Imagina pedir cita en una administración pública y que te la anulen sin saber el motivo, que solicitas una beca y recibes una denegación automática sin ninguna explicación, o que un sistema de selección médica prioriza a unos pacientes sobre otros, pero los profesionales no pueden explicar cómo llegó a esa conclusión. Todas estas decisiones no están tomadas por una persona, sino por un algoritmo.
El Hospital de León ha presentado Noacude-26, un modelo predictivo de inasistencia y plan de intervención para reducir el sobrecoste asistencial en Sacyl diseñado para reducir los más de 62.000 pacientes anuales que no acuden a sus citas médicas generando un coste estimado superior a 2 millones de euros al año. La lógica es sencilla: si el sistema predice qué pacientes tienen más probabilidades de no presentarse, el hospital podrá intervenir a tiempo a través de avisos reforzados, confirmaciones adicionales o reasignaciones de agenda con el fin de evitar las consultas vacías que podrían haberse asignado a otro paciente en lista de espera.
El objetivo a simple vista parece razonable, la eficiencia sanitaria importa y las listas de espera suponen un problema real. Sin embargo, el camino para conseguirlo implica construir perfiles de pacientes a partir de sus datos clínicos y sociodemográficos con los que predecir su comportamiento futuro, lo que desde la perspectiva de protección de datos merece una especial atención. Según el artículo 4 del RGPD entendemos por elaboración de perfiles, “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.
Civio ya se adelantó en 2025 anunciando la incorporación de algoritmos e IA en la sanidad pública española de forma desigual y con una escasa supervisión humana y, sin cumplir con el deber de informar sobre los sistemas, datos o garantías que cumplen, recordemos que el Reglamento de Inteligencia Artificial obliga a crear una base de datos pública donde se registren lo sistemas de IA de alto riegos mejorando la transparencia sobre los algoritmos en particular en la sanidad, la educación o la justicia, para más información consulte aquí.
Datos de salud + perfilado: un territorio de garantías reforzadas
El sistema que utiliza Noacude-26 necesita analizar datos de los pacientes incluyendo: historial clínico, especialidad médica, características sociodemográficas, comportamiento previo para cruzarlos e identificar patrones de no asistencia. Finalmente, lo que consigue es un resultado individual, un perfilado en el que determine si el paciente tiene alta probabilidad de no acudir a la cita médica. Cuando se realiza un perfilado sobre datos de salud, el Reglamento General de Protección de Datos (RGPD) exige brindar una protección reforzada.
Los datos de salud son datos de categoría especial según el artículo 9 del RGPD y como norma general está prohibido su tratamiento con la salvedad de algunas de las excepciones tasadas. Dentro de un contexto sanitario público, nos encontramos con el artículo 9.2.h): tratamiento de datos de salud necesarios para la prestación de asistencia sanitaria o tratamientos médicos. Pero aquí la primera pregunta que debería de ser relevante es: ¿construir un modelo predictivo de comportamiento del paciente forma parte de la prestación asistencial, o es un uso secundario de los datos que requeriría una habilitación diferente?
La respuesta no es obvia. Una gestión eficiente de la agenda hospitalaria está relacionada con una atención sanitaria adecuada, pero ¿a qué coste? Usar los datos clínicos del paciente para predecir si va a cumplir su cita es un tratamiento diferente al que se venía haciendo inicialmente, datos para tratar a cada paciente. Es por esto por lo que la base de legitimación merece un análisis explícito, no una asunción implícita.
El reglamento de inteligencia artificial: transparencia, supervisión y robustez
El Reglamento de Inteligencia Artificial (RIA) aporta una capa adicional al RGPD de obligaciones para sistemas como Noacude-26, en especial cuando un sistema opera en el ámbito sanitario y produce efectos sobre personas concretas.
Más allá de la clasificación del sistema, el RIA establece unos principios directamente aplicables: los sistemas de IA deben ser suficientemente transparentes para que los usuarios (en este caso, incluidos el personal clínico y administrativo) comprendan cómo funcionan y qué limitaciones tienen.
De esta manera, deben diseñarse mecanismos de supervisión humana efectiva, de modo que ninguna decisión con impacto sobre el paciente quede totalmente delegada en un algoritmo. Además, el sistema debe de ser técnicamente robusto y preciso para que evite los errores sistemáticos del modelo que materializándose causarían a perjuicios para los pacientes.
En España, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) publicó 16 guías prácticas orientadas a ayudar a todas las organizaciones a desarrollar o desplegar desde el diseño sistemas de IA de alto riesgo con el objetivo de cumplir con la normativa. Además, en mayo de 2026, el Consejo de Ministros aprobó el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, en la que fija responsabilidades explícitas e impone una supervisión humana en casos que puedan afectar a derechos fundamentales atribuyendo a la AESIA las competencias de supervisión. El marco de adecuación ya existe, sin embargo, la pregunta es si proyectos como Noacude-26 lo están cumpliendo desde el diseño. En un sistema que toma la decisión respecto a qué pacientes reciben intervenciones reforzadas y cuáles no, estos principios son abstractos.
