CRA vs MDR: guía de cumplimiento para productos adyacentes a lo médico y salud digital

El límite entre productos de bienestar de consumo y dispositivos médicos regulados no siempre es claro. Algunos productos de salud conectados caen bajo el CRA, algunos bajo MDR/IVDR, y algunos bajo ambos. Entender qué regulaciones aplican es crítico para evitar tanto el sobre-cumplimiento como el incumplimiento.

Esta guía clarifica el límite CRA-MDR para fabricantes de productos de salud conectados.

La exención de dispositivos médicos del CRA

Qué dice el CRA

El Artículo 2(2) del CRA exime explícitamente productos ya cubiertos por ciertas regulaciones:

El presente Reglamento no es aplicable a los productos con elementos digitales a los que sean aplicables los siguientes actos jurídicos de la Unión:

a) el Reglamento (UE) 2017/745;

b) el Reglamento (UE) 2017/746;

La exención es clara: Si un producto está clasificado como dispositivo médico o IVD bajo MDR/IVDR, el CRA no se aplica a él.

Por qué existe la exención

MDR e IVDR ya contienen requisitos de ciberseguridad:

• Anexo I Sección 17.2 (MDR): Ciclo de vida del software y seguridad TI
• Anexo I Sección 17.4 (MDR): Seguridad de dispositivos conectados en red
• guía MDCG sobre ciberseguridad (MDCG 2019-16)

La UE evitó la doble regulación eximiendo productos MDR/IVDR del CRA.

Clasificación de productos: la pregunta clave

¿Es un dispositivo médico?

La pregunta crítica para cualquier producto relacionado con la salud:

Dispositivo médico (Artículo 2(1) MDR):

"cualquier instrumento, aparato, utensilio, software, implante, reactivo, material u otro artículo destinado por el fabricante a ser utilizado [...] para uno o más de los siguientes fines médicos específicos:

• diagnóstico, prevención, monitorización, predicción, pronóstico, tratamiento o alivio de enfermedades
• diagnóstico, monitorización, tratamiento, alivio o compensación de una lesión o discapacidad
• [...] "

Factores clave:

• Finalidad prevista (lo que el fabricante declara)
• Declaración médica (diagnóstico, tratamiento, monitorización de enfermedad/condición)
• Población objetivo (pacientes vs. bienestar general)

Ejemplos de clasificación

EJEMPLOS DE CLASIFICACIÓN DE PRODUCTOS

DISPOSITIVO MÉDICO (MDR aplica, CRA exento):
✓ Monitor continuo de glucosa (gestión de diabetes)
✓ Bomba de insulina inteligente
✓ App de monitorización de ritmo cardíaco
✓ Terapéutico digital para depresión
✓ Software de diagnóstico con IA
✓ Monitor de presión arterial conectado (uso clínico)
✓ Pulsioxímetro (grado médico)

PRODUCTO DE BIENESTAR (CRA aplica, MDR no):
✓ Rastreador de fitness (conteo de pasos, actividad general)
✓ Monitor de calidad de sueño (estilo de vida, no diagnóstico)
✓ App de meditación/relajación
✓ Wearable de bienestar general
✓ Báscula inteligente (sin declaraciones médicas)
✓ Monitor de frecuencia cardíaca deportivo

LÍMITE (Clasificación determina):
? Monitor de presión arterial (depende de declaraciones)
? Dispositivo de medición SpO2 (depende de uso previsto)
? Dispositivo de monitorización de estrés
? Screening de apnea del sueño (screening vs. diagnóstico)
? App de seguimiento menstrual (bienestar vs. tratamiento de fertilidad)

Entendiendo el Límite

La finalidad prevista determina la clasificación

El mismo hardware puede ser un dispositivo médico o un producto de bienestar basado en la finalidad prevista:

MISMA TECNOLOGÍA, DIFERENTE CLASIFICACIÓN

EJEMPLO: Monitor de Frecuencia Cardíaca

Cómo PRODUCTO DE BIENESTAR (CRA):
"Sigue tus objetivos de fitness y monitoriza
la frecuencia cardíaca durante entrenamientos"
→ Sin declaración médica
→ Bienestar general
→ CRA aplica

Cómo DISPOSITIVO MÉDICO (MDR):
"Monitoriza el ritmo cardíaco y detecta arritmias
para pacientes con condiciones cardíacas"
→ Declaración médica (diagnóstico, monitorización)
→ Población de pacientes
→ MDR aplica

Cuidado con las declaraciones

Advertencia: No puedes evitar MDR simplemente no haciendo declaraciones médicas si el producto es obviamente médico en naturaleza.

