Skip to content
Confir.
Prueba gratuita
Blog

IA de robots quirúrgicos y la Ley de IA de la UE: la vía de cumplimiento integrada en el MDR

High-Risk Use Case6 May 2026· 18 min de lectura

La IA de robots quirúrgicos es de alto riesgo por el Artículo 6, apartado 1, + el Anexo I (MDR). Los deberes de la Ley de IA se integran en la auditoría del organismo notificado del MDR. Plazo de cumplimiento: 2 de agosto de 2028.

La IA de robots quirúrgicos es de alto riesgo con arreglo a la Ley de IA de la UE, pero no porque figure en la lista del Anexo III. La vía de clasificación correcta es el Artículo 6, apartado 1, combinado con el Anexo I. Un robot quirúrgico es, o incorpora como componente de seguridad, un producto sanitario regulado por el Reglamento sobre los productos sanitarios (UE) 2017/745 (MDR), que ya exige una evaluación de la conformidad por organismo notificado tercero antes de la introducción en el mercado. Esa doble condición —producto regulado más evaluación obligatoria por terceros— es precisamente lo que describe el Artículo 6, apartado 1. La consecuencia importa operativamente: los requisitos de la Ley de IA de la UE se integran en la evaluación de la conformidad del MDR con arreglo al Artículo 43, apartado 3, de la Ley de IA. No existe un procedimiento de evaluación de la conformidad de la Ley de IA independiente y separado. Y el plazo es el 2 de agosto de 2028, no el 2 de diciembre de 2027.

Esta distinción no es un tecnicismo. Los fabricantes de productos que inicien un programa de cumplimiento diseñado para sistemas del Anexo III —autoevaluación, control interno del Anexo VI, plazo de 2027— estarán en la vía equivocada desde el primer día.

Por qué no se aplica aquí la vía del Anexo III

El Artículo 6, apartado 2, enumera las ocho categorías de casos de uso del Anexo III: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración y justicia. Los robots quirúrgicos no figuran ahí. El artículo de origen clasificaba erróneamente los robots quirúrgicos en la categoría 2 del Anexo III (componentes de seguridad de infraestructuras críticas) o en la categoría 5 (servicios esenciales). Ninguna se sostiene: un sistema quirúrgico no es un componente de infraestructura de red digital ni de suministro de servicios, y la categoría de «servicios esenciales» del punto 5 del Anexo III se refiere a la calificación de la solvencia, la fijación de precios de los seguros de salud y de vida y el envío de servicios de emergencia, no a los procedimientos quirúrgicos.

Los redactores de la Ley de IA anticiparon exactamente este escenario. El Anexo I enumera la legislación de armonización de la Unión cuyos productos ya conllevan obligaciones de evaluación de la conformidad, y el MDR figura en esa lista. Cuando un sistema de IA es un producto —o un componente de seguridad de un producto— cubierto por la legislación del Anexo I, y ese producto debe someterse a una evaluación de la conformidad por terceros con arreglo a esa legislación, el sistema es de alto riesgo por el Artículo 6, apartado 1. Ambas condiciones se cumplen para prácticamente todo robot quirúrgico con IA del mercado de la UE: el robot es un producto sanitario de clase IIb o de clase III con arreglo al MDR, y los productos de las clases IIb/III requieren la intervención de un organismo notificado.

Qué significa en la práctica una evaluación de la conformidad «integrada»

El Artículo 43, apartado 3, de la Ley de IA es la disposición operativa. Para los sistemas de IA cubiertos por la Sección A del Anexo I —que incluye el MDR—, el proveedor sigue el procedimiento de evaluación de la conformidad exigido por esa legislación sectorial. Los requisitos de la Ley de IA de la UE de la Sección 2 del Capítulo III (Artículos 9 a 15) pasan a formar parte de esa evaluación. Los organismos notificados ya notificados con arreglo al MDR están facultados para controlar el cumplimiento de los requisitos de la Ley de IA de la UE como parte de la misma auditoría, siempre que su competencia se evaluara durante su notificación con arreglo al MDR.

