La American Medical Association registró que el 81% de los médicos ya utiliza alguna herramienta de inteligencia artificial en salud y que el 76% reconoce un beneficio clínico, pero la misma encuesta mostró que la privacidad de los datos (86%) y la validación de seguridad (88%) siguen siendo las mayores barreras para la adopción. En radiología, donde la IA agéntica ya está integrada en flujos de triaje, priorización y generación de informes, ese contraste entre uso extendido y desconfianza fundada es exactamente lo que los directores clínicos deben atender antes de firmar un contrato. Las cinco preguntas que siguen, sintetizadas a partir de un artículo reciente del CEO de CIVIE, Dhruv Chopra, son el filtro mínimo que separa a los proveedores serios del hype de feria.
1. ¿Cómo maneja el proveedor los datos del paciente?
Antes de discutir el desempeño del algoritmo, la primera pregunta es dónde viven los datos. Salud es el sector con mayor costo medio de violación — US$ 10 millones por incidente, según el reporte IBM Cost of a Data Breach. HIPAA en Estados Unidos, el RGPD en Europa y los marcos emergentes en América Latina clasifican los datos de salud como sensibles, con fiscalización activa y multas relevantes. Operaciones que implican reentrenamiento continuo del modelo deben dejar claro si la anonimización es efectiva, si las claves criptográficas son exclusivas del cliente y si los contratos definen la responsabilidad civil en caso de incidente.
2. ¿Existe certificación independiente?
La validación de terceros separa al software del software de grado médico. Los sellos a buscar son HITRUST CSF, SOC 2 Tipo II e ISO 27001. Específicamente en salud, HITRUST integra controles de HIPAA, NIST e ISO en un único marco auditable y es hoy el estándar de facto en el mercado estadounidense. Los proveedores que ya atienden hospitales con certificación Joint Commission International u organismos comparables suelen tener procesos similares, pero conviene exigir el informe completo de auditoría — no solo el logo en el sitio.
3. ¿El modelo fue validado clínicamente — y en quiénes?
Validar la exactitud en bases internas es insuficiente. Los directores deben pedir publicaciones revisadas por pares, con cohortes externas, métricas como sensibilidad, especificidad, AUC y curva PR, y estratificación por subgrupo demográfico. Los modelos entrenados con poblaciones mayoritariamente caucásicas fallan con frecuencia en pacientes negros y asiáticos — fenómeno documentado en estudios sobre detección de melanoma, radiografía de tórax y ECG. El sesgo algorítmico es una cuestión de responsabilidad civil, no sólo ética. Los centros donde la IA supera a los radiólogos en cáncer de páncreas inicial publicaron los números antes de la comercialización.
4. ¿Quién es responsable cuando el algoritmo se equivoca?
El contrato debe definir la cadena de responsabilidad. ¿El proveedor cubre indemnizaciones hasta qué límite? ¿Cómo quedan los costos de notificación a pacientes en caso de incidente? Y en decisiones clínicas que dependieron del output del modelo, ¿quién responde — el radiólogo que validó, el hospital que adquirió o el desarrollador? Este punto es especialmente delicado en sistemas autónomos o agénticos que actúan sin revisión humana inmediata. El American College of Radiology recomienda que la interpretación final permanezca con el radiólogo para evitar zonas grises, pero no es lo que dicen todos los contratos SaaS en la práctica. Para flujos más automatizados de teleradiología vale mirar arquitecturas como la de Expert Radiology con PACS RamSoft, donde la responsabilidad está claramente definida en el contrato de servicio.
5. ¿Cuál es el plan de mantenimiento y drift?
La IA no es software entregado «de una vez». Los modelos derivan a medida que cambia la distribución de pacientes, ingresan nuevos protocolos de adquisición y se actualizan versiones de escáner. Pregunte al proveedor: ¿con qué frecuencia se reentrena el modelo? ¿Quién monitorea el desempeño en producción? ¿Hay tablero de métricas que el cliente acceda? ¿Cuál es el plan de comunicación cuando una versión queda obsoleta? Los proveedores maduros publican model cards, registros de versiones y ventanas de transición claras.
El paisaje regulatorio
En 2024-2025 la FDA publicó un marco actualizado para software como dispositivo médico (SaMD) basado en IA con planes predefinidos de control de cambios, lo que permite a los proveedores actualizar modelos sin que cada ajuste dispare una revisión completa — pero exige vigilancia poscomercialización. La AI Act europea agrega requisitos específicos para IA médica de alto riesgo, y los mercados emergentes corren para alinearse. También hay debate activo en sociedades profesionales sobre informes generados por máquina y los límites de la lectura automática. Centros académicos vienen exigiendo cláusulas contractuales más estrictas, y ese rigor se está extendiendo a hospitales privados y cadenas ambulatorias de imagen.
Conclusión clave: las personas que conducen esa evaluación no deberían ser solo el radiólogo jefe. TI, seguridad de la información, jurídica y compliance necesitan estar en el mismo comité. Tratar la adquisición de IA como una compra puramente clínica es la ruta más rápida a problemas regulatorios y contractuales más adelante.
Más allá de las cinco preguntas
El mensaje del artículo de CIVIE, sumado a la encuesta de la AMA, es que la conversación pasó de «si» a «cómo». Evitar la IA en radiología hoy es prácticamente imposible: herramientas de triaje, transcripción por modelo de lenguaje y priorización de worklist ya están embebidas en sistemas que muchas clínicas operan sin notarlo. La tarea del gestor es exigir, en la próxima renovación contractual, evidencia verificable en cada uno de esos cinco frentes. Inversiones recientes — como los US$ 150 millones captados por Aidoc — muestran que el mercado sigue capitalizado, lo que significa que el poder de negociación del hospital es mayor de lo que muchos directores asumen.
Fuente: DOTmed — AI in radiology: Questions physicians are right to ask (08/05/2026)
