Seguridad de datos — IA sin filtraciones

IA en medicina: datos médicos, GDPR y soluciones self-hosted 2026

Vistas: 258 Publicado: 23.04.2026
🇺🇦 UK 🇺🇸 EN 🇩🇪 DE 🇪🇸 ES
IA en medicina: datos médicos, GDPR y soluciones self-hosted 2026

El director médico de un centro privado en Viena pregunta: "¿La IA diagnosticará en lugar de nuestros médicos?". Respondemos: no. Nunca. Un asistente de IA en un centro médico no es un diagnosticador ni un médico. Es un ayudante inteligente para el administrador que responde a los pacientes a las 22:00, cuando la recepción ya está cerrada, y lo hace basándose exclusivamente en los documentos de su clínica. Respuesta corta: La IA en medicina, según nuestro entendimiento, es la automatización de las consultas informativas de los pacientes y la búsqueda en protocolos internos. El tratamiento, el diagnóstico, la prescripción, siempre solo por parte del médico. Pero el "¿Cómo prepararse para una resonancia magnética?" a las 23:00, eso sí puede hacerlo la IA.

⚡ En resumen

  • 🚫 La IA NO reemplaza al médico: diagnóstico, prescripción, tratamiento, siempre solo por el médico.
  • La IA resuelve: preparación para procedimientos, precios, horarios, búsqueda de protocolos — 24/7.
  • ⚖️ Tres capas de regulación: GDPR Art. 9 + Ley de IA de la UE + ley médica nacional.
  • 🚫 ChatGPT y Notion AI: legalmente inaceptables para datos médicos sin medidas especiales.
  • 🏠 Self-hosted: la única arquitectura donde los datos médicos técnicamente no abandonan la clínica.
  • 💬 Guion para el paciente: cómo responder a "¿Están mis datos seguros?".

📚 Contenido

La IA en medicina no es un diagnosticador: qué hace y qué nunca hace

Un asistente de IA basado en documentos no es un sistema médico. No conoce la medicina. Solo conoce los documentos de su clínica. Este límite es lo que lo hace seguro, y esto es lo que lo diferencia de todo lo que ha visto en las noticias sobre "médicos de IA".

Cuando nosotros en AskYourDocs hablamos con directores médicos y gerentes de centros médicos, la primera pregunta es siempre la misma: "¿Es una IA que diagnosticará?". La respuesta es siempre la misma: no.

Existe una diferencia fundamental entre la IA médica (sistemas que analizan imágenes, ayudan en el diagnóstico, apoyan decisiones clínicas) y un asistente de IA basado en documentos que responde a preguntas informativas. Nosotros nos dedicamos a esto último. Lo primero es una clase de soluciones aparte con requisitos diferentes, regulación diferente y responsabilidad diferente.

La IA responde exclusivamente basándose en los documentos que su clínica ha cargado. Si una pregunta va más allá de sus límites, la IA responde honestamente "no hay respuesta en nuestros documentos" y sugiere contactar a un médico o administrador. Esto no es una limitación, es una protección.

Ejemplos concretos de cómo se ve este límite en la práctica:

Pregunta del paciente Qué responde la IA Por qué así
"Tengo la presión arterial 160/100, ¿es peligroso?" "Esta es una pregunta médica que solo puede evaluar un médico. Para concertar una cita con el cardiólogo, llame al [número]. Si empeora, llame al 103." La evaluación de síntomas es una acción médica
"¿Qué medicación debo tomar para el dolor de espalda?" "La prescripción de medicamentos es competencia exclusiva del médico. Nuestro neurólogo u ortopedista, llame al [número]." La prescripción es una acción médica
"Mi análisis de sangre mostró un nivel alto de azúcar, ¿qué hago?" "La interpretación de los resultados requiere una consulta médica. Endocrinólogo, llame al [número]." La interpretación de resultados es una acción médica
"¿Cómo debo prepararme para una gastroscopia?" [Respuesta exacta del protocolo de preparación de la clínica con todos los detalles] Pregunta informativa — la IA responde
"¿Cuánto cuesta una consulta de cardiología?" "La consulta de cardiología cuesta [precio] UAH. Reserve una cita llamando al [número] o a través del formulario en el sitio web." Pregunta informativa — la IA responde

Este comportamiento se configura durante la implementación a través de un *prompt* del sistema y se verifica con preguntas de prueba antes del lanzamiento. Si en las pruebas la IA intenta responder una pregunta médica, la configuración se ajusta para excluir completamente tal comportamiento. Solo después de esto, el sistema se entrega a la clínica.

