Volver a los artículos
IA en sanidad 2026: AEMPS, ENS Alto y eleccion de arquitectura en Espana
IA Sanidad AEMPS SNS RGPD

IA en sanidad 2026: AEMPS, ENS Alto y eleccion de arquitectura en Espana

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Cofundador de DPLIANCE
· Actualizado el 14 min de lectura

Quick Answer: IA sanitaria en Espana en 2026

Toda IA que trate datos de salud identificables en Espana debe satisfacer cumulativamente varios marcos:

  • RGPD y LOPDGDD (Ley Organica 3/2018) — articulo 9 RGPD sobre categorias especiales de datos, EIPD obligatoria en la practica totalidad de los proyectos clinicos.
  • Esquema Nacional de Seguridad (ENS) categoria Alto — Real Decreto 311/2022, certificable por entidades acreditadas por ENAC, prerrequisito para contratacion publica del SNS.
  • AEMPS — Reglamento (UE) 2017/745 (MDR), Real Decreto 192/2023 sobre productos sanitarios, marcado CE obligatorio cuando la IA contribuye a una decision clinica.
  • Ley 41/2002 sobre autonomia del paciente — derecho a informacion, consentimiento informado, confidencialidad de la historia clinica, derecho a la explicacion clinica humana.
  • Espacio Nacional de Salud Digital y EHDS (Espacio Europeo de Datos de Salud, Reglamento (UE) 2025/327) — interoperabilidad HL7 FHIR ES, SNOMED CT, catalogo de servicios del Ministerio.
  • AI Act (Reglamento (UE) 2024/1689) — la IA sanitaria es regularmente IA de alto riesgo en el sentido del articulo 6 y anexo III.
  • Marcos autonomicos — CatSalut (Cataluna), SAS (Andalucia), SERMAS (Madrid), Osakidetza (Pais Vasco), SERGAS (Galicia), IB-Salut, SACYL, SCS, SESCAM, SES, SESPA, SMS y SNS-Navarra: cada CCAA tiene su DPD y sus criterios de homologacion.

Proveedores cloud defendibles 2026: Microsoft Azure Spain Central (Madrid), AWS Madrid Region, Google Cloud Madrid Region, OVHcloud Madrid (ISO 27018, residencia en Espana), Stackscale (proveedor soberano espanol), Arsys (soberano espanol), Acens (Telefonica Tech). Para soberania maxima: Stackscale, OVHcloud Madrid o despliegue on-premise en hospital.

Arquitecturas posibles para IA clinica:

  • On-premise en el centro de proceso de datos del hospital, sobre infraestructura ENS Alto certificada — maximo control, capex elevado.
  • Nube soberana espanola (OVHcloud Madrid, Stackscale, Arsys) — recomendada para 2026.
  • Hyperscaler en Espana con ENS Alto (Azure Spain, AWS Madrid, GCP Madrid) — funcional, riesgo residual CLOUD Act.
  • Mutuas y aseguradoras: Sanitas, Adeslas, DKV, Asisa, MUFACE/MUGEJU/ISFAS — sus sistemas tienen requisitos paralelos.

Casos de uso operativos 2026: ayuda a redaccion de informes clinicos (Whisper + LLM en espanol), RAG sobre protocolos hospitalarios y guias de practica clinica del SNS, lectura asistida de imagenes radiologicas (CE marcado), triaje administrativo de la atencion primaria, asistencia a investigacion clinica.

Casos a evitar en autonomia: diagnostico autonomo, prescripcion automatica, decision terapeutica. Supervision humana no negociable — Codigo de Etica y Deontologia Medica de la OMC, AI Act articulo 14, MDR.


Por que la IA sanitaria explota en Espana en 2026

Tres bascules acumuladas.

Bascule 1 — Madurez de los modelos en castellano clinico. Mistral Large, GPT-4o, Claude 3.7 y Gemini 2.0 alcanzan en 2026 calidad clinicamente utilizable sobre documentacion medica en espanol (guias del SNS, protocolos SEMFYC, vademecum). Benchmarks independientes del CNIO, del Hospital Clinic de Barcelona y del ISCIII muestran calidad de extraccion y resumen comparable a la de un MIR de tercer ano sobre tareas no decisionales.

