Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE y la IA sanitaria: mapa sectorial y vías de cumplimiento

Industry Guide24 February 2026· 17 min de lectura

Cumplimiento de la IA sanitaria en virtud de la Ley de IA de la UE: vía de producto sanitario del Anexo I (2 ago 2028), IA de triaje del Anexo III (2 dic 2027), chatbots del art. 50, artículo 9 del RGPD.

La sanidad es uno de los sectores más complejos técnicamente de la Ley de IA de la UE. Aquí convergen tres vías reguladoras distintas —el Artículo 6, apartado 1, a través del Anexo I para la IA de productos sanitarios; el Artículo 6, apartado 2, a través del Anexo III para el acceso a servicios de salud; y el Artículo 50 para los chatbots de cara al paciente—, cada una con su propio calendario de cumplimiento, obligaciones de documentación e interacción con otra legislación de la UE. Comprender qué vía se aplica a un sistema determinado, y para cuándo, es el primer problema que todo proveedor de tecnología sanitaria y todo equipo de cumplimiento hospitalario necesita resolver.

Esta página traza el panorama completo. Para análisis en profundidad de ámbitos concretos, consulte las páginas enlazadas más abajo.

Cuatro categorías de IA sanitaria — y a dónde conduce cada vía

La IA sanitaria no es un único objeto regulador. Lo que importa es lo que el sistema hace y cómo se rige en virtud del Derecho de productos de la UE. Cuatro categorías cubren la mayoría de los despliegues.

1. IA de productos sanitarios: vía del Anexo I (Artículo 6, apartado 1)

El software de IA utilizado para imagen diagnóstica, ayuda a la decisión clínica, robótica quirúrgica o diagnóstico in vitro se considera producto sanitario o producto sanitario para diagnóstico in vitro en virtud del Reglamento (UE) 2017/745 (MDR) y el Reglamento (UE) 2017/746 (IVDR), respectivamente. Una vez que un sistema de IA es un componente de seguridad de —o constituye en sí mismo— un producto regulado de ese tipo, pasa a ser de alto riesgo en virtud de la Ley de IA de la UE a través del Artículo 6, apartado 1, en relación con el Anexo I. La inclusión del MDR/IVDR en el Anexo I hace el trabajo de activación.

Esta vía del Anexo I tiene dos consecuencias que difieren de la vía del Anexo III:

Evaluación de la conformidad integrada. En virtud del Artículo 43, apartado 3, los sistemas del Anexo I utilizan un procedimiento de conformidad integrado que discurre junto a la evaluación de la conformidad de la regulación del producto. Para la mayoría de los productos de las clases IIa/IIb/III del MDR y la mayoría de los productos de las clases B/C/D del IVDR, un organismo notificado ya interviene en el proceso del MDR. La evaluación de la conformidad de la Ley de IA de la UE se coordina con ese proceso, pero no lo sustituye. Una única documentación técnica puede servir para ambos, con una asignación explícita de qué sección satisface qué reglamento. Una única declaración UE de conformidad puede cubrir ambos marcos en virtud del Artículo 47.

Plazo: 2 de agosto de 2028. La IA de alto riesgo integrada en productos del Anexo I está sujeta al plazo ampliado en virtud del Ómnibus Digital (acuerdo político, mayo de 2026). La fecha original del 2 de agosto de 2026 se ha aplazado. Para las empresas de IA de productos sanitarios que están a mitad de su documentación técnica del MDR, esto es prácticamente útil, pero el plazo de preparación de la documentación para un producto de la clase IIb es a menudo de dos años, por lo que la fecha de 2028 es un techo, no un punto de partida.

Sistemas de esta categoría: IA de imagen diagnóstica (radiología, anatomía patológica, oftalmología), IA para alertas de interacción farmacológica, software de robot quirúrgico con funciones de ayuda a la decisión, IA que analiza biomarcadores de laboratorio en virtud del IVDR. Para un tratamiento completo de esta vía, consulte la guía de cumplimiento cruzado de productos sanitarios y la Ley de IA.

