Herramientas de transcripción basadas en IA en el sector sanitario: lo que deben tener en cuenta los asesores jurídicos internos

Puntos clave

• Los abogados internos deben considerar la gestión de la inteligencia artificial (IA) como una prioridad jurídica y de cumplimiento normativo —y no simplemente como una decisión tecnológica que debe tomar la empresa—, ya que estas herramientas pueden generar costes y reclamaciones que puedan surgir posteriormente en litigios, investigaciones o auditorías.
• Un único flujo de trabajo de transcripción mediante IA puede generar múltiples registros —archivos de audio, transcripciones, resúmenes, borradores de notas y registros del sistema—, cada uno de los cuales conlleva sus propios riesgos en materia de privacidad, acceso, conservación y divulgación, que los asesores jurídicos internos deben estar preparados para abordar.
• Los abogados internos deben asegurarse de que los acuerdos de colaboración empresarial (BAA) aborden claramente la titularidad y el control de los resultados generados por la inteligencia artificial, armonicen los requisitos de conservación y eliminación de datos con las políticas generales de la organización, y definan claramente los procedimientos y responsabilidades en materia de notificación de violaciones de seguridad.
• Algunos estados están empezando a imponer requisitos de consentimiento específicos para la inteligencia artificial en las interacciones entre proveedores y pacientes, por lo que los asesores jurídicos internos deben asegurarse de que la organización cuente con un proceso para cumplir con la legislación estatal aplicable en materia de privacidad, confidencialidad, notificación y consentimiento.
• Los abogados internos deberían establecer protocolos para hacer frente a la «IA en la sombra», es decir, cuando los empleados utilizan herramientas no autorizadas fuera de los sistemas supervisados, lo que podría convertir un simple incumplimiento normativo en una investigación regulatoria.

Introducción

La inteligencia artificial está transformando la atención sanitaria más rápidamente que casi cualquier otra tecnología de los últimos tiempos. Entre las aplicaciones que se han implantado con mayor rapidez se encuentran las herramientas de transcripción que graban las consultas, convierten el habla en texto, generan borradores de notas y facilitan la programación de citas, la admisión de pacientes, la clasificación de casos y otros procesos administrativos. Estas herramientas prometen mejoras significativas en la eficiencia y pueden ayudar a reducir la carga que supone la documentación, cuya exactitud debe verificarse. Pero también plantean riesgos legales ya conocidos bajo una nueva forma: exposición de la privacidad, costes de almacenamiento y revisión, preocupaciones sobre la integridad de los registros, riesgo de facturación y posible responsabilidad profesional.

Estos riesgos surgen porque las herramientas de transcripción basadas en IA hacen mucho más que documentar conversaciones. Tanto en entornos clínicos como operativos, crean nuevos registros y conservan las comunicaciones verbales en un formato que puede influir en los planes de tratamiento, afectar a los registros de facturación o reaparecer en las solicitudes de información durante auditorías, investigaciones o litigios. Por ello, para las organizaciones sanitarias, la gobernanza de la IA debe ser una prioridad legal y de cumplimiento normativo, y no simplemente una decisión tecnológica tomada por la empresa.

Marco normativo
Privacidad, confidencialidad y uso de datos

La privacidad y la confidencialidad suelen ser las primeras y más inmediatas preocupaciones en materia de cumplimiento normativo. Las herramientas de transcripción basadas en IA recogen habitualmente conversaciones entre médicos y pacientes, contenidos dictados, transcripciones, resúmenes y metadatos relacionados. En el ámbito sanitario, estos materiales suelen contener información sanitaria protegida (PHI) y también pueden dar lugar a obligaciones derivadas de las leyes estatales en materia de privacidad, confidencialidad, notificación y grabación.

