:

  • Anexo III, punto 5, letra a): IA utilizada en el envío de servicios de emergencia —sistemas que determinan la prioridad o urgencia de las llamadas, hacen triaje de pacientes hacia recursos de emergencia o asignan respuestas de ambulancia—. Plazo: 2 de diciembre de 2027.
  • Anexo III, punto 5, letra c): IA utilizada en la evaluación de riesgos y la fijación de precios en los seguros de salud y de vida, si su organización opera una aseguradora cautiva o se integra directamente con la admisibilidad a seguros de salud. Plazo: 2 de diciembre de 2027.

Las herramientas de IA de diagnóstico —la IA que ayuda a un facultativo a leer una imagen, detectar una puntuación de riesgo de sepsis o predecir un evento de deterioro— normalmente alcanzan la condición de alto riesgo por la Vía A (la vía del producto MDR/IVDR), no por el Anexo III. No dé por sentado que el punto 5 del Anexo III cubre toda la ayuda a la decisión clínica. La clasificación de productos sanitarios es la columna vertebral del cumplimiento de la IA clínica; el Anexo III recoge las lagunas.

El filtro del art. 6, apdo. 3

Un sistema que entra dentro de una categoría del Anexo III sigue sin ser de alto riesgo si no plantea un riesgo significativo de perjuicio: por ejemplo, si desempeña una tarea procedimental limitada, sustenta una evaluación humana previamente realizada sin influir en ella, o solo realiza un trabajo preparatorio. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sea cual sea el caso. Si aplica el filtro del art. 6, apdo. 3, documente la evaluación y registre el resultado en virtud del Artículo 49.

Paso 3 — Confirmar la conformidad del proveedor para cada sistema de alto riesgo

Como responsable del despliegue, usted no realiza la evaluación de la conformidad: la realiza el proveedor. Su obligación en virtud del Artículo 26 es utilizar la IA de alto riesgo únicamente de acuerdo con las instrucciones de uso facilitadas en virtud del Artículo 13, y verificar que el proveedor ha completado los pasos de conformidad exigidos.

En la práctica, eso significa solicitar y revisar:

  • La declaración UE de conformidad (Artículo 47 / Anexo V), que confirma que el proveedor ha completado la evaluación de la conformidad del Artículo 43.
  • La documentación técnica del Anexo IV —o el resumen pertinente para los responsables del despliegue, según exige el art. 13—.
  • El marcado CE para cualquier sistema por la vía del producto del Anexo I.
  • El registro en la base de datos de la UE en virtud del Artículo 49, que puede cotejar a través de la base de datos pública de IA de la UE (el Artículo 71 establece la base de datos).

Elabore un expediente de conformidad del proveedor para cada sistema de alto riesgo. Pida a su equipo de compras que convierta la documentación de conformidad en una condición contractual de suministro antes de aprobar un nuevo sistema de IA clínica.

Paso 4 — Establecer la supervisión humana de la IA clínica (Artículo 14)

El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen y desplieguen de modo que la supervisión humana sea posible a lo largo de todo su uso. Como responsable del despliegue, su obligación es garantizar que las medidas de supervisión previstas por el proveedor estén realmente en marcha, y asignar la supervisión a personas concretas y competentes.

Para la IA clínica esto tiene implicaciones operativas concretas:

  • Los facultativos que actúan sobre los resultados de la IA (radiólogos que revisan hallazgos señalados por la IA, médicos de urgencias que actúan sobre recomendaciones de triaje de la IA) deben comprender las limitaciones del sistema, incluido su rendimiento en distintas poblaciones de pacientes.
  • La organización debe definir qué decisiones requieren una revisión humana obligatoria antes de actuar, y documentar ese flujo de trabajo.
  • Debe existir un mecanismo para que un facultativo anule o haga caso omiso del resultado de la IA sin penalización ni demora. El Artículo 14, apartado 4, letra d) exige específicamente que los operadores puedan optar por no utilizar el sistema o anularlo.
  • El personal nuevo que utilice un sistema de IA de alto riesgo necesita una orientación documentada sobre su uso previsto y sus modos de fallo conocidos.

El Artículo 4 (alfabetización en materia de IA, en vigor desde el 2 de febrero de 2025) ya exige que las organizaciones garanticen que el personal que utiliza IA cuente con competencias y conocimientos adecuados. La base de alfabetización y el mandato de supervisión del art. 14 se solapan en entornos clínicos. Trátelos conjuntamente.

