La inteligencia artificial ya participa en el diagnóstico, el triaje y la gestión documental de muchas clínicas y consultorios. Esa participación cambia las reglas del juego para el consentimiento informado en el sector salud porque ya no basta con obtener la firma del paciente en un formulario estándar. Cuando un algoritmo interviene en la toma de decisiones clínicas, el paciente tiene derecho a saber qué sistema tomó parte en su diagnóstico, cómo llegó a esa conclusión y qué implica para sus datos personales.
Si ese derecho a la información no se garantiza de forma comprensible y documentada, el consentimiento obtenido pierde su valor ético y legal.
Este artículo responde a las preguntas más frecuentes sobre qué es el consentimiento informado en la IA:
- desde su definición y sus tres tipos principales
- hasta el marco normativo vigente
- los retos éticos concretos que plantea la inteligencia artificial
- y los riesgos específicos para la privacidad de datos.
También encontrará orientación práctica sobre cómo implementar consentimientos asistidos por IA en su clínica o consultorio, con referencia directa a los contextos normativos y operativos de México, Colombia y Perú, además del marco europeo.
Al terminar esta lectura, tendrá una visión completa de las implicaciones éticas, legales y operativas del consentimiento informado cuando la IA interviene, y sabrá qué pasos concretos puede dar para gestionarlo correctamente tanto en entornos regulados por el GDPR como bajo legislaciones latinoamericanas.
¿Qué es el consentimiento informado en la IA?
El consentimiento informado es el proceso mediante el cual un profesional sanitario comunica al paciente, de forma comprensible, los riesgos, beneficios, alternativas y posibles resultados de una intervención médica, y el paciente otorga su aceptación de forma libre, voluntaria y documentada antes de que esa intervención se realice.
Su base ética radica en el respeto a la autonomía del paciente: nadie puede recibir un tratamiento sin haber comprendido previamente en qué consiste. Su base legal, en el contexto europeo, se encuentra en la Convención de Oviedo (1997) y en la Ley 41/2002 sobre autonomía del paciente en España, que establecen el derecho a la información como un derecho irrenunciable.
La inteligencia artificial entra en este proceso de dos maneras distintas.
- La primera es como herramienta que apoya la toma de decisiones clínicas:
- sistemas de machine learning (ML) que analizan imágenes médicas
- algoritmos de triaje que priorizan pacientes según su riesgo
- o modelos predictivos que estiman la probabilidad de complicaciones quirúrgicas.
Cuando una decisión clínica está mediada o influenciada por uno de estos sistemas, el paciente tiene derecho a saberlo.
- La segunda forma de intervención de la IA es como asistente en la redacción o personalización de los propios documentos de consentimiento informado, utilizando modelos de lenguaje de gran tamaño (LLM) para adaptar el texto al nivel de comprensión del lector o para traducirlo a distintos idiomas.
Sobre la importancia del consentimiento informado como pilar de la relación clínica ya se ha escrito ampliamente. Lo que cambia con la IA es la profundidad de la información que el paciente necesita para que su consentimiento sea real: no solo debe entender el procedimiento médico, sino también comprender, en términos accesibles, que un sistema automatizado participó en la decisión y qué datos propios fueron procesados.
La gestión de documentos y consentimientos informados de Medesk permite centralizar, versionar y custodiar esos documentos en el expediente clínico, de modo que cada consentimiento quede vinculado a la consulta específica en la que fue obtenido.

Los 3 tipos de consentimiento informado. ¿Cómo cambia la IA a cada uno?
Los tres tipos principales de consentimiento informado son el explícito, el tácito y el presunto. Cada uno responde a circunstancias clínicas distintas y establece obligaciones de documentación diferentes. La intervención de la IA modifica el peso legal y ético de cada tipo, y en algunos casos hace que un tipo que antes era suficiente ya no lo sea.
- El consentimiento explícito es una declaración activa del paciente, verbal o escrita, en la que manifiesta haber recibido información suficiente y acepta el procedimiento. Cuando un algoritmo interviene en el diagnóstico o en la planificación del tratamiento, el consentimiento explícito documentado se convierte en el estándar mínimo exigible.