La información médica protegida (PHI) está sujeta a las obligaciones establecidas en la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y en normativas estatales equivalentes, como la Ley de Confidencialidad de la Información Médica de California. Estas obligaciones se vuelven más complejas cuando la información de los pacientes circula por múltiples sistemas, proveedores y entornos de procesamiento. Por ese motivo, las organizaciones deben empezar por comprender qué información recopila la IA, adónde va, quién puede acceder a ella y bajo qué controles.

Cuando un proveedor externo de servicios de transcripción crea, recibe, conserva o transmite información médica protegida (PHI) en nombre de una organización sanitaria, se aplicarán, por lo general, las normas de privacidad y seguridad de la HIPAA y los requisitos para los socios comerciales. Los flujos de trabajo de transcripción con IA presentan un riesgo particular, ya que pueden generar múltiples registros que contienen PHI a partir de una sola consulta (por ejemplo, archivos de audio, transcripciones, resúmenes, borradores de notas y registros del sistema), cada uno con sus propias implicaciones en materia de acceso, conservación y divulgación, así como costes de almacenamiento y revisión posteriores.

Siempre que sea posible, las organizaciones deben aplicar los principios de minimización de datos y evaluar si la información identificable es necesaria para el uso previsto. La desidentificación puede ser adecuada para pruebas, análisis u otros usos secundarios, siempre que sea compatible con la HIPAA y las directrices del Departamento de Salud y Servicios Humanos (HHS). Sin embargo, en los flujos de trabajo operativos de transcripción, la información identificable suele ser inevitable. La cuestión práctica en materia de cumplimiento es si la información se recopila y utiliza dentro de unos controles técnicos, contractuales e internos claros y no se conserva más tiempo del necesario.

Esas obligaciones también se aplican a los datos. Los acuerdos de uso de datos (BAA) y las condiciones de uso de datos relacionadas deben abordar las cuestiones específicas de las herramientas de transcripción. Como mínimo, deben:

• definir la titularidad y el control de las grabaciones, transcripciones, resúmenes y otros documentos resultantes;
• limitar el uso y la divulgación por parte del proveedor de toda la información, incluida, entre otras cosas, la información médica protegida (PHI), a las funciones permitidas por el acuerdo y la legislación aplicable;
• establecer requisitos de conservación y eliminación que se ajusten a las obligaciones de la organización en materia de gestión de documentos, a los procedimientos de retención de documentos en caso de litigio y a cualquier requisito legal aplicable;
• abordar el cifrado de las direcciones tanto en tránsito como en reposo; y
• proporcionar derechos de auditoría y mecanismos de notificación de violaciones adecuados al entorno de tratamiento.

Sin estas garantías contractuales y técnicas, incluso una implementación de la IA bienintencionada puede convertirse en una infracción sujeta a notificación, con importantes consecuencias normativas y para la reputación.

Precisión, fiabilidad y responsabilidad civil

Sin embargo, la privacidad es solo una parte del problema. Dado que las herramientas de transcripción pueden modificar el historial del paciente e influir tanto en el reembolso como en la atención clínica futura, también plantean riesgos en materia de costes, documentación y responsabilidad civil.

Las herramientas automatizadas de transcripción y resumen carecen de criterio clínico y pueden estar sujetas a errores. Pueden identificar erróneamente a los interlocutores, confundir nombres, enfermedades o medicamentos que suenan de forma similar, omitir acrónimos o términos técnicos, malinterpretar intercambios que se solapan o registrar de forma inexacta los nombres de los medicamentos, los diagnósticos, las dosis o las instrucciones de seguimiento. También pueden conservar comentarios al margen, ideas incompletas o conversaciones de fondo que nunca se pretendió que formaran parte del registro oficial. En entornos clínicos, esos errores pueden afectar a la integridad del historial médico; en entornos operativos, pueden distorsionar las reuniones de cumplimiento, los debates de revisión por pares, las deliberaciones de la junta o las investigaciones internas.

