Skip to content
Confir.
Prueba gratuita
Blog

Gobernanza de la Ley de IA de la UE para organizaciones sanitarias

Industry Guide27 January 2026· 20 min de lectura

Gobernanza de la Ley de IA de la UE para la sanidad: clasifique la IA clínica con arreglo al artículo 6, cumpla las obligaciones del responsable del despliegue y realice la EIDF. Plazo del Anexo III: 2 de diciembre de 2027.

La mayoría de los hospitales ya cargan con una formidable pila de cumplimiento: MDR, IVDR, RGPD, gobernanza clínica y regímenes nacionales de autorización. La Ley de IA de la UE (Reglamento (UE) 2024/1689) no sustituye nada de eso. Añade una capa por encima, y la habilidad crítica para los equipos de cumplimiento sanitario es saber exactamente dónde se acopla la nueva capa y qué exige.

Esta guía adopta el enfoque del programa de gobernanza: cómo un hospital, un sistema de salud o un proveedor de salud digital construye los procesos internos para clasificar sus sistemas de IA, asignar responsabilidades, generar pruebas y sostener la supervisión a lo largo del tiempo. Si necesita el análisis detallado de cómo se clasifica un producto concreto de diagnóstico por imagen médica con arreglo al MDR y al Reglamento, eso se trata por separado en nuestra guía de clasificación de la IA de diagnóstico por imagen médica. El enlace cruzado desde esa página hacia aquí es intencionado: la clasificación es el punto de partida; la gobernanza es el trabajo continuado.

Dos vías hacia el alto riesgo en la sanidad

El Reglamento alcanza la IA sanitaria a través de dos mecanismos distintos del artículo 6. Equivocarse con el mecanismo importa, porque cada uno conlleva un plazo diferente, una vía de evaluación de la conformidad diferente y requisitos de integración diferentes.

Vía 1 — Artículo 6, apartado 1 + Anexo I: IA integrada en productos sanitarios

Un sistema de IA es automáticamente de alto riesgo cuando funciona como componente de seguridad de un producto cubierto por la legislación de armonización de la Unión enumerada en el Anexo I —que incluye el MDR (UE) 2017/745 y el IVDR (UE) 2017/746— y ese producto requiere una evaluación de la conformidad por terceros realizada por un organismo notificado. La IA de diagnóstico por imagen, las herramientas de planificación quirúrgica asistida por IA y los algoritmos de interpretación de diagnóstico in vitro que llevan el marcado CE con arreglo a las clases IIb o III del MDR, o a las clases C o D del IVDR, entran aquí. El plazo de cumplimiento es el 2 de agosto de 2028 en virtud del Ómnibus Digital acordado en mayo de 2026.

De manera crítica, los requisitos de la Ley de IA de la UE para estos sistemas no se evalúan por separado de la certificación MDR/IVDR. Se integran en la evaluación de la conformidad por organismo notificado existente. El proveedor de tecnología médica no empieza de cero; amplía su expediente técnico, su sistema de gestión de la calidad (artículo 17) y su documentación de gestión de riesgos para cubrir las obligaciones específicas de la Ley de IA junto a los requisitos del MDR/IVDR. El organismo notificado que revise el producto revisará la conformidad con la Ley de IA en la misma evaluación.

Vía 2 — Artículo 6, apartado 2 + Anexo III: determinados usos sanitarios no relacionados con productos

El Anexo III, punto 5, enumera como de alto riesgo «los sistemas de IA destinados a utilizarse para el envío de servicios de primera intervención en emergencias o para establecer prioridades en dicho envío». En la práctica, esto cubre las herramientas de triaje por IA que determinan si un paciente que llega a un servicio de urgencias es atendido en minutos o en horas, y los sistemas de envío por IA utilizados por los servicios de emergencia. Estos no son productos sanitarios en el sentido del MDR —no diagnostican ni tratan—, pero toman decisiones trascendentales de acceso a la asistencia.