Las decisiones automatizadas elevan el umbral de información que debe recibir el paciente. El formulario de consentimiento informado debe especificar:
- qué sistema de IA se utilizó
- qué tipo de datos procesó
- y qué grado de autonomía tuvo ese sistema en la decisión final.
Sin esa información, el consentimiento explícito se convierte en una firma sobre un vacío.
- El consentimiento tácito se deduce de la conducta del paciente sin que este se oponga expresamente. Aplica en situaciones de baja complejidad, como una consulta de seguimiento rutinario. El problema con la IA es que muchos pacientes desconocen que los sistemas que apoyan a su médico incluyen componentes de machine learning o ML.
Un paciente que acude a una revisión puede estar aceptando tácitamente un proceso asistido por algoritmos sin ser consciente de ello, lo que vacía el consentimiento tácito de contenido real.
Los profesionales sanitarios deben informar de forma proactiva cuando la IA interviene, incluso en actos clínicos aparentemente simples.
- El consentimiento presunto es el que la ley asume en situaciones de urgencia vital donde no es posible obtener el consentimiento del paciente ni de su representante legal. La IA no altera sustancialmente este tipo, pero sí introduce una complejidad adicional. Si el sistema de triaje que decidió la prioridad de atención del paciente fue un algoritmo, esa circunstancia debe quedar registrada en la documentación clínica.
La seguridad del paciente y el consentimiento informado exigen trazabilidad completa. El expediente clínico electrónico con firma digital de Medesk permite registrar no solo el consentimiento obtenido, sino también el contexto clínico en que fue generado, incluyendo qué herramientas digitales participaron en el proceso.
| Tipo de consentimiento | Cuándo aplica | Impacto de la IA |
|---|---|---|
| Explícito | Procedimientos complejos, cirugías, uso de datos para IA | Exige describir el sistema de IA, sus datos de entrada y su rol en la decisión |
| Tácito | Consultas rutinarias, seguimientos simples | Problemático si el paciente desconoce la intervención algorítmica |
| Presunto | Urgencias vitales sin posibilidad de consentir | Requiere documentación posterior del rol de la IA en el triaje o diagnóstico |
Principales retos éticos del consentimiento informado cuando se usa IA
- El primer reto ético es la opacidad algorítmica, también conocida como el problema de la "caja negra". Muchos sistemas de inteligencia artificial, especialmente los basados en redes neuronales profundas, producen resultados sin que sea posible reconstruir el razonamiento paso a paso que llevó a esa conclusión. Esto significa que ni el médico ni el paciente pueden comprender completamente por qué el algoritmo llegó a determinada recomendación diagnóstica.
Si el consentimiento informado exige que el paciente entienda la intervención, la opacidad algorítmica cuestiona si ese entendimiento es genuinamente posible.
La bioética contemporánea exige que la explicabilidad sea un requisito de diseño en los sistemas de IA aplicados a la salud, no una característica opcional.
- El segundo reto es la asimetría informativa. En el proceso clínico tradicional, la brecha de conocimiento entre médico y paciente ya existe, pero puede reducirse mediante la comunicación directa. Con la IA se añade una tercera parte —el fabricante o proveedor del sistema— que posee información técnica sobre el modelo que ni el médico ni el paciente tienen acceso.
Esta asimetría informativa en tres niveles hace que el consentimiento aparente —aquel en que el paciente firma sin comprender realmente— sea un riesgo concreto.
Las organizaciones de bioética y la propia OMS han señalado que los sistemas de IA en salud deben diseñarse con transparencia suficiente como para que los profesionales sanitarios puedan explicar su funcionamiento en términos comprensibles.
- Un tercer reto son los derechos fundamentales de la población vulnerable. Los menores de edad, las personas mayores con baja alfabetización digital y los pacientes con deterioro cognitivo enfrentan dificultades adicionales para comprender qué significa que un sistema de IA haya participado en su atención.
La comprensión efectiva del consentimiento —no solo la firma del documento— es una obligación ética del profesional.
