Las calles de Manchester estaban envueltas en humo; los talleres hervían de actividad. El prototipo avanzaba sin descanso, produciendo más en una hora que un hombre en un día. Algunos lo celebraban como el inicio de una nueva era de prosperidad; otros lo maldecían como la ruina del trabajador. El futuro se anunciaba prometedor, pero también incierto.
Podría parecer un artículo sobre inteligencia artificial en pleno siglo XXI. Pero no: describe el impacto de la Revolución Industrial hace dos siglos. Cada salto tecnológico repite el mismo contrapunto: entusiasmo y miedo, esperanza y escepticismo.
La inteligencia artificial (en adelante, IA) ya no es una promesa lejana, sino una realidad que entra con paso firme en consultas, quirófanos y salas de urgencias. Clasifica pacientes, interpreta imágenes médicas, alerta sobre riesgos de deterioro y optimiza recursos en tiempo real. El salto es real. La cuestión ya no es si la sanidad usará IA, sino en qué condiciones.
Y ahí entra en escena el Reglamento (UE) 2024/1689, la primera norma integral que ordena el uso de estos sistemas de IA con un principio tan simple de enunciar como difícil de aplicar: proteger derechos y seguridad en proporción al riesgo.
La lección de Manchester sigue vigente: la tecnología transforma procesos y expectativas, pero la legitimidad de su adopción depende de las instituciones que la encuadran. Hoy, como entonces, no basta con innovar: hay que gobernar. En sanidad, gobernar la IA significa hacer verificable lo que prometemos (seguridad, explicabilidad, no discriminación) y traducirlo en responsabilidad concreta ante pacientes y profesionales.
Una norma ambiciosa… y no lineal
El nuevo Reglamento europeo es, a la vez, ambicioso y complejo. No se recorre como un texto clásico, sino que se navega: para determinar si un sistema es de “alto riesgo” hay que leer simultáneamente el artículo que prohíbe ciertos usos, el que clasifica los riesgos, el que exige gestión y mitigación, el que impone evaluación de impacto en derechos fundamentales y el anexo que lista los casos sanitarios. Esta estructura obliga a los operadores a trabajar con mapas y brújulas jurídicas, no con resúmenes simplificados.
También impone un calendario exigente. Desde el 2 de febrero de 2025 son obligatorias dos medidas básicas: informar cuando una persona interactúa con un sistema de IA y formar al personal sanitario que lo utiliza. En medicina, esto no es un mero requisito formal: el modo en que un profesional interpreta una alerta o decide anularla es parte de la seguridad del paciente. El 2 de agosto de 2025 se activó la gobernanza general, con capacidad sancionadora; en 2026 llegan las obligaciones plenas para sistemas de alto riesgo y en 2027 se completa la integración con los marcos sanitarios existentes.
Traducido: el tiempo de preparación es ahora.
Qué es “alto riesgo” en sanidad (y por qué importa)
En sanidad, el foco natural recae en los dispositivos médicos de riesgo moderado-alto y alto (clases IIa, IIb y III), pero el Reglamento va más allá: incluye sistemas de triaje de urgencias y modelos que evalúan o predicen riesgos de salud.
La frontera no siempre es clara: ¿un algoritmo que anticipa sepsis entra siempre en alto riesgo? ¿Y uno que solo organiza turnos de enfermería? Todo depende del uso previsto y del impacto potencial sobre la vida o los derechos del paciente.
El enfoque basado en el riesgo es saludable para el Derecho y realista para la clínica, pero añade deberes de prueba. El Reglamento exige razones verificables: por qué una variable es clínicamente relevante, cómo se han obtenido los datos, qué métricas justifican el desempeño, y qué mecanismos garantizan la supervisión humana efectiva. Esa es quizá su mayor aportación: hacer de la ética un diseño operativo.
