Antonio E. Borjas Hernández

Asociado. Área de Privacidad, IT y Economía Digital

1. Introducción

Los fabricantes de productos sanitarios que incorporen un sistema de inteligencia artificial (en adelante, “IA”) deben tener en cuenta no solo las disposiciones del Reglamento (UE) 2017/745 sobre productos sanitarios (en adelante, el “MDR”) o, en su caso, del Reglamento (UE) 2017/746 sobre productos sanitarios para diagnóstico in vitro (en adelante, el “IVDR”), sino también las del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (en adelante, el “RIA”).

La convergencia entre la normativa de productos sanitarios y el RIA ha generado un marco regulatorio complejo que requiere una comprensión integral por parte de los fabricantes de este tipo de productos. En este contexto, el pasado junio de 2025, el Grupo de Coordinación de Productos Sanitarios (en adelante, el “MDCG”) y el Consejo Europeo de Inteligencia Artificial (en adelante, el “Consejo de IA”) publicaron un documento conjunto que aborda una de las cuestiones más relevantes de la regulación sanitaria actual: cómo interactúan el MDR/IVDR y el RIA en relación con productos sanitarios que incorporan sistemas de IA (en adelante, el “Documento Conjunto”).

El presente artículo analiza las principales conclusiones del Documento Conjunto y sus implicaciones prácticas que deberán considerar los fabricantes de productos sanitarios con sistemas de IA.

2. Marco regulatorio: complementariedad, no duplicación

Cuando un producto sanitario integre uno o varios sistemas de IA – a los que el Documento Conjunto denomina Medical Devices Artificial Intelligence (en adelante, los “MDAI”)-, resultarán de aplicación simultánea y complementaria tanto el MDR/IVDR como el RIA.

El MDR, el IVDR y el RIA contienen ciertas obligaciones que podrían solaparse y generar dudas sobre la correcta articulación entre estas normas, así como acerca de la posible duplicidad de requisitos o procedimientos. Por ejemplo, estos marcos normativos establecen exigencias relacionadas con las evaluaciones de conformidad, la gestión de riesgos, la documentación técnica o la vigilancia post comercialización, entre otras.

Para evitar dicha duplicidad, el RIA aclara que: (i) cuando un producto regulado por alguno de los actos legislativos de armonización de la Unión identificados en su Anexo I, entre los que se encuentran el MDR y el IVDR, incorpore un sistema de IA, el fabricante deberá cumplir tanto con los mencionados actos legislativos de armonización como con el RIA, si bien podrá integrar los procedimientos y la documentación exigidos por este último en los ya requeridos por la normativa sectorial, con el fin de evitar redundancias y cargas adicionales (artículo 8.2 RIA); (ii) la evaluación de la conformidad de los sistemas de IA de alto riesgo integrados en productos regulados por actos legislativos de armonización como el MDR o el IVDR, deberá llevarse a cabo dentro del procedimiento de evaluación de conformidad previsto por dicha normativa, sin alterar su lógica ni estructura (considerando 124 y artículo 43.3 RIA), y; (iii) cuando ya existan sistemas y planes de vigilancia post comercialización conformes con los actos legislativos de armonización (e.g. MDR o IVDR), los fabricantes podrán integrar en ellos los requisitos del RIA, siempre que se garantice un nivel de protección equivalente (artículo 72.4 RIA).

3. Clasificación: MDAI de alto riesgo

La determinación de si un MDAI constituye un sistema de IA de alto riesgo de acuerdo con el RIA depende de criterios específicos establecidos en el artículo 6.1 del RIA. Un MDAI se considera sistema de IA de alto riesgo si cumple con las siguientes condiciones:

• el sistema de IA es un componente de seguridad del producto sanitario, o el propio sistema de IA es un producto sanitario en sí mismo (artículo 6.1.a RIA), o;
• el producto sanitario que incorpore el sistema de IA está sujeto a una evaluación de conformidad por terceros por parte de un organismo notificado según el MDR o el IVDR (artículo 6.1.b RIA)

4. Requisitos esenciales de gestión de MDAI de alto riesgo

• Gestión del ciclo de vida y sistemas de gestión de calidad

El MDR/IVDR y el RIA establecen marcos complementarios de gestión continua del riesgo durante toda la vida útil del producto sanitario. El RIA refuerza estos principios con control continuo del rendimiento y procesos iterativos específicos para IA. Los fabricantes pueden integrar los requisitos del RIA en sistemas existentes bajo MDR/IVDR para evitar duplicidades.

• Gobernanza de datos y mitigación de riesgos

El RIA introduce requisitos específicos de calidad de datos (representativos, completos, con propiedades estadísticas adecuadas) y obligaciones para detectar, prevenir y mitigar sesgos que afecten la salud, seguridad o derechos fundamentales, complementando los requisitos generales del MDR/IVDR.

• Transparencia y supervisión humana

La relación entre el RIA y el MDR/IVDR en materia de transparencia y supervisión humana es de complementariedad y refuerzo mutuo. El RIA amplía los requisitos del MDR/IVDR mediante: (i) requisitos específicos de interpretabilidad de sistemas de IA; (ii) fortalecimiento de supervisión humana con alfabetización en IA del personal; (iii) gestión continua del riesgo, e; (iv) integración eficiente de procesos para evitar duplicidades.

5. Ciberseguridad y robustez

El MDR, IVDR y RIA exigen medidas sólidas de ciberseguridad pre y post comercialización para prevenir accesos no autorizados, ataques y manipulación, garantizando resistencia operativa.

El RIA requiere específicamente soluciones técnicas proporcionales para proteger activos de IA como datos de entrenamiento y modelos, prevenir envenenamiento de datos/modelos y detectar incidentes. La ciberseguridad debe integrarse en la gestión de riesgos y calidad, así como con la evaluación de conformidad y la vigilancia continua durante todo el ciclo de vida, permitiendo a los fabricantes integrar elementos del RIA en sistemas existentes bajo MDR/IVDR para evitar solapamientos.

6. Evaluación de conformidad

Para los MDAI de alto riesgo, el procedimiento de evaluación de conformidad se rige por el MDR o el IVDR. La mayoría de estos productos, salvo los MDR Clase I y IVDR Clase A, requieren la participación de un organismo notificado para auditar el sistema de gestión de calidad, revisar la documentación técnica e inspeccionar el producto.

El RIA, para los mencionados MDAI, establece que su sistema de IA debe superar una evaluación de conformidad que se realice dentro del mismo procedimiento regulado por el MDR/IVDR y por el mismo organismo notificado.

7. Monitoreo post comercialización

Tanto el MDR/IVDR como el RIA exigen que los fabricantes establezcan sistemas de monitoreo post comercialización proporcionales al nivel de riesgo del MDAI, para supervisar su rendimiento y seguridad una vez comercializado.

El RIA introduce requisitos adicionales para detectar y analizar interacciones con otros sistemas de IA, cuando sea relevante, y obliga a los responsables del despliegue a monitorizar las operaciones e informar a los fabricantes sobre cualquier evento que pueda afectar la conformidad del sistema. Este monitoreo debe estar adecuadamente documentado y formar parte integral de la gestión de calidad y cumplimiento regulatorio, facilitando una respuesta rápida ante posibles riesgos emergentes.