MDCG 2019-11 proporciona guía sobre clasificación y productos en el límite. Si tu producto:

• Tiene propósito médico obvio
• Se comercializa junto a dispositivos médicos
• Es comprado por proveedores de salud para atención de pacientes
• Tiene funciones solo relevantes para uso médico

...puede clasificarse como dispositivo médico independientemente de las declaraciones de marketing.

Situaciones híbridas

Dispositivo médico + componentes no médicos

Algunos sistemas incluyen tanto componentes médicos como no médicos:

EJEMPLO DE SISTEMA HÍBRIDO

PLATAFORMA DE TELEMEDICINA:
┌─────────────────────────────────────────┐
│ Software Monitorización Paciente (MDR)  │
│ - Algoritmo de análisis ECG             │
│ - Soporte de decisión diagnóstica       │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Infraestructura de comunicación (¿CRA?) │
│ - Videoconferencia                      │
│ - Transmisión de datos                  │
│ - Portal del paciente                   │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Wearable de Consumo (CRA)               │
│ - Seguimiento de fitness                │
│ - Métricas de bienestar                 │
└─────────────────────────────────────────┘

Enfoque:

• Separar claramente los componentes de dispositivo médico
• Aplicar regulación apropiada a cada uno
• Documentar límites e interfaces
• Considerar seguridad a nivel de sistema

Software como dispositivo médico (SaMD)

El software puede ser un dispositivo médico independiente del hardware:

CLASIFICACIÓN SaMD

CLASE I (Bajo riesgo):
- Software administrativo
- Monitorización simple

CLASE IIa (Medio-bajo):
- Sugerencias de tratamiento
- Monitorización de funciones no vitales

CLASE IIb (Medio-alto):
- Soporte de diagnóstico
- Monitorización de funciones vitales

CLASE III (Alto):
- Decisiones diagnósticas
- Funciones críticas para la vida

Si el software es SaMD: MDR aplica, CRA no Si el software es bienestar: CRA aplica

Comparación de requisitos

Requisitos de ciberseguridad: MDR vs. CRA

Ambas regulaciones requieren ciberseguridad, con superposición significativa:

Diferencias clave

CIBERSEGURIDAD MDR vs. CRA

ESPECÍFICO MDR:
- Parte de requisitos más amplios de seguridad/rendimiento
- evaluación de Organismo Notificado (Clase IIa+)
- Vigilancia post-comercialización para seguridad
- Requisitos de evaluación clínica
- UDI (Identificación Única del Dispositivo)

ESPECÍFICO CRA:
- Regulación dedicada de ciberseguridad
- SBOM requerido explícitamente
- Notificación de vulnerabilidades a ENISA
- Seguimiento de normas armonizadas
- Clasificación Importante/Crítico

SUPERPOSICIÓN:
- Seguridad desde el diseño
- Gestión de vulnerabilidades
- Mecanismos de actualización
- evaluación de riesgos
- Requisitos de documentación

Guía para categorías de productos

Rastreadores de fitness y wearables

WEARABLES DE FITNESS

FUNCIONES TÍPICAS:
- Conteo de pasos
- Frecuencia cardíaca (zonas de ejercicio)
- Seguimiento de sueño (duración, fases)
- Clasificación de actividad
- Estimación de calorías

CLASIFICACIÓN: Bienestar (CRA aplica)

EVITAR CRUZAR A MDR:
✗ "Detectar patrones irregulares de latido"
✗ "Monitorizar síntomas de trastornos del sueño"
✗ "Seguir signos vitales para condiciones de salud"
✗ "Diagnosticar" cualquier cosa

Básculas inteligentes

BÁSCULAS INTELIGENTES

BIENESTAR (CRA):
- Seguimiento de peso
- Cálculo de IMC
- Estimación de composición corporal
- Seguimiento de objetivos

MÉDICO (MDR):
- Destinado a monitorización de pacientes
- Gestión clínica de peso
- Vinculado a decisiones de tratamiento
- Integración con proveedor de salud

Monitores de presión arterial

MONITORES DE PRESIÓN ARTERIAL

Esta categoría es típicamente médica:

LA MAYORÍA SON MDR:
- Medir presión arterial es inherentemente clínico
- Incluso monitores de PA de consumo son usualmente Clase IIa
- Muy difícil declarar "solo bienestar"

EXCEPCIÓN PODRÍA SER:
- Seguimiento puro de tendencias sin mediciones
- Sin lecturas numéricas de PA
- Claramente posicionado cómo bienestar

