La irrupción de la Inteligencia Artificial fue clara y con ella, herramientas de IA Generativa como ChatGPT, Copilot o Gemini se convierten en un desafío jurídico constante marcando constantes puntos de inflexión como el que se plantea tras el lanzamiento de ChatGPT Health: por primera vez, un modelo conversacional es capaz de interactuar con datos clínicos, dispositivos conectados y aplicaciones de salud en tiempo real.
Vamos a pasar de consultar a Dr.Google problemas de salud a poder recibir autodiagnósticos y, sobre todo, llegar a poder cuestionar la opinión de profesionales sanitarios apoyándose “con pinzas” en el “diagnóstico médico” de ChatGPT Health.
Este salto tecnológico, no solo va a marcar un cambio en la relación entre paciente y sistema sanitario, sino que activa directamente la normativa europea en materia de protección de datos. Actualmente, en un entorno donde el RGPD, la LOPDGDD y el recién aprobado Reglamento de Inteligencia Artificial (en adelante, RIA) convergen sobre un mismo escenario, la pregunta no radica en si la IA puede transformar la asistencia sanitaria, sino si la sociedad está concienciada y preparada para hacerlo dentro de los límites que garanticen la privacidad, seguridad y derechos fundamentales de los pacientes.
Este lanzamiento no es una simple actualización de ChatGPT, sino que es un modelo conversacional capaz de conectarse directamente con aplicaciones de salud o dispositivos wearables, es decir, es una tecnología capaz de acceder, procesar y correlacionar datos de salud en tiempo real. Y, esto, inevitablemente se convierte en un debate jurídico de primer orden.
Los datos que van a ser tratados por ChatGPT Health revelan enfermedades, tratamientos, hábitos… es decir, datos sobre la salud física o mental de los interesados y, por ende, hay un tratamiento de datos de salud que, acorde al artículo 9 del RGPD implica el tratamiento de datos de categorías especial de datos. Esto exige un nivel de diligencia y protección reforzado acorde a la normativa europea en protección de datos.
Partiendo de la premisa de ChatGPT, esta herramienta ha sido creada para poder acompañar al paciente ante la ausencia médica, traducir el lenguaje clínico a un lengua más accesible y, en definitiva, hacer más comprensible la información sanitaria. Sin embargo, este planteamiento acompaña un riesgo: cada interacción acompaña el tratamiento de categorías especiales de datos, concretamente, de datos de salud.
ChatGPT, por diseño, tiende a recopiar grandes volúmenes de datos para poder ofrecer respuestas más precisas y, trayendo a colación el principio de minimización de datos: ¿el sistema va a poder conocer el historial completo del paciente para responder a una duda puntual? ¿Se aplican técnicas de pseudonimización? ¿Se limita el acceso a lo imprescindible? Pues bien, dar respuesta a estas preguntas es obligación legal que ChatGPT deberá garantizar.
El RGPD exige claridad, transparencia y responsabilidad proactiva, no zonas grises y desde la perspectiva del principio de licitud, cualquier uso de esta IA Generativa debe estar apoyada en una base jurídica o de legitimación. Pues bien, en el ámbito sanitario es común que el tratamiento de los datos personales esté justificado en el interés público para la prestación de los servicios sanitarios o en el consentimiento libre, expreso e informado de los pacientes. Pero, con el uso de ChatGPT Health, ¿qué ocurre cuando el paciente utiliza ChatGPT Health por su cuenta? ¿Quién es el responsable del tratamiento? ¿Qué base jurídica legitima ese flujo de datos? ¿Es OpenAI responsable? ¿Lo es el proveedor de la app de salud? Esta claro que todavía quedan muchos frentes abiertos que, desde OpenAI, deberán concretarse si su deseo es que llegue a utilizarse en Europa.
Y en este escenario entra el RIA con su conglomerado de obligaciones y categorización de sistemas. Concretamente, el RIA detalla una clasificación de sistemas de IA en función del nivel de riesgo que presenta el sistema. Y, respecto a los sistemas que intervienen en procesos relacionados con la salud o toma de decisiones clínicias el RIA es claro y califica estos sistemas de IA de alto riesgo. Esto, entre otras obligaciones, exige una supervisión humana efectiva, documentación técnica exhaustiva, trazabilidad, robustez, ciberseguridad y auditorías periódicas. Por lo tanto, no es suficiente con que la IA responda a consultas, sino que la IA debe cumplir las exigencias normativas.
Entre ellas destaca o es especialmente relevante la supervisión humana. ChatGPT Health puede orientar o acompañar, pero no puede decidir y, mucho menos, ni puede ni debe sustituir al profesional sanitario. Está claro que esta nueva sección de ChatGPT va a facilitarle una información ingente y delegar decisiones clínicas en un sistema automatizado, sería contrario al RIA, además de todas las consecuencias que puede acompañar una posible brecha, el uso que OpenAI pueda hacer con toda esta información o la posibilidad de considerar ChatGPT como un dispositivo médico.
El impacto sobre los derechos de los interesados es claro y, aunque aún no está disponible en la Unión Europea, tiempo al tiempo. El despliegue de este sistema posiblemente no sea solo por capricho, sino por un fallo estructural del sistema sanitario cuando conseguir citas supone la espera de muchas semanas y el paciente quiere buscar respuesta donde sea. Si ya más de 230 millones de personas en todo el mundo hacen preguntas sobre salud y bienestar cada semana (según el análisis anonimizado, claro, de OpenAI) era de esperar que se lanzara este modelo especializado de ChatGPT Health. Por ello, lo inquietante no es lo que ChatGPT Health hace hoy, sino lo que podría hacer mañana.
ChatGPT Health puede llegar a interpretarse como un aliado si alivia la carga del sistema sanitario, clarifica conceptos al paciente o refuerza la información del personal sanitario, pero, realmente, puede convertirse en un gran riesgo si se utiliza sin supervisión, controles, transparencia y sin un marco jurídico sólido.
Llegado el día, la pregunta no es tanto si debemos usar o no la IA en salud, sino si estamos dispuestos a hacerlo bien. La tecnología está presente y depende de su uso responsable y garante con el marco jurídico actual, utilizarla como puente hacia una medicina más humana, accesible y personalizada o, por el contrario, como una trampa o vía rápida que entre en conflicto con los derechos fundamentales bajo la falsa apariencia de innovación. Pues bien, esta decisión no es solo técnica, sino jurídica y ética.
Para esto, Europa cuenta con las herramientas normativas que garanticen el respeto y defensa de los derechos de los interesados: RGPD y RIA, junto con el resto de normativa nacional y sectorial en el ámbito de salud. El reto es claro, aplicarlas con rigor sin frenar la innovación pero protegiendo la privacidad, derechos y autonomía de los pacientes.