Otras categorías del Anexo III también pueden alcanzar la IA sanitaria: los sistemas biométricos (punto 1) utilizados en la identificación de pacientes o en la prevención del fraude en ensayos clínicos; la IA de empleo y gestión de los trabajadores (punto 4) utilizada para vigilar el rendimiento del personal clínico o asignar los partes quirúrgicos; y el Anexo III, punto 5, de forma más amplia, cuando el Reglamento alcanza los sistemas de admisibilidad a los seguros y a las prestaciones sanitarias.

Los sistemas del Anexo III afrontan el plazo del 2 de diciembre de 2027 (IA autónoma, no integrada en un producto). Utilizan la vía estándar de evaluación de la conformidad del artículo 43 —generalmente el control interno del Anexo VI para la mayoría de los sistemas del punto 5—, aunque los sistemas biométricos del punto 1 requieren la vía del organismo notificado del Anexo VII.

El filtro del artículo 6, apartado 3, importa, pero úselo con cuidado

Un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales —por ejemplo, porque desempeña una tarea procedimental estrecha, mejora una evaluación humana previamente realizada sin sustituirla, o solo realiza un trabajo analítico preparatorio—. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de cualquier otro argumento. Los proveedores sanitarios que quieran reclamar esta exención deben documentar la evaluación por escrito antes del despliegue y registrar el sistema con arreglo al artículo 49, apartado 2. «Creemos que es de bajo riesgo» escrito en un mensaje de Slack no cumple el estándar.

El hospital como responsable del despliegue: qué exige realmente el artículo 26

La mayoría de los hospitales, sistemas de salud y operadores de salud digital que compran IA clínica a proveedores son responsables del despliegue con arreglo al artículo 26, no proveedores. El proveedor es el vendedor que desarrolló e introdujo el sistema en el mercado. Esto importa porque las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero no son triviales y, en la sanidad, la obligación de supervisión humana del artículo 14 resulta especialmente exigente.

Con arreglo al artículo 26, un responsable del despliegue debe:

  • Utilizar el sistema únicamente para la finalidad prevista descrita en las instrucciones de uso, y solo en las condiciones que el proveedor haya especificado (artículo 26).
  • Asignar una supervisión humana cualificada. El personal que vigila los resultados de la IA debe tener la competencia para comprender las limitaciones del sistema y para intervenir. Marcar una casilla con la etiqueta «revisado por un médico» no es suficiente si el médico no tiene formación sobre los modos de fallo del sistema (artículo 26, artículo 14).
  • Vigilar el rendimiento en funcionamiento y, cuando el responsable del despliegue sospeche razonablemente que el sistema no se comporta de conformidad con el Reglamento, notificarlo al proveedor y a la autoridad de vigilancia del mercado pertinente (artículo 26).
  • Conservar registros de las operaciones: el artículo 26 exige a los responsables del despliegue conservar los registros generados automáticamente durante al menos seis meses, cuando dichos registros estén bajo su control.
  • Antes de desplegar IA en un lugar de trabajo que afecte materialmente al personal clínico o administrativo, informar a los representantes de los trabajadores (artículo 26).

Una obligación que pilla por sorpresa a los hospitales: la evaluación de impacto relativa a los derechos fundamentales (EIDF) del artículo 27. El artículo 27 se aplica a los responsables del despliegue que son organismos públicos, y a los responsables del despliegue de sistemas de las categorías de solvencia o de seguros de salud/vida del Anexo III. La mayoría de los hospitales públicos de los Estados miembros de la UE son organismos públicos. Antes de poner en funcionamiento un sistema de IA de alto riesgo, deben realizar una EIDF: una evaluación estructurada del impacto en los derechos fundamentales de las personas a las que afecta el sistema, incluidas las poblaciones de pacientes. La EIDF debe registrarse en la base de datos de la UE con arreglo al artículo 49. En la práctica, este es un ejercicio de varias semanas que la mayoría de los hospitales aún no han incorporado a sus calendarios de contratación.

