A partir del 2 de agosto de 2026, cualquier sistema de IA integrado en un producto sanitario regulado bajo el MDR 2017/745 o el IVDR 2017/746 de la UE deberá cumplir con todas las obligaciones de alto riesgo de la Ley de IA de la UE 2024/1689. Esto se aplica en paralelo con el MDR, no como sustitución. Los fabricantes deben satisfacer ambos marcos regulatorios mediante una única evaluación de la conformidad.
Por qué los productos sanitarios con IA se clasifican automáticamente como de alto riesgo
El Artículo 6(1) de la Ley de IA clasifica los sistemas de IA como de alto riesgo cuando son componentes de seguridad de productos cubiertos por la legislación de armonización de la UE enumerada en el Anexo I. Tanto el MDR 2017/745 como el IVDR 2017/746 figuran en dicho anexo.
Esto significa que cualquier software como producto sanitario (SaMD) en las clases de riesgo IIa, IIb o III es automáticamente un sistema de IA de alto riesgo según la Ley de IA. No se requiere un análisis de clasificación independiente. Los productos de Clase I también pueden calificar si incluyen un componente de IA que actúa como componente de seguridad.
| Clase MDR | Clasificación Ley de IA | Justificación |
|---|---|---|
| III | Alto riesgo (automático) | Legislación de armonización incluida en el Anexo I |
| IIb | Alto riesgo (automático) | Igual |
| IIa | Alto riesgo (automático) | Igual |
| I | Potencialmente alto riesgo | Si la IA actúa como componente de seguridad |
Lo que la Ley de IA añade más allá del MDR
El MDR ya exige un sistema de gestión de calidad, evaluación clínica y vigilancia poscomercialización. La Ley de IA añade requisitos específicos para el componente de IA que van más allá de lo que el MDR establece:
Gestión de riesgos para IA (Artículo 9 de la Ley de IA): Un proceso de gestión de riesgos específico para IA, documentado y mantenido a lo largo de todo el ciclo de vida del sistema de IA. Este debe integrarse con el archivo de gestión de riesgos ISO 14971 existente, pero abordar riesgos específicos de la IA como el sesgo, el desplazamiento distribucional y los modos de fallo en casos límite.
Gobernanza de datos (Artículo 10 de la Ley de IA): Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad. Se deben documentar los métodos de recopilación de datos, abordar los posibles sesgos y garantizar que los conjuntos de datos sean relevantes, representativos y completos para el propósito previsto.
Transparencia (Artículo 13 de la Ley de IA): Los usuarios (responsables del despliegue) deben poder interpretar la salida del sistema de IA y comprender sus limitaciones. Las instrucciones de uso deben especificar el nivel de precisión, robustez y ciberseguridad que alcanza el sistema.
Supervisión humana (Artículo 14 de la Ley de IA): El sistema debe diseñarse de modo que una persona pueda supervisar eficazmente su funcionamiento, comprender sus capacidades y limitaciones, e intervenir o anularlo cuando sea necesario.
Precisión, robustez, ciberseguridad (Artículo 15 de la Ley de IA): El sistema debe alcanzar niveles adecuados de precisión, ser resiliente frente a errores e inconsistencias, y estar protegido contra manipulaciones no autorizadas.
Documentación técnica: requisitos dobles
Su expediente técnico se evalúa con arreglo a los requisitos tanto del MDR como de la Ley de IA. En la práctica, esto significa que la documentación técnica existente conforme al Anexo II/III del MDR debe complementarse con la documentación técnica del Anexo IV de la Ley de IA.