Qué significa esto concretamente para un fabricante de robots quirúrgicos:

  • Hay una evaluación de la conformidad, realizada por su organismo notificado del MDR, no dos.
  • El organismo notificado revisa el cumplimiento de la Ley de IA de la UE (gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, exactitud/robustez/ciberseguridad) junto con la evaluación clínica del MDR y los requisitos de seguridad del producto.
  • Usted produce un expediente técnico integrado que abarca ambos marcos regulatorios, no conjuntos de documentación separados.
  • Solicita y mantiene un marcado CE, que cubre tanto el producto como su sistema de IA integrado.

La Ley de IA no introduce un segundo marcado CE ni una segunda declaración de conformidad. Añade una capa de requisitos que la auditoría del organismo notificado del MDR existente absorbe.

Obligaciones del proveedor: la pila completa de alto riesgo

El fabricante del producto es el proveedor con arreglo al Artículo 16 de la Ley de IA. Las obligaciones de alto riesgo se aplican en su totalidad; la única diferencia respecto de un sistema del Anexo III es cómo y dónde se demuestra el cumplimiento.

Artículo 9 — Sistema de gestión de riesgos

El Artículo 9 exige un sistema de gestión de riesgos documentado y continuo. Para los robots quirúrgicos, este se ejecuta en paralelo con los requisitos del Anexo I del MDR y se corresponde estrechamente con la norma ISO 14971 (gestión de riesgos de productos sanitarios). Un expediente alineado con la ISO 14971 cubre la mayor parte de la sustancia del Artículo 9: identificación de peligros, estimación del riesgo, medidas de control del riesgo, evaluación del riesgo residual y seguimiento continuo. Las brechas específicas de la IA que la ISO 14971 no cierra automáticamente: los modos de fallo propios de los componentes de aprendizaje automático (deriva del modelo, desplazamiento de la distribución, entradas adversarias), las condiciones límite en las que no debe actuarse sobre los resultados sin el juicio humano, y los umbrales de reentrenamiento/revalidación integrados en la gestión de cambios del MDR. El expediente de gestión de riesgos debe remitir explícitamente a ambos marcos para que el organismo notificado pueda auditarlos conjuntamente.

Artículo 10 — Datos y gobernanza de datos

El Artículo 10 rige los datos de entrenamiento, validación y prueba. Los conjuntos de datos de entrenamiento deben ser representativos de la población de pacientes prevista —incluida la variación por anatomía, comorbilidad, abordaje quirúrgico y equipo de imagen—, documentados con suficiente transparencia para que el organismo notificado evalúe el sesgo y la generalizabilidad. Los datos de validación deben ser estadísticamente independientes y demostrar el rendimiento entre los distintos subgrupos.

Las imágenes quirúrgicas y los datos intraoperatorios son datos de salud —una categoría especial con arreglo al Artículo 9 del RGPD— que requieren una base jurídica explícita para su tratamiento. Cuando los datos procedan de hospitales de la UE, deben existir acuerdos de tratamiento de datos y la documentación técnica debe registrar la base jurídica y cualquier paso de anonimización.

Artículo 11 / Anexo IV — Documentación técnica

El Artículo 11 exige documentación técnica conforme a las nueve áreas de contenido del Anexo IV: descripción general y finalidad prevista; descripción detallada del sistema y del proceso de desarrollo; información de entrenamiento y validación; seguimiento, funcionamiento y control; interpretabilidad y transparencia; gobernanza de datos; gestión de riesgos; vigilancia poscomercialización; y datos de la declaración de conformidad y del registro.

Para los robots quirúrgicos, esta documentación se integra en el expediente técnico del MDR. La estructura debe hacer que ambos conjuntos de requisitos sean trazables: un revisor localiza los elementos del Anexo IV dentro del expediente del MDR sin buscar en documentos separados. Conservación: 10 años después de que se introduzca en el mercado el último sistema (Artículo 18).

Artículo 14 — Supervisión humana

La supervisión con el cirujano en el bucle es la norma clínica, pero el Artículo 14 la convierte en una obligación legal. El proveedor debe diseñar el sistema de modo que los cirujanos puedan:

  • Comprender los resultados del sistema y sus limitaciones antes de actuar sobre ellos.
  • Intervenir, anular o detener el sistema en cualquier momento durante un procedimiento.
  • Identificar cuándo el sistema está operando fuera de las condiciones para las que fue validado.

