Decisión clínica asistida por IA convive con tres marcos: ISO 42001 + MDR + ISO 13485. Tratar uno como suficiente es operativamente inseguro.
Triaje, dosificación, diagnóstico asistidos por IA son típicamente alto riesgo. ISO 42001 es necesaria. No suficiente.
La salud digital con componentes de IA — triaje automatizado, asistentes de diagnóstico por imagen, sistemas de dosificación, prediccción de descompensación clínica, screening de pacientes — opera bajo una convergencia regulatoria compleja: EU AI Act (alto riesgo bajo Anexo III punto 5), Medical Device Regulation 2017/745 cuando el sistema califica como dispositivo médico, ISO 13485 como sistema de gestión específico de dispositivos médicos, y ahora ISO 42001 como sistema de gestión de IA.
Esta aplicación describe la convergencia, los productos típicamente afectados, y el patrón observable en readiness para healthtech LATAM con clientes europeos.
El Anexo III punto 5(a) del AI Act incluye sistemas de IA destinados a ser usados para evaluación de elegibilidad para servicios de salud esenciales. Más relevante: el régimen MDR define como dispositivo médico cualquier producto destinado a diagnóstico, prevención, monitoreo, predicción, pronóstico, tratamiento o alivio de enfermedad — y un dispositivo médico con componente de IA cae bajo el régimen dual MDR + AI Act.
Productos típicamente afectados: asistentes de diagnóstico por imagen (radiología, dermatología, oftalmología), sistemas de triaje automatizado en urgencias, sistemas de dosificación personalizada, predictores de descompensación clínica (sepsis, falla renal, deterioro), sistemas de screening de cáncer asistidos por IA.
Productos en frontera: chatbots de información médica general (típicamente bajo riesgo si no entregan diagnóstico personalizado), sistemas de recordatorio de medicación (bajo riesgo si no ajustan dosis), sistemas administrativos en hospital (bajo riesgo).
La clasificación dual MDR + AI Act multiplica las obligaciones. No es una u otra — son ambas, simultáneamente.
ISO 13485:2016 es el sistema de gestión específico de dispositivos médicos. Para fabricantes de software como dispositivo médico (SaMD), ISO 13485 es el vehículo certificable que demuestra el sistema de calidad. ISO 13485 mapea contra MDR — pero no contra AI Act específicamente.
ISO 42001 cubre la dimensión de IA del sistema. Para un fabricante de dispositivo médico con IA, ambos sistemas — 13485 + 42001 — pueden integrarse. La integración no es trivial: los dominios se solapan (gestión de riesgos, ciclo de vida del producto, post-market surveillance) pero las metodologías difieren. ISO 14971 (gestión de riesgos en dispositivos médicos) e ISO/IEC 23894 (gestión de riesgos en IA) hacen referencias cruzadas pero requieren articulación.
AI Act Art. 16 requiere conformity assessment para sistemas de alto riesgo. Para dispositivos médicos con IA, el conformity assessment del AI Act se integra con el del MDR — pero las autoridades notificadas competentes pueden ser distintas, y la integración procesal es área activa de desarrollo regulatorio europeo.
AI Act Art. 14 (supervisión humana) tiene lectura específica en contexto clínico. La supervisión humana de un sistema de diagnóstico por imagen no es "un radiólogo revisa el resultado de la IA". Es: la decisión clínica final reside en el clínico, con autoridad efectiva para confirmar, modificar o descartar la sugerencia de la IA; el clínico tiene acceso a la información necesaria para esa decisión; el sistema no produce decisión automatizada vinculante sin intervención clínica.
En el diseño operativo, esto exige: interfaz que presenta la sugerencia de la IA como sugerencia, no como conclusión; trazabilidad de la decisión humana (¿el clínico aceptó? ¿modificó? ¿descartó?); auditoría periódica del patrón de decisiones humanas para identificar automation bias (cuando el clínico acepta sistemáticamente sin revisar).
La supervisión humana significativa es exigencia regulatoria. La automation bias no detectada es la principal causa de fallas clínicas en sistemas con IA en producción según literatura médica reciente.
El Art. 27 del AI Act establece la FRIA. Para sistemas de salud, la FRIA tiene ingredientes específicos: análisis de impacto sobre el derecho a la salud (dignidad humana), sobre la no discriminación (sesgos demográficos en datasets de entrenamiento), sobre el debido proceso (mecanismos de revisión de decisiones automatizadas), sobre la protección de datos especialmente sensibles (categoría especial bajo GDPR Art. 9).
La FRIA en salud no es DPIA renombrada. Aunque la DPIA cubre la dimensión de datos personales, no cubre el análisis sobre derechos fundamentales en su sentido constitucional amplio. La integración de DPIA + FRIA + Conformity Assessment es el trío documental que un sistema de IA clínico desplegado en EU exige.
Datasets de entrenamiento sub-representados en poblaciones específicas (etarias, étnicas, comorbilidades) que producen modelos con performance desigual. Para sistemas clínicos, esto puede traducirse en menor precisión diagnóstica en poblaciones vulnerables — y eso es discriminación bajo el AI Act y bajo derecho sanitario.
Patrón en el que el clínico acepta la sugerencia del modelo sin revisión sustantiva. Aparece cuando la interfaz no facilita el cuestionamiento, cuando la presión asistencial es alta, cuando el modelo tiene historial de acierto que erosiona el escrutinio. Es el riesgo principal en producción.
Sistemas en producción sin programa formal de monitoreo de performance clínica en el tiempo. El modelo entrenado con datos de hace dos años puede haber derivado por cambios poblacionales o por cambios en la práctica clínica. Sin monitoreo, la degradación es invisible.
El paciente puede no saber que su diagnóstico fue asistido por IA. Bajo GDPR Art. 22 (decisiones automatizadas) y bajo principios de consentimiento informado clínico, la transparencia sobre el uso de IA es exigible en muchos contextos.
Sistema que produce sugerencia pero no registra si el clínico la siguió, la modificó o la descartó. Sin esa trazabilidad, no hay supervisión humana auditable.
Evaluación contra ISO 42001 + ISO 13485 (si aplica) + matriz AI Act + matriz MDR. Identificación de productos de alto riesgo, clasificación regulatoria, cobertura efectiva del sistema de gestión actual.
Conformity assessment AI Act para productos provider. FRIA para deployers de servicios públicos. Documentación técnica AI Act Art. 11. Integración con documentación MDR. Plan post-market monitoring clínico.
Sistema integrado ISO 42001 + ISO 13485 + ISO 14971. Procesos de supervisión humana clínica documentados. Trazabilidad de decisión clínica operativa. Mecanismos de queja y respuesta a materialización de riesgo.
Auditoría interna conjunta + auditoría de certificación por organismo acreditado + conformity assessment con notified body europeo cuando aplique.
Salud digital con IA opera en intersección regulatoria sin precedentes en complejidad. Tratar a uno de los marcos como suficiente es operativamente inseguro y, en términos regulatorios, descalificable. La inversión en sistema convergente, simultánea y planificada, es operativamente más eficiente que la implementación reactiva ante cada marco regulatorio.
Diagnóstico inicial en 72 horas operativas, bajo criterio ISO 19011 e imparcialidad declarada ISO/IEC 17021-1.
Solicitar diagnóstico