IA de diagnóstico por imagen médica: clasificación de alto riesgo, solapamiento con el MDR y obligaciones de cumplimiento
La IA de diagnóstico por imagen es de alto riesgo a través del Artículo 6, apartado 1, + MDR/IVDR (Anexo I), no del Anexo III. Obligaciones para fabricantes y hospitales. Plazo: 2 de agosto de 2028.
Una TC que señala un nódulo pulmonar. Un algoritmo de RM que segmenta un tumor. Un sistema de mamografía que puntúa la sospecha de una lesión. Los tres son IA —y los tres son también productos sanitarios con arreglo al Derecho de la UE—. Ese solapamiento no es accidental: es la clave para comprender cómo regula la Ley de IA de la UE el software de diagnóstico por imagen, qué obligaciones recaen sobre quién y cuándo se agota el plazo.
Esta guía está dirigida a los fabricantes de IA de imagen (el proveedor con arreglo al Reglamento (UE) 2024/1689) y a los hospitales y consultas de radiología que despliegan estos sistemas (el responsable del despliegue). Ambas funciones conllevan obligaciones. Son obligaciones distintas, y la evaluación de la conformidad recae enteramente del lado del fabricante.
La cuestión de la clasificación: ¿Anexo III o Artículo 6, apartado 1?
La versión original de esta página situaba la IA de diagnóstico por imagen en el Anexo III. Eso era erróneo, y el error importa en la práctica.
El Anexo III enumera ocho categorías de casos de uso de alto riesgo —biometría, empleo, solvencia, envío de servicios de emergencia, etc.—. El diagnóstico por imagen médica no figura en esa lista. Los redactores de la Ley de IA de la UE no necesitaron incluirlo allí, porque ya quedaba comprendido por una vía distinta y más estricta: el Artículo 6, apartado 1, + el Anexo I.
El Artículo 6, apartado 1, convierte en de alto riesgo un sistema de IA cuando se cumplen ambas condiciones:
- El sistema de IA está destinado a utilizarse como componente de seguridad de un producto (o es en sí mismo un producto) cubierto por la legislación de armonización de la Unión enumerada en el Anexo I de la Ley de IA.
- Ese producto debe someterse a una evaluación de la conformidad por terceros antes de poder introducirse en el mercado con arreglo a esa misma legislación del Anexo I.
Ambas condiciones se cumplen para el software de diagnóstico por imagen. El Anexo I de la Ley de IA, en sus puntos 11 y 12, enumera el Reglamento sobre los productos sanitarios —Reglamento (UE) 2017/745 (MDR)— y el Reglamento sobre los productos sanitarios para diagnóstico in vitro —Reglamento (UE) 2017/746 (IVDR)—. El software de diagnóstico por imagen que detecta, diagnostica, supervisa o predice estados patológicos se considera un producto sanitario con arreglo al Artículo 2, apartado 1, del MDR (o un producto de diagnóstico in vitro con arreglo al IVDR cuando el análisis se basa en biomarcadores en muestras corporales). La mayoría de los fabricantes de IA de imagen clasifican sus productos como dispositivos de clase IIa, IIb o III con arreglo al Anexo VIII del MDR, todos los cuales requieren una evaluación de la conformidad por organismo notificado externo con arreglo al Artículo 52 del MDR.
Ambas condiciones quedan, por tanto, satisfechas. El sistema es de alto riesgo con arreglo al Artículo 6, apartado 1, no con arreglo al Artículo 6, apartado 2, / Anexo III.
Por qué importa la distinción
No es una mera nota técnica al pie. De la clasificación correcta se derivan tres consecuencias prácticas.
Plazo. Para los sistemas autónomos del Anexo III, el Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026) fija la fecha de aplicación en el 2 de diciembre de 2027. Para los sistemas del Artículo 6, apartado 1 —IA de alto riesgo integrada en productos sujetos a la legislación del Anexo I—, la fecha es el 2 de agosto de 2028. Los fabricantes de IA de diagnóstico por imagen tienen hasta el 2 de agosto de 2028, no diciembre de 2027. Es una diferencia significativa para un producto que también debe superar la evaluación de la conformidad del MDR.