Esto requiere adaptar el lenguaje del formulario, ofrecer explicaciones verbales complementarias y, cuando sea necesario, involucrar a los representantes legales del paciente. La relación médico-paciente y la autonomía se ven directamente afectadas cuando la tecnología introduce capas de complejidad que el paciente no puede gestionar por sí solo.
La autonomía del paciente también puede verse comprometida de forma más sutil. Cuando el sistema de IA presenta sus recomendaciones como evidencia objetiva e irrefutable, el médico puede sentir presión para seguirlas sin cuestionarlas, y el paciente puede interpretar la recomendación algorítmica como una decisión ya tomada.
La autonomía real del paciente requiere que la IA sea presentada como una herramienta de apoyo, no como un árbitro final de la decisión clínica.
En el contexto de la investigación clínica y los ensayos clínicos, este reto se agudiza porque los participantes del estudio deben comprender no solo el protocolo, sino también qué sistemas automatizados analizarán sus datos y bajo qué condiciones.
Qué exige la ley cuando se usa IA en el consentimiento informado
El marco normativo aplicable al consentimiento informado con IA se articula en varias capas que deben cumplirse de forma simultánea.
- La primera y más conocida es el GDPR, el Reglamento General de Protección de Datos de la Unión Europea. Sus artículos 9 y 22 son directamente relevantes:
- el artículo 9 clasifica los datos de salud como datos especialmente sensibles que requieren consentimiento explícito para su tratamiento
- y el artículo 22 establece el derecho del paciente a no ser objeto de decisiones tomadas exclusivamente de forma automatizada que le afecten significativamente, así como el derecho a una explicación comprensible de esa decisión.

- La segunda capa es el AI Act, el Reglamento de Inteligencia Artificial de la Unión Europea, que clasifica los sistemas de IA utilizados en el diagnóstico y tratamiento médico como sistemas de alto riesgo. Para esta categoría, el reglamento exige supervisión humana efectiva, documentación técnica detallada y, de forma creciente, requisitos de explicabilidad.
Si el sistema de IA utilizado en su clínica cae en la categoría de alto riesgo, el proceso de consentimiento debe incluir información específica sobre esa clasificación y sus implicaciones para el paciente.
- La Ley 41/2002 española, base del derecho a la autonomía del paciente en España, establece que el paciente tiene derecho a recibir información completa sobre cualquier intervención que le afecte, en un lenguaje comprensible.
La Convención de Oviedo, como marco ético internacional, refuerza que ninguna intervención en el ámbito de la salud puede realizarse sin el consentimiento libre e informado de la persona afectada.
- La AEMPS, la Agencia Española de Medicamentos y Productos Sanitarios, regula además los dispositivos médicos con componente de IA, y sus requisitos de marcado CE implican que los fabricantes deben documentar las capacidades y limitaciones de sus sistemas, información que los profesionales deben trasladar al proceso de consentimiento.
- El Espacio Europeo de Datos Sanitarios, actualmente en desarrollo regulatorio, permitirá el flujo transfronterizo de datos sanitarios para investigación clínica y ensayos clínicos, pero bajo condiciones estrictas de consentimiento y protección de datos personales.
Las clínicas que participen en proyectos de investigación con datos de pacientes deberán adaptar sus formularios de consentimiento a estos nuevos requisitos. La protección de datos en salud ya es un componente central del proceso clínico.
| Normativa | Qué regula | Implicación para el consentimiento con IA |
|---|---|---|
| GDPR (Art. 9 y 22) | Datos sensibles y decisiones automatizadas | Consentimiento explícito obligatorio; derecho a explicación |
| AI Act | Sistemas de IA de alto riesgo en salud | Supervisión humana, documentación técnica, explicabilidad |
| Ley 41/2002 | Autonomía del paciente en España | Información comprensible antes de cualquier intervención |
| Convención de Oviedo | Marco ético internacional | Base del consentimiento libre e informado |
| AEMPS | Dispositivos médicos con IA | Documentación de capacidades y limitaciones del sistema |
| CCPA | Privacidad del consumidor en California | Referente global de transparencia en uso de datos personales |
| Espacio Europeo de Datos Sanitarios | Flujo transfronterizo de datos | Nuevos requisitos para investigación clínica y ensayos clínicos |
Medesk incorpora la protección y seguridad de datos del paciente como parte central de su arquitectura, con cifrado de datos, gestión de accesos diferenciada por rol y copias de seguridad automáticas, en línea con los requisitos del GDPR. Sus integraciones con sistemas de gestión sanitaria permiten conectar el flujo documental de consentimientos con los registros clínicos y administrativos de la clínica.