Las instrucciones de uso (IDU) —un entregable obligatorio del MDR— deben documentar las tres. Cuando el sistema de IA realice ajustes autónomos en tiempo real (trayectoria del instrumento, límites de fuerza, mejora de la imagen), las IDU deben especificar exactamente qué acciones están dentro del ámbito autónomo del sistema y cuáles requieren la aprobación explícita del cirujano.

Un robot quirúrgico que no puede detenerse o anularse limpiamente a mitad del procedimiento no satisface el Artículo 14, con independencia de su exactitud clínica.

Artículo 15 — Exactitud, robustez y ciberseguridad

El Artículo 15 exige que los sistemas de IA de alto riesgo alcancen, a lo largo de su ciclo de vida, niveles adecuados de exactitud, y que sean resilientes frente a errores, fallos y manipulación adversaria. Para la IA quirúrgica, los requisitos prácticos incluyen:

  • Métricas de exactitud documentadas estratificadas por las subpoblaciones clínicas pertinentes, con umbrales de rendimiento fijados durante la validación y vigilados tras la comercialización.
  • Comportamiento de reserva cuando la confianza cae por debajo de las condiciones de funcionamiento validadas: el sistema debe alertar al cirujano y devolverle el control, no intentar extrapolar.
  • Medidas de ciberseguridad proporcionadas al riesgo de acceso hostil al sistema de control quirúrgico. Un robot quirúrgico con una interfaz inalámbrica es una superficie de ataque; la documentación técnica debe mostrar cómo se gestiona esa superficie.

La robustez aquí es el término legal del Artículo 15, no lenguaje de marketing. El organismo notificado la pondrá a prueba.

Obligaciones del responsable del despliegue: hospitales y centros quirúrgicos

El hospital que despliega el sistema es el responsable del despliegue con arreglo al Artículo 26. Las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero no son opcionales.

El Artículo 26 exige al responsable del despliegue utilizar el sistema conforme a las IDU del fabricante, garantizar que los cirujanos tienen la competencia y la autoridad necesarias para supervisarlo y anularlo, vigilar el funcionamiento y notificar las anomalías y los incidentes graves al fabricante, y conservar los registros durante al menos seis meses.

Las obligaciones de EIDF del Artículo 27 se aplican a los responsables del despliegue que sean organismos públicos y a los responsables del despliegue de determinados sistemas del Anexo III; la IA de robots quirúrgicos se clasifica con arreglo al Anexo I, no al Anexo III, por lo que el deber de EIDF no se aplica automáticamente. Los hospitales públicos deben consultar las orientaciones nacionales de aplicación; algunos Estados miembros pueden extender requisitos equivalentes. Con independencia de la obligación formal, evaluar la autonomía del paciente, el consentimiento informado y la igualdad de rendimiento entre los distintos grupos demográficos de pacientes es una buena gobernanza clínica y será revisado por el organismo notificado como parte de la evaluación de la supervisión humana del Artículo 14.

La notificación de incidentes se ejecuta por dos vías. Con arreglo al Artículo 26, el responsable del despliegue notifica los incidentes graves al fabricante. Con arreglo al MDR (Artículo 83 del MDR, el marco de vigilancia y vigilancia poscomercialización del MDR), el fabricante notifica las acciones correctivas de seguridad sobre el terreno y los incidentes graves a las autoridades nacionales competentes. La obligación de notificación de incidentes graves de la Ley de IA con arreglo al Artículo 73 recae en el proveedor, que debe notificar a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente: en un plazo de 15 días desde que tiene conocimiento del incidente (Artículo 73, apartado 2), o de 2 días en caso de infracción generalizada o de perjuicio grave e irreversible a infraestructuras críticas (Artículo 73, apartado 3), o de 10 días cuando una persona haya fallecido (Artículo 73, apartado 4).

En la práctica, el sistema de vigilancia del MDR y el sistema de notificación de incidentes de la Ley de IA se ejecutarán en paralelo para los sucesos de robots quirúrgicos. Los fabricantes deben diseñar su proceso de gestión de incidentes para satisfacer ambos simultáneamente.

Vigilancia poscomercialización: el Artículo 72 junto al Artículo 83 del MDR

El Artículo 72 exige que los proveedores recopilen, documenten y analicen activamente datos sobre el rendimiento del sistema tras la introducción en el mercado —no una recopilación pasiva de efectos adversos, sino un programa estructurado para detectar la deriva del modelo, la degradación de la exactitud, nuevos modos de fallo y desplazamientos de la población—.