2. Usos sanitarios del Anexo III: triaje de emergencia y biometría

Dos epígrafes del Anexo III recogen usos sanitarios directamente, sin requerir intervención alguna del MDR/IVDR.

Anexo III, punto 5 — triaje y envío de servicios de emergencia. Los sistemas de IA utilizados para determinar el orden en que se atiende a los pacientes de urgencias, o para asignar la prioridad de envío de ambulancias, son de alto riesgo en virtud del Anexo III, punto 5 (acceso a servicios esenciales privados y públicos). La sanidad es un servicio esencial; un sistema de IA que decide quién recibe atención primero está determinando el acceso a ella para las personas físicas. Esto incluye el triaje de IA en los servicios de urgencias y los protocolos de envío asistidos por IA utilizados por los servicios médicos de emergencia.

Anexo III, punto 1 — categorización biométrica. Si un sistema de IA sanitaria categoriza a los pacientes por un atributo biométrico —un uso legítimo sería una IA dermatológica que clasifica imágenes de lesiones cutáneas utilizando características biométricas—, puede activar el Anexo III, punto 1. Los proveedores deben realizar un análisis explícito del Artículo 6. Tenga en cuenta que el reconocimiento de emociones en entornos clínicos se abordó directamente en el Artículo 5, apartado 1, letra f): los sistemas de IA que infieren emociones en el lugar de trabajo o en instituciones educativas están prohibidos, no son de alto riesgo. Los contextos sanitarios no son una excepción.

Plazo para los sistemas del Anexo III: 2 de diciembre de 2027. Los sistemas autónomos del Anexo III (los que no están también sujetos al Derecho de productos del Anexo I) se aplican a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital.

Para las obligaciones detalladas de los sistemas sanitarios del Anexo III —la pila completa de los Artículos 9 a 15, el diseño de la supervisión humana y los requisitos de EIDF del responsable del despliegue—, consulte gobernanza de la IA para sanidad.

3. IA administrativa y de procesos administrativos: en su mayoría de riesgo mínimo

La optimización de la programación, la IA de codificación y facturación, la gestión del flujo de pacientes, la gestión de inventario, la administración hospitalaria: la mayoría de estos no activan el Anexo III y no son productos sanitarios. Se sitúan en riesgo mínimo (sin obligaciones obligatorias más allá de lo que el RGPD exige para el tratamiento). La prueba clave es si el sistema toma o influye sustancialmente en una decisión sobre el acceso de una persona física a la atención sanitaria o en un resultado clínico. La optimización puramente operativa, sin esa influencia en la decisión, permanece en riesgo mínimo.

Una excepción: la IA utilizada por las aseguradoras de salud para evaluar la admisibilidad, aprobar autorizaciones previas o fijar el precio de pólizas de seguros de vida o de salud es de alto riesgo en virtud del Anexo III, punto 5, letra c) (evaluación de riesgos y fijación de precios en los seguros de salud y de vida). Un sistema de facturación hospitalaria es administrativo; la IA de autorización previa de una aseguradora no lo es.

4. Chatbots de cara al paciente: riesgo limitado del Artículo 50

Los chatbots de IA desplegados para interactuar con los pacientes —para orientación de triaje sintomático, reserva de citas, seguimiento posterior al alta o información sanitaria general— son de riesgo limitado en virtud del Artículo 50, apartado 1, salvo que crucen a la ayuda a la decisión clínica que cumpla la definición del MDR. La obligación del Artículo 50 es de divulgación: el paciente debe ser informado de que interactúa con un sistema de IA. Esto se aplica a partir del 2 de agosto de 2026. No requiere una evaluación de la conformidad ni documentación técnica en virtud de los Artículos 9 a 15.

Si un chatbot de cara al paciente también proporciona una ayuda a la decisión clínica de suficiente sofisticación como para considerarse producto sanitario, la obligación de divulgación del Artículo 50 es un suelo, no un techo: se aplica la pila completa de alto riesgo a través de la vía del MDR del Anexo I.