Bascule 2 — Presion sobre el SNS. El informe del Ministerio de Sanidad 2025 documenta listas de espera record (mas de 800.000 pacientes en quirurgica), envejecimiento de la plantilla (mas del 30 % de medicos de familia con mas de 60 anos) y carga administrativa creciente. La IA es percibida como palanca para liberar tiempo asistencial — no para sustituir al medico.

Bascule 3 — Marco legal navegable. Entre 2023 y 2026 se publicaron Real Decreto 311/2022 (ENS), Real Decreto 192/2023 (productos sanitarios), Ley Organica 1/2025 (justicia digital incluyendo elementos sanitarios), guia AEPD sobre IA y datos personales, criterios CCN-CERT para IA, y se consolidaron los catalogos del Espacio Nacional de Salud Digital. El terreno juridico es navegable — y los lideres (Hospital Clinic Barcelona, Hospital 12 de Octubre, Hospital La Paz, Vall d’Hebron, IIS Aragon, IDIBAPS) avanzan rapido.

Concretamente: en 2026 todo gran hospital del SNS, mutua y empresa de salud digital tiene al menos una iniciativa de IA en produccion. No tenerla es perder competitividad medible.

El triangulo de cumplimiento de IA sanitaria en Espana

AEMPS y el marcado CE de productos sanitarios

Cuando una IA participa en una decision clinica (diagnostico, triaje, eleccion terapeutica, scoring de riesgo, monitorizacion), pasa a ser un Producto Sanitario Software (SaMD) bajo el Reglamento (UE) 2017/745 (MDR) y el Real Decreto 192/2023. Autoridad competente: la Agencia Espanola de Medicamentos y Productos Sanitarios (AEMPS) del Ministerio de Sanidad — la equivalente espanola de la francesa ANSM o la alemana BfArM.

Clases de riesgo segun MDR:

  • Clase I: software simple sin impacto en decision clinica.
  • Clase IIa: triaje, scribing ambient, scoring sencillo.
  • Clase IIb: ayuda diagnostica, scoring de riesgo especifico de patologia.
  • Clase III: diagnostico o tratamiento autonomo — autorizacion muy restrictiva.

El marcado CE por organismo notificado (en Espana, AENOR, BSI Espana, TUEV Sud Iberica) es obligatorio antes del uso clinico. Sanciones: AEMPS impone retirada de mercado, multas hasta 1 M EUR en infracciones muy graves segun el Real Decreto 1591/2009 actualizado.

ENS Alto Sanidad — Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece tres categorias: Basico, Medio y Alto. Los sistemas que tratan datos de salud caen casi siempre en categoria Alto debido al impacto de su compromiso (articulo 41 ENS). La certificacion la hacen entidades acreditadas por ENAC.

Para un proyecto de IA sanitaria del SNS o de una CCAA:

  • ENS Alto certificable es prerrequisito para contratacion publica.
  • El proveedor cloud debe estar certificado ENS Alto (Azure Spain, AWS Madrid, GCP Madrid, OVHcloud Madrid, Stackscale, Arsys).
  • El proveedor de IA tiene que documentar su cumplimiento bajo el CCN-STIC 805, 822 y la guia CCN sobre IA.

Ley 41/2002 y autonomia del paciente

La Ley 41/2002 establece tres derechos clave que la IA sanitaria debe respetar:

  • Derecho a la informacion clinica: el paciente tiene derecho a conocer todo lo concerniente a su salud, incluido el uso de IA en su atencion.
  • Consentimiento informado: cuando la IA condiciona materialmente el tratamiento, el consentimiento debe contemplarlo.
  • Confidencialidad de la historia clinica: cualquier acceso de IA a la HCE debe documentarse y estar justificado.

Combinado con el articulo 22 RGPD (decisiones automatizadas), esto significa que el paciente conserva el derecho a recibir una decision humana — la IA propone, el medico decide.

