Los reguladores marcan el listón de “las buenas prácticas de IA” en el desarrollo de medicamentos. Esto es lo que está cambiando

Estos principios no constituyen un nuevo reglamento. Son un punto de referencia sobre cómo debe aplicarse la IA dentro de procesos que operan en un marco regulado. Las directrices son neutrales desde el punto de vista tecnológico, pero específicas desde el punto de vista operativo: definen el contexto de uso, aplican controles basados en el riesgo, regulan los datos y la documentación, y gestionan el sistema a lo largo de su ciclo de vida para que la supervisión permanezca intacta. Deben interpretarse como un cambio de enfoque: pasar de “¿podemos usar IA?” a “¿podemos utilizarla de forma fiable, con transparencia y responsabilidad?”.

Por qué es importante: la conversación pasa de la capacidad al control

En los últimos 18-24 meses, muchas organizaciones de la industria han explorado la IA en casos de uso asistenciales y muy centrados en el texto: resumir documentos largos, clasificar contenidos, extraer datos y redactar textos internos o externos.

El siguiente paso es más complejo. En el momento en que los resultados de la IA empiezan a influir en evidencia regulada, decisiones o acciones, “parecer que funciona” deja de ser suficiente. El nuevo estándar está evolucionando para convertirse en repetibilidad con supervisión: un uso consistente en su contexto, responsabilidades claras con intervención humana y un registro que resista el escrutinio de las auditorías con el tiempo. Eso es precisamente lo que los principios de la EMA y la FDA ponen ahora en primer plano.

El contexto de uso se convierte en el punto clave

La expresión más relevante en el planteamiento de los reguladores es “contexto de uso”. La IA no se evalúa de forma abstracta, sino en función de lo que está diseñada para hacer, lo que influye y el riesgo que introduce.

Un asistente de redacción utilizado para resumir notas internas es una cosa. Otra muy distinta es la IA que utiliza el mismo método de síntesis para la revisión de casos de seguridad, identificar posibles señales o iniciar pasos en las operaciones de un ensayo clínico. La misma técnica subyacente puede pasar de tener un impacto bajo a uno alto, simplemente por su posición en el proceso y por cómo se utilizan sus resultados.

Esa diferencia es clave porque cambia lo que realmente exigen las “buenas prácticas”.Cuando el contexto de uso implica mayor riesgo, también aumentan las expectativas: controles más claros, documentación más sólida, supervisión humana explícita y una gestión del cambio más disciplinada. En la práctica, esto significa que los programas de IA necesitarán un inventario de casos de uso asociados a su nivel de riesgo, con límites definidos y una comprensión compartida de quién asume la responsabilidad.

La confianza se construye en el workflow y en el registro que genera

Los principios rectores son neutrales desde el punto de vista tecnológico, pero no lo son en cuanto a la ejecución. En la práctica, esto amplía el foco más allá del propio modelo hacia los controles y la documentación que lo rodean: la procedencia de los datos, el control de versiones, cómo se revisan y utilizan los resultados y qué ha cambiado con el tiempo.

Aquí es donde una decisión de diseño estratégica se vuelve crítica: si la IA se sitúa fuera del workflow regulado como una herramienta independiente o si se integra dentro de los sistemas donde realmente se desarrolla el trabajo regulado.

Cuando la IA está integrada en un workflow regulado, puede heredar requisitos que ya existen en los entornos regulados: permisos basados en roles, pasos estandarizados, coordinación controlada entre funciones y auditorías integradas por diseño. Cuando la IA se sitúa fuera, los equipos suelen tener que reconstruir el contexto y los controles a posteriori, copiando información entre herramientas, conciliando versiones y reconstruyendo el “historial del registro” durante revisiones e inspecciones. Eso puede funcionar en un piloto, pero resulta frágil cuando se intenta escalar.

