IA en la clínica dental: dónde está el riesgo real y qué documentar ya

El diagnóstico por imagen con IA ya es rutina en muchas clínicas. Entender por qué se clasifica como se clasifica —y qué obligación llega primero— evita tanto el pánico como la ligereza.

En muchas clínicas dentales, la IA ya no es una promesa: es una herramienta que lee radiografías cada día. Sistemas como Diagnocat, Overjet o Pearl analizan panorámicas y CBCT para detectar caries, pérdida ósea o lesiones periapicales. Funcionan, ahorran tiempo y mejoran la detección. Y, precisamente por lo que hacen y con qué datos, colocan a la clínica en una de las posiciones más exigentes del AI Act. La buena noticia es que el camino para gobernarlo bien es claro, si se entiende la clasificación correcta.

Por qué el diagnóstico por imagen es un caso serio

El sistema que lee una radiografía toca dos cosas sensibles a la vez: datos de salud —categoría especial del Artículo 9 del RGPD— y una función clínica que apoya decisiones sobre el paciente. Esa combinación es la que eleva el nivel de exigencia.

Además, estos productos suelen tener marcado CE como producto sanitario bajo el Reglamento (UE) 2017/745. Ese detalle no es menor: define por qué vía el AI Act los alcanza.

La clasificación, con precisión

Aquí conviene ser exactos, porque es fácil equivocar la etiqueta y, con ella, el calendario.

Un sistema de diagnóstico por imagen con marcado CE entra en el AI Act principalmente por la vía del Anexo I (Art.6.1): IA que actúa como componente de seguridad de un producto ya regulado por legislación sectorial. Con el Digital Omnibus, la fecha de aplicación de las obligaciones de alto riesgo por esta vía se desplaza al 2 de agosto de 2028.

Puede además concurrir la vía del Anexo III si el sistema influye en el acceso o la priorización del tratamiento del paciente, con su propio calendario (2 de diciembre de 2027 tras el Omnibus).

Esta precisión tiene una consecuencia práctica importante: la FRIA del Artículo 27 es un instrumento del Anexo III, no del Anexo I. Para el núcleo puramente clínico de un producto sanitario que entra por el Anexo I, la FRIA no es la obligación central. Presentarla como obligatoria "porque usas IA de diagnóstico" sería un error legal. La obligación que casi siempre sí aplica es otra.

La obligación que llega primero: la DPIA

En una clínica dental que usa IA de diagnóstico, la evaluación de impacto en protección de datos (DPIA, Art.35 RGPD) es prácticamente universal. Se combinan los tres factores que la disparan: datos de categoría especial (salud), tratamiento a gran escala y tecnología nueva. No es una obligación futura ni provisional: deriva del RGPD, que está plenamente vigente.

Una DPIA bien hecha para este caso aborda, como mínimo:

  • Base jurídica reforzada del Art.9: típicamente el contrato de servicio sanitario (Art.6.1.b) junto con la asistencia sanitaria (Art.9.2.h).
  • Transferencias internacionales: si el proveedor procesa fuera del Espacio Económico Europeo —algunos son estadounidenses—, hace falta el mecanismo adecuado (cláusulas tipo, análisis de garantías). Un proveedor con sede en la UE simplifica esto; uno fuera, no.
  • Retención de imágenes: según la normativa sanitaria estatal y autonómica, habitualmente entre 5 y 15 años.
  • Medidas técnicas: cifrado en reposo y en tránsito, seudonimización de identificadores en analítica.

La supervisión humana no es opcional

Un principio que conviene grabar: el sistema apoya, no decide. La supervisión humana (Art.26.2 para el desplegador) implica que el profesional revisa el resultado del sistema y nunca decide el tratamiento basándose únicamente en el output de la IA. Un falso negativo del sistema no puede convertirse en una decisión clínica sin criterio humano de por medio. Y conviene tener un procedimiento escrito para qué hacer cuando el resultado es anómalo.

Y el resto del stack de la clínica

No todo en una clínica es diagnóstico de alto riesgo. El inventario típico incluye sistemas de menor exposición que también hay que clasificar:

  • Chatbot de citas: interactúa con pacientes, por lo que activa la transparencia del Art.50.1 (aviso de que se habla con un asistente virtual) desde el 2 de agosto de 2026. Si el chatbot entra en síntomas o indicaciones médicas, sube el nivel y puede requerir DPIA.
  • Predicción de ausencias y optimización de agenda: normalmente de riesgo limitado. Ojo si el sistema llega a discriminar pacientes (por ejemplo, negando citas a quienes "predice" que faltarán): ahí aparecen problemas del Art.22 del RGPD.
  • Copilotos de ofimática en tareas administrativas: uso general de bajo riesgo, pero cuentan para el inventario y para la formación del Art.4.

Qué hacer ya, sin dramatismo

El mensaje para una clínica no es de alarma; es de orden. Con el Omnibus, las obligaciones de alto riesgo por la vía del producto sanitario tienen margen hasta 2028. Pero hay tres cosas que tiene sentido cerrar ahora:

  1. Inventario completo de todos los sistemas de IA de la clínica —incluidos los de las distintas sedes, que a menudo usan software distinto—.
  2. DPIA para el diagnóstico por imagen y para cualquier otro tratamiento que la exija. Esta es la obligación real y presente.
  3. Formación y política de uso del personal clínico (Art.4), con evidencia trazable.

Hacerlo bien no es comprar tranquilidad ni exhibir un sello. Es tener la documentación revisada y auditable lista para defender, con criterio, que la clínica usa la IA como debe.

Las menciones a productos comerciales son descriptivas del mercado; no implican relación comercial. Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.