Documento técnico
abdatabase.com
EXPEDIENTE ABDatabase / INNOVAORTO AIE · Documento interno de infraestructura y cumplimiento

Plan de acción: el EU AI Act aplicado a los proyectos reales de IA en las clínicas

Integración MCP para consultar las bases de datos clínicas, IA diagnóstica de Planmeca Romexis y chatbots de atención al paciente por WhatsApp — qué exige la ley, quién tiene que hacer qué, y con qué plazos reales.

Elaborado: julio 2026 Estado normativo verificado a julio 2026 Post Digital Omnibus · 7 mayo 2026
00

Resumen ejecutivo

Este informe traduce el Reglamento (UE) 2024/1689 a acciones concretas para tres proyectos reales en curso: un sistema MCP de consulta y análisis contra las bases de datos clínicas, las funciones de IA diagnóstica de Planmeca Romexis, y los chatbots de citas por WhatsApp.

Elegir un proveedor de IA u otro no determina si la clínica está cubierta por el AI Act. Todos los fabricantes de modelos de propósito general tienen las mismas obligaciones legales desde agosto de 2025, sea Anthropic, OpenAI o cualquier otro.

Lo que sí cambia por proveedor es la garantía contractual de no entrenar con vuestros datos — y eso es RGPD, no AI Act.

Estado real del calendario a julio de 2026: las obligaciones más pesadas (sistemas de alto riesgo del Anexo III) se han aplazado del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de IA integrada en dispositivos médicos —como Romexis— al 2 de agosto de 2028, tras el acuerdo político del Digital Omnibus cerrado el 7 de mayo de 2026.

Lo que no se ha movido

Dos obligaciones mantienen su fecha original del 2 de agosto de 2026 sin cambios: la formación básica en IA del personal (Art. 4) y la transparencia de los chatbots (Art. 50). Son las dos cosas que hay que tener resueltas ya, con independencia de lo que pase con el resto del calendario.

01

MCP y modelos de IA externos

Consultas complejas y análisis directo contra las bases de datos clínicas mediante un LLM.

Clasificación de riesgo

Uso administrativo/clínico interno, con supervisión humana

Riesgo mínimo / limitado

No encaja en ninguna categoría del Anexo III: no es un sistema de alto riesgo. No hay evaluación de conformidad, ni registro en la base de datos de la UE, ni logs obligatorios de 6 meses. Pero las bases de datos que consulta contienen datos de salud (Art. 9 RGPD), así que el marco que de verdad manda aquí es el RGPD, no el AI Act.

¿Anthropic "cubre" y otros proveedores no?

No exactamente. Así funciona en realidad:

  • Bajo el AI Act, todos los proveedores de modelos de propósito general (Anthropic, OpenAI, Google, Meta, Mistral…) tienen las mismas obligaciones como fabricantes desde el 2 de agosto de 2025 (Art. 53). Elegir uno u otro no cambia vuestras obligaciones como desplegadores.
  • Lo que sí cambia por proveedor es la relación contractual bajo RGPD: si la cuenta entrena o no con vuestros datos, qué DPA ofrece, si hay retención cero disponible, y si ofrece garantías equivalentes a una BAA sanitaria.
  • Con Anthropic: bajo Términos Comerciales (API, Claude for Work, Enterprise) no se entrena con vuestros prompts ni respuestas por defecto, y hay Zero Data Retention y acceso HIPAA-ready con BAA para organizaciones elegibles. Esto no aplica si alguien usa una cuenta personal Free/Pro/Max en vez de la API comercial.
  • Otros proveedores tienen la misma estructura dual (consumo vs. comercial). La clave no es la marca, es el tipo de cuenta y el contrato firmado.
Conclusión operativa

"Estar cubiertos" significa: cuentas comerciales/API con Términos Comerciales firmados —nunca cuentas personales gratuitas—, un DPA vigente con el proveedor elegido, y retención de datos mínima activada. Aplica igual con Anthropic que con cualquier otro proveedor serio; la diferencia está en leer el contrato, no en la marca.

Plan de acción

  • Formalizar la cuenta del MCP como cuenta comercial/API bajo Términos Comerciales, nunca personal gratuita.
  • Solicitar y archivar el DPA del proveedor elegido; evaluar el marco HIPAA-ready/BAA si se procesan datos de pacientes.
  • Activar Zero Data Retention (o la retención mínima disponible) para las llamadas que muevan datos de pacientes.
  • Minimizar: usar identificadores internos en vez de nombres completos en el texto libre de las peticiones, donde sea posible.
  • Actualizar el Registro de Actividades de Tratamiento y la política de privacidad de cada clínica.
  • Formación básica de Art. 4 para el personal que use el MCP — plazo 2 de agosto de 2026.
02

Planmeca Romexis

IA diagnóstica: segmentación CBCT, detección del nervio mandibular, numeración de dientes, planificación de implantes.

Quién certifica

Planmeca es el fabricante; la clínica es desplegadora

Potencialmente alto riesgo

Las funciones de IA de Romexis están diseñadas y comercializadas por Planmeca. Es Planmeca quien tiene la obligación legal de certificarlas — nunca la clínica. Vosotros, como desplegadores (Art. 26), nunca certificáis el producto: usáis lo que el fabricante ya ha certificado, conforme a sus instrucciones de uso.