Obligaciones transversales para la IA sanitaria de alto riesgo

El artículo 9 del RGPD y los datos de salud

Los datos de salud son datos personales de categorías especiales en virtud del artículo 9 del RGPD. Tratarlos —incluso en conjuntos de datos de entrenamiento de IA— requiere una base jurídica explícita. Para fines sanitarios, el artículo 9, apartado 2, letra h) (prestación de asistencia sanitaria, bajo secreto profesional) o el consentimiento explícito (artículo 9, apartado 2, letra a)) son las bases típicas. Para la investigación en salud pública, se aplica el artículo 9, apartado 2, letra j), con las garantías apropiadas.

Esto se cruza con los requisitos de gobernanza de datos del Artículo 10 de la Ley de IA de la UE para la IA de alto riesgo. La sección de datos de entrenamiento de su documentación técnica del Anexo IV debe registrar la base jurídica del artículo 9 del RGPD para el uso de datos de salud, documentar la representatividad de la población entre subgrupos demográficos y abordar las disparidades de rendimiento. Un sistema entrenado predominantemente con datos de un grupo demográfico puede producir resultados clínicamente peores para otros: eso es a la vez una cuestión de gobernanza de datos del Artículo 10 y una cuestión de exactitud del Artículo 15.

Validación clínica y el Artículo 15

El Artículo 15 exige exactitud, robustez y ciberseguridad adecuadas a la finalidad prevista del sistema. Para la IA clínica, esto significa una exactitud validada entre subgrupos de pacientes (edad, sexo, etnia, gravedad de la enfermedad), no solo las métricas de rendimiento globales. Una IA de diagnóstico que reporta una sensibilidad del 94 % en su cohorte de validación pero rinde con una sensibilidad del 78 % para un grupo demográfico concreto tiene un problema del Artículo 15, no meramente una preocupación de calidad clínica.

Para la IA regulada por el MDR, la evaluación clínica en virtud del Anexo XIV del MDR y los requisitos del Artículo 15 de la Ley de IA de la UE se solapan significativamente. Cartografíelos explícitamente: las lagunas en la evidencia clínica de un marco a menudo revelan lagunas en el otro.

Supervisión humana en virtud del Artículo 14

El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen para permitir la supervisión humana —que los supervisores puedan comprender, vigilar e intervenir para detener o anular el resultado del sistema—. En sanidad, esta obligación recae en el diseño del sistema. Una IA de diagnóstico que produce un resultado que un facultativo no puede interrogar, o una recomendación que no puede documentarse como anulada en el flujo de trabajo clínico, incumple el Artículo 14 por diseño.

La supervisión clínica real no es una supervisión nominal. Una casilla que dice «revisado por el facultativo» no es suficiente si el flujo de trabajo clínico no proporciona al facultativo la información necesaria para ejercer un juicio genuino. Los proveedores deben diseñar para una supervisión real y documentar cómo el diseño la posibilita en el entorno de despliegue previsto.

Vigilancia poscomercialización y vigilancia del MDR

El Artículo 72 exige que los proveedores de IA de alto riesgo dispongan de un plan de vigilancia poscomercialización, recopilando y revisando datos de rendimiento del mundo real. El Artículo 73 exige que los proveedores notifiquen los incidentes graves —fallos de funcionamiento con un riesgo para la salud o la seguridad de las personas— a las autoridades nacionales de vigilancia del mercado: en un plazo de 15 días desde el conocimiento (Artículo 73, apartado 2), 2 días para infracciones generalizadas o perturbaciones de infraestructuras críticas (Artículo 73, apartado 3), y 10 días cuando se haya producido un fallecimiento (Artículo 73, apartado 4).

El Artículo 87 del MDR impone sus propias obligaciones de notificación de vigilancia a los fabricantes de productos: los incidentes graves y las acciones correctivas de seguridad en el campo deben notificarse a la autoridad competente. Estos dos marcos son obligaciones paralelas. Las empresas con IA regida por el MDR deben construir un protocolo coordinado de notificación de incidentes que satisfaga ambos simultáneamente.