RECOMENDACIÓN:
- Asumir qué MDR aplica para monitores de PA
- Consultar Organismo Notificado si incierto

Dispositivos de monitorización del sueño

MONITORIZACIÓN DEL SUEÑO

BIENESTAR (CRA):
"Entiende tus patrones de sueño para
mejores decisiones de estilo de vida"
- Seguimiento de duración del sueño
- Estimación de fases del sueño
- Monitorización del ambiente (temp, ruido)
- Puntuación general de calidad del sueño

MÉDICO (MDR):
"Screening o monitorización de apnea del sueño"
- Monitorización SpO2 durante el sueño
- Detección de apnea/hipopnea
- Screening de trastornos del sueño
- Monitorización de sueño prescrita

Apps de salud

APPS DE SALUD

BIENESTAR (CRA):
- Meditación y relajación
- Seguimiento general de fitness
- Registro de nutrición
- Bienestar mental (no terapéutico)
- Diarios de síntomas (informativos)

MÉDICO (MDR):
- Terapéuticos digitales
- Soporte de diagnóstico
- Gestión de tratamiento
- Soporte de decisión clínica
- Apps prescritas

Equipos de telemedicina

EQUIPOS DE TELEMEDICINA

VIDEOCONFERENCIA (Usualmente CRA):
- comunicación general
- Vídeo no diagnóstico
- Programación administrativa

EQUIPOS DIAGNÓSTICOS (Usualmente MDR):
- Herramientas de examen remoto
- Captura de imagen diagnóstica
- Dispositivos de monitorización de pacientes
- Dispositivos de medición clínica

Marco de decisión

Clasificación paso a paso

ÁRBOL DE DECISIÓN DE CLASIFICACIÓN

INICIO: ¿El producto tiene elementos digitales?
│
├─ NO → Ni CRA ni MDR
│
└─ SÍ → ¿El fabricante tiene intención de propósito médico?
    │
    ├─ SÍ → ¿Está regulado bajo MDR/IVDR?
    │   │
    │   ├─ SÍ → MDR/IVDR aplica, CRA EXENTO
    │   │
    │   └─ INCIERTO → Consultar autoridad competente/ON
    │
    └─ NO → ¿Hay uso médico obvio?
        │
        ├─ SÍ → Riesgo de reclasificación
        │        Considerar MDR de todos modos
        │
        └─ NO → CRA aplica
                Producto de bienestar

Cuándo buscar asesoramiento experto

Buscar asesoramiento experto regulatorio cuando:

• La función del producto es similar a dispositivos médicos
• Incierto sobre posicionamiento de finalidad prevista
• Las funciones podrían soportar declaraciones médicas
• Proveedores de salud pueden usar el producto
• En el límite entre bienestar y diagnóstico
• Los productos de la competencia están regulados por MDR

Estrategias de cumplimiento

Para productos de bienestar puros

Si tu producto es claramente bienestar/estilo de vida:

ESTRATEGIA CRA PRODUCTO DE BIENESTAR

1. DOCUMENTAR FINALIDAD PREVISTA:
   - Posicionamiento claro de bienestar
   - Sin declaraciones médicas en marketing
   - documentación de usuario evita términos médicos

2. IMPLEMENTAR REQUISITOS CRA:
   - Seguridad desde el diseño
   - Generación de SBOM
   - Gestión de vulnerabilidades
   - Soporte 5 años
   - Marcado CE (bajo CRA)

3. MANTENER LÍMITES:
   - Monitorizar marketing para deslizamiento de declaraciones
   - Formar equipo de ventas en limitaciones
   - Retroalimentación de usuarios para uso médico → abordar

4. ALINEACIÓN DE ESTÁNDARES:
   - EN 303 645 para IoT de consumo
   - Normas armonizadas CRA relevantes

Para dispositivos médicos

Si tu producto es un dispositivo médico:

ESTRATEGIA DISPOSITIVO MÉDICO (CRA EXENTO)

1. SEGUIR MDR/IVDR:
   - Clasificar correctamente (Regla 11 para software)
   - evaluación de conformidad según clase
   - Involucración de Organismo Notificado (si requerido)
   - MDCG 2019-16 ciberseguridad

2. CIBERSEGURIDAD BAJO MDR:
   - Requisitos Anexo I Sección 17
   - IEC 62443 o equivalente
   - guía MDCG 2019-16
   - Monitorización post-comercialización de ciberseguridad

3. DOCUMENTAR EXENCIÓN:
   - Clasificación MDR clara
   - Evidencia de cumplimiento MDR
   - Ciberseguridad abordada bajo MDR

4. NOTA PARA EXPEDIENTE TÉCNICO:
   "Este producto está clasificado cómo dispositivo
   médico bajo MDR 2017/745 y por lo tanto está
   exento del CRA según Artículo 2(2)."