¿Qué escenarios resuelve un asistente de IA en un centro médico?

Según nuestra experiencia, entre el 60% y el 75% de las consultas diarias a los administradores de un centro médico son preguntas informativas con una única respuesta correcta. Estas son precisamente el área de la IA. Ninguno de estos escenarios se refiere a decisiones médicas.

Preparación para procedimientos — 24/7 sin intervención del personal

Los pacientes recuerdan las preguntas sobre la preparación no por la mañana en horario laboral, sino por la noche o de madrugada. A las 22:30, un paciente recuerda que mañana tiene una gastroscopia y no recuerda si podía comer la noche anterior. Sin IA: o no duerme preocupado, o llama al personal de guardia, o va sin preparación y el procedimiento se pospone. Con IA: escribe al bot de Telegram y recibe una respuesta precisa del protocolo de la clínica en 5 segundos.

Según los datos de nuestros clientes, las consultas sobre preparación constituyen entre el 25% y el 40% de todas las consultas a los administradores. En un centro con 10 especialidades y 50 procedimientos, esto son cientos de combinaciones. La IA las conoce todas —si se han cargado los protocolos—. Y responde precisamente según el protocolo de su clínica, no según el "internet general".

Precios, servicios y horarios — fin de las esperas en línea

"¿Cuánto cuesta una resonancia magnética?", "¿Cuándo atiende el cardiólogo?", "¿Qué documentos necesito para la primera visita?" — cada pregunta consume 2-5 minutos del administrador. Con 50 de estas preguntas al día, son casi 4 horas dedicadas solo a respuestas repetitivas. La IA responde instantáneamente, en paralelo a un número ilimitado de consultas, a cualquier hora del día.

Base de conocimiento interna para el personal

Una enfermera en un nuevo departamento no recuerda el protocolo de preparación del paciente: pregunta a la IA y recibe la respuesta en 10 segundos con un enlace al documento específico. Un nuevo médico no interrumpe a colegas experimentados con preguntas organizativas: la IA responde basándose en los reglamentos corporativos. Recomendamos una colección separada de documentos para el personal con acceso restringido por departamentos.

Apoyo post-alta y navegación por especialistas

"¿Cuándo puedo comer después de una colonoscopia?", "¿Cuánto tiempo después de la anestesia puedo conducir?" — preguntas que surgen en casa después del procedimiento. La IA responde con precisión según las recomendaciones de alta. Para preguntas que van más allá de las recomendaciones estándar, redirige inmediatamente: "Esta pregunta requiere consulta médica. Llame al [número] o, si empeora, al 103."

Para una navegación inicial: "¿Me duele la rodilla, a qué especialista debo acudir?" — la IA responde exclusivamente basándose en la estructura de su centro y la lista de especialistas. No es una consulta médica, es una navegación por la clínica.

Cifras reales

¿Qué datos médicos están especialmente protegidos por el GDPR y por qué esto concierne a la IA?

El GDPR clasifica los datos médicos en una categoría separada con el nivel de protección más alto: "categorías especiales" según el Artículo 9. La clave: los datos médicos no solo incluyen historiales y diagnósticos, sino cualquier información que revele el estado de salud, incluidas las preguntas de los pacientes a la IA.

¿Qué se considera datos médicos según el Artículo 9 del GDPR?

Según el GDPR, las categorías especiales de datos incluyen historiales médicos, datos genéticos y biométricos, información sobre salud mental y discapacidad. Pero el matiz práctico más importante es: datos que revelan el estado de salud. Si un paciente pregunta "¿Cómo prepararse para la quimioterapia?", el mero hecho de esta pregunta revela que tiene cáncer. Estos ya son datos del Art. 9.

