MDR — Reglamento (UE) 2017/745 sobre Productos Sanitarios
¿Tu SaaS es un producto sanitario?
Pregunta clave: ¿Tu software toma decisiones clínicas o solo almacena/muestra datos?
TU SAAS
│
├── Solo almacena y muestra datos (ej: el endocrino ve la glucosa)
│ → ❌ NO es producto sanitario
│ → Solo aplica GDPR
│
├── Calcula, interpreta o alerta (ej: alerta de hipoglucemia)
│ → ⚠️ PUEDE SER producto sanitario (Clase I o IIa)
│ → GDPR + MDR
│
├── Diagnostica o recomienda tratamiento (ej: ajuste automático de insulina)
│ → ✅ ES producto sanitario (Clase IIb o III)
│ → GDPR + MDR + ensayos clínicos
│
└── IA que predice descompensaciones
→ ⚠️ MDR + GDPR + AI Act (futuro)
Clasificación del software sanitario (MDR Anexo VIII)
| Clase | Riesgo | Ejemplos en endocrino | Certificación |
|---|---|---|---|
| I | Bajo | App que registra peso, calcula IMC | Autocertificación |
| IIa | Medio | Alerta de hipoglucemia, dosímetro insulina básico | Organismo notificado |
| IIb | Medio-alto | Ajuste automático de insulina (bucle cerrado) | Organismo notificado |
| III | Alto | Diagnóstico automatizado, IA para screening | Organismo notificado + ensayo clínico |
Ejemplos prácticos para tu SaaS:
App que muestra CGM → Clase I (solo visualización)
App que alerta <70 mg/dL → Clase IIa (alerta clínica)
App que sugiere ajuste de insulina → Clase IIb (recomendación terapéutica)
App que diagnostica diabetes desde fotos de retina → Clase IIb/III (diagnóstico)
App + bomba de insulina en bucle cerrado → Clase IIb/III (dispositivo implantable asociado)
Requisitos del MDR para software
Si tu SaaS es producto sanitario (Clase IIa+):
Documentación técnica:
□ Descripción del software y su finalidad prevista
□ Especificaciones de diseño y desarrollo
□ Gestión de riesgos (ISO 14971)
□ Validación clínica (evidencia de que funciona)
□ Ciberseguridad (GDPR + MDR)
□ Usabilidad (IEC 62366)
□ Gestión de calidad (ISO 13485)
Marcado CE:
1. Clasificar el software (Anexo VIII)
2. Implementar sistema de calidad ISO 13485
3. Elaborar documentación técnica
4. Evaluación clínica (MEDDEV 2.7.1 Rev.4)
5. Para Clase > I: Organismo Notificado
6. Declaración UE de conformidad
7. Marcado CE
8. Registro en EUDAMED
Software como producto sanitario (SaMD)
La IMDRF (International Medical Device Regulators Forum) clasifica el software sanitario:
| Categoría | Descripción | Ejemplo endocrino |
|---|---|---|
| I | Información clínica al profesional | Dashboard de CGM |
| II | Diagnóstico o tratamiento | Algoritmo que sugiere dosis |
| III | Diagnóstico crítico | IA que detecta cetoacidosis |
| IV | Tratamiento crítico | Páncreas artificial autónomo |
MDR + GDPR: Convivencia
| Aspecto | MDR | GDPR |
|---|---|---|
| Ciberseguridad | Requisitos de seguridad integrados | Art. 32 medidas técnicas |
| Datos clínicos | Ensayos clínicos, PMCF | Investigación Art. 9.2(j) |
| Información al paciente | Instrucciones de uso | Información Art. 13 |
| Vigilancia | Incidentes graves | Breach notification |
| Conservación | 10 años desde último producto | Plazos legales |
Recomendación práctica para tu SaaS
Fase 1 (MVP):
- Mantente en Clase I o fuera del MDR
- Solo visualización de datos, sin alertas ni recomendaciones
- Cumple solo GDPR
Fase 2 (crecimiento):
- Añade alertas básicas → Clase IIa
- Implementa ISO 13485 + ISO 27001
- Busca organismo notificado
Fase 3 (madurez):
- Algoritmos de recomendación → Clase IIb
- IA predictiva → Clase IIb/III + AI Act
- Ensayos clínicos para validación