El sector sanitario privado en España afronta en 2025 una convergencia regulatoria sin precedentes: por un lado, las obligaciones ya consolidadas del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPD-GDD) en materia de protección de datos de salud; por otro, las nuevas obligaciones del Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act), cuya entrada en vigor se produce de forma escalonada hasta agosto de 2026. La intersección entre ambos marcos normativos exige una gestión integrada del riesgo jurídico que los servicios de compliance y los DPO del sector deben abordar de forma coordinada.
Datos de salud: régimen de especial protección bajo el RGPD y la LOPD-GDD
El artículo 9 del RGPD clasifica los datos relativos a la salud como datos de categoría especial y prohíbe su tratamiento salvo que concurra alguna de las excepciones previstas en el artículo 9.2. En el contexto sanitario, las bases jurídicas más habituales son:
Consentimiento explícito (artículo 9.2.a RGPD): válido para tratamientos no directamente relacionados con la prestación asistencial, como el envío de comunicaciones comerciales sobre servicios de salud complementarios, la participación en estudios epidemiológicos con finalidad de investigación privada o el tratamiento de datos para mejorar sistemas de IA clínica. El consentimiento debe ser específico para cada finalidad, informado y libremente prestado; en el entorno sanitario, la relación de dependencia entre paciente y proveedor puede comprometer la libertad del consentimiento, por lo que los estándares de calidad de éste son especialmente exigentes.
Necesidad para fines de medicina preventiva o diagnóstico (artículo 9.2.h RGPD): ampara el tratamiento realizado por profesionales sanitarios o bajo su responsabilidad para la gestión de sistemas y servicios de asistencia sanitaria. Esta base jurídica no cubre el tratamiento posterior de los datos para finalidades ajenas a la atención directa al paciente, como el análisis comercial o el entrenamiento de modelos de IA de terceros.
Interés público en el ámbito de la sanidad pública (artículo 9.2.i RGPD): reservado para organismos públicos o entidades con mandato de servicio público; no ampara el tratamiento por entidades privadas salvo que actúen expresamente bajo mandato de la autoridad sanitaria.
La LOPD-GDD, en su artículo 9, específica que los centros sanitarios pueden tratar los datos de sus pacientes para la prevención de la enfermedad, la prestación de asistencia sanitaria y la gestión de los servicios del sistema sanitario, y para el cumplimiento de las obligaciones derivadas de la normativa sobre financiación de la Seguridad Social. La Agencia Española de Protección de Datos (AEPD) ha emitido guías específicas para el sector salud —incluyendo su Guía sobre tratamientos de datos en el sector sanitario (2021)— que constituyen la referencia práctica para la toma de decisiones de compliance.
El AI Act y los sistemas de IA en el sector salud
El Reglamento (UE) 2024/1689, publicado en el Diario Oficial de la UE el 12 de agosto de 2024 y con entrada en vigor el 1 de agosto de 2024, establece un marco de obligaciones progresivo según el nivel de riesgo de los sistemas de IA. Para el sector sanitario, los aspectos más relevantes son:
Sistemas de IA prohibidos (aplicables desde el 2 de febrero de 2025, artículo 5): No hay sistemas especialmente relevantes en el sector sanitario en esta categoría, aunque las técnicas de manipulación subliminal o la explotación de vulnerabilidades podrían ser aplicables en contextos de salud mental o adicciones.
Sistemas de IA de alto riesgo (Anexo III, punto 5): El AI Act clasifica expresamente como sistemas de alto riesgo los sistemas de IA destinados a ser utilizados como dispositivos médicos —con sujeción a la normativa de productos sanitarios, Reglamento (UE) 2017/745— o como complemento de dispositivos médicos. También los sistemas utilizados para triaje o priorización de la atención de urgencias, para diagnóstico diferencial de enfermedades graves o para interpretación de imágenes médicas (radiología, anatomía patológica).
Las obligaciones para los operadores de sistemas de alto riesgo incluyen, conforme a los artículos 9 a 15 del AI Act: establecer un sistema de gestión de riesgos, usar datos de entrenamiento representativos y sin sesgos inadmisibles, mantener documentación técnica actualizada, conservar registros de actividad (logs) que permitan la trazabilidad del funcionamiento, garantizar la supervisión humana del sistema y obtener la evaluación de conformidad antes de la puesta en servicio.
Interacción RGPD-AI Act: El considerando 97 del AI Act reconoce explícitamente la relación entre el AI Act y el RGPD. Cuando un sistema de IA procesa datos de salud, deben cumplirse simultáneamente el marco del AI Act y las obligaciones del RGPD. La Evaluación de Impacto sobre Protección de Datos (EIPD) prevista en el artículo 35 RGPD es obligatoria cuando el tratamiento se realiza a gran escala o puede implicar riesgos elevados para los derechos del interesado; en la práctica, cualquier sistema de IA que procese datos clínicos de más de 5.000 pacientes debería estar sujeto a una EIPD.
Historia de interés regulatorio: sanciones del sector en Europa
La AEPD sancionó en 2022 a una clínica privada con 150.000 euros por acceso no autorizado a historiales clínicos por parte de personal no asistencial, y en 2023 tramitó varias actuaciones contra prestadores de servicios de telemedicina por deficiencias en los procedimientos de verificación de identidad y gestión del consentimiento. En Italia, el Garante ha impuesto sanciones de hasta 4,5 millones de euros a laboratorios de análisis clínicos por tratamiento masivo de datos de salud sin base jurídica adecuada.
Recomendaciones para clínicas, hospitales y empresas de tecnología sanitaria
Las entidades del sector sanitario deben, en el horizonte inmediato: (1) realizar un inventario de todos los sistemas de IA en uso o en evaluación y clasificarlos conforme al Anexo III del AI Act; (2) auditar los contratos con proveedores de software de diagnóstico asistido por IA para verificar que el proveedor actúa como fabricante bajo el AI Act y ha obtenido o se compromete a obtener la evaluación de conformidad; (3) revisar los registros de actividades de tratamiento (artículo 30 RGPD) para incorporar los sistemas de IA como tratamientos específicos; (4) actualizar la política de privacidad para incluir información clara sobre los sistemas de IA que toman o apoyan decisiones con efectos sobre el paciente; y (5) formar al DPO y al equipo de compliance en los requisitos del AI Act con carácter previo a agosto de 2026.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de protección de datos y cumplimiento IA.