| Expediente técnico MDR | Adición del Anexo IV de la Ley de IA |
|---|---|
| Descripción del producto y finalidad prevista | Descripción detallada de los elementos del sistema de IA, proceso de desarrollo |
| Gestión de riesgos (ISO 14971) | Gestión de riesgos específica de IA con análisis de sesgo y robustez |
| Evaluación clínica (Anexo XIV del MDR) | Documentación de gobernanza de datos, conjuntos de datos de entrenamiento/validación |
| Ciclo de vida del software (IEC 62304) | Diseño del algoritmo, metodología de entrenamiento, métricas de rendimiento |
| Verificación y validación | Pruebas específicas de IA incluyendo casos límite, entradas adversarias |
| Plan de vigilancia poscomercialización | Monitorización del rendimiento de IA, plan de detección de desviación |
Evaluación de la conformidad: un procedimiento, dos marcos
El Artículo 43(1) de la Ley de IA especifica que la evaluación de la conformidad para sistemas de IA de alto riesgo integrados en productos sanitarios sigue el procedimiento ya establecido en el MDR. Su Organismo Notificado evalúa el cumplimiento tanto del MDR como de la Ley de IA en un único proceso.
Esto no significa menos trabajo. Significa que su Organismo Notificado evaluará los requisitos adicionales de la Ley de IA durante la misma auditoría. Es previsible que los ciclos de revisión se prolonguen y que surjan preguntas adicionales sobre gobernanza de datos, validación de algoritmos y mitigación de sesgos.
Plazos clave
| Fecha | Requisito |
|---|---|
| 2 de agosto de 2026 | Las obligaciones de alto riesgo para IA se aplican plenamente a los nuevos productos sanitarios con IA comercializados en el mercado de la UE |
| 2 de agosto de 2027 | Cumplimiento pleno requerido para productos sanitarios con IA ya comercializados antes de agosto de 2026 |
| Continuo | La monitorización poscomercialización debe incluir seguimiento del rendimiento de IA, detección de desviación y notificación de incidentes |
Los fabricantes que comercialicen nuevos SaMD basados en IA en el mercado de la UE después del 2 de agosto de 2026 deben demostrar el cumplimiento tanto del MDR como de la Ley de IA desde el primer día. No existe un período de transición para productos nuevos.
Cómo prepararse ahora
- Identificar sus componentes de IA: Identifique cada elemento de IA/ML en su producto y documente su papel en la toma de decisiones clínicas
- Ampliar su gestión de riesgos: Añada un análisis de riesgos específico de IA (sesgo, desplazamiento distribucional, robustez adversaria) a su archivo ISO 14971
- Documentar su flujo de datos: Registre las fuentes de datos, el preprocesamiento, el etiquetado, las particiones y los criterios de calidad para todos los datos de entrenamiento y validación
- Definir métricas de rendimiento: Establezca puntos de referencia de precisión, sensibilidad, especificidad y robustez con criterios de aceptación claros
- Planificar la monitorización: Construya un sistema de monitorización del rendimiento de IA poscomercialización que detecte la desviación y degradación del modelo a lo largo del tiempo
- Contactar tempranamente con su Organismo Notificado: Hable sobre la preparación para la Ley de IA con su ON ahora, ya que los plazos de auditoría ya están saturados
¿Busca la herramienta de inteligencia regulatoria adecuada? Lea nuestra guía para evaluar plataformas de inteligencia regulatoria.
Conclusiones clave
- Todos los SaMD basados en IA en las clases IIa a III del MDR se clasifican automáticamente como de alto riesgo según la Ley de IA de la UE
- La Ley de IA se aplica en paralelo con el MDR, no como sustitución
- Las nuevas obligaciones abarcan gobernanza de datos, transparencia, supervisión humana y gestión de riesgos específica de IA
- La documentación técnica debe satisfacer tanto el Anexo II/III del MDR como el Anexo IV de la Ley de IA
- Una única evaluación de la conformidad cubre ambos marcos, realizada por su Organismo Notificado
- Los productos nuevos deben cumplir a partir del 2 de agosto de 2026; los productos existentes, a partir del 2 de agosto de 2027
- Comience a prepararse ahora, ya que la capacidad de los Organismos Notificados ya está limitada
Cómo ayuda RegAid
RegAid cubre el texto completo de la Ley de IA de la UE 2024/1689 junto con el MDR 2017/745 y todas las guías del MDCG sobre software e IA. Pregunte "¿Qué requisitos de gobernanza de datos se aplican a mi diagnóstico con IA según la Ley de IA?" y obtenga una respuesta con citas que vincula los requisitos del Artículo 10 con sus obligaciones de documentación técnica del MDR.