Aram ZakzukMD · AI
Blog · Aram Zakzuk
18 de febrero de 2026
11 min · lectura
← Todos los artículos

EU AI Act: clasificación de tu CDSS en 5 pasos

Casi todos los CDSS que los hospitales están comprando son High-Risk bajo EU AI Act. Pocos proveedores lo saben. Guía práctica para clasificar un sistema en 30 minutos con base legal citada.

EU AI ActCDSSSaMDMDRRegulación
Autor
Aram Zakzuk
Médico · Máster en Salud Digital · Máster en IA aplicada a Sanidad
Temática
  • · EU AI Act
  • · CDSS
  • · SaMD
  • · MDR
  • · Regulación
Reservar llamada →

El Reglamento (UE) 2024/1689 —EU AI Act— entró en vigor en 2024 con obligaciones escalonadas. La mayoría de los sistemas de apoyo a la decisión clínica (CDSS) que los hospitales están comprando hoy caen en la categoría High-Risk. Muy pocos proveedores lo han comunicado abiertamente. Esta es la guía para clasificar un sistema en 30 minutos con base legal citada.

Contexto: AI Act y MDR conviven

El EU AI Act no sustituye al Reglamento de productos sanitarios (MDR 2017/745). Se superpone. Un CDSS que ya estaba clasificado como software como producto sanitario (SaMD) de clase IIa o superior pasa automáticamente a High-Risk bajo el AI Act por el juego del Artículo 6 y el Anexo I. No hay escape por vía de categorización técnica: si diagnostica, estratifica riesgo o recomienda tratamiento, es High-Risk. Punto.

Paso 1 — ¿Es un sistema de IA?

Definición del Artículo 3(1): sistema basado en máquina, diseñado para operar con distintos niveles de autonomía, que infiere a partir de la entrada cómo generar salidas (predicciones, recomendaciones, decisiones, contenido) que influyen en entornos físicos o virtuales.

Un árbol de decisión clínico publicado en guías no es IA. Una red neuronal entrenada con historias clínicas sí. Un motor de reglas hard-coded sin aprendizaje no es IA en sentido estricto del AI Act, pero si incluye un componente de inferencia (por ejemplo, scoring probabilístico derivado de datos), probablemente sí. En la duda, asume que sí y sigue clasificando.

Paso 2 — Artículo 5: ¿prácticas prohibidas?

Antes de evaluar si es High-Risk, descarta que caiga en las prácticas prohibidas del Artículo 5: manipulación subliminal, explotación de vulnerabilidades, social scoring por autoridades públicas, predicción de riesgo delictivo basada solo en perfiles, scraping masivo de rostros, inferencia de emociones en el trabajo o en educación salvo excepciones médicas muy tasadas, categorización biométrica sensible.

Un CDSS clínico convencional no cae aquí. Pero un sistema de IA que estime emociones del paciente para orientar tratamiento psiquiátrico o un sistema que infiera orientación sexual a partir de datos biométricos sí podría. Descarta primero.

Paso 3 — Anexo III: áreas de alto riesgo

El Anexo III enumera las áreas High-Risk. Salud aparece en varios puntos: gestión de infraestructura crítica sanitaria, acceso a servicios públicos esenciales, empleo y selección de personal sanitario, y vía Anexo I (productos sanitarios). La mayoría de los CDSS caerán a través del Anexo I + MDR, no del Anexo III directo.

Paso 4 — Cruce con MDR

Si el sistema es SaMD clase IIa, IIb o III bajo MDR, el artículo 6(1) del AI Act lo clasifica como High-Risk automáticamente. La regla 11 del Anexo VIII del MDR clasifica como IIa como mínimo cualquier software que proporcione información usada para tomar decisiones diagnósticas o terapéuticas. Esto captura prácticamente todos los CDSS serios.

Tipo de CDSSClase MDRAI Act
Alerta de interacción farmacológicaIIaHigh-Risk
Estratificación de riesgo diabéticoIIaHigh-Risk
Detección de lesiones en imagenIIb / IIIHigh-Risk
Chatbot informativo no diagnósticoI o ningunaLimited-Risk (transparencia)

Paso 5 — Obligaciones si es High-Risk

Si sale High-Risk, la lista de obligaciones es larga y no negociable. El proveedor y el desplegador (hospital) comparten responsabilidades.

  • Sistema de gestión de riesgos documentado (Artículo 9).
  • Gobernanza y calidad del dataset de entrenamiento y validación (Artículo 10).
  • Documentación técnica completa según Anexo IV (Artículo 11).
  • Registro automático de eventos — logging (Artículo 12).
  • Transparencia e información clara al usuario facultativo (Artículo 13).
  • Supervisión humana efectiva, no ceremonial (Artículo 14).
  • Precisión, robustez y ciberseguridad demostrables (Artículo 15).
  • Sistema de gestión de calidad del proveedor (Artículo 17).
  • DPIA bajo RGPD y FRIA bajo AI Act antes del despliegue.
  • Registro en la base de datos europea de sistemas High-Risk.

Ejemplo concreto: CDSS de riesgo diabético

Mi TFM, ahora desplegado en Hugging Face, es un clasificador multiclase de riesgo diabético entrenado sobre 253.680 registros reales del CDC BRFSS, con Random Forest y explicabilidad XAI/SHAP y un AUC-ROC de 0,942. Su clasificación regulatoria es inequívoca: SaMD clase IIa por regla 11 del Anexo VIII del MDR, por tanto High-Risk bajo AI Act vía artículo 6(1) y Anexo I. Ningún otro resultado es defendible.

ClinAI Classifier

Para automatizar este ejercicio, desarrollé ClinAI Classifier →. Es una herramienta open-source que combina un agente LLM (Claude Sonnet 4.5) con un motor de reglas estático para devolver, en minutos, el nivel de riesgo, las categorías del Anexo III, los flags del Artículo 5, la base legal con artículos citados y un informe PDF listo para auditoría. Pensada para equipos de Medical Affairs y asuntos regulatorios de fabricantes, consultoras y hospitales.

Siguiente paso

¿Has clasificado ya los CDSS que tienes en producción?

Si la respuesta es no, conviene hacerlo antes de que llegue la primera inspección. Asesoro a fabricantes y desplegadores en la clasificación inicial y en el plan de cumplimiento asociado.

Reservar llamada de 15 min →