Paso 5 — Gobernar los datos sanitarios con arreglo al artículo 9 del RGPD

La IA clínica opera casi por completo sobre datos de categorías especiales. Los datos de salud, los datos genéticos y los datos biométricos utilizados para identificar de forma unívoca a una persona son datos del artículo 9 del RGPD. Tratarlos lícitamente requiere una de las condiciones del artículo 9, apartado 2, del RGPD —lo más habitual, el consentimiento explícito (9, apdo. 2, letra a)) o el tratamiento necesario para la prestación de asistencia sanitaria con arreglo al Derecho nacional (9, apdo. 2, letra h))—.

La Ley de IA de la UE y el RGPD son reglamentos distintos, pero las obligaciones se acumulan. Ejecutar un sistema de IA de alto riesgo sobre historias clínicas sin una base clara del artículo 9 del RGPD es simultáneamente una laguna de cumplimiento de la Ley de IA y una infracción de protección de datos. Coordínese con su delegado de protección de datos antes de que cualquier sistema de alto riesgo entre en funcionamiento. En concreto:

  • Confirme la base del artículo 9, apartado 2, para el tratamiento.
  • Evalúe si se requiere una evaluación de impacto relativa a la protección de datos (EIPD) en virtud del artículo 35 del RGPD (tratamiento que probablemente entrañe un alto riesgo para las personas físicas, incluido el tratamiento a gran escala de datos de salud).
  • Compruebe las restricciones de minimización de datos y limitación de la finalidad: el entrenamiento de IA con datos de pacientes identificables para una finalidad que vaya más allá de la atención directa generalmente requiere una base jurídica independiente.

Si su organización ya ha realizado una EIPD del RGPD para un sistema de IA, el Artículo 27, apartado 4, de la Ley de IA permite que la evaluación de impacto relativa a los derechos fundamentales (EIDF) se base en ella. La EIDF del Artículo 27 se aplica a los responsables del despliegue de determinadas categorías —principalmente los responsables del despliegue que son organismos públicos y los responsables del despliegue de sistemas de seguros de salud o de vida en virtud del Anexo III, punto 5, letra c)—. La mayoría de los hospitales que despliegan IA clínica están exentos del requisito de EIDF salvo que sean organismos públicos o ejecuten IA de fijación de precios de seguros.

Paso 6 — Conservar registros (Artículo 26)

Los responsables del despliegue de sistemas de IA de alto riesgo deben conservar los registros generados automáticamente por el sistema durante un mínimo de seis meses en virtud del Artículo 26. Para la IA clínica, esto significa que los resultados del sistema —las puntuaciones, marcas, recomendaciones o alertas que generó— deben conservarse durante ese período y ser recuperables.

En la práctica, los registros de los sistemas de IA integrados en flujos de trabajo de historia clínica electrónica o PACS pueden almacenarse automáticamente en el sistema de historia clínica. Confirme que los registros cumplen el requisito mínimo de conservación, que son atribuibles al sistema de IA concreto y que son accesibles si una autoridad de vigilancia del mercado o un paciente los solicita.

La conservación de registros durante diez años se aplica a la documentación técnica que mantienen los proveedores en virtud del Artículo 18: esa es una obligación del proveedor, no del responsable del despliegue.

Paso 7 — Establecer la notificación de incidentes (Artículo 73 + vigilancia MDR)

Los proveedores cargan con el deber formal, en virtud del Artículo 73, de notificar los incidentes graves —definidos en el Artículo 3, apartado 49, como incidentes que han causado o podrían haber causado la muerte de un paciente o un deterioro grave de la salud— a la autoridad de vigilancia del mercado pertinente. Los plazos son breves: 15 días desde el conocimiento (art. 73, apdo. 2), 2 días para perjuicios generalizados o graves e irreversibles (art. 73, apdo. 3), 10 días cuando una persona ha fallecido (art. 73, apdo. 4).

Como responsable del despliegue, su obligación es operativa: el Artículo 26 exige que vigile el rendimiento del sistema de IA, identifique incidentes graves o riesgos y notifique al proveedor de inmediato. El proveedor se encarga entonces del informe formal a las autoridades. En la práctica, incorpore este deber de notificación a sus contratos con los proveedores de IA: necesita un contacto nombrado y un ANS de respuesta.

