CE MDR regulatorio PACS dispositivo sanitario ISO 13485

Requisitos CE MDR para software PACS en Europa: lo que necesitas saber

Clasificación MDR 2017/745 para PACS: QMS, documentación técnica y evaluación clínica. Guía para dirección médica y responsables de compras.

Por Equipo Medisfera

Si estás en proceso de adquirir o renovar tu sistema PACS, es probable que hayas escuchado el término “CE MDR” en las conversaciones con proveedores. El Reglamento (UE) 2017/745 sobre Productos Sanitarios —comúnmente conocido como MDR— entró en aplicación plena en mayo de 2021 y representa el marco regulatorio más estricto de la historia para el software médico en Europa.

Este artículo explica qué exige el MDR para un sistema PACS, por qué importa para el proceso de compra y qué documentación debe proporcionar un proveedor responsable.

Nota: Este artículo es informativo y no constituye asesoramiento legal o regulatorio. Para decisiones de compliance, consulta con un experto en regulación de productos sanitarios (RAP/CRO especializado en MDR).

¿Un PACS es un producto sanitario?

La primera pregunta es si el software PACS entra en el ámbito del MDR. La respuesta no es universal: depende de las funciones específicas del software y de su indicación de uso previsto.

Regla general del MDR (Artículo 2.1): Un “producto sanitario” es cualquier instrumento, aparato, software o material destinado por el fabricante a ser utilizado, solo o en combinación, con fines diagnósticos o terapéuticos en seres humanos.

El MDR incluye explícitamente el software autónomo como categoría de producto sanitario (SaMD — Software as a Medical Device).

¿Cuándo un PACS es un dispositivo sanitario?

Un PACS entra en el ámbito del MDR cuando proporciona información utilizada para la toma de decisiones diagnósticas o terapéuticas. Los supuestos más habituales:

  • Software que procesa imágenes DICOM para visualización diagnóstica por radiólogos → Dispositivo sanitario
  • Software que usa IA para detectar hallazgos o sugerir diagnósticos → Dispositivo sanitario (y habitualmente clase IIa o superior)
  • Software que actúa como simple archivo (sin funcionalidad de visualización diagnóstica) → Posiblemente fuera del ámbito MDR, pero requiere análisis caso a caso

La mayoría de los sistemas PACS modernos, con visualizador incluido y funciones de medición y anotación para uso diagnóstico, se clasifican como dispositivos sanitarios.

Clasificación de riesgo: clase IIa para la mayoría de PACS

El MDR clasifica los productos sanitarios en cuatro clases (I, IIa, IIb, III) según su riesgo potencial. Para software, la Regla 11 del Anexo VIII es la aplicable:

“El software destinado a proporcionar información utilizada para tomar decisiones con fines diagnósticos o terapéuticos se clasifica en clase IIa, excepto si dichas decisiones tienen efectos que puedan provocar deterioro grave del estado de salud de una persona o intervención quirúrgica, en cuyo caso se clasifica en clase IIb.”

Software PACS con visualizador diagnóstico: Clase IIa (en la mayoría de los casos)

Software con análisis de imagen automatizado (IA/CAD): Puede ser clase IIb si las decisiones basadas en él tienen impacto directo en tratamientos quirúrgicos o de alto riesgo.

Los requisitos MDR para clase IIa

Para obtener el marcado CE bajo el MDR con clasificación IIa, el fabricante debe:

1. Sistema de Gestión de Calidad — ISO 13485

Es el requisito más exigente en términos organizativos. El fabricante debe implementar y certificar un QMS (Quality Management System) conforme a la norma ISO 13485:2016, que cubre:

  • Diseño y desarrollo (con Design History File, Design Reviews, V&V)
  • Control de proveedores y subcontratistas críticos
  • Trazabilidad de software y gestión de versiones
  • Control de no conformidades y acciones correctivas (CAPA)
  • Auditorías internas del QMS
  • Vigilancia post-comercialización (PMS)

Un fabricante de software médico sin ISO 13485 no puede obtener marcado CE MDR para clase IIa. Este es el filtro más efectivo para identificar proveedores serios.