Evaluación de impacto relativa a los derechos fundamentales (Artículo 27)

Los responsables del despliegue que son organismos públicos o que despliegan IA de alto riesgo en el contexto de la atención sanitaria financiada con fondos públicos —y los responsables del despliegue de sistemas del Anexo III, 5(b) (solvencia) o 5(c) (seguros de salud o de vida)— deben completar una evaluación de impacto relativa a los derechos fundamentales (EIDF) del Artículo 27 antes del despliegue. Un hospital público que despliega IA de triaje está dentro del ámbito. Un hospital privado que presta servicios bajo un contrato con un fondo público de salud debe evaluar si cumple la definición de prestador de servicio público.

La EIDF debe abordar los derechos y los grupos en riesgo: resultados de triaje discriminatorios para poblaciones de pacientes vulnerables, acceso a la atención y no discriminación, el derecho a una tutela efectiva frente a decisiones influidas por la IA. En virtud del Artículo 27, apartado 4, la EIDF puede basarse en una EIPD del RGPD existente: son evaluaciones distintas, pero el análisis del tratamiento de datos de una EIPD aporta información útil.

La exposición sancionadora

El incumplimiento de las obligaciones de alto riesgo (Artículos 9 a 15, 16 a 27, 43, 47 a 49, 72 y 73) acarrea una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, en virtud del Artículo 99, apartado 4, del Reglamento (UE) 2024/1689. Para una empresa de tecnología sanitaria con 100 millones de euros de ingresos anuales, ese techo es de 3 millones de euros. Para un gran sistema de salud integrado, significativamente más.

La disposición de proporcionalidad para pymes y empresas emergentes del Artículo 99, apartado 6, limita las multas al menor de los dos importes, el porcentaje o la cantidad fija: una protección significativa para las empresas de tecnología sanitaria más pequeñas.

Cómo ayuda Confir a las empresas sanitarias

Clasificar correctamente la IA sanitaria es el primer paso más difícil, y aquel en el que la distinción entre la vía del Anexo I y la del Anexo III importa más. El flujo de trabajo de clasificación basado en reglas de Confir cubre ambas vías: la admisión guiada distingue la IA de productos sanitarios (Artículo 6, apartado 1 / Anexo I) de la IA de servicios de salud del Anexo III, registra la base reguladora concreta y enlaza con el conjunto de obligaciones apropiado.

Para los proveedores de tecnología sanitaria, el módulo AIRC de Confir asigna su sistema a la vía de evaluación de la conformidad correcta, y el módulo AITR (Artículos 10 y 15) genera el marco de documentación de gobernanza de datos específico para los datos de entrenamiento sanitarios —base jurídica del artículo 9 del RGPD, rendimiento por subgrupos, medidas correctoras— para su inclusión en la documentación técnica del Anexo IV.

Para los responsables del despliegue sanitarios, el flujo de trabajo de la EIDF de Confir está asignado al Artículo 27, apartado 1, letras a) a g), con orientación específica sanitaria sobre los derechos de los pacientes, las obligaciones de acceso a la atención y la interacción con el RGPD. El resultado es un documento de EIDF formateado y presentable.

La lógica de clasificación y documentación es determinista y basada en reglas. Las mismas respuestas de admisión producen la misma conclusión reguladora: reproducible, explicable y defendible en una auditoría.

Para el programa operativo paso a paso, consulte cumplimiento de la IA para sanidad.

Preguntas frecuentes

¿Qué plazo de la Ley de IA de la UE se aplica a la IA de productos sanitarios?