Corresponde a Planmeca

  • Certificar el software como producto sanitario bajo el MDR (Reglamento UE 2017/745) en la clase que corresponda.
  • Si la función se clasifica como componente de seguridad de alto riesgo: documentación técnica (Anexo IV), gestión de riesgos, marcado CE, registro EU.
  • Publicar y mantener su documentación de conformidad — Planmeca ya publica declaraciones DICOM por versión de Romexis; el mismo tipo de documento debe pedirse para el componente de IA.

Corresponde a la clínica

  • Solicitar por escrito a Planmeca/distribuidor la declaración de conformidad CE y la clasificación MDR de los módulos de IA que usa cada clínica. Guardar la respuesta en el expediente de cumplimiento.
  • Usar el sistema solo para el propósito documentado; no combinar sus salidas con procesos no previstos en el manual.
  • Garantizar y documentar que la decisión clínica final la toma siempre el profesional, nunca el sistema de forma autónoma.
  • Formar al personal clínico que usa estas funciones (Art. 4, plazo agosto 2026) y registrar la formación recibida.
  • Actualizar el consentimiento informado para mencionar el uso de IA en el proceso diagnóstico.
  • Si algún módulo resulta alto riesgo: logs de uso mínimo 6 meses — obligación que, con el calendario actual, no aprieta hasta agosto de 2028.
Punto clave sobre plazos

El aplazamiento del Digital Omnibus mueve las obligaciones de alto riesgo para IA integrada en dispositivos médicos del 2 de agosto de 2027 al 2 de agosto de 2028. Aun así: pedir la documentación a Planmeca ya, sin esperar al límite — es un trámite de terceros fuera de vuestro control.

03

Chatbots de WhatsApp

Gestión de citas y atención al paciente por WhatsApp / Telegram.

Clasificación de riesgo

Interacción directa con personas, sin triaje clínico

Riesgo limitado · Art. 50

Un chatbot de citas por WhatsApp es riesgo limitado, siempre que se limite a gestión de citas y no derive hacia triaje de síntomas o consejo clínico. Usar la API comercial de Anthropic resuelve la parte de RGPD/entrenamiento de datos, pero la transparencia del Art. 50 es independiente del proveedor: es obligación de diseño del propio chatbot, no algo de lo que el modelo os exima.

Checklist técnico obligatorio · plazo 2 agosto 2026

  • Aviso explícito de sistema de IA, antes o como muy tarde en el primer mensaje de cada conversación nueva.
  • Aviso claro y comprensible en el idioma del paciente.
  • No diseñar el bot para imitar ser una persona real, ni negar que es IA si se le pregunta.
  • Opción visible en cualquier momento de hablar con una persona real.
  • No recopilar síntomas ni historial clínico sin consentimiento explícito previo — derivar a llamada o consulta presencial.
  • Registro de conversaciones con revisión periódica de respuestas incorrectas o inapropiadas.
  • Enlace a la política de privacidad accesible desde el propio chat.

Otras operaciones a estructurar

  • Un mismo estándar de aviso de IA en todos los canales, sin criterios distintos entre clínicas.
  • Flujo de escalado claro: qué mensaje del paciente dispara paso automático a un humano.
  • Separar en el prompt lo que el bot puede hacer (agenda, horarios, información general) de lo que nunca debe hacer (diagnóstico, recomendación de tratamiento).
  • Documentar el flujo de revisión editorial humana si el mismo sistema genera contenido de marketing — exime de marcarlo como IA bajo Art. 50.4, solo si es real y demostrable.
  • Registro de qué modelo/versión se usa en cada bot y su fecha de despliegue.
04 · Calendario consolidado

Qué fecha manda, y desde cuándo

Estado a julio de 2026, tras el acuerdo político del Digital Omnibus.

2 FEB 2025
Vigente

Prácticas prohibidas (Art. 5)

Afecta a todos, sin excepción de sector ni tamaño.

2 AGO 2025
Vigente

Obligaciones de proveedores GPAI (Art. 53)

Anthropic, OpenAI y el resto de fabricantes de modelos — no la clínica directamente.

2 AGO 2026
Vigente, sin cambios

Alfabetización en IA del personal (Art. 4)

Afecta al personal que use el MCP, Romexis o los chatbots — formación básica registrada.

2 AGO 2026
Vigente, sin cambios

Transparencia de chatbots (Art. 50)

Chatbots de WhatsApp/Telegram y contenido de marketing generado con IA.

2 DIC 2027
Aplazado

Alto riesgo · Anexo III (sistemas autónomos)

Solo si algún sistema llega a clasificarse formalmente como alto riesgo. Pendiente de publicación formal en el DOUE.

2 AGO 2028
Aplazado

Alto riesgo · Anexo I (IA en dispositivos médicos)

El caso probable de Romexis. Obligación de Planmeca como fabricante; la clínica archiva su documentación.

El aplazamiento a diciembre 2027 / agosto 2028 procede del acuerdo político del Digital Omnibus cerrado el 7 de mayo de 2026 y confirmado por el Consejo el 13 de mayo de 2026. Su adopción formal y publicación en el Diario Oficial de la UE se esperaba antes del 2 de agosto de 2026. Conviene verificar en esa fecha que la publicación se ha producido: si no fuera así, el calendario original del Reglamento recuperaría vigencia plena para el alto riesgo.

05

Fuentes consultadas