Espacio Nacional de Salud Digital y EHDS

El Espacio Nacional de Salud Digital es la estrategia del Ministerio de Sanidad alineada con el Espacio Europeo de Datos de Salud (EHDS, Reglamento (UE) 2025/327). Estructura:

  • Interoperabilidad de la HCE entre CCAA (HCDSNS — Historia Clinica Digital del SNS).
  • Estandares HL7 FHIR ES, SNOMED CT, CIE-10-ES.
  • Catalogo de servicios del SNS y catalogo nacional de productos sanitarios.
  • Receta electronica del SNS y RECETA-XXI.
  • Plataformas de I+D sanitaria y datos secundarios via el ISCIII.

Para 2026, todo proyecto de IA sanitaria seria debe proyectar su arquitectura sobre estos estandares.

Marco autonomico

La sanidad esta descentralizada en Espana. Cada CCAA gestiona su servicio autonomico:

  • Cataluna — CatSalut (Servei Catala de la Salut), con su DPD propio y SISCAT (sistema sanitario integral de utilizacion publica).
  • Andalucia — SAS (Servicio Andaluz de Salud).
  • Madrid — SERMAS (Servicio Madrileno de Salud) y los hospitales del SERMAS (12 de Octubre, La Paz, Ramon y Cajal, Gregorio Maranon, Clinico San Carlos, La Princesa, etc.).
  • Pais Vasco — Osakidetza, con su sistema propio.
  • Galicia — SERGAS.
  • Comunidad Valenciana — Conselleria de Sanitat y los departamentos de salud.
  • Aragon — Salud Aragon.
  • Castilla y Leon — SACYL.
  • Castilla-La Mancha — SESCAM.
  • Extremadura — SES.
  • Asturias — SESPA.
  • Murcia — SMS.
  • Navarra — SNS-Navarra (Osasunbidea).
  • Canarias — SCS.
  • Cantabria — SCS de Cantabria.
  • Baleares — IB-Salut.
  • La Rioja — SERIS.

Cada uno tiene su DPD, sus contratos marco y sus criterios de homologacion. Un proveedor de IA tiene que cumplir simultaneamente con el marco estatal y con cada CCAA donde despliega.

Casos de uso de IA sanitaria operativos en Espana 2026

1. Scribing clinico ambient y redaccion automatica de informes

Whisper o ASR medico en castellano mas LLM en espanol redacta el informe de consulta y el alta hospitalaria. Medico valida, edita, firma. Resultados documentados en Hospital Clinic Barcelona, Vall d’Hebron, 12 de Octubre, La Paz: 30–45 % de reduccion del tiempo de documentacion.

Arquitectura conforme: Whisper en Stackscale o OVHcloud Madrid bajo ENS Alto, o on-premise sobre cluster GPU del hospital. LLM Mistral Large via OVHcloud Madrid, o lokal sobre infraestructura del SAS, CatSalut o SERMAS. EIPD, contrato de encargado de tratamiento, ENS Alto.

2. RAG sobre guias clinicas y protocolos hospitalarios

Indexar protocolos del centro, guias de practica clinica de SEMFYC, semFYC, GUIASALUD, vademecum y protocolos del SNS. Permitir consulta en lenguaje natural por medicos y enfermeria. Vease nuestra guia de arquitectura RAG empresa.

Arquitectura conforme: LLM mas base vectorial (Qdrant o pgvector) en Stackscale o OVHcloud Madrid. Sin datos de pacientes en el indice — solo guias publicadas. EIPD ligera por ausencia de tratamiento articulo 9.

3. IA radiologica y patologica

Modelos especializados (no LLM genericos) para radiografia de torax, mamografia, cortes de patologia. Son productos sanitarios CE marcados clase IIa o IIb. En produccion en hospitales espanoles 2026: Aidoc neuroradiologia (12 de Octubre), Annalise.ai torax, Quibim (proveedor espanol con presencia en Vall d’Hebron y Clinic), DeepHealth.

Adquisicion via marcado CE AEMPS, licitacion publica con ENS Alto, integracion DICOM y HL7 FHIR sobre PACS y RIS.

4. Atencion primaria y triaje administrativo

Chatbots de triaje sobre Salud Responde (Andalucia), Health Madrid, La Meva Salut (Cataluna), recordatorios de citas, gestion de mensajes a profesionales. Marco legal: sin obligacion MDR para tareas administrativas puras, pero EIPD y ENS Alto siempre aplicables. Vease nuestra guia de automatizacion de email IA para el contexto mutua.