El software de IA que es un producto sanitario o un producto para diagnóstico in vitro en virtud del MDR (Reglamento (UE) 2017/745) o el IVDR (Reglamento (UE) 2017/746) es de alto riesgo en virtud de la Ley de IA de la UE a través del Artículo 6, apartado 1, y el Anexo I. El plazo aplicable es el 2 de agosto de 2028, en virtud del Ómnibus Digital acordado en mayo de 2026. Este es el plazo para la IA de alto riesgo integrada en productos regulados del Anexo I. La fecha original del 2 de agosto de 2026 fue aplazada por el Ómnibus Digital; la fecha del 2 de diciembre de 2027 se aplica a los sistemas autónomos del Anexo III, no a los sistemas por la vía del producto del Anexo I.

¿Es la IA de triaje de emergencia de alto riesgo en virtud de la Ley de IA de la UE?

Sí. Los sistemas de IA que determinan el orden en que se atiende a los pacientes de urgencias —algoritmos de triaje, IA de envío de servicios de emergencia— son de alto riesgo en virtud del Anexo III, punto 5 (acceso a servicios esenciales privados y públicos). La sanidad es un servicio esencial, y un sistema que determina el acceso de un paciente a la atención de urgencias está dentro del ámbito. El plazo para estos sistemas del Anexo III es el 2 de diciembre de 2027.

¿Cuáles son las principales obligaciones para los hospitales que despliegan IA clínica?

Los hospitales que despliegan IA de alto riesgo deben: utilizar el sistema únicamente de acuerdo con las instrucciones del proveedor (Artículo 26); designar personal cualificado como supervisores humanos capaces de vigilar y anular los resultados de la IA (Artículo 14 + Artículo 26); conservar los registros del uso del sistema de IA durante al menos 6 meses (Artículo 26); y completar una evaluación de impacto relativa a los derechos fundamentales (Artículo 27) si son prestadores de servicios públicos o despliegan sistemas del Anexo III, punto 5, letras b)/c). Los hospitales públicos están claramente dentro del ámbito de la EIDF.

¿Cómo interactúa la Ley de IA de la UE con el MDR/IVDR para un producto de IA médica?

Ambos se aplican en paralelo. El MDR y el IVDR rigen los aspectos del producto sanitario —evaluación clínica, pruebas de rendimiento, intervención de organismo notificado para las clases IIa/IIb/III y las clases B/C/D del IVDR—. La Ley de IA de la UE añade sus propios requisitos: un sistema de gestión de riesgos del Artículo 9 específico para los riesgos de IA, gobernanza de datos del Artículo 10, diseño de supervisión humana del Artículo 14, validación de exactitud por subgrupos demográficos del Artículo 15 y evaluación de la conformidad del Artículo 43. En virtud del Artículo 47, una única declaración UE de conformidad combinada puede cubrir ambos. La documentación técnica debe asignar cada sección al reglamento que satisface.

¿Deben los chatbots de IA de cara al paciente cumplir la Ley de IA de la UE?

Sí. El Artículo 50, apartado 1, exige que cualquier sistema de IA destinado a interactuar directamente con personas físicas revele que la persona interactúa con una IA, salvo que resulte obvio para un usuario informado. Esto se aplica a partir del 2 de agosto de 2026 y cubre los chatbots de pacientes utilizados para orientación sintomática, reserva de citas o información sanitaria. No requiere una evaluación de la conformidad. Si el chatbot cruza a una ayuda a la decisión clínica suficiente para considerarse producto sanitario, se aplica la pila completa de alto riesgo del MDR/Ley de IA.

¿Qué reglas de datos de salud se aplican al entrenar un sistema de IA clínica?

Los datos de salud son datos de categorías especiales en virtud del artículo 9 del RGPD. Entrenar un sistema de IA clínica con datos de salud requiere una base jurídica explícita —normalmente el artículo 9, apartado 2, letra h) (prestación de asistencia sanitaria) o el consentimiento explícito—. Esto debe documentarse como parte de la sección de gobernanza de datos del Artículo 10 en su documentación técnica del Anexo IV. El Artículo 10 de la Ley de IA de la UE también exige que los datos de entrenamiento sean representativos de la población de pacientes prevista y que se evalúen y aborden las disparidades de rendimiento entre subgrupos demográficos.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.