¿Cómo afecta el Reglamento europeo de inteligencia artificial al sector de la salud?

Con la entrada en vigor del Reglamento europeo de inteligencia artificial, también conocido como AI Act, publicado el 12 de julio en el Diario Oficial de la Unión Europea, todas las entidades que desarrollen o implanten soluciones de inteligencia artificial en la Unión Europea tendrán que garantizar su pleno cumplimiento en un plazo máximo de tres años, en función del riesgo que presenten. El objetivo de la nueva ley es velar por la fiabilidad y seguridad de los sistemas de inteligencia artificial y el respeto a los derechos fundamentales de las personas.

En este artículo, explicamos las principales consideraciones y obligaciones que cualquier entidad pública o privada con un sistema de inteligencia artificial en salud utilizado en la Unión Europea deberá contemplar según el tipo de riesgo que presente su solución. Sin embargo, hay que tener en cuenta los diferentes casos y excepciones estipulados en la normativa y ver en los próximos años cómo se acaba interpretando, ya que todavía quedan puntos por esclarecer, tal y como apuntan diferentes actores[i] [ii] [iii].

¿Qué entiende la nueva ley por sistema de inteligencia artificial?

La definición de sistema de inteligencia artificial ha sido uno de los puntos que más debate[iv] ha generado en el proceso de aprobación de la normativa, ya que inicialmente podía incluir cualquier software formado por algoritmos fijos basados ​​en reglas, como los que se utilizan en muchos dispositivos médicos. Finalmente, la opción consensuada incluye la capacidad de adaptación:

“Un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales.”

Clasificación según el riesgo y obligaciones en el ámbito de la salud

El reglamento clasifica los sistemas de inteligencia artificial en cuatro categorías según el riesgo potencial que presentan, y fija una serie de requisitos y obligaciones para cada una de ellas. A continuación, resumimos las diferentes categorías y obligaciones, centrándonos en ejemplos aplicados en el ámbito de la salud.

1. Sistemas de riesgo inaceptable

Son todos aquellos que suponen una amenaza para la seguridad, medios de vida o derechos de las personas. En esta categoría entraría, por ejemplo, cualquier solución del ámbito de la salud que utilice técnicas manipuladoras o engañosas para fomentar comportamientos peligrosos, alterar la conducta, interferir las emociones o aprovecharse de alguna vulnerabilidad.

Obligaciones: su uso está prohibido en toda la Unión Europea.

2. Sistemas de alto riesgo

Engloban todas aquellas soluciones que pueden tener un impacto potencial en los derechos y toma de decisiones sobre las personas, como es el caso de un diagnóstico o tratamiento en el ámbito de la salud. En esta clasificación entrarían los dispositivos médicos (con certificación MDR) de clase IIa o superior con inteligencia artificial y productos de diagnóstico in vitro (todos aquellos con certificación IVDR) que utilicen también esta tecnología. Así, por ejemplo, encontraríamos sistemas que incorporan la inteligencia artificial en el ámbito del software de interpretación de imágenes radiológicas, de electrocardiogramas, sistemas de monitorización a distancia de pacientes, de gestión del ritmo cardíaco, o de análisis de embriones en fecundación in vitro para evaluar y seleccionar embriones para la transferencia, entre otros.

En la categoría de alto riesgo, también entrarían los sistemas que utilicen la inteligencia artificial como componente de seguridad, como puede ser el caso de la cirugía asistida por robot, los que incorporen la identificación biométrica, y determinadas soluciones de inteligencia artificial de asistencia sanitaria, sean o no dispositivos médicos. En este caso se incluirían, por ejemplo, sistemas que podrían ser utilizados por autoridades públicas para evaluar la elegibilidad de las personas para los servicios públicos esenciales, soluciones para la evaluación y clasificación de llamadas de emergencia, sistemas para envío de servicios de primera intervención en emergencias médicas, o soluciones para el triaje de pacientes en urgencias con inteligencia artificial.

Obligaciones: todos los sistemas considerados de alto riesgo están sometidos a estrictas obligaciones antes de su comercialización. Las principales obligaciones exigen implementar sistemas adecuados de evaluación y mitigación de riesgos; velar por la alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y resultados discriminatorios; crear un registro de la actividad para garantizar la trazabilidad de los resultados; elaborar documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades puedan realizar una evaluación de impacto antes del primer uso; ofrecer información clara y adecuada para la entidad implantadora; garantizar medidas adecuadas de supervisión humana para minimizar el riesgo; y presentar un alto nivel de robustez, seguridad y precisión. Los promotores de productos sanitarios que ya dispongan de certificado MDR o IVDR también tendrán que seguir estas obligaciones, preparando documentación adicional sobre todos aquellos puntos que no hayan sido cubiertos en el proceso de obtención del marcado europeo.