Los riesgos que no hay que perder de vista
Para cumplir desde el diseño hay tres vectores que merecen especial atención:
Sesgos y discriminación algorítmica: El modelo aprende de datos históricos y todo lo que conlleve con ellos como patrones desiguales de acceso o comportamientos vinculados a variables socioeconómicas, geográficas o de salud mental y en la práctica amplificar y reproducirlos. El riesgo no es solo teórico, los sistemas de IA entrenados con datos históricos que incorporan desigualdades estructurales tendiendo a continuar con ellas. Noacude-26 tendría un efecto directo en ramas como Psiquiatría y Dermatología, lo que plantea preguntas concretas sobre qué perfiles terminarán siendo etiquetados sistemáticamente como “de riesgo” y qué consecuencias tendrá esa etiqueta en el acceso a la atención. Además, no olvidemos que determinados sistemas de perfilado sanitario basados en modelos de IA de propósito general podrían llegar a generar riesgos sistémicos en los términos previstos por el RIA cuando, debido a su escala, alcance o capacidad de influencia, produzcan efectos negativos significativos sobre la salud pública o lo derechos fundamentales de un gran número de personas.
Falta de transparencia ante el paciente: El artículo 13.2.f) del RGPD establece el derecho a informar respecto el tratamiento de sus datos, incluyendo cuando el tratamiento implica perfilado. Este mismo precepto se encuentra estrechamente relacionado con el artículo 22.4 RGPD, puesto que Noacude-26 trabaja directamente con decisiones individuales automatizadas incluyendo una elaboración de perfiles utilizando categorías especiales de datos obligando al responsable a tomar medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos de los interesados. Este modelo lo que viene a predecir son comportamientos y cada paciente tiene derecho a saberlo.
Efectos individuales sin garantías claras: Si el perfil de riesgo de un paciente es considerado para que reciba o no una intervención, una consulta, estamos ante un tratamiento real sobre esta persona y hay una serie de salvaguardias que deberían de aplicarse desde el diseño de esta herramienta que el RGPD obliga a que haya una Evaluación de Impacto de Protección de Datos en virtud del artículo 35 RGPD, existe un tratamiento a gran escala de datos de salud, perfilado automático, posibles efectos sobre el acceso a la atención sanitaria, además de dar la posibilidad de que aquellos interesados puedan acceder a los datos personales recogidos con el fin de conocer y verificar la licitud del tratamiento (considerando 63).
Es importante que este tipo de modelos predictivos se configuren con la privacidad desde el diseño de tal forma que las decisiones de arquitectura del sistema (esto es, qué datos se usan, cómo se combinan, qué output produce el modelo) deben tomarse con criterios de minimización y proporcionalidad. Y, como mayor salvaguarda, es importante establecer una supervisión humana efectiva para que el output del modelo sea una señal para el profesional y no una instrucción automática, es decir, el algoritmo informa una decisión humana no debe sustituir el algoritmo al criterio humano. El RIA ya nos da una advertencia en su considerando 42: Las personas físicas nunca deben ser juzgados a partir de comportamiento predichos por la IA basados únicamente en la elaboración de sus perfiles, en los rasgos o características de su personalidad, como la nacionalidad, el lugar de nacimiento, el lugar de residencia, el número de hijos, el nivel de endeudamiento o el tipo de vehículo, sin una valoración humana (…).
Dicho esto, el RIA establece en su artículo 53 una serie de obligaciones para los proveedores de estos sistemas, entre ellas la documentación de la parte técnica relativa al desarrollo, entrenamiento, pruebas y evaluación del modelo. Esta documentación debe estar diseñada de forma que favorezca la auditabilidad y la comprensión de los sistemas, reduciendo la opacidad algorítmica y facilitando la evaluación de riesgos asociados a posibles sesgos, errores predictivos o impactos sobre los derechos fundamentales de los pacientes
En España, actualmente se ha aprobado el Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, y, a pesar de que el Reglamento establece un marco común para todos los Estados Miembros, delega en los Estados para definir sanciones para garantizar el cumplimiento de por parte de proveedores, importadores y distribuidores. Las sanciones están tipificadas de los artículos 8-21 de Anteproyecto recogiendo infracciones muy graves con multas de hasta 35.000.000€ para sistemas de IA prohibidos, para infracciones graves multas de hasta 7.500.000€ o el 1-2% del volumen de negocios total y en caso de infracciones leves, multas de hasta 500.000€ o el 0.5-1% del volumen de negocios total. En el caso de las Pymes o empresas emergentes, se regirá por el artículo 99.6 del RIA. Para estas Pymes y startups España ha desarrollado un piloto de Sandbox IA que busca un desarrollo responsable de la IA, validando la adecuación de sistemas de alto riesgo a los requisitos del Reglamento mediante simulaciones de evaluación de conformidad y, en el ámbito sanitario ya ha habido una serie de sistemas que han participado en esta Sandbox como Cl@dia, Tucuvi Health Manager o MoGIA-MetCare.
En conclusión, Noacude-26 no es un proyecto malicioso, es un proyecto bien intencionado que se está viendo reproducido por otros organismos públicos y privados y aunque ilustra perfectamente por qué la protección de datos en IA no es un obstáculo burocrático, sino una herramienta para que la innovación sea sostenible, nos debemos de preguntar cómo hacerlo sin que el precio del uso lo paguen los pacientes en forma de perfiles opacos, sesgos invisibles o decisiones que nadie puede explicar.
La verdadera prueba del éxito regulatorio no será la capacidad de la inteligencia artificial para anticipar el comportamiento de los pacientes, sino la capacidad del ordenamiento jurídico para preservar su condición de sujetos de derechos frente a la creciente tentación de convertirlos en meros objetos de predicción. Y en España, con AESIA operativa y una ley en tramitación parlamentaria, ya no hay excusa para no tenerla.