Consecuencia práctica: si un asistente de IA recibe una pregunta de un paciente a través de un servicio en la nube, cada pregunta se almacena en los servidores del proveedor. "¿Cuándo puedo andar en bicicleta después de una operación de rodilla?" revela que el paciente ha sido operado. Todos estos son datos del Art. 9 en servidores estadounidenses sin su control.

Dos bases legales para el tratamiento de datos médicos a través de IA

Según el Artículo 9(2) del GDPR, hay dos bases legales realistas para los centros médicos:

Art. 9(2)(h) — necesidad médica. El tratamiento es necesario para la prestación de asistencia sanitaria o la gestión de los sistemas de salud. La base más común, pero requiere que el tratamiento se realice en el marco del sistema de salud, bajo la responsabilidad del personal médico, con las garantías de seguridad adecuadas. Una IA en la nube con servidores en EE. UU. no cumple estos requisitos.

Art. 9(2)(a) — consentimiento explícito. El consentimiento explícito para datos médicos es un requisito mucho más estricto que el consentimiento ordinario. No es una casilla de "Acepto los términos", sino una declaración específica separada del paciente indicando que comprende qué datos se procesan y con qué fin. En la práctica, para un chat de IA, es difícil de implementar correctamente.

Para la mayoría de los centros médicos, el Art. 9(2)(h) es más práctico, pero legalmente exige una arquitectura *self-hosted* donde los datos no se transfieran a terceros.

Tres capas de regulación: GDPR Art. 9 + Ley de IA de la UE + ley médica nacional

La medicina es el entorno regulatorio más complejo para la IA en la UE. Un solo sistema puede estar sujeto a tres regímenes independientes simultáneamente con diferentes requisitos y diferentes reguladores.

En AskYourDocs, realizamos un análisis regulatorio junto con el cliente antes de cada implementación en un centro médico. Lleva tiempo, pero evita problemas mucho más costosos después.

Capa 1: GDPR Artículo 9

La capa fundamental que se aplica a cualquier tratamiento de datos médicos. Para un asistente de IA en un centro médico, requiere:

Precedente real: en 2024, el regulador sueco (IMY) multó a la farmacia Apoteket con 37 millones de SEK (aprox. 3,2 millones de €) por transferir datos médicos de clientes a Meta a través de Pixel sin una base legal adecuada ni medidas técnicas de protección. La falta de una justificación correcta según el Art. 9(2) es una de las razones más frecuentes de multas en medicina.

Capa 2: Ley de IA de la UE

Actualización mayo de 2026: El acuerdo ómnibus digital del 7 de mayo de 2026 pospuso los plazos para los sistemas de IA de alto riesgo. Para los sistemas basados en el uso (Anexo III) — del 2 de agosto de 2026 al 2 de diciembre de 2027. Para la IA integrada en dispositivos médicos (Anexo I, dispositivos médicos) — hasta el 2 de agosto de 2028. Se espera la adopción formal antes del 2 de agosto de 2026.

Pero la clasificación clave sigue siendo importante desde ahora:

Alto riesgo (diagnóstico, decisiones clínicas, análisis de imágenes): evaluación de conformidad, registro en la base de datos de IA de la UE, registros de auditoría. Según las estimaciones de The Thinking Company, el marco de gobernanza para un sistema de este tipo cuesta entre 80.000 y 200.000 € en desarrollo inicial.

No alto riesgo (consultas informativas, tareas administrativas): un asistente de IA de AskYourDocs que solo responde a preguntas informativas y siempre redirige las médicas, por lo general, no es un sistema de alto riesgo. Por eso nos adherimos estrictamente a este principio: mantiene el sistema fuera de la categoría de alto riesgo, no solo ética sino también regulatoria.

Capa 3: Ley médica nacional

Austria: el secreto médico está protegido por el derecho penal, no solo por el GDPR. El § 54 de la Ärztegesetz (Ley de Médicos) establece la obligación del médico de mantener la confidencialidad bajo pena de responsabilidad penal. La transferencia de cualquier información que revele el estado de salud de un paciente a un tercero sin consentimiento explícito es una posible infracción penal. "Tercero" incluye a OpenAI, Google y cualquier proveedor de la nube. La autoridad de protección de datos de Austria (DSB) ha establecido el estándar más estricto de la UE: no es suficiente afirmar que "la probabilidad de acceso por parte de las agencias de inteligencia estadounidenses es baja", se requiere la imposibilidad técnica de dicho acceso.