5. Investigacion clinica y soporte a I+D

LLM extrae datos de ensayos clinicos, resume revisiones tipo Cochrane, asiste solicitudes a CEIm (Comites Eticos de Investigacion con medicamentos) y proyectos del ISCIII. Base juridica: articulo 9.2.j RGPD (investigacion cientifica), Ley 14/2007 de Investigacion Biomedica.

Casos a evitar en autonomia

  • Diagnostico autonomo sin firma medica — viola Codigo de Etica y Deontologia Medica de la OMC.
  • Prescripcion automatizada — sustitucion ilicita del acto medico.
  • Decision terapeutica sin validacion del especialista.
  • Comunicacion directa al paciente sobre diagnostico sin mediacion clinica.

AI Act articulo 14, OMC y MDR convergen: la IA aumenta al medico, no le sustituye.

Arquitectura de referencia para un hospital terciario del SNS

Para un hospital universitario que despliega multiples casos de uso IA en 2026:

Capa 1 — Infraestructura: Stackscale o OVHcloud Madrid (residencia en Espana, ENS Alto certificable), o on-premise en CPD del hospital sobre BSI-equivalente. Para CCAA con exigencia maxima de soberania (Cataluna, Pais Vasco): Stackscale o Arsys, evitando hyperscalers.

Capa 2 — Modelos: Mistral Large o Mistral Small 3 desplegados via vLLM sobre cluster GPU. Modelos de imagen medica especializados (CE marcados) integrados en PACS. Whisper Large v3 para transcripcion en castellano.

Capa 3 — Base vectorial: Qdrant o pgvector self-hosted sobre la misma infraestructura ENS Alto.

Capa 4 — Orquestacion: LangChain o orquestacion propia mas API interna endurecida. Autenticacion via certificado FNMT o tarjeta sanitaria profesional.

Capa 5 — Integracion HCE: HL7 FHIR ES Core, IHE, conectores hacia HP-HCIS, Selene, Millennium (Cerner), HCIS de Cataluna, DIRAYA (Andalucia), HORUS (12 de Octubre), Osabide (Osakidetza).

Capa 6 — Gobierno: DPD, comite de etica IA, comite de farmacia y medicamentos, certificacion ENS Alto, EIPD, expediente AI Act, plan de farmacovigilancia digital.

Para enmarcar tales proyectos, DPLIANCE entrega soluciones de IA sanitaria a medida alineadas con AEMPS, ENS, AEPD y RGPD.


Lo que rechazamos prometer

Tres antipatrones que rechazamos sistematicamente al definir IA sanitaria en Espana.

„Vamos a desplegar ChatGPT Enterprise en el hospital.” Falso sobre datos identificables. ChatGPT Enterprise tiene Adendum de Tratamiento de Datos pero por defecto se aloja en infraestructura Azure global. Sin Azure Spain Central pinning, sin certificacion ENS Alto del workload especifico, sin marcado CE AEMPS para uso clinico, la solucion no pasa el test del Real Decreto 311/2022 ni del MDR. Las opciones defendibles son: on-premise sobre infraestructura ENS Alto del hospital, Mistral via OVHcloud Madrid o Stackscale, o Azure OpenAI Spain Central con configuracion ENS Alto auditada. Cualquier otra cosa expone a sanciones AEPD acumuladas, exclusion de contratacion publica del SNS y riesgo penal por producto sanitario sin marcado CE.

„La IA puede diagnosticar, hemos visto demos.” Falso en la realidad clinica. La IA propone, el medico decide. Siempre. MDR, Codigo de Etica y Deontologia Medica de la OMC, AI Act articulo 14 y articulo 22 RGPD convergen: una decision medica no puede delegarse a un sistema automatizado fuera del estrecho marco MDR Clase III, que la AEMPS autoriza caso por caso. La promesa de „IA que diagnostica” es juridica y eticamente insostenible en Espana en 2026 fuera de ese marco.

„Es un piloto, podemos saltar la EIPD.” Falso. La IA sanitaria es por defecto tratamiento de alto riesgo en el sentido del articulo 35 RGPD y de la lista AEPD. La EIPD es obligatoria antes del piloto, no despues. Hacer un piloto sin EIPD documentada es un incumplimiento directo del articulo 35, un objetivo prioritario de inspeccion AEPD y un motivo de exclusion de contratacion publica del SNS.