Si un hospital modifica sustancialmente un sistema de IA clínica, o lo introduce en el mercado con su propio nombre, el artículo 25 lo convierte de responsable del despliegue en proveedor, heredando todo el conjunto de obligaciones del proveedor.

Construir un programa de gobernanza de la IA sanitaria

Un programa de gobernanza no es una auditoría puntual. Es el conjunto de procesos que una organización ejecuta de forma continua para mantener visibilidad, pruebas y control sobre su cartera de IA. Los elementos que figuran a continuación se basan en los requisitos del Reglamento, pero están diseñados para ser viables sin un departamento dedicado de cumplimiento de la IA.

Paso 1: construir el inventario de IA

No se puede clasificar ni gobernar lo que no se ha encontrado. Empiece con un inventario estructurado de todos los sistemas de IA en uso: apoyo a la decisión clínica, herramientas de programación y triaje, automatización de flujos de trabajo administrativos, ayudas diagnósticas, sistemas de vigilancia del personal y cualquier función de IA integrada en el software clínico existente. Incluya los sistemas heredados en producción, los proyectos piloto en ensayos de uso limitado y los sistemas que se están evaluando para su contratación.

El inventario debe registrar, como mínimo: el proveedor y el nombre del producto, la función clínica o administrativa, si se tratan datos de pacientes, la afirmación de clasificación del proveedor y la fecha de la última revisión. Una hoja de cálculo plana sirve al principio. La cuestión es la rendición de cuentas: alguien debe ser responsable de cada entrada.

Paso 2: clasificar cada sistema

Para cada sistema, recorra el artículo 6. Primera pregunta: ¿es esto un sistema de IA tal como lo define el Reglamento —un sistema basado en inferencia, no en reglas deterministas ni en mera búsqueda—? Segunda: ¿entra en el Anexo I (un producto sujeto a los requisitos del MDR/IVDR que requiere revisión por organismo notificado)? En caso afirmativo, es de alto riesgo a través del artículo 6, apartado 1, con plazo el 2 de agosto de 2028. Tercera: ¿entra en una categoría del Anexo III? En caso afirmativo, es presuntamente de alto riesgo a través del artículo 6, apartado 2, con plazo el 2 de diciembre de 2027, salvo que la exención del artículo 6, apartado 3, esté debidamente documentada. Cuarta: ¿entra en una práctica prohibida de riesgo inaceptable del artículo 5 —por ejemplo, la extracción no selectiva de datos faciales de pacientes, o el reconocimiento de emociones utilizado para evaluar el rendimiento del personal—? En caso afirmativo, debe retirarse del uso, ya que las prácticas prohibidas del artículo 5 se aplican desde el 2 de febrero de 2025.

Documente cada decisión de clasificación con una justificación. Los reguladores la pedirán.

Paso 3: validar la calidad de los datos y la representatividad del artículo 10

La documentación técnica del proveedor no siempre cubrirá los requisitos del artículo 10 para su población de pacientes. El artículo 10 exige que los datos de entrenamiento, validación y prueba sean pertinentes, representativos y estén libres de errores conocidos. Una herramienta diagnóstica entrenada predominantemente con cohortes del norte de Europa y desplegada en un sistema de salud mediterráneo puede presentar lagunas de representatividad que afecten al rendimiento en la práctica. Incorpore una lista de comprobación de validación clínica a la contratación: ¿qué poblaciones se utilizaron para el entrenamiento?, ¿cómo se validó el rendimiento entre subgrupos demográficos? y ¿cuáles son los valores de sensibilidad y especificidad en condiciones degradadas?

Esto no es solo higiene regulatoria. Un rendimiento deficiente en un subgrupo de pacientes específico que pasa desapercibido es un riesgo para la seguridad del paciente antes de ser un riesgo de cumplimiento.

