Incorporación del Reglamento de IA (2024/1689) en los Sistemas de Gestión de Calidad: Claves para Fabricantes de Productos Sanitarios

Cada vez son más las empresas que están desarrollando software como producto sanitario que incorpora modelos de Inteligencia Artificial (IA).

El marco legal aplicable en estos casos es crítico, ya que condiciona definitivamente su desarrollo y posterior introducción al mercado, implementación y uso. Desde el punto de vista regulatorio, todos los fabricantes (o desarrolladores) deben contar un Sistema de Gestión de Calidad (SGC) que garantice el cumplimiento tanto del Reglamento de productos sanitarios (Reglamento 2017/745, MDR) como del Reglamento de IA (Reglamento 2024/1689, IAR), incluso cuando ambos pueden llegar a incurrir en ciertas contradicciones entre ellos.

Tradicionalmente, los fabricantes de producto sanitario implementan su SGC de acuerdo con la ISO 13485 para demostrar el cumplimiento con las regulaciones. Esta norma proporciona un marco armonizado que facilita el procedimiento de evaluación de conformidad ante un organismo notificado de cara a la obtención del marcado CE.

Una de las principales preocupaciones para reguladores y operadores de sistemas de IA es determinar si es necesaria la elaboración de sistemas de calidad adicionales o paralelos para gestionar estos productos.

La respuesta la encontramos en el propio Reglamento de IA, que en su Artículo 17 establece que: “los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los SGC con arreglo al Derecho sectorial pertinente de la Unión podrán incluir los aspectos […] como parte de los SGC con arreglo a dicho Derecho”

Por lo tanto, los fabricantes podrán seguir utilizando un SGC basado en la ISO 13485 siempre y cuando este incorpore los requisitos específicos de IA que establece el Reglamento 2024/1689.

De acuerdo con el Reglamento de IA, los productos sanitarios que utilicen y/o integren IA o aquellos en los que la IA actúa como componente de seguridad del producto, se clasifican como de alto riesgo (Artículo 6), lo que implica la intervención de un Organismo Notificado para su evaluación antes de su salida al mercado.

En este artículo realizaremos un análisis detallado de los cambios a introducir en un SGC conforme a ISO 13485 y a los requisitos relativos al sistema de gestión de la calidad recogidos en el MDR, que permita a los fabricantes integrar de manera efectiva los nuevos requisitos del Reglamento de IA. Este análisis se centrará en cómo adaptar el SGC, asegurando la conformidad con las normativas aplicables y manteniendo la integridad del sistema.

Requisitos legales

La tabla 1 recoge los requisitos legales establecidos por el MDR, junto con su equivalencia con los apartados de la norma ISO 13485 y los nuevos requisitos a implementar como consecuencia de la entrada en vigor del IAR.

A priori, los nuevos requisitos establecidos en el IAR parecen ser similares a los contemplados en el MDR. Sin embargo, existen una serie de matices en su despliegue que deben ser tenidos en cuenta.

Es, por tanto, crucial realizar un análisis GAP del SGC que permita identificar aquellos documentos del sistema de gestión de calidad deben ser actualizados, y asegurar que todas las secciones de los procedimientos internos que se ven afectadas están identificadas. Para alcanzar este objetivo, es necesario disponer de una buena política de control de cambios, correctamente desplegada en procedimientos; y de una adecuada sistemática para registrar este proceso. A continuación, exponemos algunos aspectos relevantes a tener en cuenta para gestionar de forma adecuada este control de cambios.