Integración de la evaluación de la conformidad. Para los sistemas del Anexo III, la evaluación de la conformidad con arreglo a la Ley de IA (Artículo 43) se ejecuta como un proceso distinto, normalmente mediante el procedimiento de control interno del Anexo VI o el procedimiento de SGC por organismo notificado del Anexo VII. Para los sistemas del Artículo 6, apartado 1, el Artículo 43, apartado 3, establece que los requisitos de la Ley de IA se integran en la evaluación de la conformidad por organismo notificado del MDR/IVDR existente. No existe un procedimiento de evaluación de la conformidad de la Ley de IA aparte. El mismo organismo notificado que revisa el dispositivo con arreglo al MDR comprueba el cumplimiento de la Ley de IA como parte de esa evaluación. Sin doble evaluación.
Supervisión. La vigilancia del mercado para los sistemas del Artículo 6, apartado 1, se integra con el regulador sectorial. La notificación de vigilancia del MDR (Artículo 87 del MDR y la base de datos EUDAMED relacionada) se ejecuta junto con la notificación de incidentes graves de la Ley de IA con arreglo al Artículo 73.
¿Qué cuenta como IA de diagnóstico por imagen médica?
La prueba es funcional: ¿produce el software un hallazgo clínico, una puntuación de riesgo o una recomendación que influye directamente en una decisión de diagnóstico o tratamiento sobre un paciente identificado?
Sistemas que normalmente entran en el ámbito:
- IA radiológica que detecta lesiones, segmenta estructuras anatómicas o puntúa hallazgos en TC, RM, PET, radiografía o ecografía
- IA de mamografía que estratifica el riesgo de una lesión o genera una puntuación BI-RADS
- IA de anatomía patológica que analiza portaobjetos de biopsia digitalizados en busca de marcadores de malignidad
- IA oftálmica que gradúa la retinopatía diabética a partir de imágenes del fondo de ojo
- IA cardíaca que mide la fracción de eyección o señala arritmias a partir de ecocardiogramas
Sistemas que normalmente quedan fuera de la designación de alto riesgo:
- Herramientas de preprocesamiento de imágenes que mejoran el contraste o reducen el ruido sin producir un resultado clínico
- Software de enrutamiento administrativo que dirige las exploraciones a una lista de trabajo en función de la modalidad, sin interpretar el contenido
- Software de control de calidad que señala las exploraciones técnicamente inadecuadas para repetir la imagen
- Herramientas de análisis exclusivamente de investigación que operan exclusivamente sobre conjuntos de datos retrospectivos anonimizados sin un resultado clínico a nivel de paciente
El límite es el resultado clínico. Un algoritmo que le dice a un radiólogo «este nódulo tiene 14 mm de diámetro» forma parte de una cadena de diagnóstico regulada. Un algoritmo que rota una imagen para facilitar su visualización, no.
Obligaciones del proveedor: qué debe hacer el fabricante de IA de imagen
Con arreglo al Reglamento (UE) 2024/1689, el proveedor es la entidad que introduce el sistema de IA en el mercado o lo pone en servicio con su propio nombre o marca —en la práctica, la empresa de IA de imagen que desarrolla y vende el software—. El proveedor soporta las obligaciones más pesadas.
Sistema de gestión de riesgos (Artículo 9)
Debe establecer, documentar y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del producto. Para la IA de imagen médica, esto significa identificar los modos de fallo previsibles (falsos negativos, falsos positivos, desplazamiento de la distribución cuando el sistema se utiliza en equipos que no estaban en el conjunto de entrenamiento), evaluar las consecuencias clínicas de cada uno, fijar umbrales aceptables, aplicar controles técnicos y validar que esos controles siguen siendo eficaces mediante la vigilancia poscomercialización.