Paso 4: diseñar la supervisión clínica con arreglo al artículo 14

El artículo 14 exige que los sistemas de IA de alto riesgo puedan utilizarse de una manera que permita a las personas físicas comprender los resultados, cuestionarlos y anularlos sin fricción. Para los responsables del despliegue, esa obligación recae en el diseño del flujo de trabajo clínico. Documente el protocolo de supervisión para cada sistema de alto riesgo: quién revisa, con qué información y cómo se registran las anulaciones. Incluya la supervisión de la IA en los marcos de competencia clínica: el artículo 4 (alfabetización en materia de IA) se aplica desde el 2 de febrero de 2025.

Un flujo de trabajo de aprobación de mero trámite no satisface el artículo 14. El revisor debe tener la información necesaria para emitir un juicio genuino, no simplemente confirmar lo que dijo el modelo.

Pasos 5 y 6: vigilancia, notificación de incidentes y documentación

Para la IA integrada en productos sanitarios (vía 1), la vigilancia poscomercialización del artículo 72 corre junto a la vigilancia poscomercialización del artículo 83 del MDR. La obligación del MDR y la de la Ley de IA no son idénticas: la Ley de IA exige específicamente el seguimiento de la deriva de exactitud, el rendimiento del modelo frente a la distribución de entrenamiento y el registro de las anulaciones de los médicos y sus motivos. Utilice las estructuras de vigilancia del MDR como columna vertebral y amplíelas con métricas específicas de la IA.

Cuando se produce un incidente grave, el artículo 73 sitúa la obligación principal de notificación sobre el proveedor (normalmente el fabricante del producto), con plazos de 15 días desde que se tiene conocimiento (artículo 73, apartado 2), 2 días en caso de perturbación de infraestructuras críticas (artículo 73, apartado 3) y 10 días cuando se ha producido un fallecimiento (artículo 73, apartado 4). Los hospitales responsables del despliegue deben notificarlo al proveedor con prontitud y cooperar en la investigación.

Mantenga el paquete de pruebas para los reguladores: inventario de IA y justificación de la clasificación; documentación técnica del artículo 11 del proveedor; registros de validación clínica; EIDF del artículo 27 para los responsables del despliegue que sean organismos públicos; protocolos de supervisión y registros de formación; registros de incidentes; y registros de conservación de los logs (mínimo seis meses con arreglo al artículo 26; diez años para la documentación técnica con arreglo al artículo 18).

RGPD y datos de salud: tratamiento de categorías especiales del artículo 9

La IA clínica trata casi invariablemente datos de salud: datos personales de categoría especial con arreglo al artículo 9 del RGPD. La base jurídica en la sanidad suele ser el artículo 9, apartado 2, letra h (tratamiento médico por un profesional) o el artículo 9, apartado 2, letra j (investigación científica). El artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos para el tratamiento de datos de salud a gran escala; la mayoría de los despliegues de IA clínica la activan.

La Ley de IA de la UE no sustituye a la EIPD. Ambas se aplican de forma independiente. Realice la EIPD y la EIDF del artículo 27 juntas —comparten pruebas y calendario—, pero trátelas como obligaciones distintas para audiencias regulatorias distintas.

La exposición sancionadora

El incumplimiento de los requisitos de alto riesgo de la Ley de IA —no implementar la gestión de riesgos del artículo 9, la supervisión humana del artículo 14, las obligaciones del responsable del despliegue del artículo 26 o la EIDF del artículo 27— puede acarrear multas con arreglo al artículo 99, apartado 4, de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para un gran grupo hospitalario o un proveedor de tecnología sanitaria con ingresos sustanciales, el 3 % del volumen de negocios mundial supera la cantidad fija. Las infracciones del artículo 5 (prácticas prohibidas) conllevan un techo superior de 35 000 000 EUR o el 7 %. Para los operadores sanitarios más pequeños, el artículo 99, apartado 6, dispone que las multas se limitan al menor de los dos importes, el porcentaje o la cantidad fija: una protección de proporcionalidad, pero no una exención.

