Ya hace un año desde que el Reglamento de IA¹ llegó a nuestras vidas, y desde entonces no hemos parado de escuchar sobre ella, en este sentido no es extraño que nos venga un “flashback” que nos recuerde a 2018, y es que todos recordamos que el 25 de mayo de este año, fue la fecha de aplicación del Reglamento General de Protección de Datos (RGPD), y el gran número de mails y publicaciones que recibimos en aquel entonces.

Pues como aquel entonces, la hora de la IA ha llegado, y también para quedarse. A continuación intentaremos hacer un análisis de cómo la llegada de esta herramienta y su legislación afecta a la Industria Farmacéutica y más concretamente desde el prisma del Compliance.

I - Breve marco normativo
Antes de entrar en materia, es necesario dar unas pinceladas básicas de qué es un sistema de IA y qué mejor forma de empezar con lo que recoge el propio Reglamento, y es que su artículo 3.1), se expresa que: «sistema de IA»: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales.

Realmente lo que viene a decirnos esta definición es lo siguiente:

- Que se trata de una máquina que piensa. Debemos dejar atrás el concepto de programa, que lo que hace es seguir órdenes paso a paso, ya que puede razonar y tomar decisiones, con base a lo que le digamos.

- Funciona sola. Es decir, es autónoma, ya que no una vez la pones en marcha, ya no necesitas controlarla de manera continua.

- Aprende y se adapta. El sistema puede cambiar su comportamiento después de usarlo, es decir, como una persona mejora con la experiencia.

- Produce resultados útiles. La última parte del artículo 3.1) nos muestra que puede dar predicciones (¿va a llover mañana?), crear contenido (como crear un texto o redactar un mail), puede dar recomendaciones (¿qué película puedo ver?) y tomar decisiones (¿Acepto o no acepto la concesión del préstamo?).

A todo esto, le debemos añadir una última característica, que para mi es la más importante, y es que un sistema de IA tiene capacidad de “inferir”. Este término que quizás a algunos os suene, viene recogido en el considerando 12 de la propia norma y se refiere “al proceso de obtención de resultados, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos y virtuales, y a una capacidad de los sistemas de IA para derivar modelos o algoritmos, o ambos, a partir de entradas o datos²”.

Pues bien, tras haber abordado la definición del Sistema de IA, es necesario clasificarlas, y para ello se toma como medidor el riesgo que suponen para los derechos fundamentales, la seguridad o la salud. Así, se establecen cuatro niveles: riesgo inaceptable (prohibidos), alto riesgo (estrictamente regulados), riesgo limitado (con obligaciones específicas de transparencia) y riesgo mínimo (uso “libre”).

Por último y antes de entrar a valorar la implicación en el sector de la Industria, es necesario distinguir el SISTEMA de IA, y entre MODELO de IA. El considerando 97 del Reglamento, hace un análisis en detalle de lo que es un modelo y las características que tenemos que tener en cuenta, el cuál os animo a leer para tener una visión más clara, pero en esta ocasión os intentaré dar una visión más cercana de lo que es para mi un MODELO de IA.

Imaginemos un coche: si hablamos de MODELO de IA hablaríamos del motor, es decir, es el que pone en marcha al vehículo, pero que por sí solo no puede llevarte a ningún lado, mientras que el SISTEMA de IA es el coche completo, es decir, chasis, botones, ventanillas, etc… Creo que este ejemplo se entiende bastante bien, pero quizás con esta tabla podamos dar más claridad:

Ahora que conocemos un poco más qué es la IA, ¿qué tenemos qué hacer?

II - Primer paso: evaluar el riesgo y definir el alcance del proyecto
Entrando ya en materia, lo primero que tenemos que hacer como organización es realizar una FRIA, es decir, llevar a cabo una Evaluación de Riesgos del Sistema de Inteligencia Artificial. Esta evaluación permite determinar:

• Si el sistema entra dentro del marco regulatorio europeo.

• Qué nivel de riesgo presenta para la compañía y los pacientes.

• Qué obligaciones debe cumplir el laboratorio como proveedor, responsable del despliegue o usuario del sistema.

III - ¿Por qué es especialmente crítico en farmacéuticas?
La industria farmacéutica opera en un entorno “super-regulado” donde las decisiones pueden afectar directamente la salud y seguridad de los pacientes. Es por ello, que un error en un Sistema de IA puede tener consecuencias muy graves para la vida humana.

Antes hemos hablado de la clasificación de los Sistemas de IA, siendo ahora necesario aterrizarlos para poder entenderlos mejor dentro de la Industria.

a) Sistemas de Alto Riesgo (requiere muchas precauciones).
- IA para diagnóstico médico o análisis de muestras biológicas
• Ejemplo: Sistema que analiza biopsias para detectar células cancerosas
• Riesgos: Falsos negativos pueden retrasar tratamientos vitales
• Consideraciones FRIA: Validación clínica, trazabilidad completa de decisiones, supervisión médica obligatorio.