Alemania: el § 393 SGB V establece que los datos de los pacientes asegurados solo se almacenan en el EEE en proveedores certificados. El § 9 MBO-Ä (Schweigepflicht - Juramento de secreto) establece la responsabilidad disciplinaria y penal por incumplimiento del secreto médico. AWS/Azure Germany están físicamente en Alemania, pero son administrados por empresas estadounidenses; la Ley CLOUD de EE. UU. permite exigir acceso a los datos independientemente de la ubicación física de los servidores.

Cómo interactúan las tres capas

Tipo de sistema de IA GDPR Art. 9 Ley de IA de la UE Ley médica nacional Conclusión
Asistente de IA para consultas informativas (AskYourDocs) Aplicable — requiere base legal y DPIA Generalmente NO es de alto riesgo Aplicable — servidor en la UE obligatoriamente ✅ Realizable con arquitectura self-hosted
ChatGPT / Notion AI (nube de EE. UU.) Incumplimiento — datos en EE. UU. sin TIA Depende del uso Incumplimiento — responsabilidad penal AT/DE 🔴 Inaceptable para datos médicos
IA para diagnóstico / decisiones clínicas Aplicable + DPIA Alto riesgo: evaluación de conformidad, base de datos de IA de la UE Potencialmente MDR como dispositivo médico ⚠️ Clase aparte — 80-200k € en gobernanza

Más detalles sobre los requisitos del GDPR para Austria y Alemania en el artículo IA y GDPR en Alemania y Austria: requisitos para sistemas corporativos 2026.


Por qué ChatGPT y Notion AI no son legalmente viables en medicina

El problema no reside en la calidad de las respuestas de ChatGPT o Notion AI. El problema es que su arquitectura —servidores en la nube bajo jurisdicción estadounidense— es fundamentalmente incompatible con los requisitos de los datos médicos en la UE.

A menudo escuchamos a directores de clínicas: "Pero solo respondemos preguntas generales, no transmitimos historiales de pacientes." El problema es que las preguntas de los pacientes de un centro médico ya constituyen datos médicos según el Artículo 9 del GDPR. Incluso sin los historiales.

Razón 1: Las preguntas de los pacientes revelan un estado de salud. "¿Es posible tomar ibuprofeno después de una cirugía de estómago?" — revela que el paciente ha sido operado. Estos son datos del Artículo 9. Si se almacenan en los servidores de OpenAI en EE.UU. sin un DPA y TIA, es una violación del GDPR, independientemente de si usted transmitió o no el historial médico.

Razón 2: El secreto médico es más amplio que el GDPR. En Austria y Alemania está protegido por el derecho penal. La transmisión de cualquier información que revele el estado de salud de un paciente a un tercero sin su consentimiento explícito es una potencial infracción penal. OpenAI, Google, Microsoft, todos son "terceros" en este contexto.

Razón 3: La ley médica exige que el tratamiento se realice bajo la responsabilidad del personal médico. El Artículo 9.2.h del GDPR permite el tratamiento sin consentimiento explícito solo si se realiza "bajo la responsabilidad de un profesional obligado a mantener la confidencialidad". Un proveedor de IA en la nube es una empresa comercial sin obligaciones médicas de confidencialidad. No entra en esta categoría.

Razón 4: Falta de rastro de auditoría bajo su control. Con ChatGPT en la nube, usted no tiene control sobre los registros — el proveedor puede modificarlos o eliminarlos. Durante una inspección regulatoria, no podrá proporcionar pruebas de que el sistema funcionó correctamente. La Ley de IA de la UE (Art. 12) exige la conservación de registros de auditoría para sistemas de alto riesgo durante 10 años. En una solución autoalojada, los registros están en su servidor bajo su control.

