La IA no firma. Usted sí: por qué el consentimiento informado clínico debe contemplar la IA

En febrero de 2024, Change Healthcare, la mayor plataforma de reclamaciones médicas de Estados Unidos, sufrió un breach que comprometió cerca de cien millones de registros clínicos. El costo operativo superó los mil millones de dólares; el ransomware, veintidós millones. Detrás del incidente, proveedores accediendo a datos de salud sin acuerdos adecuados. Cuando la IA procesa datos clínicos, alguien firma y alguien responde. Esa firma sigue siendo humana.

La introducción de IA en el acto clínico no traslada la responsabilidad jurídica al algoritmo. La firma humana persiste, y el consentimiento informado debe contemplarlo.

Este análisis no sale de Colombia. El GDPR europeo, el AI Act y la LGPD brasileña aparecen donde el estándar global ha ido más lejos que el derecho nacional, o donde lo confirman. No como fuentes exóticas: como evidencia de que Colombia ya llegó donde tenía que llegar. El CONPES 4144 de 2025 fijó política pública nacional de IA. El vacío regulatorio no existe. Para el abogado que asesora M&A transfronterizo de salud digital, leer los dos registros el doméstico y el comparado no es académico. Es la diferencia entre due diligence y exposición.

La supervisión humana que exige el derecho es sustantiva, no formal

La Corte Constitucional de Colombia, en la Sentencia T-323 de 2024, sostuvo que el juicio humano es irrenunciable cuando la IA media en decisiones sobre derechos fundamentales. Pronunciada en sede judicial, su ratio es directamente aplicable al acto clínico. El derecho europeo llega al mismo lugar: el artículo 14 del Reglamento (UE) 2024/1689 (AI Act) convierte ese principio en obligación operativa para sistemas de diagnóstico de alto riesgo. La Sala Primera del Tribunal de Justicia de la Unión Europea, en C-634/21 (SCHUFA, 7 de diciembre de 2023), precisó qué significa "sustantivo": autoridad y competencia reales para entender, refutar y modificar el output del modelo. Un humano nominal no cuenta. La Recomendación sobre Ética de la IA de la UNESCO (2021) confirma que la responsabilidad ética y legal permanece en personas, no en sistemas. El médico que aprueba una recomendación algorítmica sin entenderla incurre en automation bias institucionalizado; eso no es supervisión.

El consentimiento informado es un deber del médico; la IA no puede recabarlo

El consentimiento informado es un acto comunicativo del profesional al paciente: presupone diálogo, comprensión y posibilidad real de rehusar. La Corte Constitucional de Colombia, en la Sentencia SU-337 de 1999, elevó esa institución a expresión directa de la dignidad humana y de la autonomía personal, no a mera formalidad documental. La Ley 23 de 1981 radica el deber de informar en el profesional como persona natural. El mismo principio opera en las principales jurisdicciones de la región. La Ley 26.529 de 2009 de Argentina, en sus artículos 5 a 7, lo codifica con contenido mínimo legal explícito: naturaleza del procedimiento, riesgos previsibles, alternativas y consecuencias de la negativa. La Declaración de Helsinki (revisión 2024), en sus párrafos 25 a 28, establece que la información debida abarca los métodos empleados; si la IA es uno de ellos, cae bajo ese deber. Un sistema algorítmico puede preparar el material informativo, pero no sustituir al médico en el acto comunicativo: no responde por lo dicho y no escucha al paciente.

Omitir el uso de IA vicia el consentimiento; los datos clínicos exigen autorización reforzada

La Corte Constitucional de Colombia, en la Sentencia T-401 de 1994, definió el derecho a la información médica como iusfundamental autónomo: su lesión no requiere daño físico. La Sala de Casación Civil de la Corte Suprema reconoce la omisión informativa como causa autónoma de responsabilidad civil. Cuando el uso de IA es material para el juicio clínico, omitirlo configura el vicio del consentimiento. Sobre datos, la restricción opera en los mismos términos en Colombia, Europa y Brasil: los datos de salud son categoría especial y su tratamiento exige autorización previa, expresa e informada del titular. El artículo 6 de la Ley Estatutaria 1581 de 2012 lo establece de la misma manera —según fijó la Sentencia C-748 de 2011 que el artículo 9 del Reglamento (UE) 2016/679 (GDPR) y el artículo 11 de la Ley 13.709 de 2018 de Brasil (LGPD). El GDPR (artículo 22) y la LGPD (artículo 20) codifican además el derecho a revisión humana de decisiones automatizadas. El consentimiento general no cubre el procesamiento por IA.

