AI Act se aplică foarte strict în sectorul sănătății: multe sisteme AI medicale (diagnostic, triere, monitorizare pacienți, suport decizional clinic) intră în categoria high-risk a Regulamentului UE 2024/1689 — cu cerințe extinse de management al riscului, transparență, supraveghere umană, calitate a datelor și conformitate înainte de punere pe piață. Pentru spitale, clinici, laboratoare și fabricanți de dispozitive medicale din România, AI Act se suprapune cu MDR (Medical Device Regulation), GDPR și NIS2 — formând un cadru cumulativ de conformitate.
Acest ghid traduce cerințele AI Act în acțiuni concrete pentru organizațiile din sănătate. Pentru contextul general AI Act, vezi ghidul complet AI Act pentru companii.
Sistemele AI medicale care intră ca high-risk sub AI Act
AI Act consideră high-risk sistemele AI folosite ca componentă de siguranță a unui dispozitiv medical (sau ca dispozitiv medical în sine sub MDR/IVDR), precum și sistemele AI cu impact direct asupra deciziilor clinice. Categorii uzuale:
- AI pentru diagnostic imagistic — radiologie, patologie digitală, dermatologie, oftalmologie
- Sisteme de suport decizional clinic (CDSS) — recomandări de tratament, triere, calcul de risc
- Monitorizare pacient — predicție deteriorare clinică, sepsis, aritmii
- AI în dispozitive medicale software (SaMD) — software ca dispozitiv medical
- AI generativ pentru documentare clinică — note medicale, scrisori, codificare
- AI pentru triajul în UPU / call-center medical
Suprapunere cu MDR, GDPR și NIS2
| Reglementare | Ce vizează | Status pentru sănătate |
|---|---|---|
| AI Act | Siguranța sistemelor AI | High-risk pentru majoritatea AI clinic |
| MDR / IVDR | Dispozitive medicale (inclusiv software) | Aplicabil pentru SaMD; AI Act se aliniază prin Anexa I |
| GDPR | Date personale (inclusiv date de sănătate, art. 9) | Date sensibile — protecție sporită |
| NIS2 | Securitate cibernetică entități esențiale | Spitalele și fabricanții dispozitive medicale = entități esențiale |
Practic, un spital care folosește AI medical trebuie să respecte simultan toate patru reglementările. Vestea bună: multe controale tehnice (management risc, monitorizare, raportare incidente, calitate date) se suprapun.
Obligații concrete pentru spitale și clinici care folosesc AI
În calitate de deployer (utilizator profesional) al unui sistem AI high-risk, organizația de sănătate trebuie să:
- Utilizeze sistemul conform instrucțiunilor furnizorului (manualul de utilizare, scope-ul aprobat)
- Asigure supraveghere umană efectivă — medicul rămâne factorul de decizie final; AI sprijină, nu înlocuiește
- Monitorizeze funcționarea și raporteze furnizorului eventuale incidente sau anomalii
- Informeze pacienții că diagnosticul/decizia implică un sistem AI (consimțământ informat extins)
- Asigure calitatea datelor de intrare — un AI care primește date greșite produce decizii greșite
- Documenteze utilizarea — logging, audit trail, păstrarea înregistrărilor pentru o perioadă rezonabilă
- Realizeze evaluarea impactului asupra drepturilor fundamentale (FRIA) — obligatoriu pentru entități publice și anumite sectoare
- Asigure alfabetizare AI a personalului care folosește sistemul
Obligații suplimentare pentru fabricanții de dispozitive medicale cu AI
Dacă produci sau pui pe piață un dispozitiv medical cu AI, esti provider sub AI Act — cu obligații extinse:
- Sistem de management al riscului pe tot ciclul de viață al produsului
- Guvernanță a datelor de antrenare (reprezentativitate, calitate, bias)
- Documentație tehnică conform Anexei IV
- Înregistrări automate de funcționare (logging)
- Transparență în relația cu deployer-ul
- Supraveghere umană proiectată în sistem
- Acuratețe, robustețe și securitate cibernetică
- Evaluare de conformitate (corp notificat) — coordonată cu evaluarea MDR/IVDR
- Marcaj CE + înregistrare în baza de date UE pentru AI
- Monitorizare post-market și raportare incidente
Practici AI interzise în sănătate (Art. 5 AI Act)
Anumite utilizări sunt complet interzise — inclusiv în sănătate:
- Categorizare biometrică pe date sensibile (etnie, religie, orientare sexuală) — relevant pentru cercetare
- Recunoaștere emoții la locul de muncă — interzis pentru personalul medical, cu excepții medicale/securitate
- Social scoring al pacienților
- Tehnici subliminale / manipulative care produc daune
- Predicție profil criminal exclusiv din profilare
Plan de conformitate AI Act pentru o organizație de sănătate
Recomandare în 6 pași:
- Inventariere — toate sistemele AI folosite (clinice, administrative, de imagistică, CDSS, AI generativ pentru documentare)
- Clasificare pe nivel de risc AI Act + identificare dispozitive sub MDR/IVDR
- Gap analysis per sistem față de cerințele AI Act + alinierea cu MDR/GDPR/NIS2
- Plan de remediere — proceduri, documentație, training, monitorizare
- Alfabetizare AI a personalului medical, IT și administrativ
- Monitorizare continuă și raportare incidente atât către furnizori, cât și către autoritățile competente
Cum te ajutăm
La Secure IT Solutions combinăm expertiza de conformitate NIS2 (spitalele sunt entități esențiale), GDPR pentru date de sănătate (categorie sensibilă, art. 9) și securitate cibernetică (SOC 24/7, EDR, backup imutabil) — toate trei sunt cerințe paralele pentru organizațiile care folosesc AI medical. Cere o evaluare pentru organizația ta.
Întrebări frecvente
Dacă folosim un AI medical certificat MDR, mai trebuie să facem ceva pentru AI Act?
Da. AI Act adaugă cerințe specifice pentru sistemele AI peste cele din MDR — în special pe partea de transparență, supraveghere umană, guvernanță a datelor și alfabetizare AI a utilizatorilor. Furnizorul rezolvă o parte, dar deployer-ul (spitalul) are obligații proprii.
Când se aplică AI Act în sănătate?
Interdicțiile și alfabetizarea AI din februarie 2025; cerințele pentru high-risk din august 2026; pentru AI ca parte din dispozitive medicale reglementate (Anexa I), termenul extins este august 2027.
Trebuie să cerem consimțământ pacientului pentru utilizarea AI?
Da, sub forma consimțământului informat — pacientul trebuie să știe că diagnosticul sau recomandarea implică un sistem AI și să poată cere a doua opinie umană. Este una dintre cerințele de transparență ale AI Act.
AI generativ pentru note medicale e high-risk?
Depinde de utilizare. Dacă AI generează direct note clinice care influențează decizii medicale, intră în zona de risc ridicat. Dacă este folosit doar pentru documentare administrativă cu revizuire umană obligatorie, riscul scade. În toate cazurile, transparența și acuratețea sunt cerințe minime.