Precedente real: en 2024, el regulador sueco (IMY) multó a la farmacia Apoteket con 37 millones de SEK (aprox. 3,2 millones de €) por transmitir datos médicos de clientes a Meta a través de Pixel, sin las medidas de protección técnicas adecuadas. No por una fuga, sino por la falta de base legal y garantías técnicas. Esta es una tendencia: los reguladores en la UE están investigando activamente el sector médico, especialmente en lo que respecta a la IA y las herramientas digitales.

Para más información sobre los riesgos legales de la IA en la nube, consulte el artículo IA autoalojada vs. en la nube: dónde residen sus datos.

Arquitectura de IA para un centro médico: qué se almacena y dónde

La IA autoalojada (Self-hosted AI) es un sistema en el que todos los componentes se despliegan en el servidor de la clínica o bajo su control total. Las preguntas de los pacientes, los protocolos, las respuestas — todo permanece con usted. No porque lo prometamos, sino porque arquitectónicamente estamos ausentes en la cadena de procesamiento.

Para un director, la diferencia entre "almacenamos sus datos de forma segura" (promesa del proveedor) y "sus datos no pueden abandonar físicamente su servidor" (garantía arquitectónica) es crucial. Para la medicina, lo segundo es lo importante. A continuación, se describe cómo funciona el sistema que desplegamos.

Componente 1: Servidor

La elección más importante de toda la arquitectura es dónde se encuentra físicamente el servidor y quién lo gestiona. Para las clínicas de AT/DE, desplegamos exclusivamente con proveedores de la UE fuera de la jurisdicción de CLOUD Act:

Configuración Adecuado para Costo/mes
4 vCPU, 16 GB RAM (solo CPU) Hasta 100 consultas/día, modelos de hasta 8B 30-50 €
8 vCPU, 32 GB RAM + GPU 16GB Hasta 500 consultas/día, Mistral Small o Gemma 4 26B 100-180 €
16 vCPU, 64 GB RAM + GPU 48GB Más de 500 consultas/día, Llama 3.3 70B 250-400 €

Componente 2: Base de datos

PostgreSQL + pgvector — una base de datos estándar con búsqueda vectorial. Almacena el texto de los documentos de la clínica, sus representaciones vectoriales, metadatos y, opcionalmente, los registros de consultas. Lo que nunca se almacena: historiales médicos, resultados de análisis, datos personales de pacientes.

Recomendamos colecciones separadas: pública (protocolos, lista de precios, horarios — para pacientes) y interna (regulaciones, procedimientos — solo para el personal). Si es necesario, colecciones separadas por departamentos.

Componente 3: Modelo de lenguaje

Opción A — Circuito cerrado (Ollama localmente). El modelo se instala en el servidor de la clínica. Ninguna consulta sale al exterior. Recomendamos para clínicas de AT/DE con los más altos requisitos de confidencialidad. Modelos óptimos: Mistral Small 3 (24B) o Llama 3.3 70B.

Opción B — Híbrida (almacenamiento local + LLM externo). Documentos localmente, generación de respuestas a través de una API externa (Mistral u OpenAI), pero solo se transmite un fragmento anonimizado sin identificadores. Más económico de mantener, pero con un tráfico externo mínimo. Para clínicas de AT/DE que procesan datos de pacientes asegurados, recomendamos la Opción A.

Componente 4: Interfaz de chat

Dependiendo de las necesidades de la clínica, desplegamos: chat web en el sitio web (se incrusta con una sola línea de código), bot de Telegram, bot de WhatsApp (a través de Business API), interfaz interna para el personal (accesible solo desde las direcciones IP de la clínica o a través de VPN). Todas las interfaces están configuradas con un filtro de origen — aceptan solicitudes solo de sus fuentes permitidas.

Ruta completa de la solicitud — en lenguaje sencillo

Un paciente a las 23:00 escribe: "¿Cómo prepararse para una resonancia magnética con contraste si soy alérgico al yodo?"