Desde el punto de vista de la gobernanza, las herramientas de transcripción deben servir de apoyo a la documentación, no como el historial clínico definitivo. Aunque pueden reducir la carga administrativa, no pueden sustituir al criterio profesional ni a una revisión minuciosa del producto final. Si una herramienta no capta correctamente o malinterpreta una declaración, omite información relevante o genera un resumen inexacto, el historial resultante puede resultar incompleto o engañoso. La responsabilidad recaerá a menudo en si la organización definió claramente la función de la herramienta y exigió una revisión humana significativa antes de que los resultados se incorporaran al historial médico o se utilizaran con fines operativos.

Los riesgos también van más allá de la atención al paciente. Una transcripción inexacta puede afectar a la codificación, la facturación, la gestión de reclamaciones, la revisión de la utilización y las auditorías posteriores. Las grabaciones conservadas y los resultados relacionados también pueden generar importantes costes de revisión en auditorías, investigaciones o litigios. Si se incorpora al expediente texto generado por IA sin una revisión adecuada y posteriormente respalda una reclamación inexacta, el resultado puede ser la exposición a un pago en exceso y, en algunos casos, el escrutinio de la Ley de Reclamaciones Falsas. La validación, la revisión por parte del usuario y la supervisión del rendimiento pueden ayudar a crear un expediente más defendible si posteriormente se cuestiona la precisión de la herramienta.

Las organizaciones también deben estar atentas a las variaciones en el rendimiento. Las herramientas de transcripción pueden funcionar de forma diferente en función del acento, el dialecto, el ruido de fondo, la presencia de varios interlocutores o la estructura de la conversación. Estos problemas no son meramente técnicos, sino que pueden afectar a la calidad de la documentación, a la fiabilidad de los registros y, en algunas circunstancias, a la equidad en el rendimiento entre las distintas poblaciones de pacientes. Las organizaciones sanitarias deben evaluar y documentar estos aspectos antes de la implementación y supervisarlos durante su uso.

Supervisión humana y rendición de cuentas

En el ámbito sanitario, la responsabilidad sobre la historia clínica no puede delegarse en herramientas de transcripción basadas en la inteligencia artificial. La supervisión humana es una garantía esencial en el uso de estas herramientas por parte de cualquier organización sanitaria. Los profesionales titulados y demás personal autorizado deben seguir siendo los responsables de decidir qué información es precisa, completa y adecuada para su inclusión en la historia clínica. La tecnología puede facilitar el trabajo, pero no exime a la entidad sanitaria de su responsabilidad al respecto.

Las organizaciones deben supervisar de cerca cómo se utilizan las herramientas de transcripción, si los resultados se revisan adecuadamente y si los flujos de trabajo generan errores evitables. Cada herramienta debe aprobarse para un fin definido, evaluarse antes de su implementación y supervisarse tras su puesta en marcha. Esa supervisión también debe documentarse. Si posteriormente se cuestiona la integridad de un registro, el resultado de un paciente o una práctica de facturación, la organización deberá demostrar que ejerció una supervisión razonable sobre el sistema y que no permitió que la automatización sin revisión sustituyera al criterio humano.

La revisión humana también ayuda a mitigar el sesgo de la automatización, es decir, la tendencia a dar por válido el contenido generado por máquinas sin una evaluación independiente suficiente. Una estructura de supervisión multidisciplinar, en la que suelen participar los responsables clínicos, los departamentos de cumplimiento normativo, seguridad de la información y gestión de la información sanitaria, así como el departamento jurídico, puede contribuir a garantizar que la responsabilidad de la gobernanza sea compartida y que las inquietudes se remitan a instancias superiores antes de que se conviertan en problemas de cumplimiento.

Consentimiento, divulgación, notificación y confianza del paciente

La transparencia sigue siendo una importante fuente de riesgo jurídico para las herramientas de transcripción basadas en la inteligencia artificial. En muchos entornos sanitarios, es posible que las personas no sean conscientes de que una conversación está siendo grabada, transcrita, resumida o procesada por una plataforma basada en la inteligencia artificial. Esta preocupación es especialmente grave cuando la tecnología se utiliza en consultas clínicas, llamadas de gestión de la atención sanitaria o interacciones con los pacientes.