- IA en farmacovigilancia
• Ejemplo: Sistema que detecta efectos adversos en redes sociales o bases de datos médicas
• Riesgos: No detectar una reacción adversa grave o generar falsas alarmas
• Consideraciones FRIA: Procedimientos de escalado, revisión humana obligatoria, tiempos de respuesta definidos

b) Sistemas de Riesgo Limitado (Requieren transparencia)
- Chatbots de información médica
• Ejemplo: Asistente virtual que responde dudas sobre medicamentos.
• Riesgos: Proporcionar información médica errónea o desactualizada.
• Consideraciones FRIA: Disclaimers claros, limitación de alcance, actualización constante de base de conocimiento.

c) Sistemas de Riesgo Mínimo (Requieren monitoreo básico)
- IA para optimización logística
• Ejemplo: Sistema que optimiza rutas de distribución de medicamentos
• Riesgos: Retrasos en entregas de medicamentos críticos
• Consideraciones FRIA: Planes de contingencia, alertas automáticas, supervisión humana

Estas situaciones, pueden ejemplificar perfectamente el uso de la IA en la optimización del día a día de las empresas, y sobre todo nos muestra a qué nos podemos enfrentar si no tenemos una supervisión profesional.

Es por ello que es fundamental hacer preguntas clave para que la FRIA tenga éxito. Aquí te dejo algunos prompts que pueden resultar útiles:

- ¿Puede una decisión errónea del sistema poner en riesgo la vida del paciente?
- ¿Existe supervisión médica humana en decisiones críticas?
- ¿El sistema puede ser auditado y explicado ante reguladores?
- ¿Qué sucede si el sistema falla durante un proceso crítico?

IV - ¿Cómo se aplica la IA en los laboratorios farmacéuticos?
Ya sabemos que es un Sistema de IA y cuál es el primer paso que debemos dar. Ahora nos toca saber que utilidad tiene la IA para nuestra organización. Pues bien, aquí me gusta dividirlo en dos partes:

- Optimización interna.
En el ámbito interno, la IA permite una automatización inteligente que agiliza procesos rutinarios, es decir, permite acelerar tareas repetitivas como la revisión documental o la generación de informes, lo que libera tiempo valioso para el personal técnico especializado. Asimismo, facilita una gestión de calidad predictiva, capaz de detectar desviaciones antes de que se traduzcan en fallo, lo cual significa pérdida de dinero. Mediante análisis de datos avanzados, la IA proporciona también insights estratégicos que mejoran la toma de decisiones en áreas clave. Estas implementaciones internas suelen implicar riesgos bajos o moderados, pero ofrecen un retorno de inversión rápido y tangible

- Aplicaciones externas.
Aquí es dónde, bajo mi punto la IA despliega todo su potencial disruptivo. Y es que su uso en Departamentos científicos, como es el caso de los ensayos clínicos, su uso podría acelerar la identificación de candidatos óptimos, monitorizar automáticamente reacciones adversas y predecir tasas de abandono, lo que permite optimizar protocolos con mayor precisión.

En Regulatorio, y más en concreto en tecnologías como el OCR avanzado se podría digitalizar documentos regulatorios, prospectos e informes de forma instantánea, reduciendo errores humanos y mejorando la eficiencia operativa.

E incluso en áreas tan críticas como la Farmacovigilancia, el procesamiento de lenguaje natural (NLP) permite analizar de forma masiva publicaciones médicas, automatizar procesos de este departamento e identificar patrones sutiles en grandes volúmenes de datos.

V - ¿Quién se hace responsable de la IA?
Hasta ahora, hemos visto las bondades de la IA y de cómo su uso e implementación puede beneficiar a la Organización, pero sobre todo a la vida del paciente. Pero ¿que ocurre cuando la IA falla o comete un error que pone en riesgo la vida de un paciente? y ¿si usamos la IA para la comisión de un delito?

Desde el principio de la publicación hemos explicado que se trataba de dar algunas pinceladas sobre la misma, pero sobre todo su repercusión dentro del prisma del Compliance.

Imaginemos un laboratorio que emplea un sistema de IA para identificar efectos adversos en redes sociales. Si el sistema omite una señal crítica y esa omisión se traduce en daños para los pacientes, ¿es responsable el desarrollador, el proveedor, el departamento que lo implementó, o la alta dirección que aprobó su uso sin los controles adecuados?

En estos casos, la atribución de responsabilidad penal puede extenderse a la organización y sus directivos si se demuestra negligencia en la supervisión, ausencia de protocolos de control o una gestión inadecuada del riesgo. No basta con confiar en la tecnología: es indispensable integrar la IA en un marco de Compliance robusto que incluya evaluaciones FRIA, definiciones claras de roles y medidas de supervisión eficaces.

Además, deben contemplarse escenarios más difusos, como la posible inducción de conductas irregulares por parte del propio sistema. Un chatbot mal entrenado que sugiera prácticas no autorizadas o un modelo que recomiende ajustes engañosos en ensayos clínicos podrían generar conflictos legales si no se detectan a tiempo.

Es por ello, que es fundamental la formación de todos los equipos y sobre todo, disponer de políticas de Compliance adaptadas y actualizadas al día a día.

VI - Conclusión
La IA representa una palanca de transformación para la industria farmacéutica, pero su adopción debe ir acompañada de responsabilidad, trazabilidad y control. Solo así se garantizará que la innovación avance sin comprometer la ética ni la legalidad.

Y lo más importante, no implantes una IA:

• Si no puedes explicar cómo toma decisiones críticas.

• Si no tienes bien definidas tus políticas de Compliance.

• Si no tienes recursos para monitoreo y mantenimiento continuo.

• Si el personal no está capacitado para interpretar resultados y no puedes formarlos para ello.

• Si no vas a poder cumplir con regulaciones básicas de calidad farmacéutica.

^{1 Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial).}

^{2 Considerando 12 del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial).}