La inteligencia artificial ya diagnostica enfermedades, los datos sanitarios se han convertido en uno de los activos más valiosos del mundo y Europa se prepara para una revolución sin precedentes en la gestión de la información clínica. Pero, ¿está preparado el Derecho para afrontar los desafíos de una medicina cada vez más digital, predictiva y basada en algoritmos?
En este escenario de transformación acelerada, donde la innovación tecnológica avanza más rápido que las normas que deben regularla, surgen interrogantes cruciales sobre la responsabilidad jurídica, la protección de la privacidad de los pacientes y el futuro del sistema sanitario europeo.
La respuesta a muchas de estas cuestiones pasa por el IV Congreso de Derecho Sanitario del Colegio de la Abogacía de Madrid (ICAM). Y para responderlas María Esperanza Marcos Juárez, presidenta de la sección del colegio madrileño que organiza estas jornadas.
¿Cuál es hoy el mayor riesgo jurídico al que se enfrenta el sistema sanitario español en el contexto de la digitalización?
El principal riesgo jurídico de la sanidad digital reside en la incertidumbre sobre quién debe responder cuando un sistema de inteligencia artificial interviene en un diagnóstico o tratamiento y se produce un error.
La creciente incorporación de herramientas de IA consideradas de «alto riesgo» por la normativa europea introduce el problema de la opacidad algorítmica o efecto «caja negra», que dificulta determinar el origen de una decisión errónea y, por tanto, la atribución de responsabilidades.
Aunque el Reglamento europeo de Inteligencia Artificial establece una cadena de responsabilidades entre desarrolladores, proveedores, centros sanitarios y profesionales, la realidad asistencial es mucho más compleja.
La integración de diferentes sistemas tecnológicos, así como las modificaciones o adaptaciones que puedan realizar hospitales y organizaciones sanitarias, plantea importantes dudas sobre quién asume finalmente el riesgo y las consecuencias jurídicas derivadas de un fallo.
A ello se suma otro desafío de enorme relevancia: la protección de los datos de salud. El desarrollo del Espacio Europeo de Datos Sanitarios —a partir de ahora, EEDS— y el uso masivo de información clínica aumentan el riesgo de reidentificación de pacientes, incluso cuando los datos han sido seudonimizados.
Garantizar la privacidad, la seguridad y el control efectivo sobre estos datos será uno de los grandes retos jurídicos de los próximos años.
¿Qué reforma legislativa considera más urgente en materia sanitaria para adaptarse a la era de la IA? ¿Qué modificaciones normativas resultan imperativas para integrar de forma segura la inteligencia artificial en la práctica clínica y clarificar el régimen de responsabilidad civil?
Se requiere un desarrollo normativo que concrete la Disposición adicional decimoséptima de la Protección de Datos Personales y garantía de los derechos digitales —en adelante, LOPDGDD—, estableciendo requisitos adicionales de seguridad para el tratamiento de datos de salud mediante IA.
Esta reforma debería garantizar que la «explicabilidad» del algoritmo sea un derecho del paciente, permitiendo que la lógica aplicada sea auditable, tal como sugiere la doctrina del Tribunal Supremo en —se refiere a la STS 3826/2025— sobre la transparencia en decisiones automatizadas.
Es imperativo armonizar la normativa nacional con las exigencias de transparencia y supervisión humana que impone el Reglamento (UE) 2024/1689.
La actualización de la «Lex Artis» médica para integrar formalmente las herramientas digitales y clarificar el régimen de responsabilidad civil, es apremiante.
¿Está realmente preparado el sistema sanitario español para la interoperabilidad que impone Europa y cuál es el principal riesgo del Espacio Europea de Datos Sanitarios (EEDS)?
España cuenta con una base sólida gracias a la historia clínica compartida, pero la interoperabilidad técnica no equivale a la interoperabilidad jurídica. El principal riesgo del EEDS es el «colonialismo de datos» —hace el gesto de las comillas con los dedos— o la explotación de información sanitaria por terceros países u operadores sin un control efectivo del titular.
El Reglamento (UE) 2022/863 (EEDS) reconoce derechos de acceso y portabilidad, pero su implementación en España se enfrenta a la fragmentación competencial. El riesgo jurídico es que el ejercicio de estos derechos varíe según la Comunidad Autónoma, vulnerando la unidad de mercado y la igualdad en la protección de datos.
¿Qué error no debería cometer España en la implantación del EEDS?
El error crítico sería permitir la fragmentación normativa y la falta de transparencia informativa. España debe evitar que la gobernanza de los datos se convierta en un obstáculo burocrático que desincentive la investigación, pero sin relajar las salvaguardias del RGPD.