Riesgos para la privacidad y los datos sanitarios del paciente cuando la IA interviene
Cuando la inteligencia artificial participa en el proceso de consentimiento, los riesgos para los datos personales se multiplican en formas que no siempre son visibles para el profesional sanitario o el paciente.
- El primero y más frecuente es el uso de datos sanitarios para el entrenamiento de IA sin consentimiento explícito del paciente. Muchos proveedores de sistemas de IA médica utilizan los datos clínicos generados por sus clientes para mejorar sus modelos de machine learning.
Si el contrato con el proveedor no especifica claramente qué datos se utilizan y bajo qué condiciones, la clínica puede estar participando en este entrenamiento de IA sin saberlo y sin haber obtenido el consentimiento correspondiente de sus pacientes.
- Un segundo riesgo específico es la reidentificación en conjuntos de datos de imágenes médicas. Las radiografías, tomografías y ecografías se comparten con frecuencia para entrenar modelos de diagnóstico basados en ML. Aunque los datos se anonimicen, la combinación de características biométricas en las imágenes puede permitir la reidentificación del paciente.
El GDPR considera que los datos de los que existe riesgo de reidentificación siguen siendo datos personales, y por tanto requieren tratamiento protegido.
- También existe el riesgo de los patrones oscuros (dark patterns) en las interfaces digitales de consentimiento. Estos son diseños de interfaz que inducen al usuario a aceptar condiciones que no leería o rechazaría si fueran presentadas de forma neutral:
- botones de opt-in preactivados
- opciones de opt-out ubicadas en lugares poco visibles
- o textos legales redactados en un lenguaje tan técnico que desincentivan su lectura.
Bajo el GDPR, el consentimiento para el tratamiento de datos de salud debe ser activo, específico e inequívoco, lo que hace que los mecanismos de opt-out sean insuficientes.
El opt-in explícito es el único mecanismo válido para datos especialmente sensibles como los sanitarios, y cualquier diseño que lo simule sin cumplirlo constituye una infracción.
- Los modelos de lenguaje de gran tamaño (LLM) —entre ellos herramientas como ChatGPT cuando se usan sin configuraciones de privacidad reforzada— presentan además un riesgo propio. Cuando se utilizan para redactar o personalizar documentos de consentimiento, los datos introducidos en el sistema pueden quedar registrados en los servidores del proveedor si no se utilizan soluciones con privacidad garantizada. La seguridad de datos en clínicas exige que cualquier herramienta de IA utilizada en el flujo documental clínico cumpla con los mismos estándares de protección que el resto de los sistemas de información.

Medesk mantiene el historial clínico digital centralizado dentro de una arquitectura de datos que evita la exposición innecesaria de información sensible, y permite configurar los derechos de acceso por usuario y rol.
Cómo usar IA para redactar y gestionar consentimientos informados en tu clínica
Los LLM pueden tomar una plantilla de consentimiento informado técnica y transformarla en un texto adaptado al nivel de formación del paciente, eliminando tecnicismos innecesarios y añadiendo ejemplos concretos que faciliten la comprensión efectiva. Esta adaptación, conocida como personalización de la hoja de información al paciente (HIP/CI), reduce la asimetría informativa y aumenta la probabilidad de que el consentimiento obtenido sea genuinamente informado.
Para hacerlo de forma legalmente segura, el flujo de trabajo debe seguir un orden claro.
- Primero, el profesional sanitario o el equipo de calidad de la clínica define el contenido mínimo obligatorio del consentimiento para cada especialidad o procedimiento.
- Segundo, un agente de IA —como un LLM configurado para el contexto clínico— genera versiones adaptadas de ese contenido para distintos perfiles de paciente.
- Tercero, un profesional revisa el documento generado para verificar que la información es completa, precisa y cumple con los requisitos del marco normativo aplicable.
