Inteligencia artificial en la atención sanitaria: Consideraciones clave para la oncología

La inteligencia artificial (IA) tiene el poder de revolucionar la atención sanitaria. En oncología, ahora existen oportunidades para aplicar la IA con el fin de respaldar el diagnóstico, el análisis predictivo y las funciones administrativas.

Este tema candente se debatió en las sesiones sobre innovación digital (un caso de uso de la IA específico para el cáncer) y vías clínicas avanzadas en el Cancer Care Business Exchange de septiembre de 2024. Aunque el caso de negocio quedó claro gracias a estas animadas sesiones, es importante señalar que el desarrollo de la tecnología de IA está superando con creces el desarrollo de un marco legislativo y normativo adecuado y reflexivo para esta tecnología fundamental.

Los hospitales, proveedores, pagadores y terceros proveedores deben tomar medidas prácticas a la hora de seleccionar e implementar cualquier nueva solución de IA. A continuación se indican algunas consideraciones clave que hay que tener en cuenta al adentrarse en este ámbito crítico:

Garantizar el cumplimiento de todas las normas de privacidad y seguridad aplicables.

La IA, y a menudo el éxito de la solución de IA, depende de los datos. Casi todas las soluciones de IA requieren enormes volúmenes de datos, lo que exige la integración y la ingestión de datos procedentes de muchas fuentes, incluidos los sistemas de historias clínicas electrónicas, las plataformas de proveedores y los portales de pacientes. Comprender cómo y quién utilizará y respaldará la solución de IA es fundamental para garantizar que las organizaciones sanitarias cumplan con las leyes federales y estatales de privacidad y seguridad.[1] Los proveedores que crean y dan soporte a soluciones de IA para proveedores de atención médica deben asegurarse de que su solución cumpla con las mejores prácticas de privacidad y seguridad básicas que esperan los proveedores de atención médica.

Los proveedores de atención médica deben comprender a nivel detallado cómo funciona la solución de IA para evaluar las protecciones reglamentarias necesarias. ¿Qué tipo de datos necesitará el proveedor para operar y dar soporte a la solución de IA? Si se va a compartir información de los pacientes con el proveedor, es probable que el proveedor de atención médica necesite, como mínimo, tener un acuerdo de socio comercial con el proveedor. Los proveedores de atención médica deben comprender qué tipo de notificación al paciente se requiere, si es que se requiere alguna. Algunas leyes estatales exigen que se notifique a las personas si su información de identificación personal va a ser utilizada por una solución de IA con el fin de proporcionar una recomendación o retroalimentación. Los proveedores también deben estar atentos a cualquier indicio de que sus proveedores vayan a utilizar los datos de salud para sus propios fines, como entrenar su solución de IA y utilizarla con los competidores del proveedor. Cualquier uso de los datos para fines propios del proveedor (no relacionados con la administración de su contrato con el cliente) debería estar específicamente permitido en el acuerdo de asociación comercial, y cualquier dato debería ser anonimizado de acuerdo con la HIPAA y con el permiso del proveedor de atención médica.

Supervisar activamente la actividad legislativa y reguladora en el área, ya que es probable que aumente la supervisión.

Con el avance vertiginoso de la IA, la regulación gubernamental ha sido lenta; sin embargo, podemos esperar que se aprueben nuevas leyes y directrices oficiales con mayor frecuencia. Varios estados han creado grupos de trabajo y consejos para estudiar y supervisar el uso de la IA. En marzo, Utah aprobó la«Ley de Inteligencia Artificial», que estableció los primeros requisitos de divulgación para el uso de la IA generativa en profesiones reguladas a partir del 1 de mayo de 2024. Y en mayo, Colorado aprobó el proyecto de ley «Protección del consumidor en las interacciones con la inteligencia artificial» (con fecha de entrada en vigor el 1 de febrero de 2026, la primera ley estatal que regula los «sistemas de inteligencia artificial de alto riesgo»).[2] Para obtener más información, consulte el blog de Foley Colorado aprueba una nueva ley sobre IA para proteger las interacciones de los consumidores.

Los dispositivos médicos basados en inteligencia artificial pueden requerir autorizaciones antes de poder implementarse.

Los proveedores deben confirmar si las soluciones basadas en IA propuestas requieren aprobación reglamentaria (por ejemplo, como dispositivo médico) y, en caso contrario, qué directrices reglamentarias respaldan la comercialización de su producto, junto con las declaraciones y garantías adecuadas que respalden dichas afirmaciones. Si bien la IA puede entrenarse para aprender de los errores y evolucionar para mejorar su rendimiento, los modelos de regulación existentes están diseñados para evaluar el marco estático en el que opera la IA. Como resultado, muchos dispositivos médicos pueden necesitar, pero no tener, la aprobación reglamentaria adecuada, o podrían estar sujetos a un requisito de aprobación en el futuro. La Administración de Alimentos y Medicamentos (FDA) está explorando formas de evaluar más exhaustivamente las soluciones de IA (y, en agosto de 2024, ha autorizado 950 dispositivos médicos habilitados para IA/ML), pero en última instancia puede recurrir al Congreso en busca de orientación en forma de nueva legislación. Mientras tanto, los proveedores deben examinar cualquier dispositivo médico impulsado por IA propuesto con asesoramiento legal antes de su adopción.

