La IA y los datos de salud
La inteligencia artificial ya no es una promesa futurista: está entrando de lleno en hospitales, consultas, laboratorios y aplicaciones móviles que monitorizan nuestro día a día. Desde sistemas que ayudan a detectar tumores en imágenes médicas hasta algoritmos que predicen riesgos cardiovasculares o personalizan tratamientos, la IA se alimenta de un recurso esencial: los datos. Y cuando esos datos hablan de nuestra salud, diagnósticos, historiales clínicos, genética, hábitos o biometría, el potencial es enorme, pero también lo son las implicaciones.
Este artículo explora la relación, tan potente como delicada, entre la IA y los datos de salud. Analizaremos por qué se consideran información especialmente sensible, qué retos plantean en términos de privacidad, seguridad y sesgos, y cómo el marco normativo (protección de datos y regulación de la IA) condiciona su uso. Porque innovar en salud es imprescindible, pero hacerlo bien no es opcional, sino que es la única forma de que la tecnología avance sin poner en riesgo derechos fundamentales.
Riesgos de sesgo al utilizar la IA en salud
La utilización de inteligencia artificial en el ámbito sanitario plantea un riesgo especialmente relevante: el sesgo algorítmico. Los sistemas de IA aprenden a partir de grandes volúmenes de datos, y si esos datos no son representativos o contienen desigualdades previas, el sistema puede reproducirlas e incluso amplificarlas. En salud, donde las decisiones pueden afectar directamente al diagnóstico, al acceso a tratamientos o a la priorización de pacientes, este problema adquiere una dimensión crítica.
Un ejemplo habitual es el de los sistemas de diagnóstico entrenados con bases de datos médicas que no reflejan adecuadamente la diversidad de la población. Si un algoritmo ha sido entrenado principalmente con datos de determinados grupos demográficos, por ejemplo, pacientes de un sexo, edad u origen étnico predominante, puede ofrecer resultados menos precisos cuando se aplica a otros colectivos. Esto puede traducirse en diagnósticos tardíos, tratamientos menos eficaces o una peor evaluación del riesgo clínico para determinados grupos.
Además, los sesgos no siempre provienen únicamente de los datos utilizados para entrenar el sistema. También pueden surgir en la fase de diseño del algoritmo, en la selección de variables relevantes o incluso en la forma en que se interpretan los resultados. En el ámbito sanitario, donde los profesionales confían cada vez más en herramientas de apoyo basadas en IA, existe el riesgo de que las decisiones automatizadas o semi-automatizadas introduzcan errores difíciles de detectar si no existe una supervisión adecuada.
Cumplimiento del RGPD y Reglamento de la IA
En salud, la IA casi siempre implica tratar datos especialmente sensibles, por lo que el RGPD exige un encaje jurídico sólido y garantías reforzadas: no basta con decir que los datos están “anonimizados” si en realidad están pseudonimizados, ni con invocar un interés genérico. Hay que justificar la base legal y, además, la excepción aplicable para datos de salud, y asegurar principios como minimización, limitación de finalidad, transparencia, seguridad y control de accesos. En la práctica, muchos proyectos requieren también una evaluación de impacto, porque combinan datos de categoría especial, tecnología novedosa y posibles efectos relevantes sobre las personas.
A la vez, el Reglamento Europeo de IA (AI Act) trata gran parte de los usos sanitarios como “alto riesgo”, lo que añade obligaciones orientadas a la seguridad y la fiabilidad del sistema: calidad y gobernanza de los datos, documentación y trazabilidad, gestión de riesgos, supervisión humana, robustez y ciberseguridad. En otras palabras, el RGPD mira principalmente a los derechos sobre los datos personales, y el AI Act a los riesgos del sistema: cumplir uno sin el otro suele dejar puntos ciegos importantes.
¿Cómo cumplir la legalidad en el tratamiento de datos con IA?
Cumplir bien empieza por definir con precisión para qué se usa la IA y quién decide realmente finalidades y medios, porque de ahí dependen responsabilidades, contratos y obligaciones. Después, hay que determinar qué datos se tratan (incluidas inferencias de salud), elegir la base jurídica y la habilitación específica para datos de salud, e informar con claridad a los interesados sobre el uso de IA, sus finalidades y sus límites. A nivel operativo, el cumplimiento se juega en la seguridad, la gobernanza y la documentación: medidas técnicas reales, control de proveedores, retención limitada, y evidencias de que el sistema se ha validado y se supervisa.
Por último, es clave asumir que la IA no es estática: modelos que se reentrenan, cambian o derivan con el tiempo exigen revisión continua. Por eso, además de tener papeles, hay que mantener un ciclo de evaluación y mejora que incluya controles de sesgo y precisión, supervisión humana efectiva y capacidad de detectar y gestionar incidentes. Solo así la innovación en salud puede avanzar sin comprometer privacidad, seguridad y equidad.
Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras.
Artículos Relacionados
«Cuidado con lo que le confIAs», el nuevo decálogo de la AEPD
Guía práctica del Reglamento MiCA: cuándo se aplica y a quién afecta
ISO 42001:2023 de inteligencia artificial: qué es y para qué sirve
¿Cómo afecta el Reglamento de IA a mi e-commerce?
Análisis jurídico tras el Reglamento de Inteligencia Artificial (AI Act)
El uso de la IA en las pruebas periciales