Ley de IA de la UE: ¿Su escriba de IA es de alto riesgo?
Un árbol de decisión en lenguaje claro para clínicas que navegan la Ley de IA de la UE. Descubra cuándo un escriba de IA es de alto riesgo y qué preguntar a su proveedor.
Escrito por
Equipo Clínico Dya
Expertos en Documentación Clínica
La Ley de IA de la UE ya no es una propuesta. Entró en vigor en agosto de 2024, y las normas que más importan a las clínicas — las obligaciones de alto riesgo para sistemas de IA — se aplicarán a partir de agosto de 2026. Si su consulta utiliza un escriba de IA, o planea hacerlo, la pregunta es sencilla: ¿cuenta como "alto riesgo"?
La respuesta no siempre es obvia. Un escriba de IA que transcribe una sesión y formatea una nota SOAP parece inofensivo. Pero si esa misma herramienta comienza a sugerir diagnósticos, señalar indicadores de riesgo o alimentar datos para decisiones de tratamiento, el panorama regulatorio cambia por completo.
Esta guía recorre la lógica de clasificación en lenguaje claro, explica los plazos que realmente importan y le proporciona una lista de preguntas para hacer a cualquier proveedor de IA antes de agosto de 2026.
Qué exige realmente la Ley de IA de la UE
La Ley de IA utiliza un marco basado en riesgos. No todos los sistemas de IA se tratan igual. Hay cuatro niveles:
- Riesgo inaceptable — prohibido directamente (puntuación social, IA manipulativa, vigilancia biométrica en tiempo real en espacios públicos)
- Alto riesgo — permitido, pero sujeto a requisitos estrictos de documentación, supervisión, transparencia y evaluación de conformidad
- Riesgo limitado — solo obligaciones de transparencia (p. ej., informar que un chatbot es IA)
- Riesgo mínimo — sin obligaciones específicas
La mayoría de las herramientas clínicas de IA se sitúan entre "alto riesgo" y "riesgo limitado". La distinción importa porque la clasificación de alto riesgo activa un régimen de cumplimiento completo: documentación técnica, sistemas de gestión de riesgos, mecanismos de supervisión humana, requisitos de gobernanza de datos y, en muchos casos, evaluación de conformidad por un organismo notificado externo.
Equivocarse tiene consecuencias reales. Las multas por clasificación errónea pueden alcanzar hasta 15 millones de euros o el 3% de la facturación anual global.
Las dos vías hacia el "alto riesgo"
Según el Artículo 6 de la Ley de IA, un sistema de IA se califica como de alto riesgo a través de una de dos vías:
Vía 1: Es un producto sanitario (Artículo 6(1), Anexo I)
Si su escriba de IA califica como producto sanitario — o es un componente de seguridad de uno — según el Reglamento de Productos Sanitarios (MDR) de la UE, y requiere una evaluación de conformidad por terceros (es decir, es Clase IIa o superior), es automáticamente un sistema de IA de alto riesgo.
Esto es relevante para herramientas de IA que van más allá de la documentación. Si el software analiza datos del paciente para sugerir diagnósticos, recomendar tratamientos o señalar riesgos clínicos, probablemente califica como Software como Producto Sanitario (SaMD) según el MDR.
Detalle clave: Las obligaciones completas para sistemas de IA de productos sanitarios según el Artículo 6(1) no se aplican hasta el 2 de agosto de 2027 — un año después de la fecha límite general de alto riesgo. El paquete Digital Omnibus propuesto por la UE podría retrasar esto aún más hasta agosto de 2028, dependiendo de cuándo estén disponibles las normas armonizadas.