El plan de gestión de riesgos del Artículo 9 se ejecuta junto con —y debe ser coherente con— el proceso de gestión de riesgos del MDR con arreglo a la norma ISO 14971. En la práctica, la mayoría de los fabricantes que cumplen el MDR ya tienen un marco ISO 14971; el Artículo 9 añade requisitos explícitos en torno a los derechos fundamentales y a las preocupaciones particulares de la Ley de IA de la UE (sesgo entre subgrupos de pacientes, rendimiento en poblaciones infrarrepresentadas, transparencia hacia los responsables del despliegue).
Datos y gobernanza de datos (Artículo 10)
Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos y estar libres de errores que pudieran generar resultados discriminatorios. Para la IA de imagen, esto requiere desgloses demográficos documentados de los datos de entrenamiento —edad, sexo, origen étnico, modelo de escáner, protocolo de adquisición— y el reconocimiento explícito de las poblaciones con las que no se entrenó el modelo. Un sistema entrenado predominantemente con TC de tres centros académicos de Europa Occidental puede rendir de forma diferente en un hospital comarcal de Bucarest que utiliza una generación de escáner distinta. El Artículo 10 le exige documentar eso, no ignorarlo.
Documentación técnica (Artículo 11, Anexo IV)
La documentación técnica con arreglo al Anexo IV es el paquete de pruebas que demuestra el cumplimiento antes de la entrada en el mercado. Para la IA de imagen debe cubrir: una descripción completa de la arquitectura del sistema y la finalidad prevista; las especificaciones de los datos de entrenamiento, validación y prueba; métricas de rendimiento estratificadas por subgrupos clínicamente pertinentes; la validación frente a un estándar de referencia de verdad fundamental (consenso de radiólogos, confirmación anatomopatológica, resultados longitudinales); las limitaciones identificadas; y las instrucciones de uso, incluidas las condiciones de funcionamiento válidas.
Esta documentación no vive aislada. El expediente técnico del MDR —en particular el informe de evaluación clínica— se solapará con la documentación técnica del Artículo 11. Los equipos con experiencia construyen una única estructura de documentación integrada en lugar de dos conjuntos de expedientes paralelos.
Transparencia e información a los responsables del despliegue (Artículo 13)
Las instrucciones de uso deben indicar al hospital o a la consulta de radiología todo lo que necesita para desplegar correctamente el sistema. Esto incluye: la población de pacientes prevista y las indicaciones clínicas validadas; los modelos de escáner y los protocolos de adquisición dentro del ámbito validado; las contraindicaciones; una descripción de lo que el sistema produce como resultado y de qué significan los indicadores de confianza o incertidumbre; el procedimiento de revisión humana; e instrucciones claras sobre qué hacer cuando el sistema produce un resultado de baja confianza o una señal de fuera de distribución.
Supervisión humana por diseño (Artículo 14)
Debe diseñar el sistema de modo que los responsables del despliegue puedan supervisar eficazmente su funcionamiento. En concreto: los resultados deben ser interpretables por un clínico cualificado sin conocimientos especializados de IA; el sistema debe señalar los resultados cuando la confianza del modelo es baja; y la interfaz debe facilitar que un radiólogo anule o modifique un hallazgo. La supervisión humana no es un complemento del responsable del despliegue —es un requisito de diseño del fabricante—.
Exactitud, robustez y ciberseguridad (Artículo 15)
El rendimiento debe ser adecuado para la finalidad prevista y mantener niveles aceptables de exactitud a lo largo del ciclo de vida operativo del sistema. Para la IA de imagen esto significa resistencia a los artefactos de imagen, la deriva de los equipos y los cambios en la composición de los pacientes. Las medidas de ciberseguridad deben impedir la manipulación de las entradas o las salidas —una preocupación realista para el software de imagen en red conectado a los sistemas PACS hospitalarios—.