2. Documentación técnica completa (Anexo II)

La documentación técnica del MDR es mucho más extensa que la del anterior IVDD/MDD. Incluye obligatoriamente:

  • Descripción del dispositivo e indicación de uso previsto
  • Diseño y fabricación: arquitectura de software, lenguajes, dependencias, ciclo de desarrollo
  • Diseño de la interfaz de usuario (IEC 62366-1)
  • Pruebas de software según IEC 62304 (incluyendo clases A, B o C según el nivel de riesgo)
  • Gestión de riesgos conforme a ISO 14971 (análisis de riesgos, mitigaciones, beneficio/riesgo residual)
  • DICOM Conformance Statement para validar la interoperabilidad
  • Información de seguridad cibernética (IEC 81001-5-1 / MDCG 2019-16)
  • Declaración UE de conformidad

3. Evaluación clínica (Anexo XIV)

La evaluación clínica es la evidencia de que el dispositivo es seguro y tiene el rendimiento previsto. Para un PACS, se basa normalmente en:

  • Estado del arte clínico: revisión de literatura sobre PACS y sus beneficios clínicos documentados
  • Datos clínicos del fabricante: estudios de usabilidad, rendimiento diagnóstico
  • Equivalencia con dispositivos existentes (si se usa la ruta de equivalencia)

La evaluación clínica se mantiene y actualiza durante toda la vida del producto (es un documento vivo, no un entregable puntual).

4. Organismo Notificado (para clase IIa)

Para clase IIa, el fabricante puede usar el procedimiento de conformidad del Anexo IX (QMS + evaluación técnica) o del Anexo XI (examen de tipo). En cualquier caso, un Organismo Notificado (NB — Notified Body) acreditado debe evaluar el QMS y la documentación técnica.

Los Organismos Notificados más relevantes para software médico en Europa: TÜV SÜD, TÜV Rheinland, BSI Group, SGS, DNV, Dekra.

5. Vigilancia post-comercialización (PMS)

El MDR exige un sistema de seguimiento activo del desempeño del producto tras su comercialización:

  • PMCF (Post-Market Clinical Follow-up): seguimiento clínico continuado
  • PSUR (Periodic Safety Update Report): para clase IIa, cada 2 años
  • Gestión de incidencias: notificación a autoridades competentes de incidentes graves en 15 días (serios) o 30 días (no graves)

Lo que debes pedir a un proveedor de PACS

Cuando evalúas proveedores de PACS, el cumplimiento MDR no es un detalle menor — es un requisito legal si el software se usa para fines diagnósticos. Estas son las preguntas clave:

  1. ¿Tienen marcado CE bajo MDR 2017/745? (No confundir con el antiguo marcado CE bajo MDD 93/42/CEE, que expiró en mayo de 2024)
  2. ¿Qué Organismo Notificado ha evaluado el QMS y la documentación técnica? Pide el número de certificado
  3. ¿Tienen certificación ISO 13485:2016 vigente? Pide una copia del certificado
  4. ¿Está disponible la Declaración UE de Conformidad? Debe ser un documento público
  5. ¿Existe DICOM Conformance Statement actualizada? Es parte de la documentación técnica MDR
  6. ¿Cómo gestiona el proveedor las actualizaciones de software bajo MDR? Los cambios significativos requieren reevaluación

Responsabilidad del centro sanitario

Es importante aclarar que el hospital o clínica que usa el PACS no es el “fabricante” bajo el MDR — eso es responsabilidad del proveedor del software. Sin embargo, el centro sanitario tiene sus propias obligaciones:

  • Usar solo dispositivos con marcado CE vigente para los usos previstos
  • No modificar el software de forma que afecte a su conformidad CE
  • Reportar incidentes y disfunciones graves al proveedor y a la AEMPS (Agencia Española de Medicamentos y Productos Sanitarios)
  • Documentar el dispositivo en el inventario de productos sanitarios del centro

Estado actual del mercado

La transición al MDR ha sido más lenta de lo previsto. Varios grandes fabricantes de software médico solicitaron extensiones de plazo. La Comisión Europea aprobó mediante el Reglamento 2023/607 extensiones para dispositivos de clase IIa hasta el 31 de diciembre de 2027 (para certificados MDD activos en la fecha de corte).

Esto significa que, en 2025, algunos PACS en el mercado aún operan bajo los certificados MDD anteriores con prórroga. Sin embargo, los proveedores serios están en proceso activo de transición al MDR, y es razonable exigir un roadmap concreto si el proveedor aún no tiene el marcado MDR completo.

Conclusión

El cumplimiento CE MDR para software PACS no es optativo en la UE. Para los centros sanitarios, la implicación práctica es clara: en el proceso de selección de un PACS, el estatus regulatorio del proveedor debe ser un criterio de evaluación tan importante como las funcionalidades técnicas o el precio.

Un proveedor sin ISO 13485 y sin proceso activo de certificación MDR es un riesgo regulatorio y operacional para tu centro. Pide los documentos, verifica los certificados y no aceptes respuestas vagas sobre “cumplimiento próximo”.

Request your personalised quote

Tell us about your setup and we will send you a detailed quote within 48 hours.

Build a personalised quote