La gestión del ciclo de vida deja de ser opcional cuando la IA entra en workflows regulados

La gestión del ciclo de vida puede sonar abstracta hasta que se analiza cómo se comporta la IA en entornos reales. Se publican nuevos modelos fundacionales. Los prompts derivados de los objetivos e instrucciones de los agentes evolucionan. Las fuentes de conocimiento y los datos transaccionales cambian. Cualquiera de estos cambios puede alterar sutilmente los resultados de la IA de manera significativa en un contexto regulado. Por eso, cuando los reguladores insisten en la evaluación del rendimiento basada en el riesgo y en la gestión del ciclo de vida, en realidad están recordando algo muy simple: cuando la IA influye en procesos regulados, no basta con “configurarla y olvidarse”.

¿Qué significa “gestión del ciclo de vida” en términos operativos?

• Control de versiones relevante para auditorías: no solo para el código y los modelos, sino también para prompts, instrucciones de agentes, las plantillas y el material de referencia que influye en los resultados.
• Monitorización definida y detección de desviaciones: qué se monitoriza, con qué frecuencia y qué se considera un cambio significativo.
• Control de cambios proporcional al riesgo: cuándo un cambio requiere documentación, revisión, recualificación o reversión.
• Responsabilidad clara sobre los resultados de la IA: cuando un resultado se acepta, se modifica o se escala, debe quedar claro quién toma la decisión, para evitar que la responsabilidad se diluya en un simple “lo dijo el algoritmo”.

El impulso regulatorio converge con las expectativas operativas

Los principios EMA-FDA llegan como parte de un patrón regulatorio más amplio que refuerza el mismo mensaje: una tecnología fiable depende de una ejecución fiable.

En Europa, el calendario de la Comisión Europea para la Ley de IA de la UE hace que las expectativas en materia de gobernanza sean cada vez más concretas. La normativa será plenamente aplicable a partir del 2 de agosto de 2026, junto con hitos anteriores relacionados con prácticas prohibidas y alfabetización en IA y obligaciones generales en materia de IA.

En Estados Unidos, la guía de la FDA de octubre de 2024 sobre sistemas electrónicos, registros electrónicos y firmas electrónicas en investigaciones clínicas aclara qué significa que los registros y sistemas electrónicos sean fiables y veraces. No es una guía específica sobre IA, pero se vuelve directamente relevante cuando los resultados de la IA forman parte de la generación de evidencia. 

Nada de esto sugiere que los reguladores quieran frenar la innovación. Los principios conjuntos se han formulado explícitamente para permitir un uso responsable. El listón operativo se está elevando de manera que se recompensa a las organizaciones que hacen que la supervisión sea práctica, replicable y escalable. 

Qué deberían hacer ahora los líderes de la industria 

La respuesta práctica no es frenar la adopción de la IA. Es convertirla en una capacidad operativa, de modo que cada nuevo caso de uso no vuelva a abrir el mismo debate sobre gobernanza.

Para la mayoría de las organizaciones, la oportunidad a corto plazo es utilizar los principios EMA-FDA como requisito de diseño para el entorno operativo de IA, incluso mientras las capacidades de producto en áreas como clinical, regulatorio o farmacovigilancia continúan madurando en el mercado. Esto implica abordar el trabajo fundamental para pasar de aplicaciones de IA aisladas a una capacidad gobernada dentro de un marco regulado. En la práctica, supone definir los contextos de uso, asociarlos a su nivel de riesgo, estandarizar qué se considera “información esencial” para la supervisión e incorporar controles de ciclo de vida sobre qué cambia y cuándo.

Cuanto más integrada esté la IA en los sistemas que ya gestionan roles, permisos, workflows y auditorías, más fácil será escalar de forma responsable con el tiempo, sin tener que reconstruir la evidencia y la supervisión desde cero.

Cómo integrar la IA en entornos regulados (GxP)

Los principios EMA-FDA están cambiando la forma en que la industria aborda la IA: no como un complemento independiente, sino como parte de la base regulada para la generación y monitorización de evidencia. Las empresas farmacéuticas que tendrán éxito no serán necesariamente las que realicen más pilotos, sino las que integren la IA en workflows controlados, donde las decisiones puedan revisarse y sean trazables, y donde el cambio pueda gestionarse con supervisión. Esas serán las que conviertan la inversión en IA en una verdadera ventaja operativa.