Tome medidas para protegerse mediante la diligencia y los contratos

Imagina el peor de los casos. Por ejemplo, tu proveedor de IA sufre un ataque de ciberseguridad. O se pasa por alto un diagnóstico debido a un problema con un producto de IA y a la excesiva dependencia del proveedor en la solución de IA. Los proveedores deben implementar cuidadosamente políticas y procedimientos que describan los usos aprobados de la IA por parte de la organización, examinar minuciosamente a sus proveedores y la solución de IA, revisar los contratos para incorporar las protecciones adecuadas y garantizar que se disponga de seguros y otras protecciones de responsabilidad civil. Las áreas de diligencia debida adecuadas incluyen si el proveedor se ha registrado adecuadamente para proteger su propiedad intelectual; si el proveedor investiga a sus empleados y agentes para protegerse contra el fraude sanitario y otras áreas de alto riesgo; qué cobertura de seguro (incluida la cobertura cibernética) tiene el proveedor; y qué recursos están disponibles si se presenta una reclamación. Los contratos deben asignar de forma proactiva la responsabilidad correspondiente. Muchos proveedores ofrecen contratos tipo. Estos deben revisarse cuidadosamente para garantizar que incluyen los siguientes términos legales:

• Expectativas básicas de rendimiento
• Declaraciones y garantías relativas al cumplimiento y al rendimiento
• Confidencialidad/privacidad y seguridad
• Obligaciones de no captación u otras cláusulas restrictivas (especialmente para los proveedores que estarán presentes in situ).
• Disposiciones de indemnización: busque indemnizaciones relacionadas con negligencia, incumplimiento, conducta dolosa, ciberdelitos e infracción de la propiedad intelectual.
• Límites de responsabilidad: muchos proveedores tratan de limitar la retroactividad de las tarifas a un periodo de entre uno y tres años.

Desarrollar e implementar procedimientos adecuados de gobernanza de TI e IA.

Un marco de gobernanza corporativa bien definido puede combatir las preocupaciones sobre la implementación ética de la IA, generar confianza en la solución de IA y ayudar a minimizar la responsabilidad de la empresa en el futuro. Esto incluye el establecimiento de políticas y procedimientos, incluida la formación adecuada del personal que accederá o utilizará la solución de IA, y que permitirá a la organización examinar, supervisar y controlar la IA durante el proceso de implementación y en el futuro. Sin embargo, es importante examinar y revisar continuamente estas políticas de gobernanza, ya que la tecnología y los casos de uso de la IA siguen desarrollándose, así como supervisar el cumplimiento de dichas políticas de gobernanza dentro de su organización.  

Priorizar soluciones que respalden o mejoren el reembolso.

La IA puede ayudar a impulsar la eficiencia y la innovación, lo que, sobre todo, puede conducir a una mejor atención al paciente y a mejores resultados, pero las consultas oncológicas con experiencia también buscarán soluciones de IA que puedan mejorar sus resultados económicos. ¿La solución de IA en sí misma es reembolsable y/o el proveedor tiene una vía para el reembolso? ¿El producto está certificado para cumplir con los programas de informes de calidad de los Centros de Servicios de Medicare y Medicaid (CMS), como el Sistema de Pago por Mérito (MIPS) y los programas estatales de promoción de la interoperabilidad? La certificación de la Oficina del Coordinador Nacional de Tecnología de la Información Sanitaria (ONC) está reconocida por los CMS para confirmar el cumplimiento de los requisitos de seguridad, funcionalidad y tecnología.[3]

Sin embargo, dependiendo del nivel de integración con la solución de IA, es posible que los proveedores tengan que tomar medidas para cumplir con los requisitos de la ONC para las soluciones de IA generativa y las herramientas de apoyo a la toma de decisiones clínicas. 

Próximos pasos

A medida que la IA se integra cada vez más en el tejido operativo de la atención sanitaria, se pueden adoptar estas medidas prácticas para reducir los riesgos para los procesos de cumplimiento, privacidad y seguridad. Foley está siguiendo de cerca la evolución del panorama jurídico y empresarial relacionado con la IA en múltiples sectores, entre ellos la tecnología innovadora, la atención sanitaria y las ciencias de la vida, y la propiedad intelectual, con un equipo deabogados de Foleypreparado para prestar asistencia. Si tiene alguna pregunta, póngase en contacto con los autores, su socio de Foley, nuestraárea de especialización en inteligencia artificialy nuestrosector de atención sanitaria y ciencias de la vida.

*Los autores agradecen las contribuciones de la asesora especial Jacqueline Acosta y de Francesca Camacho, estudiante de la Facultad de Derecho de la Universidad de Boston y becaria de verano de 2024 en Foley & Lardner LLP.

[1] Muchos estados tienen normas de privacidad y seguridad que, en muchos casos, superan los requisitos mínimos federales y que deberían revisarse.

[2] SB205 (Protección del consumidor en las interacciones con la inteligencia artificial).

[3] La ONC publicó recientemente criterios de certificación revisados para «intervenciones de apoyo a la toma de decisiones», «datos demográficos y observaciones de pacientes» e «informes electrónicos de casos», así como una nueva versión básica del estándar United States Core Data for Interoperability (USCDI) a la versión 3.