Vigilancia poscomercialización (Artículo 72) junto con la vigilancia del MDR
El Artículo 72 exige un plan proactivo de vigilancia poscomercialización, que recopile datos de rendimiento en el mundo real de los responsables del despliegue y los incorpore al sistema de gestión de riesgos y a la documentación técnica. Para los productos sanitarios, esto se ejecuta junto con el marco de vigilancia del MDR: los acontecimientos adversos y los incidentes graves que activan la notificación de vigilancia del MDR (Artículo 87 del MDR) constituirán normalmente también incidentes graves con arreglo al Artículo 73 de la Ley de IA, lo que requiere su notificación a la autoridad nacional de vigilancia del mercado pertinente.
En la práctica: establezca un único proceso de vigilancia poscomercialización que satisfaga simultáneamente los requisitos del MDR y de la Ley de IA de la UE. Es factible; requiere una arquitectura deliberada del programa de vigilancia desde el principio.
Sistema de gestión de la calidad (Artículo 17) y marcado CE
Debe haber implantado un SGC que cumpla los requisitos del Artículo 17 —que cubra el diseño, el desarrollo, la producción y la poscomercialización— antes de la evaluación de la conformidad. Los fabricantes que cumplen el MDR operan normalmente con arreglo a la norma ISO 13485, que se solapa sustancialmente con el Artículo 17. Una vez completada la evaluación de la conformidad, el fabricante emite la declaración UE de conformidad (Artículo 47, Anexo V) y coloca el marcado CE (Artículo 48).
Obligaciones del responsable del despliegue: qué debe hacer el hospital o la consulta de radiología
El responsable del despliegue —el hospital, el centro de radiología o el laboratorio de diagnóstico que realmente ejecuta la IA de imagen sobre sus pacientes— tiene un conjunto de obligaciones distinto pero más ligero. Los responsables del despliegue no realizan la evaluación de la conformidad. Pero no son pasivos.
Verifique antes de desplegar
Antes de poner el sistema en uso clínico, verifique que el fabricante ha completado la evaluación de la conformidad y posee un certificado CE vigente con arreglo al MDR (y que el cumplimiento de la Ley de IA está incorporado en ese certificado, una vez transcurrida la fecha del 2 de agosto de 2028). Pida al fabricante las instrucciones de uso; confirme que su hardware de escáner, sus protocolos de adquisición y su población de pacientes entran dentro del ámbito validado. Si su población de pacientes difiere materialmente del conjunto de entrenamiento descrito en la documentación, eso es un riesgo clínico y un riesgo de cumplimiento. Plantéelo al fabricante antes del despliegue, no después.
Garantice la supervisión humana en la práctica (Artículo 26)
El Artículo 26 exige a los responsables del despliegue encomendar la supervisión del sistema a una persona cualificada con la competencia, la autoridad y los recursos necesarios para interpretar los resultados e intervenir. Para la IA de diagnóstico por imagen, esto es un radiólogo cualificado. El radiólogo debe revisar todo hallazgo generado por la IA antes de que influya en una decisión clínica. Esa revisión debe ser genuina, no un mero refrendo. El resultado de la IA debe ser una entrada en el proceso de diagnóstico, no la última palabra.
Documente el mecanismo de supervisión: quién es responsable, cuál es el protocolo de revisión y cómo se resuelven las discrepancias entre el resultado de la IA y la evaluación del radiólogo.
Vigile y registre (Artículo 26)
Los responsables del despliegue deben conservar los registros del funcionamiento del sistema durante al menos seis meses (Artículo 26). Para la IA de imagen, los registros útiles incluyen: la exploración procesada (identificador del paciente seudonimizado), el resultado de la IA, la decisión del clínico (aceptado / modificado / anulado) y la justificación clínica cuando no se siguió el resultado de la IA. Estos registros son la base de pruebas de su propia vigilancia del rendimiento y, si se produce un incidente grave, del análisis de la causa raíz.
Vigile el rendimiento a lo largo del tiempo. Si empieza a observar tasas de anulación inusualmente altas, o si los resultados clínicos de los casos señalados por la IA se desvían de lo esperado, eso es una señal de desplazamiento de la distribución o de degradación del modelo. Escálelo al fabricante con arreglo al Artículo 26.