Política y objetivos de calidad

Es recomendable que las organizaciones que hagan uso de IA integren en su política de calidad, las políticas relativas que garanticen que sus productos cumplen con los requisitos generales de seguridad y funcionamiento recogidos en el AIR, asi como otros requisitos legales. A continuación enunciamos algunas de estas políticas:

• Gestión de riesgos: tal y como indica el artículo 9 del AIR, es necesario identificar, evaluar y mitigar adicionalmente los riesgos potenciales asociados con el uso de IA en entornos sanitarios, asegurando un control constante del producto en el mercado.
• Desarrollo de productos basado en normas técnicas: para asegurar la calidad, es necesario establecer un proceso documentado que incluya verificaciones periódicas de los productos sanitarios y auditorías internas de acuerdo a las normas armonizadas y las especificaciones técnicas aplicables a la IA. A día de hoy existe una carencia o total ausencia de Normas Técnicas y/o Armonizadas de la IA. Por ello es importante declarar la intención en nuestras políticas de mantenerse al día de aquellas que irán apareciendo y aplicarlas cuando sea posible.
• Vigilancia poscomercialización y mejora continua: es necesario mantener un sistema de vigilancia poscomercialización, lo que incluye el seguimiento activo de los productos en uso conforme a lo establecido en el Artículo 83 del MDR y el Artículo 72 del Reglamento IA. En el caso del IAR, es importante considerar las diferencias en las definiciones de incidentes y sus respectivos plazos. Ante cualquier contradicción, se deberá aplicar siempre el Reglamento y la definición más restrictivos.
• Innovación y transparencia: es necesario promover la transparencia en el uso y funcionamiento de la IA, garantizando que los usuarios finales estén informados de manera clara y precisa sobre los productos.

Actores

Las organizaciones deberán determinar su rol respecto a los sistemas de IA. El Reglamento define distintas obligaciones para los diferentes actores involucrados en el ciclo de vida de estos sistemas. El AIR define nuevas figuras que se incorporan a los fabricantes, importadores, representantes autorizados, agrupadores y distribuidores establecidas por el MDR. Son las siguientes:

Recursos humanos

La incorporación de IA en las organizaciones requiere identificar las competencias necesarias del personal que realice tareas relacionadas con la IA. Es fundamental demostrar que dichas personas cuentan con la formación, experiencia y habilidades necesarias para garantizar la correcta implementación y funcionamiento del sistema (Artículo 4).

Siguiendo las recomendaciones aportadas por la ISO 42001, también es importante garantizar que el personal bajo el control de la organización sea consciente de las implicaciones de no cumplir con los requisitos del sistema de gestión de IA.

Un correcto análisis de riesgos que recoja los riesgos emergentes asociados al uso de la Inteligencia Artificial podrá darnos algunas pistas de la formación y los profesionales que necesitaremos incorporar de forma transversal en distintos departamentos de nuestras empresas.

Gobernanza de los datos

El Sistema de Gestión de Calidad (SGC) de un producto sanitario con IA debe integrar prácticas adecuadas de gobernanza y gestión de datos en todas las fases del ciclo de vida del producto. Esto implica que los conjuntos de datos utilizados para el entrenamiento, validación y testeo de la IA deben cumplir con altos estándares de calidad comparables al nivel de exigencia y control que se tiene con las materias primas y APIs en la industria farmacéutica, por ejemplo. Además, estos datos deben  ser gestionados bajo procedimientos rigurosos que aborden las siguientes áreas clave:

• Decisiones relativas al diseño (artículo 10.2a): es necesario asegurar que los datos utilizados en el desarrollo y entrenamiento reflejen los supuestos predefinidos en el uso/propósito previsto del producto, garantizando la seguridad y eficacia del software. Estas decisiones afectan directamente el diseño del producto sanitario.
• Procesos de recogida de datos y origen de los datos (artículo 10.2b): es crucial garantizar que los datos personales utilizados, cuando corresponda, se recopilen conforme a su finalidad original y se gestionen de acuerdo con las normativas de privacidad (Reglamento (UE) 2016/679, conocido como GDPR). Esto incluye asegurarse de que los datos reflejan correctamente las poblaciones objetivo para las que se diseñó el sistema de IA. Las políticas del SGC deben incluir controles rigurosos de acceso y medidas de seguridad avanzadas, como la seudonimización, para proteger la confidencialidad de los datos personales tratados.
• Tratamiento de los datos (artículo 10.2c): las operaciones de tratamiento, como la anotación, etiquetado, depuración y agregación de los datos, afectan la precisión y fiabilidad del sistema de IA. El SGC debe incluir protocolos claros para estas actividades, garantizando que los conjuntos de datos estén preparados adecuadamente y se ajusten a los requerimientos de calidad.
• Gestión de sesgos y seguridad de los pacientes (artículo 10.2f-g): uno de los mayores retos en los sistemas de IA es la detección y mitigación de sesgos que puedan afectar negativamente a la salud y seguridad de los pacientes. El SGC debe incluir evaluaciones periódicas de los posibles sesgos en los datos, garantizando que no se generen resultados discriminatorios o erróneos.
• Evaluación y mejora continua basada en los datos: el SGC de un producto sanitario que emplea IA debe garantizar la evaluación continua de la calidad de los datos utilizados en la IA, asegurando que sean representativos, completos y relevantes para su entorno operativo previsto (artículo 10.3). Además, el SGC debe incorporar una revisión continua de la gobernanza de datos para asegurar que cualquier deficiencia en los datos pueda ser detectada y subsanada de manera oportuna (artículo 10.2h).

Gestión de riesgos y realización del producto

El enfoque de gestión de la calidad del producto IA basado en el riesgo resulta fundamental para la planificación del diseño y la realización del mismo. Es por ello que la gestión de riesgos cobra especial importancia, ya que este proceso deberá combinar los requisitos de ambos reglamentos para identificar, evaluar y mitigar los riesgos que los sistemas de IA pueden representar para la salud, la seguridad o los derechos fundamentales de los ciudadanos (Artículo 9).

Tradicionalmente, los fabricantes de productos sanitarios han basado la gestión de riesgos en la norma ISO 14971, una norma específica del sector que ofrece una sistemática para la correcta identificación de peligros asociados al producto, la estimación y evaluación de los riesgos asociados, el control de dichos riesgos y la supervisión de la efectividad de los controles implementados. Sin embargo, la metodología y enfoque de esta ISO se queda pequeña y obsoleta para la Inteligencia Artificial, sobre todo para la Generativa.

La norma ISO 42001 ofrece una gestión de riesgos más amplia que se adapta mejor a la idiosincrasia de la IA, ya que en ella no solo se tienen en cuenta los riesgos del propio producto, sino que también tiene en cuenta los riesgos asociados al proceso de desarrollo del mismo.

Para esta norma ISO 42001 cada organización deberá evaluar su aplicabilidad en función de las necesidades y del uso que hacen de la IA.

Con el objetivo de guiar a los lectores en este proceso de gestión de riesgos, en la figura 1 se adjunta un diagrama de flujo de los pasos a seguir en un proceso de gestión de riesgos teniendo en cuenta las consideraciones tanto de ISO 14971 como de ISO 42001.

El IAR establece que es necesario reevaluar continuamente nuevos peligros o si los riesgos ya existentes se ven afectados. Esto requerirá una revisión sistematizada por parte de los desarrolladores de este tipo de productos, particularmente en lo que respecta al diseño, validación y ensayos de rendimiento del sistema de IA.

Así mismo, el AIR establece la necesidad de elaborar un plan de mitigación de riesgos. Este plan deberá considerar todas las etapas del ciclo de vida del producto y especificar que controles se implementarán para controlar los riesgos identificados. Además, deberá incluir cómo se verificará el cumplimiento de estos controles, en qué fases específicas del ciclo de vida del producto se llevarán a cabo dichas verificaciones y en qué momentos será necesaria la supervisión humana (Artículo 14).

La creación de este plan no es de obligado cumplimiento; sin embargo, adoptar estas buenas prácticas de desarrollo de IA permitirá a las empresas anticiparse y abordar posibles desafíos antes de que se conviertan en problemas significativos.