Es fundamental no descuidar el deber de información. Según el artículo 11 de la Protección de Datos Personales y garantía de los derechos digitales, el paciente debe conocer no solo que sus datos se comparten, sino la finalidad exacta (uso primario o secundario).
La opacidad en este punto generaría una desconfianza sistémica que invalidaría el modelo de «cesión altruista de datos» previsto en el marco europeo.
¿Quién debe responder cuando una decisión clínica apoyada por IA provoca un daño al paciente?
Bajo el nuevo marco del Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial —Reglamento (UE) 2024/1689—, la responsabilidad se distribuye de forma jerárquica. Primero, el desarrollador que responderá por defectos intrínsecos del algoritmo o sesgos en los datos de entrenamiento (responsabilidad por producto defectuoso).
Por otro lado, está el centro Sanitario, que actúa como «desplegador». Es responsable de la correcta implementación, mantenimiento y de asegurar que el profesional tiene la formación necesaria.
Y por último, el profesional sanitario, cuya responsabilidad persiste si ignora las alertas del sistema o si, por el contrario, incurre en un «sesgo de automatización» —confianza ciega en la IA— sin ejercer el control humano efectivo exigido por la Ley de IA.
¿Debería ser obligatorio informar expresamente al paciente cada vez que una IA participe en una decisión clínica?
Sí, es una obligación jurídica ineludible. Este deber emana del derecho a la información asistencial de la Ley 41/2002 y se refuerza con el artículo 13 del Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial —Reglamento (UE) 2024/1689—, que exige transparencia para que los usuarios puedan interpretar los resultados del sistema.
Además, el apartado 2 letra c) del artículo 11 de la LOPDGDD establece que, si hay elaboración de perfiles o decisiones automatizadas, el afectado debe ser informado de su derecho a la intervención humana. Omitir esta información viciaría el consentimiento y podría dar lugar a sanciones graves bajo el Artículo 73 de la LOPDGDD.
¿En qué punto se encuentra la gestión compartida de datos entre operadores públicos y privados y genera suficientes garantías?
Actualmente, existe un marco de colaboración, pero la mercantilización de los datos sigue siendo la principal preocupación ética y legal. El EEDS busca facilitar el uso secundario de datos para investigación, pero esto exige entornos de tratamiento seguros y la supervisión de organismos independientes.
Las garantías actuales, basadas en el Artículo 32 del RGPD (medidas de seguridad técnicas y organizativas), son formalmente solidadas pero difíciles de auditar en la práctica. La jurisprudencia —como en la SAN 5341/2025— subraya que cualquier tratamiento masivo de datos de salud por entes públicos o privados debe superar un estricto juicio de proporcionalidad, necesidad e idoneidad.
«La gran incógnita de la IA en sanidad sigue siendo quién responde cuando se equivoca», cuestiona la abogada.
¿Está funcionando la asistencia sanitaria transfronteriza y qué obstáculos dificultan la movilidad de profesionales?
La asistencia transfronteriza sigue lastrada por la falta de un formato común de intercambio de historiales médicos, reto que el EEDS pretende resolver. Jurídicamente, el obstáculo es la disparidad en la interpretación de las Directivas Comunitarias sobre derechos de reembolso y continuidad de cuidados.
Respecto a los profesionales, la lentitud en el reconocimiento de cualificaciones y la falta de interoperabilidad de los registros profesionales son limitaciones fundamentales. La movilidad se ve dificultada por la ausencia de un «pasaporte digital profesional» que garantice la trazabilidad de la formación y la ausencia de sanciones disciplinarias en tiempo real entre Estados miembros.
¿Ha salido reforzada la OMS tras la COVID-19 y estamos preparados jurídicamente para futuras pandemias?
La legitimidad de la OMS ha salido reforzada en su papel de coordinación técnica, aunque debilitada en su capacidad ejecutiva.
En España, la experiencia de la COVID-19 —analizada en sentencias como la del Tribunal de Instancia. Sección de lo Social de Teruel SJSO 1544/2020— demostró que la «imprevisibilidad» no exime a la Administración de su deber de protección si existen avisos previos de organismos internacionales.
Jurídicamente, España está mejor preparada tras la creación de la Agencia Estatal de Salud Pública. Esta nueva estructura permite el tratamiento de datos por razones epidemiológicas bajo el amparo del interés público (artículo 6.1.e RGPD), evitando la inseguridad jurídica que marcó el inicio de la crisis de 2020.