La legislación estatal está adquiriendo un papel cada vez más importante en este ámbito. Algunos estados imponen requisitos de notificación y consentimiento para la grabación de comunicaciones, mientras que otros están empezando a abordar el uso de la IA en las interacciones sanitarias de forma más directa, por ejemplo, exigiendo a los profesionales titulados que notifiquen la grabación y obtengan tanto el consentimiento verbal (en la propia grabación) como el consentimiento por escrito por separado antes de utilizar herramientas de IA para grabar o transcribir sesiones terapéuticas. Por lo tanto, las organizaciones deben evaluar las leyes estatales aplicables en materia de grabación, consentimiento y confidencialidad antes de implementar estas herramientas, especialmente en terapia, salud conductual y otros entornos sensibles.

El consentimiento informado sigue siendo un pilar fundamental de la práctica sanitaria ética y legal. Cuando la tecnología desempeña un papel importante en la documentación de una consulta, las organizaciones deben plantearse si se ha explicado claramente a los pacientes cuál es ese papel. Los documentos de consentimiento, los avisos de privacidad y los guiones de los procesos de trabajo deben actualizarse para describir la participación de la inteligencia artificial en un lenguaje accesible, y se debe formar al personal clínico para que explique estos aspectos a los pacientes de manera coherente. Estas medidas pueden reducir el riesgo legal y reforzar la confianza de los pacientes.

Relaciones con los proveedores y exposición a terceros

En el caso de las herramientas de transcripción basadas en IA, algunos de los riesgos jurídicos más importantes se esconden tras la interfaz de usuario: en las relaciones con los proveedores, los acuerdos de subcontratación y las prácticas de tratamiento de datos que sustentan la tecnología.

Los proveedores de servicios de transcripción suelen procesar o almacenar información médica protegida (PHI) en nombre de las organizaciones sanitarias, lo que genera un riesgo de incumplimiento de la HIPAA y de la legislación estatal si estas relaciones no se controlan estrictamente. Los contratos deben definir claramente la titularidad de las grabaciones, transcripciones, resúmenes y otros documentos relacionados; restringir los usos que excedan el servicio contratado; y especificar normas de conservación, eliminación y notificación de violaciones que se ajusten al programa de cumplimiento de la organización. Se debe dar preferencia a los proveedores empresariales que puedan demostrar que cuentan con entornos seguros y segregados y que ofrezcan derechos de auditoría significativos, frente a las plataformas de consumo que carecen de medidas de seguridad comparables.

El auge de la «IA en la sombra» complica aún más este riesgo. Cuando los empleados recurren a herramientas de consumo no autorizadas, la información confidencial puede salir de los sistemas supervisados y socavar incluso los controles de los proveedores mejor diseñados. En el sector sanitario, ese tipo de adopción informal puede convertir rápidamente un simple incumplimiento normativo en una investigación regulatoria.

Desde el punto de vista de la aplicación de la ley, los riesgos no son teóricos. La divulgación incontrolada de información médica protegida (PHI) puede atraer la atención de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) y de los fiscales generales estatales. El uso indebido de documentación generada por IA que afecte a la facturación o a la presentación de reclamaciones también puede dar lugar a responsabilidades en virtud de la Ley de Reclamaciones Falsas. Las obligaciones legales en sí mismas no son nuevas. Sin embargo, la rapidez y la magnitud de la exposición al riesgo asociadas a estas herramientas pueden agravar los errores.