3. Sistemas de riesgo limitado:

Son los sistemas destinados a la interacción que no influyen en la toma de decisiones, y cuyos riesgos están asociados principalmente con la falta de transparencia. En esta categoría entrarían, por ejemplo, determinados asistentes virtuales (chatbots) empleados en el ámbito de la salud que por su tipología no sean considerados de alto riesgo, aplicaciones de gestión de citas o apps de bienestar que utilicen inteligencia artificial, portales de contenidos relacionados con el ámbito de promoción de la salud elaborados con inteligencia artificial generativa, etc.

Obligaciones: es necesario identificar siempre cuando una solución utilice inteligencia artificial, para garantizar que las personas están informadas. Por ejemplo, es obligatorio que los seres humanos sean conscientes de que están interactuando con una máquina o asistente virtual, y etiquetar cualquier contenido generado por inteligencia artificial en cualquier formato (texto, vídeo o audio, entre otros).

4. Sistemas de riesgo mínimo:

En esa categoría entrarían las soluciones que aporten un riesgo mínimo o nulo.

Obligaciones: no tienen ningún tipo de restricción ni obligaciones, pero la normativa sugiere que se sigan principios generales como supervisión humana, no discriminación y equidad.

La ley también se refiere a los sistemas de inteligencia artificial de uso general, que pueden adaptarse a multitud de usos, más allá de los cuales fueron creados. Y en función de si presentan riesgos sistémicos o no, enumera una serie de obligaciones que también tendrán que cumplir.

Espacio controlado de pruebas

La nueva ley exige a las autoridades nacionales que desarrollen al menos un espacio controlado de pruebas (sandbox) con condiciones similares al mundo real para que los desarrolladores de soluciones de inteligencia artificial, especialmente los provenientes de la pequeña y mediana empresa, puedan tener oportunidad de desarrollar, entrenar y validar los modelos, durante un período limitado antes de su lanzamiento al público general. Sin embargo, habrá que ver cómo se articulará este entorno de pruebas y cómo se desplegará la nueva responsabilidad de las autoridades de evaluar los sistemas de alto riesgo en España. Sobre el entorno de pruebas, la legislación española ya contempló en el Real Decreto 817/2023, de 8 de noviembre, el establecimiento de un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta del Reglamento Europeo por el que se establecen normas armonizadas en materia de inteligencia artificial.

Con la ley también se ha anunciado la creación de la Oficina Europea de Inteligencia Artificial[v], que trabajará por la implementación de la nueva normativa y la elaboración de códigos de conducta, y promoverá el desarrollo y el uso de la inteligencia artificial fiable y la cooperación internacional.

¿Cuándo entrará plenamente en vigor?

El nuevo reglamento entrará en vigor el 1 de agosto, 20 días después de su publicación en el Diario Oficial de la Unión Europea, pero se prevén diferentes plazos máximos para su aplicación, según el riesgo que presente el sistema. Así, las normas se tendrán que aplicar en 6 meses para sistemas inaceptables, 12 meses para sistemas de IA de uso general, 24 meses para sistemas de riesgo alto indicados en el anexo III y 36 meses para los sistemas de IA mencionados en el anexo I.

El incumplimiento de las obligaciones fijadas en el reglamento puede dar lugar a sanciones elevadas, que pueden superar los 35 millones de euros o el 7% del volumen de negocios anual de una empresa, en caso de utilizar un sistema de riesgo inaceptable. En cualquier caso, la gravedad de la multa dependerá de distintos factores, como la naturaleza de la infracción, el tamaño de la empresa y cualquier infracción anterior. Queda pendiente que se determine, mediante la normativa nacional, si las administraciones públicas podrán ser sancionadas con multa o, como establece la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, quedan excluidas de este tipo de sanción económica.

Más información: Reglamento europeo de inteligencia artificial

Referencias

1 Gilbert S. (2024). The EU passes the AI Act and its implications for digital medicine are unclear. NPJ digital medicine, 7(1), 135. https://doi.org/10.1038/s41746-024-01116-6

2 MedTech Europe (2024) Medical Technology Industry Perspective on the final AI act, MedTech Europe. Available at: https://www.medtecheurope.org/resource-library/medical-technology-industry-perspective-on-the-final-ai-act/ (Accessed: 28 June 2024).

3 Lamb S, Tschammler D, Maisnier-Boché L. The impact of the new EU AI act on the medtech and Life Sciences Sector. McDermott Will & Emery. (2024, April 15). https://www.mwe.com/insights/the-impact-of-the-new-eu-ai-act-on-the-medtech-and-life-sciences-sector/#

4 Madiega, T. (2024) Artificial intelligence act, Briefing: Artificial intelligence act. Available at: https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf (Accessed: 28 June 2024).

5 European Commission (2024) European AI Office. Available at: https://digital-strategy.ec.europa.eu/en/policies/ai-office (Accessed: 28 June 2024).