ISO/IEC 42001 por sector

ISO/IEC 42001 para sanidad e IA médica

La IA apoya el diagnóstico, el triaje, la imagen, las decisiones clínicas y la administración de pacientes, donde un error es un evento de seguridad del paciente, no una incidencia técnica. ISO/IEC 42001 ofrece a los proveedores sanitarios y a los desarrolladores de IA médica un sistema de gobernanza auditable que encaja junto a las obligaciones de MDR/IVDR, de seguridad del paciente y de datos de salud.

Por qué esto es de alto riesgo

EU AI Act — Annex I y Annex III, alto riesgo

La IA médica soporta la carga de cumplimiento más estricta

La IA que es un componente de seguridad de un producto sanitario o de un diagnóstico in vitro queda cubierta por la vía de producto del EU AI Act (Annex I), vinculada a la conformidad MDR/IVDR; estas obligaciones se aplican desde el 2 de agosto de 2028. La IA usada para el triaje o el despacho de asistencia sanitaria de urgencia es de alto riesgo según el Annex III. Sobre el EU AI Act se superponen la documentación técnica y la evaluación clínica de MDR/IVDR, las expectativas de las agencias de medicamentos y de la FDA para el software como producto sanitario, los deberes de seguridad del paciente y las normas del GDPR sobre datos de salud de categoría especial. ISO 42001 complementa la vía del producto —no la sustituye— al gobernar el sistema de gestión de IA que la rodea.

Los riesgos

Dónde genera exposición la IA médica

En sanidad, el coste de equivocarse en la gobernanza de la IA se mide en daño al paciente:

Daño a la seguridad del paciente por error del modelo

Una predicción errónea o no detectada puede afectar directamente al diagnóstico y al tratamiento: el modo de fallo de mayor gravedad de todos.

Sesgo demográfico en modelos clínicos

Los conjuntos de datos que infrarrepresentan a ciertos grupos producen modelos que rinden peor para ellos, ahondando las desigualdades en salud.

Procedencia y calidad de los datos

Los datos de entrenamiento clínico con origen, base de consentimiento o calidad poco claros socavan tanto la seguridad como la legalidad.

Dependencia excesiva del clínico

El sesgo de automatización —clínicos que se remiten a la IA sin una revisión significativa— erosiona la supervisión humana que exige la ley.

Deriva poscomercialización

El rendimiento del modelo se degrada a medida que cambian las poblaciones, los dispositivos y la práctica; sin seguimiento pasa desapercibido.

Explicabilidad ante clínicos y pacientes

Las decisiones que no pueden explicarse son difíciles de confiar, aplicar o defender.

Cómo lo cubre ISO/IEC 42001

Los controles y plantillas que más importan aquí

El kit asocia cada riesgo a un control específico del Annex A y a un documento listo para usar:

Annex A controlToolkit documentWhy it matters
A.5 — Evaluación de impactoEvaluación de Impacto de IA (RISK-TPL-01)Evalúa los efectos sobre pacientes y clínicos antes del despliegue: alimenta directamente la documentación clínica y de riesgo de MDR.
A.6 — Ciclo de vida y validaciónPlan e Informe de V&V + Ficha de Modelo + Paquete de Documentación Técnica (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05 / LIFE-TPL-04)Validación y documentación rigurosas que se alinean con los expedientes técnicos del producto.
A.7 — Calidad, procedencia y sesgo de los datosEvaluación de Calidad de Datos + Registro de Procedencia + Registro de Sesgo y Equidad (DATA-TPL-03 / DATA-TPL-02 / DATA-TPL-05)Demuestra datos clínicos representativos, bien obtenidos y lícitos, con una equidad supervisada entre grupos.
A.9.3 — Supervisión humanaPlan de Supervisión Humana (USE-PLN-01)Mantén a un clínico significativamente en el bucle y protege frente al sesgo de automatización.
A.6.2 / Cláusula 9 — SeguimientoPlan de Seguimiento y Registro de KPI (MON-PLN-01)Seguimiento del rendimiento poscomercialización y detección de deriva: lo esperan tanto el EU AI Act como los reguladores de productos sanitarios.
A.8.4 — Respuesta a incidentesProcedimiento de Respuesta a Incidentes de IA (INC-PRO-01)Un flujo definido de gravedad y escalado para eventos de IA relevantes para la seguridad, con preservación de evidencias.

Cómo llegar

De la IA clínica a un sistema auditable y seguro

  1. 1

    Registra cada sistema de IA clínico y administrativo, con un responsable y un enlace a cualquier expediente de conformidad del producto.

  2. 2

    Realiza evaluaciones de impacto, de sesgo y de calidad de los datos; valida y documenta cada modelo.

  3. 3

    Integra la supervisión del clínico, la transparencia y un proceso de incidentes de grado de seguridad.

  4. 4

    Supervisa el rendimiento poscomercialización y la deriva, y alinea el AIMS con la evidencia de MDR/IVDR.

Preguntas

Sanidad e IA médica — respuestas rápidas

¿ISO 42001 sustituye a MDR/IVDR o a la autorización de la FDA?

No. La IA de productos sanitarios sigue necesitando su vía regulatoria. ISO 42001 gobierna el sistema de gestión de IA que rodea al producto —evaluación de impacto y de sesgo, gobernanza de datos, supervisión, seguimiento y respuesta a incidentes— y su evidencia complementa la documentación técnica que esas vías exigen.

¿Cuándo se aplican las obligaciones del EU AI Act a la IA médica?

La IA que es un componente de seguridad de un producto bajo MDR/IVDR sigue la vía de producto con obligaciones desde el 2 de agosto de 2028; la IA de triaje de urgencias es del Annex III con obligaciones desde el 2 de diciembre de 2027. Los requisitos de fondo no cambian: el margen es para construir el sistema.

Somos un hospital que usa IA clínica comprada, no un fabricante, ¿nos aplica?

Sí. Como responsable del despliegue eres responsable de la supervisión humana, del seguimiento y de usar la IA dentro de su finalidad prevista. ISO 42001 da a los proveedores los controles del lado del desplegador para hacerlo de forma defendible.

Gobierna la IA médica a un estándar de seguridad del paciente

El kit incluye los controles de impacto, validación, calidad de datos, supervisión, seguimiento e incidentes que exige la IA médica, listos para adaptar y para acompañar a la documentación de tu producto.