La alfabetización como garantía de seguridad jurídica en la era de la gen-IA salud y el dato sanitario: el mandato normativo de la comprensión
La transformación digital de la sanidad no es solo un cambio de herramientas, sino de estatuto jurídico
(Imagen: E&J)
La alfabetización como garantía de seguridad jurídica en la era de la gen-IA salud y el dato sanitario: el mandato normativo de la comprensión
La transformación digital de la sanidad no es solo un cambio de herramientas, sino de estatuto jurídico
(Imagen: E&J)
La transformación digital de la sanidad no es solo un cambio de herramientas, sino de estatuto jurídico. El Reglamento (UE) 2024/1689 (IA) por el que se establecen normas armonizadas en materia de inteligencia artificial y el Reglamento (UE) 2025/327 relativo al espacio europeo de datos de salud (EEDS), configuran un escenario donde la «opacidad» tecnológica es sinónimo de «ilegalidad». La alfabetización digital y regulatoria se erige como el mecanismo para romper esa opacidad, permitiendo que el consentimiento sea realmente informado y la supervisión humana sea efectiva.
La alfabetización en el Reglamento (UE) 2024/1689 (Ley de IA)
El Reglamento (UE) 2024/1689 no solo regula algoritmos, sino que regula la capacidad de las personas para interactuar con ellos.
El Concepto de «alfabetización en materia de IA» (Considerando 20) establece que la alfabetización debe dotar a los proveedores, responsables del despliegue (centros sanitarios) y personas afectadas (pacientes) de los conceptos necesarios para tomar decisiones con conocimiento de causa.
Esto significa que:
Suscríbete a nuestra
NEWSLETTER
- Para el centro, es entender la aplicación técnica y las medidas de uso.
- Para el profesional significa interpretar correctamente los resultados de salida.
- Y, para el paciente, es comprender cómo las decisiones asistenciales asistidas por IA tendrán repercusiones en su salud.
La Ley de IA exige que los sistemas de alto riesgo (como los de diagnóstico médico) sean vigilados por personas físicas; el artículo 14 es tajante: las personas encargadas de la vigilancia deben poseer la competencia, formación y autoridad necesarias. Esto implica que un profesional sanitario no alfabetizado en la lógica del algoritmo no puede legalmente supervisar una IA, lo que generaría una infracción de la lex artis.
Los centros sanitarios, como responsables del despliegue, deben garantizar que los sistemas funcionen con un nivel de transparencia suficiente para que los usuarios interpreten la información de salida. El artículo 13 obliga a que la IA vaya acompañada de instrucciones de uso concisas, completas y claras, lo que constituye la base de la alfabetización del profesional.
(Imagen: E&J)
La alfabetización en el espacio europeo de datos sanitarios (EEDS)
El EEDS busca que el dato fluya, pero solo bajo el control del ciudadano y la diligencia del profesional.
El Considerando 89 del EEDS señala que mejorar la alfabetización sanitaria digital es esencial para la confianza y la seguridad. Sin esta alfabetización, el paciente no puede ejercer un «verdadero control» sobre sus datos. El Considerando 90 refuerza que los Estados miembros deben apoyar esta capacitación para evitar que la brecha digital se convierta en una brecha de derechos fundamentales.
De lo que se colige el empoderamiento del paciente.
También el EEDS impone a los Estados la obligación de proporcionar a los profesionales sanitarios cursos de capacitación digital para trabajar con sistemas de Historia Clínica Electrónica (HCE) e infraestructuras digitales, garantizando la ciberseguridad y la gestión ética de los datos.
(Imagen: E&J)
El impacto de la alfabetización en los tres pilares: paciente, profesional y centro
La alfabetización en el paciente permite que el paciente ejerza su derecho a la información asistencial, reconocido en el artículo 4 de la Ley 41/2002. En la era de la IA, este derecho se amplía:
- Derecho a saber que interactúa con una IA; el paciente tiene derecho a conocer el carácter automatizado de las decisiones y la «racionalidad y lógica» del sistema. Se pasa de un “consentimiento formal” al “consentimiento cognitivo”
- Derecho a la revisión humana: la alfabetización es la herramienta que permite al paciente detectar cuándo una decisión algorítmica puede ser errónea y solicitar la intervención de un médico.
La alfabetización en el profesional es un deber de diligencia. Un médico no alfabetizado digitalmente es un médico que se expone a la responsabilidad profesional, al privar al paciente de su derecho a ser informado (por no saber explicarle ni como informarle del uso de un sistema IA en su proceso asistencial) incumple con la obligación de información. La jurisprudencia (STS n.º 908/2024 de 24/06/2024, entre otras), como la sentencia de la Audiencia Provincial de Madrid 120/2025, de fecha 17 de marzo 2025, recuerda que la privación de información equivale a la privación del derecho a consentir. Igualmente, la jurisprudencia ha proclamado que el consentimiento informado es presupuesto y elemento integrante de la lex artis ad hoc (sentencias de esta sala 948/2011, de 16 de enero de 2012; 206/2016, de 5 de abril; 227/2016, de 8 de abril; 828/2021, de 30 de noviembre; 680/2023, de 8 de mayo; y 1322/2023, de 27 de septiembre; así como STEDH de 8 de marzo de 2022, R.J. contra España, y STC 37/2011, de 28 de marzo; entre otras muchas.
El profesional debe estar capacitado para cuestionar la IA y evitar el sesgo de automatización: Si confía ciegamente en un algoritmo defectuoso por falta de alfabetización, incurre en una negligencia por omisión de su deber de supervisión (artículo 14 Ley de IA).
En el centro sanitario la alfabetización implica gobernanza y responsabilidad proactiva. Los centros deben pasar de una seguridad pasiva a una responsabilidad proactiva, exigiendo evaluaciones de impacto previas al uso de IA.
Un centro que no alfabetiza a su personal en ciberseguridad y protección de datos incumple el principio de «privacidad desde el diseño» (artículo 25 del RGPD).
La AEPD, en resoluciones como la del Hospital de la Paz (PS/00587/2021), demuestran que tener protocolos escritos no es suficiente si no hay una alfabetización efectiva que impida accesos indebidos. La falta de control sobre quién accede a qué datos (como ocurrió en el caso del Hospital Povisa, PS/00287/2018) es una quiebra de la seguridad derivada de una deficiente gobernanza del dato.
(Imagen: Ministerio de Sanidad)
Conclusión: la alfabetización como nuevo estándar de calidad
La alfabetización digital y regulatoria no es un «añadido» a la formación sanitaria; es el cimiento sobre el que se asienta la legalidad de la asistencia en el siglo XXI.
Para el paciente es la llave de su autonomía. Sin entender la IA, su consentimiento es un cheque en blanco.
Para el profesional es un componente de su lex artis. La ignorancia tecnológica ya no es una excusa, sino una fuente de responsabilidad.
Para el centro es la base de su cumplimiento normativo. La alfabetización es la mejor medida de seguridad técnica y organizativa.
Se debe promover una IA centrada en el ser humano. Y no hay humanismo posible sin comprensión. La seguridad jurídica en la era digital no se logra con mejores algoritmos, sino con personas más capacitadas que reconozcan la dignidad que reside detrás de cada dato de salud.