  1. La solicitud llega al servidor de la clínica a través de HTTPS — se guarda en los registros de su servidor.
  2. La pregunta se convierte localmente en un vector matemático (modelo de embedding en su servidor).
  3. La búsqueda vectorial encuentra fragmentos relevantes de sus protocolos — por ejemplo: el protocolo de resonancia magnética con contraste y la sección sobre reacciones alérgicas.
  4. Los fragmentos encontrados + la pregunta se transmiten a un LLM — localmente (opción A) o solo un fragmento de texto anonimizado al exterior (opción B).
  5. El LLM genera la respuesta: "Con alergia al yodo, informe siempre al médico antes del procedimiento. Es posible una resonancia magnética sin contraste. Para más detalles, contacte al [número del médico]. Para reservar: [enlace]."
  6. La respuesta se devuelve al paciente a través del mismo canal seguro.

Resumen de seguridad: no se utilizó el nombre del paciente. El historial médico no se consultó. La pregunta — solo en su servidor. Si es híbrido, el LLM externo recibió un texto de protocolo anónimo sin contexto sobre quién pregunta.

Qué se carga y qué nunca se carga

Se carga ✅ Nunca se carga ❌
Protocolos de preparación para procedimientos Historiales médicos de pacientes
Lista de precios de servicios y descripción de especialidades Resultados de análisis de pacientes específicos
Horario de médicos y departamentos Datos personales (nombre, fecha de nacimiento, dirección)
Normas de reserva y cancelación Grabaciones de consultas o protocolos quirúrgicos
Recomendaciones de alta de carácter general Datos financieros de pacientes
Reglamentos y estándares internos del personal Cualquier documento que identifique a un paciente específico
Preguntas frecuentes de la clínica, instrucciones generales Escaneos sin OCR (ilegibles — requieren conversión)

Sobre la preparación de documentos — en el artículo Cómo preparar documentos para un asistente de IA. Sobre el circuito cerrado en detalle — en el artículo Circuito cerrado con Ollama: IA sin internet para empresas.


Caso real: centro médico y la implementación de IA autoalojada

Centro médico privado con 8 especialidades y 25 médicos. Diariamente, entre 80 y 100 preguntas repetitivas de pacientes. Tres administradores no daban abasto. Dos meses después de la implementación, las preguntas repetitivas al personal se redujeron en un 65%, todas las consultas fuera del horario laboral reciben respuesta instantáneamente. Ni una sola pregunta médica quedó sin ser derivada a un médico a través de la IA.

Describimos este caso en detalle, no para alardear de los resultados, sino para mostrar cada decisión que tomamos y por qué. Porque en medicina, cada elección técnica tiene consecuencias legales y clínicas.

Situación antes de la implementación

El director no acudió porque "quería IA", sino porque tenía un problema operativo específico y un miedo concreto.

Problema: 3 administradores × 3 horas = 9 horas al día solo para respuestas repetitivas. El 40-50% de las consultas llegaban fuera del horario laboral y quedaban sin respuesta alguna, lo que generaba quejas y comentarios negativos. Con una tarifa media de 17 €/hora, suponía un coste oculto de 135-180 € al día. Clínica: 8 especialidades, 25 médicos, más de 200 protocolos de preparación, 350 servicios en la lista de precios.

Miedo del director: "¿Y si la IA le da al paciente algún consejo médicamente incorrecto?" Nuestra respuesta determinó toda la arquitectura: "La IA no dará consejos médicos. En absoluto. Nunca. Estamos construyendo un sistema donde esto sea técnicamente imposible, a través de un prompt del sistema y pruebas obligatorias antes del lanzamiento". Esto es lo que hizo posible la implementación.

Qué se cargó y qué se omitió conscientemente

Se cargó: Más de 200 protocolos de preparación para procedimientos, lista de precios con 350 servicios, horarios de médicos, preguntas frecuentes de la clínica (más de 100 preguntas y respuestas), recomendaciones de alta tras los 15 procedimientos más comunes. Cada documento, antes de cargarse, fue verificado por el médico jefe para confirmar su actualidad.

Se omitió conscientemente: Historiales médicos de pacientes, resultados de análisis, registros de consultas. La IA para consultas informativas no necesita acceso a datos de pacientes específicos, y su carga habría añadido riesgos del Art. 9 del GDPR y habría requerido el consentimiento explícito de cada paciente sin ningún beneficio funcional.