La responsabilidad médica es de medios y permanece en el médico aunque medie IA

La obligación del médico es de medios, no de resultado. La IA modifica el contenido de la lex artis, no su naturaleza. En Colombia, la Sala de Casación Civil de la Corte Suprema, en la Sentencia SC13925 de 2016, fijó que la culpa organizacional configura falla institucional autónoma: el incumplimiento de protocolos opera como causa adecuada del daño. Desplegar IA sin protocolos no exime al hospital; lo agrava. Tamayo Jaramillo (2007) sostiene que el estándar de cuidado es autónomo y no se traslada al productor de la herramienta. El AI Act europeo (artículo 26) confirma esa lógica en el plano comparado: la institución prestadora que despliega un sistema de alto riesgo asume obligaciones propias, distintas de las del fabricante, entre ellas el uso conforme al manual, la supervisión operativa y la vigilancia post-comercialización. La guía de la OMS sobre Large Multi-Modal Models (2024) advierte que los modelos generativos amplifican el riesgo porque su output convincente induce desplazamiento del juicio clínico; la Resolución CFM 2.314 de 2022 del Conselho Federal de Medicina refuerza esa lectura desde el derecho médico brasileño. Que el fabricante también responda no devuelve al médico la firma que la ley nunca le quitó.

Conclusiones

La firma humana juicio sustantivo, no rúbrica formal sigue siendo el centro jurídico del acto clínico cuando media IA. Para el abogado de salud, eso se traduce en tres frentes concretos: revisar protocolos de supervisión sustantiva en prestadores que despliegan IA, con responsabilidad clínica radicada en el médico habilitado; incorporar adenda al consentimiento procedimental cuando la IA sea material para el output clínico; y, en M&A de salud digital, auditar consentimientos previos y evidencia de supervisión humana operativa. El derecho aplicable a la IA en salud no espera la próxima ley: opera hoy.

Referencias

1. Asociación Médica Mundial. (2024). Declaración de Helsinki — Principios éticos para las investigaciones médicas en seres humanos (revisión 2024)
2. Congreso de la Nación Argentina. (2009). Ley 26.529 — Derechos del paciente, historia clínica y consentimiento informado. Infoleg
3. Congreso de la República de Colombia. (1981, febrero 18). Ley 23 de 1981 — Por la cual se dictan normas en materia de ética médica. Diario Oficial No. 35.711
4. Congreso de la República de Colombia. (2012, octubre 18). Ley Estatutaria 1581 de 2012 — Régimen general de protección de datos personales. Diario Oficial No. 48.587
5. Congresso Nacional do Brasil. (2018, agosto 14). Lei nº 13.709 — Lei Geral de Proteção de Dados Pessoais (LGPD). Planalto
6. Conselho Federal de Medicina [Brasil]. (2022). Resolução CFM nº 2.314/2022 — Define e regulamenta a telemedicina, como forma de serviços médicos mediados por tecnologias de comunicação
7. Consejo Nacional de Política Económica y Social [Colombia]. (2025). Documento CONPES 4144 — Política Nacional de Inteligencia Artificial. Departamento Nacional de Planeación
8. Corte Constitucional de Colombia. (1994). Sentencia T-401 de 1994 [M.P. Eduardo Cifuentes Muñoz]
9. Corte Constitucional de Colombia. (1999). Sentencia SU-337 de 1999 [M.P. Alejandro Martínez Caballero]
10. Corte Constitucional de Colombia. (2011). Sentencia C-748 de 2011 [M.P. Jorge Ignacio Pretelt Chaljub]
11. Corte Constitucional de Colombia. (2024). Sentencia T-323 de 2024 [M.P. Juan Carlos Cortés González]
12. Corte Suprema de Justicia de Colombia, Sala de Casación Civil. (2016). Sentencia SC13925-2016 [M.P. Ariel Salazar Ramírez]
13. Organización Mundial de la Salud. (2024). Ethics and governance of artificial intelligence for health: Guidance on large multi-modal models. WHO
14. Parlamento Europeo y Consejo de la Unión Europea. (2016). Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos. Diario Oficial de la Unión Europea
15. Parlamento Europeo y Consejo de la Unión Europea. (2024). Reglamento (UE) 2024/1689 — Ley de Inteligencia Artificial. Diario Oficial de la Unión Europea
16. Tamayo Jaramillo, J. (2007). Tratado de responsabilidad civil (2.ª ed.). Legis.
17. Tribunal de Justicia de la Unión Europea, Sala Primera. (2023, diciembre 7). Sentencia C-634/21, OQ contra Land Hessen (SCHUFA). Curia
18. UNESCO. (2021). Recomendación sobre la Ética de la Inteligencia Artificial

Elaborado por: Max Duque