El documento revisado y aprobado se convierte en la plantilla de consentimiento informado oficial de la clínica para ese procedimiento. La IA acelera la redacción, pero la validación profesional es irrenunciable.
La integración de este proceso en el expediente clínico electrónico (HCE o ECE) es el paso que transforma la gestión de consentimientos de un trámite administrativo en un elemento auditable del proceso clínico. El flujo de trabajo clínico automatizado de Medesk puede configurarse para que el sistema solicite automáticamente el consentimiento correspondiente según el tipo de procedimiento agendado, reduciendo los olvidos y garantizando que ningún acto clínico se realice sin la documentación previa requerida.
![[es] protocol - medical record](/i/1pjdyavJpKUrRJAMlvZTLj/edfd7d4adbffa9f5103e0f3eb2cd3fae/CN_1__2_.png?w=700)
Medesk centraliza la gestión de documentos y consentimientos informados para que el profesional pueda acceder, actualizar y auditar cada documento desde el mismo entorno en que gestiona la historia clínica del paciente.
Consentimiento informado e IA en entornos clínicos latinoamericanos
La mayoría de clínicas y consultorios latinoamericanos operan bajo marcos normativos propios que comparten los mismos desafíos éticos con matices regulatorios importantes.
- En México, la Norma Oficial Mexicana (NOM-004-SSA3-2012) establece requisitos específicos para el consentimiento informado dentro del expediente clínico, y organismos como COFEPRIS —la Comisión Federal para la Protección contra Riesgos Sanitarios— regulan el uso de dispositivos médicos, incluyendo aquellos con componentes de inteligencia artificial.
Cualquier sistema de IA utilizado en el diagnóstico o la gestión clínica en México debe encuadrarse dentro de estos requisitos si el establecimiento opera bajo la supervisión de la Secretaría de Salud. El IMSS (Instituto Mexicano del Seguro Social) y el ISSSTE (Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado) aplican, además, sus propios protocolos de documentación clínica que las clínicas privadas que colaboran con ellos deben conocer.
- En Colombia, las clínicas privadas, las EPS (Entidades Promotoras de Salud) y las IPS deben gestionar el consentimiento informado en un sistema mixto donde los derechos del paciente están regulados por la Superintendencia Nacional de Salud y la Ley 1751 de 2015 (Ley Estatutaria de Salud).
La adopción de IA en las IPS privadas avanza con rapidez, pero el marco normativo del consentimiento informado digital aún está en proceso de consolidación, lo que genera una zona de incertidumbre que los profesionales deben gestionar con criterio ético reforzado.
- En Perú, el SIS (Seguro Integral de Salud) y EsSalud operan en paralelo con el sector privado. El expediente clínico electrónico está en proceso de adopción progresiva en muchos centros de salud públicos, y la normativa sobre consentimiento informado se rige por la Ley General de Salud (Ley 26842) y las normas técnicas del Ministerio de Salud (MINSA).
La incorporación de IA en estos entornos requiere que la documentación del consentimiento se adapte para incluir explícitamente el uso de sistemas automatizados, algo que aún no está codificado en la norma peruana pero que el criterio ético y las tendencias regulatorias internacionales hacen aconsejable.
Uno de los desafíos comunes en estos entornos es la brecha digital. Muchas clínicas privadas de tamaño mediano en América Latina ya utilizan herramientas de IA para el diagnóstico, la gestión de imágenes médicas o la administración de citas, pero sus procesos de consentimiento informado siguen siendo analógicos o parcialmente digitalizados. Los datos sanitarios de los pacientes son procesados por sistemas inteligentes sin que el marco documental del consentimiento refleje esa realidad.
La protección de datos en salud en la práctica clínica exige que la digitalización del consentimiento avance al mismo ritmo que la adopción de IA.
Otro desafío es la diversidad lingüística y cultural. En contextos con alta presencia de pacientes indígenas o con baja escolaridad formal, la comprensión efectiva del consentimiento requiere esfuerzos adicionales de adaptación que van más allá de simplificar el texto.
