Integración MCP para consultar las bases de datos clínicas, IA diagnóstica de Planmeca Romexis y chatbots de atención al paciente por WhatsApp — qué exige la ley, quién tiene que hacer qué, y con qué plazos reales.
Este informe traduce el Reglamento (UE) 2024/1689 a acciones concretas para tres proyectos reales en curso: un sistema MCP de consulta y análisis contra las bases de datos clínicas, las funciones de IA diagnóstica de Planmeca Romexis, y los chatbots de citas por WhatsApp.
Elegir un proveedor de IA u otro no determina si la clínica está cubierta por el AI Act. Todos los fabricantes de modelos de propósito general tienen las mismas obligaciones legales desde agosto de 2025, sea Anthropic, OpenAI o cualquier otro.
Lo que sí cambia por proveedor es la garantía contractual de no entrenar con vuestros datos — y eso es RGPD, no AI Act.Estado real del calendario a julio de 2026: las obligaciones más pesadas (sistemas de alto riesgo del Anexo III) se han aplazado del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de IA integrada en dispositivos médicos —como Romexis— al 2 de agosto de 2028, tras el acuerdo político del Digital Omnibus cerrado el 7 de mayo de 2026.
Dos obligaciones mantienen su fecha original del 2 de agosto de 2026 sin cambios: la formación básica en IA del personal (Art. 4) y la transparencia de los chatbots (Art. 50). Son las dos cosas que hay que tener resueltas ya, con independencia de lo que pase con el resto del calendario.
Consultas complejas y análisis directo contra las bases de datos clínicas mediante un LLM.
No encaja en ninguna categoría del Anexo III: no es un sistema de alto riesgo. No hay evaluación de conformidad, ni registro en la base de datos de la UE, ni logs obligatorios de 6 meses. Pero las bases de datos que consulta contienen datos de salud (Art. 9 RGPD), así que el marco que de verdad manda aquí es el RGPD, no el AI Act.
No exactamente. Así funciona en realidad:
"Estar cubiertos" significa: cuentas comerciales/API con Términos Comerciales firmados —nunca cuentas personales gratuitas—, un DPA vigente con el proveedor elegido, y retención de datos mínima activada. Aplica igual con Anthropic que con cualquier otro proveedor serio; la diferencia está en leer el contrato, no en la marca.
IA diagnóstica: segmentación CBCT, detección del nervio mandibular, numeración de dientes, planificación de implantes.
Las funciones de IA de Romexis están diseñadas y comercializadas por Planmeca. Es Planmeca quien tiene la obligación legal de certificarlas — nunca la clínica. Vosotros, como desplegadores (Art. 26), nunca certificáis el producto: usáis lo que el fabricante ya ha certificado, conforme a sus instrucciones de uso.
El aplazamiento del Digital Omnibus mueve las obligaciones de alto riesgo para IA integrada en dispositivos médicos del 2 de agosto de 2027 al 2 de agosto de 2028. Aun así: pedir la documentación a Planmeca ya, sin esperar al límite — es un trámite de terceros fuera de vuestro control.
Gestión de citas y atención al paciente por WhatsApp / Telegram.
Un chatbot de citas por WhatsApp es riesgo limitado, siempre que se limite a gestión de citas y no derive hacia triaje de síntomas o consejo clínico. Usar la API comercial de Anthropic resuelve la parte de RGPD/entrenamiento de datos, pero la transparencia del Art. 50 es independiente del proveedor: es obligación de diseño del propio chatbot, no algo de lo que el modelo os exima.
Estado a julio de 2026, tras el acuerdo político del Digital Omnibus.
Afecta a todos, sin excepción de sector ni tamaño.
Anthropic, OpenAI y el resto de fabricantes de modelos — no la clínica directamente.
Afecta al personal que use el MCP, Romexis o los chatbots — formación básica registrada.
Chatbots de WhatsApp/Telegram y contenido de marketing generado con IA.
Solo si algún sistema llega a clasificarse formalmente como alto riesgo. Pendiente de publicación formal en el DOUE.
El caso probable de Romexis. Obligación de Planmeca como fabricante; la clínica archiva su documentación.
El aplazamiento a diciembre 2027 / agosto 2028 procede del acuerdo político del Digital Omnibus cerrado el 7 de mayo de 2026 y confirmado por el Consejo el 13 de mayo de 2026. Su adopción formal y publicación en el Diario Oficial de la UE se esperaba antes del 2 de agosto de 2026. Conviene verificar en esa fecha que la publicación se ha producido: si no fuera así, el calendario original del Reglamento recuperaría vigencia plena para el alto riesgo.