Vía 2: Entra en un caso de uso del Anexo III (Artículo 6(2))
El Anexo III lista casos de uso específicos que automáticamente son de alto riesgo. Los relevantes para sanidad se encuentran en la Categoría 5 ("acceso a servicios esenciales"):
- Sistemas de IA utilizados para evaluar la elegibilidad para servicios sanitarios públicos o para conceder, reducir o revocar prestaciones
- Sistemas de IA utilizados para evaluación de riesgos y fijación de precios en seguros de vida y salud
- Sistemas de IA utilizados para triaje de llamadas de emergencia o despacho de servicios sanitarios de emergencia
Una herramienta puramente de documentación — que transcribe voz y formatea notas clínicas — no encaja claramente en ninguna de estas categorías. Pero la línea se difumina rápidamente si la herramienta comienza a influir en decisiones sobre el acceso del paciente, seguros o triaje.
El árbol de decisión: ¿es su escriba de IA "de alto riesgo"?
Este es el marco práctico. Recorra estas preguntas para cualquier herramienta de IA utilizada en su clínica:
Paso 1: ¿La herramienta califica como producto sanitario?
Pregunte directamente a su proveedor: ¿este producto tiene el marcado CE como producto sanitario según el MDR? Si la respuesta es sí — y es Clase IIa o superior — es de alto riesgo según la Ley de IA. Punto.
La mayoría de los escribas de IA puros no son productos sanitarios. Capturan y formatean información pero no diagnostican, recomiendan ni monitorizan. Sin embargo, la línea se traza según el propósito previsto, no el lenguaje de marketing. Si la documentación o los materiales promocionales de la herramienta implican soporte a la decisión clínica, los reguladores pueden clasificarla de forma diferente a lo que pretendía el proveedor.
Paso 2: ¿Entra en un caso de uso del Anexo III?
Revise las categorías del Anexo III mencionadas anteriormente. Si la herramienta se utiliza para evaluar la elegibilidad sanitaria, calcular riesgos de seguros o hacer triaje de pacientes — incluso como función secundaria — puede activar la clasificación de alto riesgo.
Paso 3: ¿Influye en las decisiones clínicas?
Aquí es donde la mayoría de los escribas de IA viven o mueren en la clasificación. El Artículo 6(3) de la Ley de IA establece una exención para sistemas que:
(a) Realizan una tarea procedimental limitada — p. ej., convertir voz a texto, formatear notas en una plantilla
(b) Mejoran el resultado de una actividad humana previamente completada — p. ej., limpiar las notas de un clínico después de que ya ha hecho su evaluación
(c) Detectan patrones sin reemplazar ni influir en la evaluación humana — p. ej., señalar que un clínico usó una terminología diferente a la habitual, sin hacer sugerencias clínicas
(d) Realizan una tarea preparatoria para una evaluación humana — p. ej., organizar la historia del paciente antes de que un clínico la revise
Si su escriba de IA solo transcribe y formatea notas — sin sugerir diagnósticos, señalar síntomas, recomendar acciones o clasificar severidad — probablemente califica para la exención del Artículo 6(3) y no es de alto riesgo.
Paso 4: Incluso si está exento, sigue teniendo obligaciones
Los proveedores que reclaman la exención del Artículo 6(3) deben:
- Documentar la evaluación antes de comercializar el sistema
- Registrar el sistema en la base de datos de la UE para sistemas de IA de alto riesgo (sí, incluso los sistemas no de alto riesgo de categorías del Anexo III deben registrarse)
- Proporcionar documentación a las autoridades nacionales cuando se solicite
Pregunte a su proveedor si ha completado esta evaluación. Si no ha oído hablar del Artículo 6(3), es una señal de alarma.
Paso 5: ¿La herramienta realiza perfilado de pacientes?
Una anulación crítica: la exención del Artículo 6(3) nunca se aplica si el sistema perfila individuos. Según la definición del RGPD, perfilar significa el tratamiento automatizado de datos personales para evaluar aspectos de una persona — estado de salud, comportamiento, fiabilidad, ubicación.
Un escriba de IA que rastrea patrones de pacientes entre sesiones, señala cambios de comportamiento o construye perfiles de riesgo está perfilando. Incluso si realiza una "tarea procedimental limitada", el perfilado anula la exención y activa la clasificación de alto riesgo.