Configuración técnica y por qué

Servidor: Hetzner Finlandia, 32 GB RAM / 8 vCPU / RTX 3080 16GB / 500 GB SSD. Hetzner es una empresa alemana, el CLOUD Act no se aplica. Para una clínica con pacientes austriacos esto es fundamental: la posición de la DSB (Autoridad de Protección de Datos) respecto a los proveedores de nube estadounidenses es la más estricta de la UE. Finlandia en lugar de Núremberg: deseo del cliente de tener un centro de datos geográficamente separado para una mayor resiliencia.

Modelo: Mistral Small 3 (24B) a través de Ollama — circuito cerrado. Para consultas informativas sobre preparación y horarios, Llama 3.3 70B es excesivo. Mistral Small 3 responde con una calidad de 9/10 consumiendo la mitad de recursos y con respuestas en 3-8 segundos. El circuito cerrado se eligió debido a la especificidad de la medicina: incluso un fragmento anonimizado de "preparación para quimioterapia" revela oncología; ningún byte debería salir del servidor.

Tres interfaces: Bot de Telegram (pacientes jóvenes), chat web en el sitio web (pacientes mayores y primer contacto), interfaz interna para el personal (solo desde IPs de la clínica, con acceso a reglamentos internos a los que los pacientes no tienen acceso).

Establecer los límites del sistema — el paso más importante

Aquí es donde la mayoría de los proveedores de IA ahorran tiempo, y aquí es donde dedicamos la mayor atención. En medicina, "la IA responde algo parecido a un consejo médico" es un riesgo legal y reputacional para la clínica.

El prompt del sistema contiene cuatro reglas estrictas:

Pruebas antes del lanzamiento: 150 consultas de prueba — 100 informativas y 50 médicas. Las 50 consultas médicas recibieron la derivación estándar sin ningún intento de responder al fondo. Solo después de eso, el lanzamiento.

Resultados después de 2 meses

Qué no funcionó y cómo se corrigió — honestamente

Escaneos sin OCR. Las primeras dos semanas, parte de los protocolos dieron respuestas vacías o imprecisas: el 30% de los documentos de la clínica eran escaneos PDF sin capa de texto. Solución: conversión a través de Adobe Acrobat y OCR en línea (2-3 minutos por documento). Después de la conversión, la calidad de las respuestas es de 9/10.

Protocolos desactualizados. Al cargar, descubrimos que el 15% de los protocolos en el archivo eran versiones antiguas. Pedimos al médico jefe que verificara la actualidad de cada uno. Tardó una semana, pero evitó respuestas incorrectas a los pacientes.

Preguntas en el límite. "¿Es necesario suspender la metformina antes de una resonancia magnética?" — es una preparación (está en el protocolo) y una pregunta sobre medicamentos (médica) al mismo tiempo. Solución: la respuesta proporciona información del protocolo y recomienda confirmarla con el médico: "Según nuestro protocolo: si toma metformina, informe al médico antes del procedimiento. Para consulta individual, [contacto médico]".

Más detalles sobre la preparación de documentos en el artículo Cómo preparar documentos para un asistente de IA.

Qué decirle al paciente si pregunta sobre la IA: guion de conversación

Los pacientes empiezan a preguntar sobre la IA, no porque sean paranoicos, sino porque leen las noticias. Una clínica con una respuesta honesta preparada fortalece la confianza. La que calla o da una respuesta vaga, la pierde.

Estos guiones los desarrollamos junto con clientes-centros médicos basándonos en las preguntas reales de sus pacientes.

"¿Me está respondiendo la IA o una persona?"

"Sí, ha respondido nuestro asistente de IA. Funciona basándose en los documentos de nuestra clínica y solo responde a preguntas informativas. A las preguntas médicas — síntomas, diagnósticos, tratamientos — no responde y siempre deriva al médico. Si su pregunta es médica, le pongo en contacto con un especialista."

"¿Dónde se guardan mis datos?"

"Su pregunta y nuestra respuesta se guardan exclusivamente en el servidor de nuestra clínica en [país de la UE]. No transmitimos sus consultas a ningún servicio externo: ni a ChatGPT, ni a Google, ni a ninguna otra plataforma. Sus historiales médicos y resultados de análisis no están conectados a este sistema en absoluto."