La gestión del riesgo en la práctica

Las herramientas de transcripción basadas en IA pueden aportar un valor real a las organizaciones sanitarias, pero solo si estas establecen las medidas de control adecuadas antes de que su uso se generalice. Entre estas medidas se incluyen las siguientes:

• Establecer un marco normativo claro. Las organizaciones deben determinar quién está autorizado a aprobar el uso de herramientas de transcripción, qué casos de uso están permitidos, cómo se evalúan dichos casos y cómo se documentan y escalan las excepciones. La política debe integrarse con los programas existentes en materia de la HIPAA, la privacidad, la seguridad de la información y la gestión de registros, y debe dejar claro que el contenido generado por IA puede estar sujeto a obligaciones de conservación y retención legal, incluidos los archivos de audio y otros materiales de origen.
• Trazar el flujo de datos. Identificar dónde se crean, almacenan y comparten las grabaciones, transcripciones, resúmenes y metadatos relacionados ayuda a los equipos de cumplimiento normativo y seguridad a adaptar los flujos de datos a los requisitos de gestión de registros, privacidad y divulgación. Esa revisión debe determinar quién controla cada categoría de datos, cómo se concede el acceso, si los materiales pasan a formar parte del historial médico legal u otros registros empresariales oficiales, y cómo se gestionan la conservación y la eliminación en todos los sistemas. Dado que estos materiales pueden tratarse posteriormente como registros empresariales, las organizaciones deben actualizar las prácticas de conservación, retención legal y eliminación para evitar lagunas en la divulgación y problemas de destrucción de pruebas. Los periodos de conservación cortos pueden ayudar a controlar los costes de almacenamiento y revisión, pero deben evaluarse a la luz de las obligaciones de conservación aplicables. Si se aplica una retención por litigio, es posible que sea necesario conservar estos materiales.
• Reforzar la supervisión de los proveedores. Considerar la supervisión de los proveedores como una extensión de los propios riesgos y obligaciones de cumplimiento de la empresa. Los acuerdos deben establecer requisitos claros en materia de uso, conservación y supresión de datos, así como de respuesta ante violaciones de seguridad y auditabilidad. La entidad sanitaria también debe poder demostrar que comunica estos requisitos a los proveedores y les hace responsables de su cumplimiento.
• Establezca expectativas claras para los usuarios. El personal clínico y administrativo debe recibir formación y comprender tanto la utilidad como las limitaciones de las herramientas de transcripción, incluyendo los casos en los que los resultados deben ser revisados de forma independiente antes de su uso o firma. La formación también debe dejar claro que las herramientas de consumo no autorizadas están prohibidas y pueden exponer a la organización a un riesgo normativo y reputacional significativo.
• Supervisar el uso en la práctica. Las organizaciones deben determinar dónde se realizan las grabaciones, quién puede acceder a las transcripciones y los resúmenes, cómo se corrigen los errores y cuándo se remiten los problemas a un nivel superior.
• Realizar una prueba piloto antes de la implantación generalizada. Probar las herramientas de IA para reuniones y transcripción en entornos de menor riesgo antes de que la tecnología se implante de forma más generalizada, de modo que se puedan identificar a tiempo los problemas relacionados con la privacidad, el funcionamiento y la gestión de registros. Los departamentos jurídico, de cumplimiento normativo, de privacidad y de RR. HH. deben participar en la evaluación desde el principio. Todos los pasos del proceso de implantación deben documentarse detalladamente, de modo que la organización pueda demostrar posteriormente que actuó con la debida diligencia en el establecimiento del sistema. La documentación completa del proceso también puede ayudar a identificar los puntos críticos en caso de que algo salga mal durante la implantación generalizada.

Conclusión

Las herramientas de transcripción basadas en IA pueden aportar un valor operativo real, pero solo si la gestión se adapta al ritmo de su implantación. Las organizaciones que lo hagan bien tratarán estas herramientas como cualquier otro proceso sanitario de alto riesgo: con una gobernanza clara, una contratación cuidadosa, una supervisión definida y un control práctico sobre cómo se crean, utilizan, conservan y revisan los registros. A medida que las legislaturas estatales y los reguladores federales sigan centrando su atención en la IA en el ámbito sanitario, las organizaciones mejor posicionadas para gestionar el riesgo de incumplimiento serán aquellas que establezcan estos marcos ahora, antes de que la adopción supere a la supervisión.