Para la IA integrada en un producto sanitario, la cadena de notificación de incidentes discurre en paralelo por el sistema de vigilancia MDR/IVDR. Un fallo de funcionamiento en un producto con IA que provoca un perjuicio al paciente activa tanto la vía de notificación de la Ley de IA como la notificación de incidentes graves del Artículo 87 del MDR a la autoridad nacional competente pertinente. Redacte un único procedimiento conjunto de escalado que satisfaga ambos requisitos en lugar de ejecutar dos flujos de trabajo separados.

Paso 8 — Establecer una vigilancia poscomercialización continua

El reloj del cumplimiento no se detiene en la puesta en marcha. El Artículo 26 exige que los responsables del despliegue vigilen el funcionamiento de los sistemas de IA de alto riesgo sobre la base de las instrucciones de uso y notifiquen al proveedor cualquier anomalía o comportamiento inesperado.

Defina, como mínimo, tres controles operativos antes del despliegue:

  1. Cadencia de revisión del rendimiento: programe una revisión trimestral de los resultados del sistema frente a referencias clínicas. El rendimiento de los modelos de IA puede degradarse cuando la población de pacientes del mundo real se aparta de la población de entrenamiento, un riesgo especialmente relevante en contextos pospandémicos o de reestructuración.
  2. Vía de escalado de anomalías: designe a un responsable de IA clínica que reciba los informes del personal y se encargue de escalar al proveedor y, si es grave, al proceso interno de incidentes descrito en el Paso 7.
  3. Revalidación periódica: cuando el proveedor actualice el sistema, exija datos de rendimiento actualizados. Una modificación sustancial por parte del proveedor puede activar una nueva evaluación de la conformidad del lado del proveedor; usted necesita saber cuándo ha ocurrido eso.

La exposición sancionadora es real

La sanidad no está exenta del Artículo 99. El incumplimiento de las obligaciones del responsable del despliegue de alto riesgo —incluidos los deberes de uso, vigilancia y registro del Artículo 26— entra en el Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Un hospital comarcal con un volumen de negocios anual de 80 millones de euros tiene una exposición máxima de 2,4 millones de euros en el tramo porcentual.

El marco sancionador está activo desde el 2 de agosto de 2025. Lo que cambia en los plazos de 2027/2028 es la aplicación obligatoria de las obligaciones sustantivas de alto riesgo; la maquinaria de ejecución ya está en marcha.

Cómo ayuda Confir

La lógica de clasificación de Confir funciona del mismo modo para un hospital responsable del despliegue que para un proveedor SaaS. Responda preguntas en lenguaje sencillo sobre cada sistema de IA; el motor basado en reglas deriva el nivel de riesgo, la vía (producto del Anexo I o Anexo III), el plazo aplicable y el conjunto de obligaciones del responsable del despliegue. Para cada sistema de alto riesgo, la evaluación estructurada (módulo AIGM: artículos 9, 72, 73; módulo AITO: artículos 13, 14, 27) le guía por los elementos de la lista de comprobación de los Pasos 4 a 8 y genera un registro auditable de lo que ha confirmado.

Un fideicomiso del NHS de tamaño medio o una Klinik alemana que ejecuten entre cinco y quince sistemas de IA clínica pueden completar la clasificación inicial en menos de dos horas. Sin consultores, sin una implantación de seis meses.

Preguntas frecuentes

¿Es un hospital un proveedor o un responsable del despliegue en virtud de la Ley de IA de la UE?

Depende de lo que el hospital haga con la IA. Un hospital que licencia o adquiere un sistema de IA de un proveedor externo y lo utiliza en operaciones clínicas es un responsable del despliegue en virtud del Artículo 26. Un hospital que construye su propia IA de diagnóstico y la pone en servicio bajo su propio nombre se convierte en proveedor en virtud del Artículo 16, heredando el conjunto completo de obligaciones (Artículos 9 a 15, 17, 43, 47, 49, 72, 73). La mayoría de las organizaciones sanitarias son responsables del despliegue; las obligaciones son reales, pero más ligeras que la pila del proveedor.

¿Qué sistemas de IA clínica son realmente de alto riesgo en virtud de la Ley de IA de la UE?