La tensión de fondo: personalización clínica vs. representatividad de datos
La medicina avanza hacia la personalización extrema, mientras el Reglamento exige datos representativos y de calidad. No es un dilema teórico. Un modelo que predice respuesta a inmunoterapia necesita diversidad poblacional, pero su eficacia depende de segmentar por biomarcadores y mutaciones que convierten a cada paciente en un caso único.
La respuesta jurídica no es burocrática: representatividad proporcional al uso previsto. Si el sistema se aplica a oncología pediátrica, no se requieren datos geriátricos, pero sí diversidad dentro del segmento. Es la llamada representatividad situada: justificada, coherente con el contexto y abierta a revisión.
A ello se suma una segunda exigencia: trazabilidad. No siempre hay que abrir las “tripas” del algoritmo, pero sí poder reconstruir la cadena de datos, las versiones del modelo y los cambios que afectan a su comportamiento. En el diagnóstico por imagen, por ejemplo, lo relevante no es mostrar la fórmula matemática, sino ofrecer una explicación útil: qué rasgos de la imagen influyeron en el diagnóstico, cuándo el modelo pierde rendimiento y cómo se calibra frente a diferentes poblaciones.
De la letra al hospital: dónde se juega el Reglamento
Triaje en urgencias. Clasificar por prioridad salva vidas, pero puede amplificar sesgos si no se validan bien las variables. La edad puede ser clínicamente relevante, pero su uso debe estar justificado y revisado.
Salud mental. Evaluar el riesgo de suicidio o de episodio psicótico es alto riesgo por definición. La norma establece un principio esencial: la supervisión humana efectiva. La IA alerta; la decisión clínica es humana. Debe existir capacidad de anular la recomendación automatizada sin penalizar al profesional y con registro trazable de las decisiones.
Diagnóstico por imagen. Un sistema que detecta nódulos pulmonares debe acreditar sensibilidad y especificidad en poblaciones diversas y, además, trazabilidad. No se trata de una transparencia absoluta, sino de una explicabilidad clínica que permita confiar o desconfiar con criterio.
Asignación de recursos críticos. Los algoritmos que priorizan acceso a UCI o a ventiladores son de alto riesgo y requieren evaluación de impacto en derechos fundamentales antes del uso: dignidad, no discriminación, revisión individual. Nada de automatismos ciegos: la norma exige capacidad de excepción razonada.
El punto ciego: interoperabilidad y calidad del dato
El Reglamento regula sistemas, pero la asistencia real funciona como un ecosistema de historias clínicas, sensores, laboratorio y farmacia. Si un modelo falla porque el laboratorio arrastra un error de calibración, ¿quién responde? ¿el fabricante, el hospital o el integrador? La responsabilidad aún no está nítidamente resuelta.
La estrategia europea de Espacios de Datos Sanitarios busca unir interoperabilidad y garantías, pero aparece una tensión práctica: representatividad y calidad del dato vs. escalabilidad. La mayoría de los fallos no proviene del algoritmo, sino de la malnutrición de datos con que se le alimenta. La lección jurídica es clara: gobernar el dato es el primer escalón del cumplimiento.
Comparar no es copiar: tres modelos y sus costes
En regulación sanitaria, los tiempos y costes varían tanto como los principios que los inspiran.
En Estados Unidos, la aprobación de un sistema de IA médica puede obtenerse en seis a doce meses, con un coste medio de medio millón a dos millones de dólares. La agencia del medicamento (FDA) centra su revisión en la seguridad y eficacia clínica, lo que permite a las empresas comercializar sus productos con relativa rapidez una vez superadas las pruebas y la documentación técnica.
China, en cambio, mantiene un proceso todavía más ágil, con plazos de tres a seis meses, aunque a costa de garantías mucho más débiles en privacidad, consentimiento y derechos de los pacientes.
Europa ha optado por un modelo más garantista: la combinación del Reglamento de Dispositivos Médicos (MDR/IVDR) con el Reglamento de Inteligencia Artificial (2024/1689) eleva tanto los tiempos como los costes de cumplimiento, entre dieciocho y veinticuatro meses y de uno a tres millones de dólares por sistema de alto riesgo, pero ancla la innovación en los derechos fundamentales y en la rendición de cuentas.