La tabla de clasificación rápida
| Qué hace la herramienta | Clasificación probable | Por qué |
|---|---|---|
| Transcribe voz a texto | No alto riesgo | Tarea procedimental limitada (Art. 6(3)(a)) |
| Formatea notas en SOAP/plantilla | No alto riesgo | Tarea procedimental limitada (Art. 6(3)(a)) |
| Resume el contenido de la sesión | Zona gris | Podría ser "mejorar" una actividad humana, o podría estar generando nuevo contenido clínico |
| Sugiere códigos CIE-10 | Zona gris | Podría ser preparatorio, pero puede influir en decisiones de facturación |
| Señala diagnósticos o síntomas potenciales | Probablemente alto riesgo | Influye en la toma de decisiones clínicas |
| Recomienda opciones de tratamiento | Alto riesgo | Probablemente califica como SaMD según el MDR |
| Rastrea patrones del paciente entre sesiones | Alto riesgo | El perfilado anula la exención del Artículo 6(3) |
| Realiza triaje de urgencia del paciente | Alto riesgo | Explícitamente listado en el Anexo III |
Cronograma: qué sucede cuándo
El despliegue escalonado importa para la planificación. Esto es lo que ya ha sucedido y lo que viene:
Ya en vigor:
- 2 de febrero de 2025 — Prácticas de IA prohibidas vetadas; obligaciones de alfabetización en IA activas
- 2 de agosto de 2025 — Se aplican las reglas de gobernanza y las obligaciones para modelos de IA de propósito general (GPAI)
Lo que viene:
- 2 de febrero de 2026 — La Comisión Europea publica directrices con ejemplos prácticos de casos de uso de alto riesgo y no alto riesgo (directamente relevante para escribas de IA)
- 2 de agosto de 2026 — Se aplican las obligaciones de alto riesgo para sistemas del Anexo III (esta es la fecha límite principal para herramientas de IA independientes en clínicas)
- 2 de agosto de 2027 — Se aplican las obligaciones de alto riesgo para sistemas de IA integrados en productos regulados (productos sanitarios)
El matiz del Digital Omnibus
En noviembre de 2025, la Comisión Europea propuso el paquete Digital Omnibus, que retrasaría los plazos de alto riesgo hasta que las normas de cumplimiento armonizadas estén listas:
- Sistemas del Anexo III (herramientas de alto riesgo independientes): retrasado hasta la fecha más temprana entre el 2 de diciembre de 2027 o 6 meses después de la publicación de las normas
- Sistemas del Anexo I (IA de productos sanitarios): retrasado hasta la fecha más temprana entre el 2 de agosto de 2028 o 12 meses después de la publicación de las normas
El Digital Omnibus es una propuesta, no ley. Aún requiere la aprobación de los estados miembros de la UE y el Parlamento Europeo. Pero la dirección es clara: la Comisión reconoce que la infraestructura de cumplimiento no está lista a tiempo.
Qué significa esto para las clínicas: No use el posible retraso como excusa para ignorar la preparación. Los requisitos de cumplimiento en sí no cambian — solo la fecha de aplicación. Las clínicas que se preparen ahora estarán adelantadas independientemente del cronograma final.
10 preguntas para hacer a su proveedor de escriba de IA
Antes de agosto de 2026, tenga esta conversación con cualquier proveedor que suministre herramientas de IA a su clínica:
1. "¿Su producto está clasificado como producto sanitario según el MDR?"
Si es así, pida el marcado CE y el nivel de clasificación (I, IIa, IIb, III). Clase IIa y superior significa alto riesgo automático según la Ley de IA.
2. "¿Han completado una evaluación del Artículo 6(3)?"
Cualquier proveedor cuya herramienta entre en las categorías del Anexo III debería tener una evaluación documentada que explique por qué su sistema es o no es de alto riesgo. Si no lo han hecho, no están preparados para 2026.