Las dos vías principales: (1) la IA que es un componente de seguridad de un producto sanitario regulado por el MDR 2017/745 o el IVDR 2017/746 es de alto riesgo a través del Artículo 6, apartado 1, con plazo el 2 de agosto de 2028. (2) La IA autónoma utilizada en el envío de servicios de emergencia (Anexo III, punto 5, letra a)) o en la evaluación de riesgos de seguros de salud o de vida (punto 5, letra c)) es de alto riesgo a través del Anexo III, con plazo el 2 de diciembre de 2027. Las herramientas generales de ayuda a la decisión clínica no integradas en un producto regulado a menudo alcanzan la condición de alto riesgo solo por la vía (1). El filtro del Artículo 6, apartado 3, puede sacar un sistema del alto riesgo si no plantea un riesgo significativo de perjuicio y no elabora perfiles de personas físicas, pero esa conclusión debe documentarse.

¿Qué debe comprobar realmente un hospital cuando un proveedor afirma que su IA cumple?

Solicite la declaración UE de conformidad del Artículo 47 (formato del Anexo V), confirme que hace referencia a una evaluación de la conformidad del Artículo 43 completada, compruebe que el sistema está registrado en la base de datos de la UE en virtud del Artículo 49, y verifique que las instrucciones de uso del Artículo 13 están en una lengua utilizable por su personal clínico. Para la IA por la vía del producto, compruebe el marcado CE y la documentación de conformidad MDR/IVDR. Incorpore al contrato de suministro la obligación de facilitar documentación actualizada.

¿Exige la Ley de IA de la UE que los hospitales realicen una evaluación de impacto relativa a los derechos fundamentales?

El Artículo 27 exige una EIDF a los responsables del despliegue que son organismos públicos, o a los responsables del despliegue que utilizan IA de solvencia del Anexo III, punto 5, letra b), o IA de seguros de salud o de vida del Anexo III, punto 5, letra c). Un hospital privado que despliega IA de ayuda a la decisión clínica por la vía del producto generalmente no está obligado a realizar una EIDF. Un hospital público o un fideicomiso del NHS que despliega IA que entra en el punto 5, letra a) (envío de servicios de emergencia) o que se considera organismo público para otros fines de alto riesgo debe evaluar la aplicabilidad del Artículo 27 con asesoramiento jurídico. La EIDF puede basarse en una EIPD del RGPD existente en virtud del Artículo 27, apartado 4.

¿Cuándo se aplican las obligaciones de alto riesgo a la IA sanitaria?

Las obligaciones sustantivas de alto riesgo se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III (envío de servicios de emergencia, seguros de salud) y a partir del 2 de agosto de 2028 para la IA integrada en productos sanitarios regulados del Anexo I. El Artículo 4 (alfabetización en materia de IA) se aplica desde el 2 de febrero de 2025. Las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025, por lo que la facultad de ejecución existe ya, aunque el conjunto completo de obligaciones de alto riesgo se active más tarde. Empezar ahora la lista de comprobación del responsable del despliegue no es una precaución; es operativamente necesario dados los plazos de preparación de la documentación y de verificación de proveedores.

¿Cuáles son las obligaciones de registro para los hospitales responsables del despliegue?

El Artículo 26 exige que los responsables del despliegue conserven los registros generados automáticamente por el sistema de IA de alto riesgo durante al menos seis meses. La obligación de conservar la documentación durante diez años en virtud del Artículo 18 recae en los proveedores, no en los responsables del despliegue. Confirme con cada proveedor qué registros genera el sistema, si se almacenan en su historia clínica electrónica o PACS, y que cumplen el mínimo de seis meses y son atribuibles al sistema concreto.

¿Cómo funciona la notificación de incidentes cuando un sistema de IA clínica causa un perjuicio al paciente?

El proveedor ostenta el deber del Artículo 73 de notificar los incidentes graves a la autoridad de vigilancia del mercado: en un plazo de 15 días desde el conocimiento, 2 días para perjuicios generalizados o irreversibles (art. 73, apdo. 3), 10 días cuando una persona ha fallecido (art. 73, apdo. 4). Como responsable del despliegue, debe notificar al proveedor de inmediato cuando tenga conocimiento de un incidente grave o fallo de funcionamiento. Para la IA integrada en un producto sanitario, la notificación de vigilancia MDR/IVDR discurre en paralelo; redacte un único procedimiento conjunto de escalado para evitar lagunas entre los dos regímenes.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.

Industry Guide

Gobernanza de la Ley de IA de la UE para organizaciones sanitarias

Gobernanza de la Ley de IA de la UE para la sanidad: clasifique la IA clínica con arreglo al artículo 6, cumpla las obligaciones del responsable del despliegue y realice la EIDF. Plazo del Anexo III: 2 de diciembre de 2027.