En resumen, Estados Unidos llega antes, China llega más rápido, y Europa intenta llegar mejor pero mucho más tarde, priorizando la seguridad jurídica, la confianza y la dignidad del paciente.
La paradoja europea y la oportunidad
Europa cuenta con la mejor arquitectura jurídica para la IA sanitaria, pero sufre una brecha de capacidades frente a Estados Unidos y China: menos inversión, menos unicornios y menos investigadores séniores.
El riesgo es claro: aplicar la mejor ley del mundo a modelos desarrollados fuera, con datos ajenos a nuestros valores.
La oportunidad es convertir el cumplimiento normativo en ventaja competitiva. Un sello “EU AI Act compliant” puede convertirse en sinónimo de confianza clínica y diferenciación en los mercados globales. No se trata de ver el cumplimiento como un obstáculo, sino como un activo reputacional: la certificación de que un sistema es seguro, trazable y ético.
Gobernanza y supervisión: quién vigila y qué puede ocurrir
Desde el 2 de agosto de 2025, la supervisión dejó de ser retórica. En España intervendrán tres autoridades:
la Agencia Española de Supervisión de la IA (AESIA), la Agencia Española de Protección de Datos (AEPD) y la Agencia Española del Medicamento y Productos Sanitarios (AEMPS).
Un mismo sistema de diagnóstico podría estar bajo la jurisdicción de las tres al mismo tiempo.
El régimen sancionador es contundente: multas de hasta 35 millones de euros o el 7 % del volumen global de negocio. Pero lo más disruptivo no es la multa, sino la posibilidad de suspensión cautelar del sistema durante la investigación. En sanidad, eso puede significar paralizar un servicio esencial.
La conclusión es evidente: el cumplimiento no es una cuestión formal, sino una necesidad operativa.
Un criterio simple para decisiones difíciles
En última instancia, el hilo conductor del Reglamento es la confianza verificable. No basta con afirmar que un sistema es seguro o justo: hay que poder demostrarlo.
En sanidad, esa diferencia se mide en trazabilidad, en capacidad de reconstruir qué pasó y por qué, y en la existencia de canales de revisión cuando algo falla.
La ética que propone el Reglamento no es teórica, sino operativa: basada en evidencias y en responsabilidades claras.
Para cualquier gestor o clínico, las preguntas esenciales deberían ser tres:
- ¿Para qué uso este sistema y con qué nivel de riesgo?
- ¿Qué evidencia tengo de que funciona en mi contexto?
- ¿Cómo lo superviso, corrijo y explico si falla o cambia el entorno?
Si no hay respuestas sólidas, el problema no está en la norma, sino en el diseño.
Conclusión: del discurso a la garantía
El Reglamento (UE) 2024/1689 no frena la innovación, la encuadra para que llegue al paciente con garantías. Nos recuerda tres verdades esenciales:
- La salud no puede quedar a merced de un algoritmo opaco.
- La eficiencia no justifica debilitar el consentimiento informado.
- La dignidad del paciente es irrenunciable, también en la era de la IA.
Si Europa dota de medios a esta arquitectura, capacidad técnica, financiación, datos de calidad y formación especializada, el cumplimiento se convertirá en una ventaja clínica y social.
Si no, corremos el riesgo de tener la mejor ley del mundo sin manos que la apliquen.
Y en sanidad, esa diferencia no se mide en indicadores abstractos: se mide en vidas humanas.
La pregunta final ya no es “¿podemos usar la IA en sanidad?”, sino “¿cómo la hacemos digna de confianza y cómo lo demostramos?”.
Cuando sepamos responderla con rigor, el paso del texto legal al quirófano dejará de ser un salto de fe y será, por fin, una garantía real.
Sobre el autor
Carlos García-Llorente, Asesor jurídico y Administrador de empresas