3. "¿Su sistema está registrado en la base de datos de IA de la UE?"
Incluso los sistemas no de alto riesgo de categorías del Anexo III deben registrarse. Solicite la referencia de registro.
4. "¿Su herramienta influye en las decisiones clínicas de alguna manera?"
Vaya más allá del lenguaje de marketing. ¿Sugiere diagnósticos? ¿Recomienda códigos? ¿Señala síntomas? ¿Clasifica severidad? Cualquiera de estos podría cambiar la clasificación de "herramienta de documentación" a "sistema de alto riesgo".
5. "¿El sistema perfila pacientes entre sesiones?"
Si la herramienta rastrea patrones, construye perfiles de pacientes o señala cambios de comportamiento a lo largo del tiempo, la exención del Artículo 6(3) no se aplica — independientemente de la función principal de la herramienta.
6. "¿Dónde se procesan y almacenan los datos del paciente?"
La Ley de IA coexiste con el RGPD. Los datos clínicos procesados fuera de la UE pueden crear requisitos de cumplimiento adicionales. Pregunte sobre la residencia de datos, las políticas de retención y los acuerdos con subprocesadores. Si su clínica opera en Suiza, consulte nuestra lista de verificación de cumplimiento FADP para transcripción médica con IA para orientación específica por región.
7. "¿Qué mecanismos de supervisión humana están integrados?"
Los sistemas de alto riesgo requieren supervisión humana significativa — no solo un botón de "confirmar". Pregunte cómo el sistema permite a los clínicos comprender, supervisar y anular sus resultados.
8. "¿Pueden proporcionar su documentación técnica?"
Los proveedores de IA de alto riesgo deben mantener documentación técnica completa que cubra el diseño, desarrollo, datos de entrenamiento, pruebas y métricas de rendimiento del sistema. Si un proveedor no puede compartir esto, cuestione su preparación para el cumplimiento.
9. "¿Qué sucede si cambia la clasificación?"
Las herramientas de IA evolucionan. Un escriba solo de documentación hoy podría añadir funciones de soporte a la decisión clínica mañana. Pregunte cómo maneja el proveedor la reclasificación y si las actualizaciones podrían cambiar el perfil de riesgo.
10. "¿Quién asume la responsabilidad de cumplimiento — el proveedor o el usuario?"
Según la Ley de IA, tanto los proveedores (la empresa que construye la IA) como los implementadores (la clínica que la usa) tienen obligaciones. Los implementadores de sistemas de alto riesgo deben garantizar la supervisión humana, monitorizar el sistema en busca de riesgos e informar incidentes graves. Clarifique la división de responsabilidades en su contrato.
Qué deben hacer las clínicas ahora
No necesita esperar a las normas armonizadas finales para comenzar a prepararse. Esta es una secuencia práctica:
Haga inventario de sus herramientas de IA
Liste todos los sistemas de IA utilizados en su clínica — no solo el escriba de IA. Incluya herramientas de programación, chatbots de triaje, asistentes de codificación, automatización de facturación y cualquier cosa que procese datos de pacientes con IA. Para cada uno, anote qué hace y si influye en decisiones clínicas o administrativas. Si no está seguro de qué cuenta como "escriba de IA" frente a dictado frente a notas manuales, nuestra comparativa de escribas de IA, dictado y toma de notas desglosa las diferencias.
Clasifique cada herramienta
Use el árbol de decisión anterior. Para cada sistema de IA, determine si es de alto riesgo, potencialmente de alto riesgo o claramente exento. Documente su razonamiento.
Revise los contratos con proveedores
Compruebe si los contratos abordan el cumplimiento de la Ley de IA. Busque cláusulas que cubran: responsabilidad de evaluación de conformidad, notificación de incidentes, obligaciones de gobernanza de datos y qué sucede si cambia la clasificación de riesgo del producto.