Los plazos significan que la exposición es real a partir del 2 de diciembre de 2027 para los sistemas del Anexo III y del 2 de agosto de 2028 para la IA integrada en productos del Anexo I. La documentación, la revisión de la contratación y la infraestructura de gobernanza necesarias llevan sustancialmente más tiempo del que la mayoría de los equipos esperan. Empezar ahora con el inventario y la clasificación no es prematuro.

Cómo ayuda Confir a las organizaciones sanitarias

Las tareas de gobernanza descritas anteriormente generan una carga de trabajo de cumplimiento sustancial: clasificar decenas de sistemas de IA por dos vías regulatorias, producir pruebas estructuradas para cada uno, realizar evaluaciones EIDF y rastrearlo todo en un registro defendible ante una auditoría.

El motor de clasificación basado en reglas y determinista de Confir guía a los equipos de cumplimiento y de gobernanza clínica a través de las decisiones del artículo 5 y del artículo 6 mediante preguntas de admisión en lenguaje sencillo —las mismas entradas producen la misma clasificación, con la regla que se activó mostrada en forma legible por humanos—. Deriva el rol de la organización (responsable del despliegue, proveedor, o ambos para distintos sistemas) y asigna a cada sistema de alto riesgo su conjunto de obligaciones aplicable, incluido el flujo de trabajo de la EIDF del artículo 27 para los responsables del despliegue que sean organismos públicos.

El resultado incluye un paquete de documentación técnica del artículo 11 / Anexo IV y una declaración UE de conformidad del artículo 47 / Anexo V: listos para auditoría, generados a partir de los mismos datos de admisión, sin necesidad de consultores.

Preguntas frecuentes

¿Es un hospital un proveedor de IA o un responsable del despliegue con arreglo a la Ley de IA de la UE?

En la mayoría de los casos, un hospital es un responsable del despliegue con arreglo al artículo 26: utiliza sistemas de IA clínica desarrollados e introducidos en el mercado por proveedores. El proveedor es el vendedor. Un hospital se convierte en proveedor con arreglo al artículo 25 solo si desarrolla IA internamente y la introduce en el mercado, modifica sustancialmente un sistema de un tercero, o lo reutiliza fuera de la finalidad prevista y estampa en él su propio nombre. La distinción entre responsable del despliegue y proveedor determina el peso de su conjunto de obligaciones; los hospitales que operan como meros responsables del despliegue tienen una lista más corta, pero la EIDF y las obligaciones de supervisión no son opcionales.

¿Qué categorías del Anexo III son más relevantes para la sanidad?

La categoría principal para la IA sanitaria no relacionada con productos es el Anexo III, punto 5, que cubre la IA utilizada para el envío de servicios de primera intervención en emergencias o para establecer prioridades en dicho envío. La biometría (punto 1) alcanza la IA utilizada para la identificación biométrica de pacientes o el reconocimiento de emociones. La gestión del empleo (punto 4) se aplica a la IA que vigila, evalúa o asigna al personal clínico. La fijación de precios y la evaluación de riesgos de los seguros de salud y de vida también entran en el punto 5. Las categorías del Anexo III describen la función del sistema, no el sector que lo despliega: un sistema que determina el acceso de los pacientes a la asistencia es el punto 5 con independencia de que se ejecute en un hospital o en una aplicación de salud.

¿Se aplica la Ley de IA de la UE a los productos sanitarios que ya tenemos con marcado CE?

Sí, pero con el plazo posterior del 2 de agosto de 2028 para la IA integrada en productos MDR/IVDR. Los productos con marcado CE existentes que contienen IA deberán someterse a una evaluación de la conformidad integrada que cubra los requisitos de la Ley de IA de la UE junto al MDR/IVDR. Los organismos notificados están desarrollando sus procedimientos para ello. Si su ciclo actual de certificación MDR/IVDR debe renovarse antes de agosto de 2028, planifique incorporar los elementos de la Ley de IA a esa renovación en lugar de tratarlo como un ejercicio separado.

