El sueño del sector sanitario de un triaje de IA ultrarrápido y sin errores – donde los pacientes son clasificados y priorizados automáticamente a su llegada – choca ahora contra un sólido muro legal. La Ley de IA de la UE y el RGPD imponen conjuntamente requisitos tan estrictos que las soluciones totalmente automatizadas están, en la práctica, excluidas. Para las empresas sanitarias noruegas, que están vinculadas por la normativa de la UE a través del Acuerdo EEE, esto no es música del futuro: es ley vigente.

Lo que dice realmente la normativa

La Ley de IA de la UE clasifica los sistemas de IA utilizados en servicios de salud en la categoría de IA de alto riesgo. Esto implica requisitos de documentación, robustez técnica, transparencia y – crucialmente – un control humano significativo. La normativa se superpone con el RGPD, que ya está en vigor desde 2018.

Central aquí es el Artículo 22 del RGPD, que, como principio, prohíbe las decisiones basadas únicamente en el tratamiento automatizado si producen efectos jurídicos o les afectan de modo similar y significativo. Según una investigación citada por Devdiscourse, la mayoría de los sistemas de triaje impulsados por IA entran en esta categoría, ya que afectan directamente el acceso de los pacientes al tratamiento y el orden de priorización.

Existen excepciones – entre otras, cuando el paciente ha dado su consentimiento explícito, cuando el tratamiento es necesario por razones contractuales, o cuando la ley nacional lo permite – pero las excepciones siempre requieren garantías adecuadas, incluido el derecho a la intervención humana.

La supervisión humana debe ser significativa y sustancial – no una aprobación de 'sello de goma' de la salida del algoritmo
La Ley de IA de la UE prohíbe el triaje sanitario totalmente automatizado – los hospitales noruegos deben actuar ahora

El control humano como requisito legal

Un punto clave en la normativa es que el requisito de «human in the loop» no se cumple solo porque un empleado apruebe formalmente una decisión. La supervisión debe ser real: el empleado debe tener el tiempo, la competencia y la capacidad real de anular el sistema.

La investigación sobre soluciones HITL (human-in-the-loop) muestra que esto también ofrece beneficios prácticos. En el sector financiero, la validación HITL ha demostrado reducir la captura errónea de información de identificación personal (PII) en hasta un 42 por ciento en los flujos de trabajo KYC, según datos de una empresa financiera británica referenciados en la base de investigación. El sector sanitario es al menos igual de vulnerable a tales errores – y las consecuencias son potencialmente mucho más graves.

La Ley de IA de la UE prohíbe el triaje sanitario totalmente automatizado – los hospitales noruegos deben actuar ahora

El sector sanitario noruego en el punto de mira

Noruega no es miembro de la UE, pero a través del Acuerdo EEE está obligada a implementar la mayor parte de la normativa del mercado interior de la UE – incluida la Ley de IA de la UE una vez que esté plenamente incorporada al Acuerdo EEE. El RGPD ya es ley noruega a través de la Ley de Datos Personales.

Esto significa que las empresas sanitarias noruegas, las clínicas privadas y los proveedores de sistemas de TI para la salud no pueden ignorar estos requisitos. Las organizaciones que planean introducir o desarrollar soluciones de triaje basadas en IA ya están, en la práctica, obligadas a realizar una Evaluación de Impacto en la Protección de Datos (DPIA) – una evaluación exhaustiva de los riesgos para la privacidad.

Los hospitales noruegos que implementen el triaje de IA sin una DPIA se arriesgan a incumplimientos normativos desde el primer día

Lo que debe hacer la industria

Los expertos son claros en que la IA puede acelerar los procesos de trabajo, pero no puede comprender las regulaciones, los matices legales o los principios de privacidad. La responsabilidad del tratamiento legal y justo recae en la organización – no en el algoritmo.

Para los actores noruegos, esto implica específicamente:

  • Realizar una DPIA antes de que los sistemas de IA para triaje se implementen o se modifiquen significativamente.
  • Documentar la supervisión humana para que pueda ser verificada por la Autoridad Noruega de Protección de Datos u otras autoridades de supervisión.
  • Garantizar la transparencia hacia los pacientes: deben ser informados de que la IA forma parte del proceso de toma de decisiones y tienen derecho a solicitar un tratamiento humano.
  • Integrar pistas de auditoría en los flujos de trabajo, de modo que sea posible documentar quién tomó qué decisiones y sobre qué base.

La fuente Devdiscourse subraya que la normativa no pretende detener la IA en la atención sanitaria – sino asegurar que la tecnología se utilice de manera justa, legal y verificable. Para el sistema sanitario noruego, ya no es una cuestión de si se deben cumplir estos requisitos, sino de cómo.