"No quiero que la IA sepa mi pregunta"

"Respetamos totalmente su elección. Llame al número [número] o escriba a [email] — responderá un administrador. El chat de IA es una opción de conveniencia fuera del horario laboral, no un canal obligatorio."

"¿Me va a diagnosticar la IA?"

"No, categóricamente. Nuestra IA solo responde a preguntas informativas: preparación para procedimientos, horarios, precios. Tan pronto como la pregunta se refiera a síntomas, dolor o tratamiento, inmediatamente dirá 'Esta es una pregunta médica, consulte a un médico' y proporcionará los contactos del especialista. Solo un médico hace medicina."

Qué comunicar de forma preventiva — mensaje de bienvenida del bot

"¡Bienvenido! Soy el asistente de IA de la clínica [nombre]. Respondo a preguntas sobre preparación para procedimientos, horarios de médicos, precios y citas. No respondo a preguntas médicas (síntomas, diagnósticos, medicamentos); para eso, contacte a un médico. Sus datos se guardan exclusivamente en el servidor de nuestra clínica y no se transfieren a terceros."

30 segundos de lectura — y se eliminan el 90% de las preguntas y malentendidos potenciales.

Checklist para el médico jefe: 10 preguntas antes de implementar IA

Antes de firmar cualquier contrato para un sistema de IA, obtenga respuestas claras a estas 10 preguntas. La falta de respuesta a una sola es motivo para rechazar o realizar una verificación legal adicional.

Seguridad de los datos médicos

Cumplimiento legal

Límites funcionales

Gestión y responsabilidad

Checklist completo de 20 preguntas: en el artículo Checklist de seguridad de IA: 20 preguntas antes de la implementación para empresas.

Preguntas frecuentes

¿Puede un asistente de IA recomendar medicamentos o dosificaciones?

No, este es un límite categórico. La IA responde exclusivamente basándose en los documentos de la clínica. Si hay una recomendación general de alta en los documentos, puede reproducirla. Cualquier pregunta sobre medicamentos específicos, dosificaciones o prescripciones, siempre será derivación al médico sin excepciones.

¿Se necesita el consentimiento del paciente para usar el chat de IA?

Recomendamos añadir información sobre el procesamiento de IA en la política de privacidad y mostrar un breve mensaje al primer contacto con el chat. Para un sistema que solo procesa preguntas informativas anónimas sin datos médicos personales, el consentimiento explícito según el Art. 9 no es obligatorio. Pero la transparencia fortalece la confianza del paciente y es una buena práctica.

¿Qué pasa si un paciente escribe en el chat en una situación de crisis?

Al detectar palabras clave de emergencias ("dolor insoportable", "falta de aire", "desmayo"), el sistema responde inmediatamente: "Si experimenta una emergencia, llame inmediatamente al 103 o al 112. No espere la respuesta en el chat." Configuramos este disparador en cada implementación.

¿Cuánto tiempo lleva la implementación?

5-7 días laborables si los documentos están en formato de texto. El mayor tiempo se dedica a la preparación de documentos: conversión de escaneos mediante OCR, verificación de la actualidad de los protocolos. Detalles: en el artículo Cómo preparar documentos para un asistente de IA.

Conclusiones

¿Quiere ver cómo funciona para su clínica?

Envíenos algunos protocolos de preparación para procedimientos y su lista de precios. En 30 minutos le mostraremos una demostración en vivo: cómo la IA responde a preguntas reales de pacientes y dónde se encuentran físicamente esos datos.

Escribir a Telegram →

Implementación llave en mano en 5-7 días. Servidor en la UE bajo su control. Los historiales médicos de los pacientes no se cargan en el sistema.

Lea también

Fuentes: Galeon — Health Data and GDPR 2026 · The Thinking Company — Healthcare AI Governance 2026 · DPO Consulting — GDPR in Healthcare · Momentum — GDPR Consent Requirements for Health Data · LegalNodes — EU AI Healthcare Regulation 2025 · Secure Privacy — Healthcare GDPR & Article 9 · Taylor Wessing — Re-use of Patient Data to Train AI · IMY — Fines against Apoteket and Apohem (2024)