¿Qué exige la EIDF del artículo 27 para un hospital público?

El artículo 27 exige una evaluación de impacto relativa a los derechos fundamentales antes de que un responsable del despliegue que sea organismo público ponga en servicio un sistema de IA de alto riesgo. La EIDF debe describir el sistema y la duración de su uso, identificar las categorías de personas que probablemente se vean afectadas (incluidos grupos vulnerables como los pacientes de edad avanzada, los pacientes con deterioro cognitivo o los niños), evaluar el impacto probable en los derechos fundamentales de esos grupos y describir las medidas adoptadas para mitigar cualquier efecto adverso. La EIDF completada debe registrarse en la base de datos de la UE con arreglo al artículo 49. La EIDF es independiente de la EIPD del RGPD y no la sustituye, aunque ambas pueden basarse de forma útil en el mismo trabajo de evaluación subyacente.

¿Cómo interactúa la Ley de IA de la UE con el RGPD para la IA clínica?

Son reglamentos independientes que se aplican ambos. El RGPD regula la base de licitud para el tratamiento de datos de salud (datos de categoría especial con arreglo al artículo 9 del RGPD), exige evaluaciones de impacto relativas a la protección de datos para el tratamiento de alto riesgo (artículo 35 del RGPD) y restringe las decisiones significativas exclusivamente automatizadas (artículo 22 del RGPD). La Ley de IA de la UE impone obligaciones de gestión de riesgos, documentación técnica, supervisión humana y vigilancia poscomercialización a los sistemas de IA de alto riesgo con independencia de su situación en materia de protección de datos. Un despliegue de IA clínica que trate datos de salud de pacientes necesitará normalmente tanto una base de licitud conforme con el RGPD y salvaguardias de tratamiento, como la conformidad con la Ley de IA de la UE. Realizar la EIPD y la EIDF de forma concurrente es sensato; tratarlas como un único documento no lo es: tienen bases jurídicas diferentes y audiencias regulatorias diferentes.

¿Cuáles son los plazos, y cambia el Ómnibus Digital algo para la IA sanitaria?

Las prácticas prohibidas del artículo 5 se aplican desde el 2 de febrero de 2025: cualquier sistema de IA que una organización sanitaria esté operando y que entre en una categoría del artículo 5 (extracción biométrica no selectiva, reconocimiento de emociones para evaluar a los pacientes contra su voluntad, o similar) ya debe haberse retirado. Para los sistemas autónomos del Anexo III (IA no relacionada con productos, incluido el triaje de emergencias), la fecha de obligación en virtud del Ómnibus Digital acordado en mayo de 2026 es el 2 de diciembre de 2027. Para la IA integrada en productos sanitarios MDR/IVDR, la fecha de obligación es el 2 de agosto de 2028. El Ómnibus Digital aplazó ambos plazos respecto de la fecha original del 2 de agosto de 2026; utilice las nuevas fechas, no las antiguas.

¿Qué ocurre si el sistema de IA de nuestro proveedor causa un perjuicio a un paciente?

El Reglamento asigna obligaciones regulatorias, no responsabilidad civil (que sigue rigiéndose por el Derecho nacional de responsabilidad extracontractual y los regímenes de responsabilidad por productos del MDR). El proveedor carga con las obligaciones principales de conformidad técnica: gestión de riesgos, documentación, vigilancia poscomercialización. El responsable del despliegue carga con las obligaciones de uso correcto, supervisión y escalado de incidentes. Cuando se produce un mal funcionamiento grave, el proveedor informa a las autoridades de vigilancia del mercado con arreglo al artículo 73; el responsable del despliegue notifica al proveedor y coopera. Si el responsable del despliegue se desvió sustancialmente de las instrucciones de uso, el artículo 25 puede trasladar al responsable del despliegue una responsabilidad regulatoria equivalente a la del proveedor. Los contratos de contratación sanitaria deben asignar estas responsabilidades e indemnizaciones de forma explícita antes de la puesta en marcha.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.