Establezca procesos de supervisión humana
Para cualquier herramienta que pueda ser de alto riesgo, asegúrese de que sus flujos de trabajo clínico incluyan una revisión humana significativa. "Significativa" significa que los clínicos comprenden lo que hace la IA, pueden evaluar críticamente sus resultados y pueden anularlos o descartarlos. Aprobar mecánicamente las notas generadas por IA no califica. Para clínicas con múltiples profesionales, estandarizar la estructura de informes en todo su equipo puede ayudar a establecer los procesos de supervisión consistentes que exige la Ley de IA.
Monitorice las directrices de febrero de 2026
Los ejemplos prácticos de la Comisión Europea — previstos para el 2 de febrero de 2026 — serán la orientación más clara hasta la fecha sobre qué cuenta como alto riesgo y qué no. Es probable que estas directrices aborden directamente los escribas de IA.
La conclusión
La mayoría de los escribas de IA que se limitan a la transcripción y el formato — convirtiendo voz en notas clínicas estructuradas sin influir en las decisiones — probablemente quedarán fuera de la clasificación de alto riesgo bajo la exención del Artículo 6(3). Esas son las buenas noticias.
Sin embargo, la zona gris es real. Funciones como las sugerencias automáticas de codificación, los resúmenes clínicos que van más allá de lo que dijo el clínico o el rastreo de patrones entre sesiones pueden empujar una herramienta aparentemente simple al territorio de alto riesgo. Y las obligaciones que siguen son sustanciales.
La Ley de IA de la UE no prohíbe la IA en las clínicas. Exige transparencia sobre lo que hacen las herramientas de IA, responsabilidad sobre cómo se usan y supervisión humana significativa sobre los procesos clínicos. Para las clínicas que ya practican buenos hábitos de documentación — revisando los resultados de la IA, manteniendo el juicio clínico, manteniendo informados a los pacientes — la brecha entre la práctica actual y el cumplimiento puede ser menor de lo esperado.
Inicie la conversación con sus proveedores ahora. La pregunta de la clasificación no va a desaparecer, y la respuesta determina todo lo que sigue.
Lecturas relacionadas
- Escriba de IA vs dictado vs toma de notas: ¿qué método realmente reduce la administración? — Comprenda qué hacen (y qué no hacen) realmente los escribas de IA antes de evaluar su clasificación regulatoria.
- Guía completa de transcripción médica con IA — Una visión práctica de la transcripción con IA en sanidad, incluyendo consideraciones de privacidad y cumplimiento.
- Cómo estandarizar informes en una clínica con múltiples profesionales — Establecer flujos de documentación consistentes que respalden tanto la calidad como el cumplimiento.
- Transcripción médica con IA en Suiza: lista de verificación de cumplimiento FADP — Orientación específica de protección de datos para clínicas suizas que usan herramientas de documentación con IA.
- Plantilla de informe de sesión para terapeutas — Plantillas estructuradas que respaldan la supervisión humana que exige la Ley de IA.
Fuentes
- EU AI Act — High-Level Summary
- Article 6: Classification Rules for High-Risk AI Systems
- Annex III: High-Risk AI Systems
- EU AI Act Implementation Timeline
- MDCG 2025-6: Interplay Between the Medical Devices Regulation and the AI Act
- AI Act: Guidelines for Medical Device Manufacturers — Quickbird Medical
- The EU AI Act and Medical Devices — Reed Smith
- High-Risk AI — EU AI Act Guide — Orrick
- EU Digital Omnibus on AI — Morrison Foerster
- European Commission Proposes Delaying AI Act Implementation — Euronews
- Digital Omnibus Implications for MedTech — Sidley Austin
- EU AI Act Summary — January 2026 Update — SIG
- Navigating the EU AI Act for Healthcare — PMC
¿Necesita un escriba de IA pensado para el cumplimiento? Dya Clinical genera notas clínicas estructuradas a partir de sus sesiones — solo transcripción y formato, sin toma de decisiones clínicas, sin perfilado de pacientes. Sus notas, su juicio, su supervisión. Pruébelo gratis durante 7 días.
