geriatricarea Ana Vidaor Maristany AGM Abogados


Un artículo de Ana Vidaor Maristany,
abogada área TMT – AGM Abogados

El uso de herramientas de inteligencia artificial (IA) por parte de las empresas es cada vez más frecuente como medio para agilizar procesos, mejorar la eficiencia operativa e incluso optimizar la toma de decisiones. El sector sanitario no es ajeno a esta realidad, y son numerosos los hospitales, centros de salud y empresas del ámbito asistencial que están incorporando progresivamente sistemas basados en IA, tanto en tareas administrativas como en procesos clínicos y asistenciales.

No obstante, si bien la implantación de este tipo de herramientas supone una mejora significativa en la actividad de los profesionales y de las organizaciones sanitarias, su utilización debe realizarse necesariamente dentro de un estricto marco de cumplimiento normativo, especialmente cuando dichas herramientas implican el tratamiento de datos personales y, en particular, datos relativos a la salud, considerados por la normativa vigente como datos de categoría especial.

En este sentido, el Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD), así como, en el ámbito español, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establecen que el tratamiento de datos de carácter sensible, como los datos de salud, exige la adopción de garantías reforzadas.

En particular, cuando dicho tratamiento incorpora el uso de nuevas tecnologías y puede entrañar un alto riesgo para los derechos y libertades de las personas físicas, resulta obligatoria la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD o DPIA), de conformidad con lo dispuesto en el artículo 35 del RGPD.

Desde el punto de vista específico de la inteligencia artificial, el Reglamento que establece normas armonizadas en materia de inteligencia artificial, introduce un enfoque basado en el riesgo, clasificando los sistemas de IA en prácticas prohibidas, sistemas de alto riesgo, sistemas de riesgo limitado y sistemas de riesgo mínimo, siendo muchos de los sistemas utilizados en el ámbito sanitario encuadrables en la categoría de sistemas de inteligencia artificial de alto riesgo.

Es por ello por lo que impone obligaciones específicas, entre las que se incluyen la implementación de sistemas de gestión del riesgo, la adecuada gobernanza de los datos, la supervisión humana, la trazabilidad de las operaciones, la transparencia o la realización de evaluaciones de impacto en los derechos fundamentales.

geriatricarea Inteligencia Artificial calidad asistencial
El uso de herramientas de inteligencia artificial en el sector sanitario debe realizarse dentro de un estricto marco de cumplimiento normativo


Implicaciones

  • Previo a la implementación

Por todo ello, desde una doble perspectiva –protección de datos e inteligencia artificial– resulta imprescindible que las organizaciones del sector sanitario analicen previamente a la implementación qué tipo de herramienta de IA se quiere utilizar, cuál es su finalidad, qué datos trata, quién es el proveedor y qué medidas de seguridad aplica y, en virtud de ello, cuál es el nivel de riesgo que plantea para la entidad.

La ausencia de este análisis previo puede suponer importantes riesgos para los derechos de los pacientes, así como la asunción de responsabilidades legales y la imposición de sanciones económicas para la empresa o el hospital que actúe como responsable del tratamiento o como responsable del despliegue del sistema de IA.

Este análisis se materializa, fundamentalmente, a través de:

  • La Evaluación de Impacto relativa a la Protección de Datos (EIPD) exigida por el RGPD.
  • Las evaluaciones y análisis previstos en el Reglamento de Inteligencia Artificial (AI Act), incluyendo, cuando proceda, la evaluación de impacto sobre los derechos fundamentales y la evaluación de riesgos asociada al sistema de IA.

Con la finalidad de cumplir con este análisis previo, resulta necesario contar con un procedimiento interno de clasificación y autorización de herramientas de inteligencia artificial que permita determinar qué soluciones están permitidas dentro de la organización y clasificarlas conforme al nivel de riesgo, evitando así el uso de herramientas que no cumplan con los requisitos legales que supongan un riesgo inasumible para la entidad.

  • Durante la implementación

Durante la fase de implementación, las organizaciones del sector sanitario deben disponer de un protocolo interno de uso de la inteligencia artificial, dirigido específicamente a los profesionales que utilicen este tipo de herramientas en el ejercicio de sus funciones.

Dicho protocolo debe establecer de forma clara los usos permitidos, las finalidades legítimas, las medidas de seguridad aplicables y las prohibiciones expresas, especialmente en lo relativo a la introducción de datos personales o datos clínicos en sistemas no autorizados o que no cuenten con las garantías adecuadas.

Igualmente, deberá garantizarse que los profesionales dispongan de la formación y de la información necesaria para un hacer un uso responsable y conforme a la normativa vigente. Estas formaciones, además, son obligatorias para las empresas en virtud de lo que establece el AI Act.

  • Posterior a la implementación

Con posterioridad a la implementación de la herramienta, la organización debe establecer mecanismos de seguimiento, revisión y control continuo, a fin de verificar que el uso del sistema se mantiene dentro de los parámetros inicialmente evaluados y autorizados.

Este seguimiento continuo resulta esencial para garantizar un uso seguro, lícito y responsable de la inteligencia artificial en el ámbito sanitario y prevenir, de este modo, riesgos legales, operativos y reputacionales para la organización.

De este modo, habrá que revisar también si los resultados presentan sesgos, situaciones de discriminación o cuestiones que vayan en contra de aspectos éticos, todo ello para evaluarlo e implementar sistemas de mejora o corrección.

Responsabilidad y sanciones

El incumplimiento de las obligaciones previstas tanto en el Reglamento General de Protección de Datos como en el Reglamento de Inteligencia Artificial puede dar lugar a la imposición de sanciones administrativas de elevada cuantía, pudiendo la entidad infractora ser sancionada de forma independiente conforme a ambas normativas.

Desde la perspectiva del RGPD, se prevé la imposición de multas administrativas, que, en los supuestos más graves, pueden alcanzar hasta 20 millones de euros o el 4 % del volumen de negocio anual global. Por su parte, el Reglamento de Inteligencia Artificial establece, para los casos de incumplimiento más graves, sanciones de hasta 35 millones de euros o el 7 % del volumen de negocio anual global de la entidad infractora.

Más allá de la imposición de sanciones económicas, las consecuencias pueden derivar en la prohibición de uso del sistema de inteligencia artificial, la retirada de la herramienta, la obligación de implantar medidas correctoras o incluso suponer limitaciones en la actividad asistencial, con el consiguiente impacto operativo, jurídico y/o reputacional para las empresas y/u organizaciones.

Asimismo, en función de cómo se implemente y utilice la herramienta, si su uso ocasiona situaciones en las que se perjudique a usuarios o pacientes, podrían derivarse otro tipo de reclamaciones por la vía administrativa, civil o incluso penal, en función de la naturaleza, gravedad y circunstancias del caso concreto.