Para los robots quirúrgicos, el plan del Artículo 72 especifica: las entradas de datos (registros de procedimientos, tasas de anulación de los cirujanos, resultados adversos cuando sean atribuibles, distribuciones de confianza del modelo a lo largo del tiempo); los umbrales que desencadenan acciones correctivas; y la conexión con el plan de vigilancia poscomercialización (PMS) del MDR exigido con arreglo al Artículo 83 del MDR. Cuando sea posible, unifíquelos en un único programa de vigilancia. Los requisitos de seguimiento clínico poscomercialización (PMCF) del MDR encajan de forma natural con los datos de rendimiento del Artículo 72: la integración reduce la duplicación y produce un expediente más coherente para la revisión periódica del organismo notificado.

Evaluación clínica y datos de salud

La evaluación clínica con arreglo al MDR se exige antes del marcado CE, demostrando que el producto alcanza su finalidad clínica prevista y que los riesgos son aceptables a la luz de los beneficios clínicos. La Ley de IA no introduce una evaluación clínica separada; los requisitos de datos del Artículo 10 y las métricas de exactitud del Artículo 15 alimentan directamente lo que la evaluación clínica debe acreditar.

Los datos de pacientes tratados por el sistema —imágenes intraoperatorias, identificadores de pacientes, registros de resultados quirúrgicos— son datos de salud con arreglo al Artículo 9 del RGPD. La documentación técnica debe abordar la base jurídica para el tratamiento (normalmente el Artículo 9, apartado 2, letra h), para fines médicos) y las disposiciones de transferencia transfronteriza cuando intervenga el tratamiento en la nube.

Sanciones

El incumplimiento de los requisitos de la Ley de IA de la UE entra en el Artículo 99, apartado 4: multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Para los fabricantes más pequeños, el Artículo 99, apartado 6, dispone que las multas se limitan al menor de los dos importes, el porcentaje o la cantidad fija —una protección de proporcionalidad genuina—.

El MDR conlleva sus propias consecuencias de ejecución con arreglo al Derecho nacional de cada Estado miembro, incluida la suspensión de los certificados CE por el organismo notificado y las órdenes de retirada del mercado de las autoridades nacionales competentes. Un fallo grave de la IA en un robot quirúrgico podría activar ambos regímenes simultáneamente.

El plazo: 2 de agosto de 2028

En virtud del Ómnibus Digital acordado en mayo de 2026, las fechas de aplicación de los sistemas de IA de alto riesgo se aplazaron. Los sistemas autónomos de alto riesgo con arreglo al Anexo III deben cumplir a partir del 2 de diciembre de 2027. Los sistemas de IA de alto riesgo que son componentes de seguridad de productos cubiertos por el Anexo I —la categoría en la que entra la IA de robots quirúrgicos— deben cumplir a partir del 2 de agosto de 2028.

Eso es más margen que la fecha original del 2 de agosto de 2026, pero no es tiempo ilimitado. Los organismos notificados con arreglo al MDR están trabajando a plena capacidad; añadir el ámbito de cumplimiento de la Ley de IA a una revisión existente o programar una nueva evaluación de la conformidad llevará tiempo organizarlo. Los fabricantes cuyos certificados del MDR deban renovarse antes de 2028 deben integrar el ámbito de la Ley de IA en ese proceso de renovación en lugar de tratarlo como un ejercicio separado.

Cómo ayuda Confir

El motor de clasificación de Confir determina si un sistema entra en el Artículo 6, apartado 1, por el Anexo I o en el Artículo 6, apartado 2, por el Anexo III, sobre la base de preguntas en lenguaje sencillo acerca del tipo de producto, la regulación sectorial existente y los requisitos de evaluación de la conformidad. Para un robot quirúrgico, el motor producirá la vía del Artículo 6, apartado 1, + Anexo I (MDR) y correlacionará las obligaciones de la Ley de IA de la UE con la estructura del expediente técnico del MDR, en un plazo de dos a tres minutos, utilizando una lógica determinista basada en reglas. El resultado es una lista de comprobación de documentación estructurada que muestra exactamente dónde aterrizan las obligaciones de la Ley de IA en un expediente técnico en formato MDR, lista para la revisión por un organismo notificado. No se requieren consultores para llegar a ese punto de partida.