DPLIANCE es editor de software, no consultora. Cuando entregamos una solucion de IA sanitaria a medida, cubrimos toda la pila: eleccion del alojamiento espanol (Stackscale, OVHcloud Madrid, on-premise), integracion Mistral o Azure OpenAI, conexion HCE via HL7 FHIR ES, autenticacion con certificado FNMT o tarjeta sanitaria, documentacion ENS Alto, plantilla de EIPD para el DPD.


FAQ

Que es la AEMPS y que rol juega en la IA sanitaria?

La AEMPS es el organismo del Ministerio de Sanidad responsable de los productos sanitarios en Espana. Cuando una IA participa en una decision clinica, pasa a ser un Producto Sanitario Software bajo el MDR, regulado por la AEMPS. El marcado CE es obligatorio antes de cualquier uso clinico.

Que es el Esquema Nacional de Seguridad (ENS) categoria Alto y por que aplica a la sanidad?

El ENS, regulado por el Real Decreto 311/2022, establece tres niveles de seguridad: Basico, Medio y Alto. Los sistemas que tratan datos de salud caen casi siempre en categoria Alto. Los hospitales del SNS, las CCAA y los proveedores que les venden tienen que cumplir ENS Alto certificado por entidades acreditadas por ENAC.

Que es el Espacio Nacional de Salud Digital?

Es la estrategia del Ministerio de Sanidad alineada con el Espacio Europeo de Datos de Salud (EHDS). Estructura la interoperabilidad entre los servicios autonomicos, el SNS, las mutuas y las plataformas de I+D bajo HL7 FHIR ES y SNOMED CT.

Como se reparten las competencias entre Ministerio de Sanidad y Comunidades Autonomas?

Espana tiene un sistema sanitario descentralizado: el Ministerio fija el marco general, pero la prestacion la gestionan las 17 CCAA mas las dos ciudades autonomas. Cada servicio autonomico tiene su DPD, sus contratos marco y sus criterios de homologacion.

La Ley 41/2002 establece el derecho a la informacion, el consentimiento informado y la confidencialidad de la historia clinica. Cuando la IA condiciona materialmente el tratamiento, el consentimiento debe contemplarlo, y el paciente conserva el derecho a recibir una decision humana (articulo 22 RGPD).

Puedo usar ChatGPT o Mistral SaaS sobre datos de pacientes en Espana?

ChatGPT Enterprise tiene DPA pero por defecto se aloja en Azure global. Para tratar datos sanitarios identificables en el SNS hace falta alojamiento ENS Alto, idealmente con residencia en Espana o UE. Mistral via OVHcloud Madrid es la opcion soberana mas recomendable.

Cuales son las sanciones reales por IA sanitaria no conforme en Espana?

Muy elevadas. AEPD (multas RGPD hasta 20 M EUR o 4 % de la facturacion mundial), Real Decreto 311/2022 (revocacion ENS, exclusion de contratos publicos), Ley 14/1986 y Ley 41/2002 (sanciones autonomicas hasta 600.000 EUR), AEMPS (retirada del mercado, multas por producto sanitario sin CE).


Fuentes: RGPD; LOPDGDD (Ley Organica 3/2018); Real Decreto 311/2022 (ENS); Reglamento (UE) 2017/745 (MDR); Real Decreto 192/2023 sobre productos sanitarios; Ley 41/2002 sobre autonomia del paciente; Ley 14/1986 General de Sanidad; Ley 14/2007 de Investigacion Biomedica; Reglamento (UE) 2025/327 (EHDS); guia AEPD sobre IA; CCN-STIC; Reglamento (UE) 2024/1689 (AI Act); estrategia Espacio Nacional de Salud Digital del Ministerio de Sanidad.

Para enmarcar un proyecto de IA sanitaria conforme con AEMPS y ENS Alto — eleccion de alojamiento, arquitectura LLM/RAG, EIPD, AI Act — ver nuestra guia de IA soberana, nuestra guia de IA conforme con RGPD, nuestra guia de LLM local en empresa, o contacte con nosotros via nuestras soluciones de IA a medida.