Evaluación de Impacto relativa a los Derechos Fundamentales (Artículo 27)
Los organismos públicos, y determinadas entidades privadas que utilizan IA de alto riesgo en funciones de interés público, deben realizar una EIDF con arreglo al Artículo 27. Un hospital que despliega IA de imagen en una sanidad financiada con fondos públicos es probable que entre en el ámbito. La EIDF para la IA de diagnóstico por imagen debería evaluar: si el sistema produce un rendimiento sistemáticamente diferente entre los grupos demográficos de pacientes; si alguna disparidad tiene consecuencias clínicas (diagnósticos no detectados en una población específica); qué datos sobre los pacientes se tratan y sobre qué base jurídica con arreglo al Artículo 9 del RGPD (datos de salud de categoría especial).
El tratamiento con arreglo al Artículo 9 del RGPD requiere una base jurídica explícita —normalmente el Artículo 9, apartado 2, letra h) (necesario para el diagnóstico médico por un profesional sujeto al secreto profesional) o el Artículo 9, apartado 2, letra j) (investigación científica con salvaguardias adecuadas)—. La EIPD con arreglo al RGPD y la EIDF con arreglo a la Ley de IA deberían construirse en paralelo; abordan cuestiones que se solapan.
El Artículo 9 del RGPD y los datos de salud de los pacientes
La IA de diagnóstico por imagen trata datos de salud —datos personales de categoría especial con arreglo al Artículo 9, apartado 1, del RGPD—. El fabricante de IA de imagen, si tiene acceso a datos identificables de pacientes durante el entrenamiento o como parte de un modelo de tratamiento alojado en la nube, debe establecer su propia base jurídica. El hospital que despliega el sistema es normalmente el responsable del tratamiento; el fabricante de IA de imagen que actúa como prestador de un servicio de tratamiento es un encargado del tratamiento y necesita un contrato de encargo del tratamiento que cumpla el Artículo 28 del RGPD.
Para los fabricantes que entrenan con conjuntos de datos clínicos retrospectivos: la base de consentimiento o de interés legítimo para el uso de datos de pacientes en el entrenamiento es una cuestión regulatoria viva en los Estados miembros de la UE. El enfoque prudente es la seudonimización de los datos de entrenamiento y, cuando sea factible, la confirmación contractual por parte de la institución de origen de que la transferencia y el uso de los datos están cubiertos.
Ejemplo trabajado: un grupo de radiología de 55 personas despliega un sistema de detección de nódulos
Un grupo de radiología que opera tres sedes en los Países Bajos contrata con un fabricante neerlandés de IA de imagen el despliegue de un sistema de detección de nódulos pulmonares por TC. El fabricante posee la certificación CE del MDR de clase IIa. Las obligaciones de la Ley de IA de la UE con arreglo al Artículo 6, apartado 1, se aplicarán a partir del 2 de agosto de 2028.
Qué debe hacer el fabricante antes del 2 de agosto de 2028:
El fabricante debe garantizar que su evaluación de la conformidad por organismo notificado del MDR cubra los requisitos de la Ley de IA —en concreto, el Artículo 9 (gestión de riesgos), el Artículo 10 (gobernanza de datos), el Artículo 11 (documentación técnica), el Artículo 13 (instrucciones de uso), el Artículo 14 (diseño de la supervisión humana) y el Artículo 15 (exactitud, robustez, ciberseguridad)—. Si el expediente del MDR existente no aborda plenamente estos elementos, debe actualizarse antes de la fecha de 2028. El organismo notificado que realice la revisión del MDR comprobará el cumplimiento de la Ley de IA como parte de la misma evaluación. Una nueva declaración UE de conformidad con arreglo al Artículo 47 cubrirá tanto las obligaciones del MDR como las de la Ley de IA.
La vigilancia poscomercialización con arreglo al Artículo 72 debe integrarse con el programa de vigilancia poscomercialización del MDR existente. Los incidentes graves que constituyan un acontecimiento notificable con arreglo a la vigilancia del MDR también deberán notificarse con arreglo al Artículo 73 de la Ley de IA.