Preguntas frecuentes

¿Se clasifica la IA de robots quirúrgicos con arreglo al Anexo III de la Ley de IA de la UE?

No. La IA de robots quirúrgicos se clasifica como de alto riesgo con arreglo al Artículo 6, apartado 1, en combinación con el Anexo I, no con arreglo a la lista del Anexo III. La lista del Anexo III abarca casos de uso como la biometría, el empleo y la solvencia. Un robot quirúrgico es un producto sanitario —o incorpora IA como componente de seguridad de un producto sanitario— y el MDR (UE) 2017/745 figura en el Anexo I. Dado que los productos de las clases IIb y III requieren una evaluación de la conformidad por terceros con arreglo al MDR, se cumplen ambas condiciones del Artículo 6, apartado 1. Las obligaciones de la Ley de IA de la UE se aplican igualmente en su totalidad; la diferencia es que el cumplimiento se demuestra dentro del procedimiento de evaluación de la conformidad del MDR, no por separado.

¿Cuál es el plazo de cumplimiento para la IA de robots quirúrgicos con arreglo a la Ley de IA de la UE?

El plazo es el 2 de agosto de 2028. En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo integrados en —o que constituyen componentes de seguridad de— productos cubiertos por la legislación de armonización del Anexo I (incluido el MDR) tienen de plazo hasta el 2 de agosto de 2028 para cumplir. Esto es distinto del plazo del 2 de diciembre de 2027 que se aplica a los sistemas autónomos del Anexo III.

¿Tiene que hacer algo el hospital que despliega el robot?

Sí. El hospital que lo despliega es el responsable del despliegue con arreglo al Artículo 26 y debe utilizar el sistema conforme a las instrucciones del fabricante, garantizar que los cirujanos tienen la formación y la autoridad adecuadas para supervisar y anular el sistema, vigilar el funcionamiento y notificar los incidentes al fabricante, y conservar los registros operativos durante al menos seis meses. Los responsables del despliegue no realizan la evaluación de la conformidad —esa es obligación del fabricante—, pero son responsables de cómo se utiliza el sistema en la práctica.

¿Cómo encajan las obligaciones de la Ley de IA de la UE en el expediente técnico del MDR?

El Artículo 43, apartado 3, de la Ley de IA confirma que, para los productos del Anexo I, los requisitos de la Ley de IA de la UE pasan a formar parte de la evaluación de la conformidad de la legislación sectorial. El organismo notificado del MDR revisa el cumplimiento de la Ley de IA junto con los requisitos clínicos y de seguridad del MDR. En la práctica, los fabricantes construyen un único expediente técnico integrado con las nueve áreas de contenido del Anexo IV de la Ley de IA trazables dentro de la estructura del expediente del MDR. Hay un marcado CE y una declaración de conformidad que cubren ambos marcos.

¿Tiene el hospital del cirujano que realizar una evaluación de impacto relativa a los derechos fundamentales?

No automáticamente. Las obligaciones de EIDF del Artículo 27 se aplican a los responsables del despliegue que sean organismos públicos y a los responsables del despliegue de determinados sistemas del Anexo III (solvencia y seguros). La IA de robots quirúrgicos es un sistema del Anexo I, no del Anexo III. No obstante, los hospitales públicos deben consultar las orientaciones nacionales de aplicación; algunos Estados miembros pueden extender requisitos equivalentes. Con independencia de la obligación formal, evaluar la autonomía del paciente, el consentimiento informado y la igualdad de rendimiento entre los distintos grupos demográficos de pacientes es una buena gobernanza clínica y será examinado por el organismo notificado como parte de la revisión de la supervisión humana del Artículo 14.

¿Cuáles son las sanciones por incumplimiento?

Las multas con arreglo al Artículo 99, apartado 4, pueden alcanzar los 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. Los fabricantes más pequeños se benefician del límite del Artículo 99, apartado 6, que limita la multa al menor de los dos importes, el porcentaje o la cantidad fija. El incumplimiento del MDR puede dar lugar adicionalmente a la suspensión del certificado CE por el organismo notificado y a órdenes nacionales de retirada del mercado; ambos marcos pueden activarse por el mismo suceso de fallo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.