Para productos en el límite

Si la clasificación es incierta:

ESTRATEGIA PRODUCTO EN EL LÍMITE

1. EVALUAR CUIDADOSAMENTE:
   - Revisar guía MDCG 2019-11
   - Considerar uso previsto precisamente
   - Evaluar todas las funciones

2. CONSULTAR SI NECESARIO:
   - Autoridad competente nacional
   - Organismo Notificado (opinión preliminar)
   - Consultor regulatorio

3. DOCUMENTAR RAZONAMIENTO:
   - Por qué el producto es/no es dispositivo médico
   - Declaración de finalidad prevista
   - Justificación basada en riesgos

4. PREPARAR PARA AMBOS:
   - Tener ruta MDR lista si reclasificado
   - Tener cumplimiento CRA listo si bienestar
   - Estar preparado para adaptar

Consideraciones futuras

Convergencia de requisitos

Los requisitos de ciberseguridad MDR y CRA pueden converger:

• Desarrollo de estándares comunes
• Gestión de vulnerabilidades alineada
• Terminología compartida
• Potencial guía sobre interacción

IA y Machine Learning

Los productos de salud basados en IA añaden complejidad:

• El AI Act también puede aplicar
• IA médica típicamente regulada por MDR
• IA de bienestar típicamente regulada por CRA
• Desafíos de clasificación para sistemas adaptativos

Lista de verificación para productos de salud

LISTA DE VERIFICACIÓN REGULATORIA PRODUCTOS DE SALUD

CLASIFICACIÓN:
[ ] Finalidad prevista documentada
[ ] Declaraciones médicas revisadas (marketing, docs)
[ ] MDCG 2019-11 considerado
[ ] Decisión de clasificación documentada

SI DISPOSITIVO MÉDICO:
[ ] Clasificación MDR determinada
[ ] Organismo Notificado seleccionado (si requerido)
[ ] Ciberseguridad según Anexo I Sección 17
[ ] Exención CRA documentada

SI PRODUCTO DE BIENESTAR:
[ ] Clasificación CRA determinada
[ ] Seguridad desde el diseño implementada
[ ] Capacidad de SBOM
[ ] Gestión de vulnerabilidades
[ ] Plan de soporte 5 años
[ ] Marcado CE (CRA)

DOCUMENTACIÓN:
[ ] Expediente técnico preparado (reg apropiada)
[ ] Declaración de finalidad prevista
[ ] documentación de usuario (sin declaraciones médicas si bienestar)
[ ] evaluación de riesgos

Recursos clave

RECURSOS REGULATORIOS

MDR/IVDR:
Reglamento (UE) 2017/745 (MDR)
Reglamento (UE) 2017/746 (IVDR)
https://health.ec.europa.eu/medical-devices-sector_en

Guía MDCG:
MDCG 2019-11 (Clasificación en el límite)
MDCG 2019-16 (Guía de ciberseguridad)
MDCG 2021-5 (Cualificación de software)
https://health.ec.europa.eu/medical-devices-sector/new-regulations/guidance-mdcg-endorsed-documents-and-other-guidance_en

CRA:
Reglamento (UE) 2024/2847
https://eur-lex.europa.eu

ESTÁNDARES:
IEC 62443 (Ciberseguridad)
IEC 82304-1 (Software de salud)
ISO 14971 (Gestión de riesgos dispositivos médicos)

Guias relacionadas:

• Clasificación de productos CRA: ¿Es tu producto Default, Important o Critical?
• El Expediente Técnico CRA: Que va en cada sección (Desglose del Anexo VII)

Cómo ayuda CRA Evidence

Para productos de bienestar bajo CRA, CRA Evidence proporciona:

• Documentación clara del límite: Documentar por qué aplica CRA (no MDR)
• Plantillas de productos de bienestar: Estructuras de expediente técnico para productos adyacentes a salud
• Gestión de SBOM: Requerido para CRA, beneficioso para MDR
• Seguimiento de vulnerabilidades: Alineado con ambos marcos regulatorios
• Gestión multi-producto: gestionar portafolio con diferentes regulaciones

Comienza tu cumplimiento CRA en craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, particularmente sobre clasificación de dispositivos médicos, consulte con asesoría regulatoria cualificada.