Qué debe hacer el grupo de radiología ahora (y para 2028):
El grupo debería empezar la preparación de la gobernanza antes de 2028. Designar a un radiólogo identificado como responsable de la supervisión de la IA en cada sede. Redactar un protocolo de revisión: ¿qué significa la «revisión humana» del resultado de la IA para este sistema en este contexto clínico? Documéntelo. Establecer un registro seudonimizado de los resultados de la IA, las decisiones de los radiólogos y la justificación de las anulaciones. Realizar una evaluación de impacto relativa a la protección de datos que cubra el tratamiento de datos de salud con arreglo al Artículo 9 del RGPD. Realizar una EIDF con arreglo al Artículo 27 como prestador de servicios sanitarios de cara al público. Verificar que las instrucciones de uso del fabricante describan los modelos de escáner validados utilizados en las tres sedes —si una sede utiliza un escáner fuera del ámbito de validación, eso necesita resolverse—.
Nada de esto requiere un presupuesto de cumplimiento de seis cifras. Requiere un responsable identificado, un proceso documentado y un registro.
Ejecución y sanciones
El incumplimiento de las obligaciones de alto riesgo del Capítulo III de la Ley de IA (Artículos 9 a 15 y las obligaciones del proveedor/responsable del despliegue de los Artículos 16 y 26) atrae multas con arreglo al Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas más pequeñas, el Artículo 99, apartado 6, limita la multa a la menor de las dos cifras, el porcentaje o el importe fijo.
Estas son las sanciones de las obligaciones de la Ley de IA. El incumplimiento del MDR conlleva una ejecución separada con arreglo al marco de vigilancia y vigilancia del mercado del MDR, que ya está operativo y no se aplaza.
El aplazamiento del 2 de agosto de 2028 cubre únicamente las obligaciones de la Ley de IA de la UE para los sistemas del Artículo 6, apartado 1. Las obligaciones del MDR ya están en vigor.
Cómo ayuda Confir
El motor de clasificación de Confir —basado en reglas y determinista, que aplica la prueba del Artículo 6, apartado 1, + Anexo I antes de la prueba del Artículo 6, apartado 2, del Anexo III— identificará correctamente la IA de diagnóstico por imagen como un sistema del Artículo 6, apartado 1, y mapeará de forma cruzada las obligaciones aplicables al marco del MDR en tres pasos o menos.
Para los fabricantes de IA de imagen, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V, rellenados previamente a partir de la recopilación de la clasificación. La evaluación estructurada en AITR (gobernanza de datos, Artículo 10; robustez técnica, Artículo 15), AITO (transparencia, Artículo 13; diseño de la supervisión humana, Artículo 14) y AIGM (vigilancia poscomercialización, Artículo 72) se alinea con el ciclo de vida del MDR en lugar de tratarse como una obligación paralela.
Para los responsables del despliegue, el flujo de trabajo de la EIDF del Artículo 27 cubre las cuestiones de datos de salud y de rendimiento demográfico específicas de la IA clínica.
Fechas clave
| Hito | Fecha |
|---|---|
| Entrada en vigor de la Ley de IA de la UE | 1 de agosto de 2024 |
| Aplicación de las prácticas prohibidas (Artículo 5) | 2 de febrero de 2025 |
| Aplicación de las sanciones (Artículo 99) | 2 de agosto de 2025 |
| Aplicación general, transparencia de riesgo limitado del Artículo 50 | 2 de agosto de 2026 |
| IA de alto riesgo integrada en productos del Anexo I (incl. dispositivos MDR/IVDR) | 2 de agosto de 2028 |
| Obligaciones del MDR (ya en vigor) | En curso |
Preguntas frecuentes
¿Es la IA de diagnóstico por imagen médica de alto riesgo con arreglo al Anexo III de la Ley de IA de la UE?