La OMS ha señalado en múltiples ocasiones que el acceso equitativo a la información sanitaria es un componente de los derechos fundamentales de las personas, y que la IA puede ser tanto una herramienta de equidad como una fuente de exclusión, dependiendo de cómo se implemente.
Los profesionales sanitarios en estos contextos tienen la responsabilidad de asegurarse de que la tecnología sirva para reducir, no para ampliar, las barreras de acceso a la información.
A diferencia del modelo europeo —donde el GDPR y el AI Act configuran un marco normativo relativamente unificado—, la regulación latinoamericana del consentimiento informado con IA es fragmentada y evoluciona a ritmos distintos por país. Esta diferencia entre el modelo europeo y la regulación latinoamericana obliga a los profesionales de la región a construir sus propios criterios a partir de los principios éticos de la bioética y la normativa local disponible, mientras los marcos regulatorios específicos maduran.
Las integraciones con sistemas de gestión sanitaria y el flujo de trabajo clínico automatizado de Medesk están diseñados para adaptarse a las necesidades operativas de clínicas en distintos contextos, facilitando la autonomía del paciente y el cumplimiento del derecho a la información en entornos clínicos digitalizados de distintos países hispanohablantes.

La gestión de documentos y consentimientos informados de Medesk le permite configurar plantillas por especialidad, automatizar solicitudes según el tipo de procedimiento y auditar el historial documental sin salir de la plataforma.
Conozca todas las funciones de Medesk y empieza gratis para ver cómo puede implementarlo en su clínica o consultorio.
Preguntas frecuentes
- ¿Qué es el consentimiento informado en la IA?
Es el proceso por el cual un paciente recibe información comprensible sobre cómo un sistema de inteligencia artificial participa en su diagnóstico, tratamiento o gestión de datos, y otorga su aceptación de forma libre, voluntaria y documentada antes de que dicho sistema actúe. Sin esa información, el consentimiento no es genuinamente informado.
- ¿Cuáles son los 3 tipos de consentimiento informado?
Los tres tipos son: el consentimiento explícito (declaración activa verbal o escrita del paciente), el consentimiento tácito (derivado de la conducta del paciente sin oposición expresa) y el consentimiento presunto (asumido por ley en situaciones de urgencia vital). Cuando la IA interviene en la toma de decisiones clínicas, el consentimiento explícito documentado es el estándar preferible y, en muchos casos, legalmente exigible.
- ¿Cómo afecta la opacidad algorítmica al consentimiento informado del paciente?
La opacidad algorítmica impide que el paciente y el médico comprendan plenamente cómo el sistema de IA llegó a sus conclusiones. Esto vacía de contenido real el consentimiento si no se acompaña de una explicación comprensible del proceso. El AI Act exige explicabilidad para sistemas de IA de alto riesgo en salud, precisamente para que el consentimiento pueda ser genuinamente informado.
- ¿Qué normativas regulan el consentimiento informado cuando se usa IA en salud?
Las principales son el GDPR (datos personales y decisiones automatizadas), el AI Act (sistemas de IA de alto riesgo), la Ley 41/2002 (autonomía del paciente en España) y la Convención de Oviedo (marco ético internacional). En América Latina coexisten normativas locales como la NOM y COFEPRIS en México, la Ley 1751 en Colombia, y la Ley 26842 en Perú.
- ¿Puede la IA redactar o mejorar documentos de consentimiento informado?
Sí. Los modelos de lenguaje de gran tamaño (LLM) pueden adaptar la hoja de información al paciente al nivel de comprensión del lector, simplificar tecnicismos y personalizar el contenido según la especialidad. Sin embargo, el documento resultante debe ser revisado por un profesional sanitario y cumplir con los requisitos legales aplicables antes de ser utilizado.
- ¿Qué retos éticos plantea el uso de IA en el proceso de consentimiento informado?
Los principales son: opacidad algorítmica, asimetría informativa entre paciente y proveedor tecnológico, riesgo de consentimiento aparente sin comprensión real, impacto en la autonomía real del paciente frente a la autonomía formal, posible sesgo en los modelos hacia ciertos grupos de población vulnerable y uso indebido de datos sanitarios para entrenamiento de IA sin autorización explícita.