Seguimiento y medición

El Reglamento de IA de la Unión Europea establece claras obligaciones en torno a la vigilancia poscomercialización para sistemas de IA de alto riesgo, lo que impacta directamente en el Sistema de Gestión de Calidad (SGC) de los proveedores de productos sanitarios que integran IA. A continuación, se detalla cómo estas disposiciones se reflejan en la implementación de un SGC efectivo.

1. Vigilancia poscomercialización proporcional a los riesgos (Artículo 72.1): los proveedores de productos sanitarios que integran IA deben establecer y documentar un sistema de vigilancia poscomercialización proporcionado a la naturaleza de las tecnologías de IA y a los riesgos específicos de estos sistemas. Este sistema debe ser parte integral del SGC, alineándose con las prácticas habituales de monitorización de productos sanitarios poscomercialización y adaptándose a las especificidades de la IA. El establecimiento del sistema de vigilancia poscomercialización debe estar debidamente documentado como parte del SGC, asegurando que todas las acciones relacionadas con el monitoreo de riesgos se gestionen de forma transparente.
2. Recolección activa y análisis de Datos (Artículo 72.2): el SGC debe garantizar que los datos recopilados en tiempo real, durante la operación del sistema de IA en el campo, se monitoreen de forma activa y continua. Esto incluye no solo datos de funcionamiento, sino también cualquier incidente o malfuncionamiento que pueda afectar la seguridad del paciente o la eficacia del producto sanitario.
3. Plan de vigilancia poscomercialización (Artículo 72.3): el sistema de vigilancia debe estar respaldado por un plan de vigilancia poscomercialización, que forma parte de la documentación técnica. Este plan debe incluir elementos esenciales que ayuden a evaluar continuamente la seguridad y el funcionamiento de la IA. El plan de vigilancia poscomercialización debe ser un componente clave en el SGC. El plan debe detallar las metodologías para la recopilación y análisis de datos, los mecanismos de notificación de incidentes, así como los procedimientos de revisión y actualización continua del plan a medida que se recopilen más datos sobre el rendimiento del sistema de IA.
4. Integración con otros Planes de vigilancia (Artículo 72.4): para los sistemas de IA de alto riesgo regulados por otros actos legislativos de armonización de la UE, los proveedores pueden integrar el sistema y plan de vigilancia poscomercialización con aquellos que ya existan bajo estas normativas, evitando duplicidades y reduciendo la carga administrativa.

El SGC debe permitir la integración de los requisitos de vigilancia poscomercialización de IA con los existentes en otros reglamentos de productos sanitarios. Esto simplifica los procesos de cumplimiento y minimiza los recursos adicionales que de otro modo serían necesarios.

Conclusión:

La incorporación de los requisitos del Reglamento de IA (2024/1689) en el Sistema de Gestión de Calidad (SGC) de un fabricante de productos sanitarios no solo es posible, sino esencial para garantizar la seguridad, eficacia y cumplimiento normativo de los productos que incorporan inteligencia artificial de alto riesgo. Si bien el marco de la ISO 13485 proporciona una base sólida, los nuevos desafíos y requisitos establecidos por el Reglamento de IA requieren ajustes significativos en áreas clave como la gestión de datos, la evaluación de riesgos y la vigilancia poscomercialización.

El análisis de los requisitos de ambos reglamentos revela que, aunque existen similitudes importantes en su enfoque, el AIR introduce matices y complejidades adicionales, especialmente en lo que respecta a la transparencia y mitigación de sesgos. La capacidad de un SGC de adaptarse de manera ágil a estos nuevos requerimientos es crucial para asegurar no solo la conformidad normativa, sino también la competitividad en un entorno regulatorio cada vez más exigente.

Por lo tanto, es imperativo que los fabricantes realicen un análisis detallado de su SGC, y utilicen sus procedimientos de control de cambios para garantizar que los requisitos del AIR se implementen de manera efectiva y que su cumplimiento sea posible a lo largo del ciclo de vida del producto.