No. La base jurídica correcta es el Artículo 6, apartado 1, + el Anexo I, no el Anexo III. El software de diagnóstico por imagen que se considera un producto sanitario con arreglo al MDR (UE) 2017/745 o un producto de diagnóstico in vitro con arreglo al IVDR (UE) 2017/746 es de alto riesgo porque esos reglamentos figuran en el Anexo I de la Ley de IA de la UE y requieren una evaluación de la conformidad por organismo notificado externo. El Artículo 6, apartado 1, convierte automáticamente en de alto riesgo cualquier componente de seguridad de IA de tal producto. El filtro de autoevaluación del Artículo 6, apartado 3 (disponible para algunos sistemas del Anexo III), no se aplica aquí.
¿Cuándo se aplica la Ley de IA de la UE a la IA de imagen médica?
El 2 de agosto de 2028, en virtud del Ómnibus Digital acordado en mayo de 2026. Esa es la fecha para los sistemas de IA de alto riesgo que son componentes de seguridad de productos sujetos a la legislación del Anexo I, que incluye los dispositivos MDR e IVDR. Los sistemas de alto riesgo autónomos del Anexo III se enfrentan a un plazo anterior, el 2 de diciembre de 2027, pero la IA de imagen médica pasa por el Artículo 6, apartado 1, no por el Anexo III. Las obligaciones del MDR ya están en vigor y no se aplazan.
¿Realiza la evaluación de la conformidad el fabricante o el hospital para la IA de imagen?
El fabricante (proveedor) se somete a la evaluación de la conformidad por organismo notificado. Con arreglo al Artículo 43, apartado 3, los requisitos de la Ley de IA de la UE para los sistemas del Artículo 6, apartado 1, se integran en el procedimiento por organismo notificado del MDR o del IVDR existente —no hay una evaluación de la conformidad de la Ley de IA aparte—. El hospital (responsable del despliegue) verifica que el fabricante posee un certificado CE válido, sigue las instrucciones de uso, garantiza la supervisión del radiólogo, conserva registros y realiza una EIDF con arreglo al Artículo 27 si se requiere.
¿Cuál es la sanción por incumplimiento de las obligaciones de alto riesgo de la Ley de IA de la UE?
Con arreglo al Artículo 99, apartado 4, hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas más pequeñas, el Artículo 99, apartado 6, limita la multa a la menor de las dos. La ejecución del MDR opera por separado y ya está en vigor —no se aplaza por el calendario de la Ley de IA—.
¿Se aplica el RGPD al tratamiento de la IA de imagen médica?
Sí. Los datos de imagen médica son datos de salud de categoría especial con arreglo al Artículo 9, apartado 1, del RGPD. El tratamiento requiere una base jurídica específica con arreglo al Artículo 9, apartado 2 —normalmente la letra h) para el diagnóstico y el tratamiento médicos por un profesional sujeto a confidencialidad—. Los fabricantes que operan servicios de inferencia alojados en la nube deben tener un contrato de encargo del tratamiento con cada hospital con arreglo al Artículo 28 del RGPD. Se requiere una EIPD cuando el tratamiento presenta un riesgo alto para los pacientes.
¿Qué es el filtro del Artículo 6, apartado 3, y se aplica a la IA de imagen?
El Artículo 6, apartado 3, permite a los proveedores de sistemas del Anexo III autoevaluar que su sistema no es realmente de alto riesgo si desempeña solo una tarea procedimental acotada, mejora una actividad humana previamente realizada o similar. Esa exención se aplica únicamente a la vía del Anexo III (sistemas del Artículo 6, apartado 2). No se aplica a los sistemas del Artículo 6, apartado 1. La IA de diagnóstico por imagen médica pasa por el Artículo 6, apartado 1 —el filtro del Anexo III es irrelevante—.
Guías relacionadas
- clasificación de alto riesgo del Artículo 6
- requisitos de productos sanitarios de IA sanitaria
- determine el nivel de riesgo de su sistema
- metodología de evaluación de riesgos para 2026
- niveles de clasificación de riesgo de la Ley de IA de la UE
- sistema de gestión de riesgos del Artículo 9
- lista completa de casos de uso del Anexo III
- hoja de ruta y calendario de implementación de 2026
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →