Contenido

    Estos son los 9 puntos que cubre este artículo sobre 14971 risk management:

    1. Qué es ISO 14971 y por qué es el estándar de referencia en gestión de riesgos sanitarios
    2. Relación entre ISO 14971 y los reglamentos MDR e IVDR de la UE
    3. El proceso de gestión de riesgos paso a paso
    4. Conceptos clave: uso previsto, mal uso previsible y criterios de aceptabilidad
    5. Conexión entre ISO 14971 e ISO 13485 (sistema de gestión de calidad)
    6. Documentación obligatoria: archivo, plan e informe de gestión de riesgos
    7. Vigilancia post-comercialización y su papel en el ciclo de riesgo
    8. Errores que te pueden frenar
    9. Cómo puede ayudarte PrivaLex con 14971 risk management

    La norma 14971 risk management es el pilar sobre el que se construye la seguridad de cualquier dispositivo médico que llegue al mercado. No es una guía opcional: es el estándar internacional que define cómo identificar, evaluar y controlar los riesgos a lo largo de todo el ciclo de vida del producto.

    Si fabricas o comercializas dispositivos médicos en la UE, el cumplimiento de ISO 14971 no solo es una buena práctica. Es un requisito que el MDR y el IVDR dan por hecho.

    En PrivaLex Partners ayudamos a fabricantes y distribuidores de productos sanitarios a implementar el proceso de 14971 risk management con rigor, desde el plan inicial hasta el informe final y la vigilancia post-comercialización. Si estás preparando tu sistema de gestión de calidad o necesitas alinear tu documentación con los reglamentos europeos, esta guía te da la hoja de ruta.

    Qué es ISO 14971 y por qué marca el estándar en 14971 risk management

    Origen y alcance de la norma

    ISO 14971 es la norma internacional que establece los requisitos para la gestión de riesgos aplicada a dispositivos médicos. Revisada en 2019, cubre todo el ciclo de vida del producto: desde el diseño hasta la retirada del mercado.

    Su alcance incluye dispositivos médicos de cualquier clase, diagnóstico in vitro y software como dispositivo médico (SaMD). No prescribe un nivel de riesgo aceptable universal, pero sí exige que el fabricante defina criterios de aceptabilidad y los aplique de forma sistemática y documentada.

    Qué problema resuelve

    La gestión de riesgos sin estándar se convierte en opinión. ISO 14971 transforma esa opinión en un proceso repetible y auditable.

    Define un lenguaje común: peligro, situación peligrosa, daño, gravedad, probabilidad de ocurrencia. Las normas iso comparten esa filosofía: no buscan cumplimiento puntual sino un marco sostenible en el tiempo.

    Relación entre ISO 14971 y los reglamentos MDR e IVDR

    ISO 14971 como norma armonizada

    El MDR 2017/745 y el IVDR 2017/746 exigen que los fabricantes apliquen gestión de riesgos durante todo el ciclo de vida del producto. ISO 14971 está armonizada con ambos reglamentos: cumplir con la norma genera presunción de conformidad con los requisitos de seguridad del Anexo I.

    Qué cambia con el MDR respecto a la directiva anterior

    El MDR eleva las exigencias respecto a la antigua MDD. Introduce la evaluación de la relación beneficio-riesgo de forma explícita, refuerza la vigilancia post-comercialización y exige que los riesgos residuales sean aceptables considerando el beneficio clínico.

    ISO 14971 encaja porque incluye la evaluación del riesgo residual global y la justificación documentada de la aceptabilidad.

    Requisitos del IVDR

    Para diagnóstico in vitro, el IVDR aplica requisitos similares con matices en evaluación del rendimiento y evidencia clínica. Un fabricante que ya cumple ISO 14971 para MDR puede adaptar el proceso al IVDR ajustando el uso previsto y los peligros específicos.

    El proceso de 14971 risk management paso a paso

    Análisis de riesgos

    El proceso comienza con la identificación de peligros asociados al dispositivo. Esto incluye peligros derivados del uso previsto, del mal uso razonablemente previsible, de fallos del dispositivo y de factores humanos.

    Para cada peligro, el fabricante identifica las situaciones peligrosas que podrían producirse y estima la probabilidad de ocurrencia del daño y la gravedad del daño potencial.

    Las técnicas más habituales son el FMEA (análisis de modos de fallo y efectos), el árbol de fallos (FTA) y el análisis de peligros y operabilidad (HAZOP).

    Evaluación de riesgos

    Una vez estimados, los riesgos se comparan con los criterios de aceptabilidad definidos en el plan de gestión de riesgos. El fabricante decide si cada riesgo es aceptable, si requiere reducción o si es inaceptable.

    La evaluación no es binaria. ISO 14971 distingue entre riesgos que se aceptan sin acción adicional, riesgos que requieren control y riesgos que son inaceptables bajo cualquier circunstancia.

    Control de riesgos

    Para los riesgos que requieren reducción, la norma establece una jerarquía de medidas de control:

    1. Seguridad inherente en el diseño: eliminar o reducir el peligro desde el diseño.
    2. Medidas de protección: barreras, alarmas o mecanismos de contención.
    3. Información de seguridad: etiquetado, instrucciones de uso, formación.

    El fabricante debe verificar que cada medida de control se implementa correctamente y no introduce nuevos peligros. Eso exige verificación y, cuando aplique, validación.

    Evaluación del riesgo residual y riesgo residual global

    Después de aplicar controles, queda un riesgo residual. El fabricante evalúa si es aceptable según los criterios del plan. Si no lo es, debe aplicar controles adicionales o justificar por qué el beneficio médico supera el riesgo residual.

    ISO 14971 exige además evaluar el riesgo residual global: todos los riesgos residuales individuales en conjunto. Puede ocurrir que cada riesgo individual sea aceptable, pero que la combinación no lo sea. Este paso obliga a mirar el producto como un todo.

    Conceptos clave en 14971 risk management

    Uso previsto y mal uso razonablemente previsible

    El uso previsto define para qué sirve el dispositivo, en qué entorno y por quién. Es la base de todo el análisis de riesgos.

    El mal uso razonablemente previsible es el uso incorrecto que un usuario podría hacer aunque no sea el objetivo del diseño. ISO 14971 exige que el fabricante lo contemple y analice los peligros derivados.

    Identificación de peligros y estimación de riesgos

    La identificación de peligros debe ser exhaustiva. ISO 14971 incluye un anexo (Anexo C) con ejemplos por categoría: energía, biológicos, químicos, operativos, informativos.

    La estimación del riesgo combina probabilidad de ocurrencia del daño y gravedad. La norma no impone una escala concreta, pero exige criterios coherentes y aplicados de forma uniforme.

    Criterios de aceptabilidad del riesgo

    Los criterios se definen en el plan de gestión de riesgos antes de iniciar el análisis. No son universales: dependen del tipo de dispositivo, la clase de riesgo y el beneficio clínico esperado. La coherencia entre criterios y decisiones es lo que el organismo notificado verificará.

    Conexión entre ISO 14971 e ISO 13485

    ISO 13485 como sistema de gestión de calidad

    ISO 13485 define los requisitos del sistema de gestión de calidad (SGC) para dispositivos médicos. La gestión de riesgos bajo ISO 14971 no funciona en el vacío: se integra en el SGC como proceso transversal.

    Puntos de integración

    Los puntos clave donde ambas normas se conectan:

    • Diseño y desarrollo (cláusula 7.3): las revisiones de diseño deben incorporar los resultados del análisis de riesgos.
    • Compras y proveedores: los componentes críticos afectan al perfil de riesgo.
    • Producción: los controles de proceso reflejan las medidas de control de riesgos.
    • CAPA: los hallazgos del proceso de riesgos alimentan las acciones correctivas y preventivas.

    La ciberseguridad también entra en este marco cuando el dispositivo incorpora software o conectividad.

    Auditorías integradas

    Un organismo notificado evaluará tanto el SGC como la gestión de riesgos. Si ambos no están alineados, detectará brechas: diseño que no refleja peligros, CAPA que no actualizan el archivo de riesgos o vigilancia desconectada del proceso.

    Para organizaciones que ya trabajan con marcos como obtener la certificación ISO 27001, el concepto de integración entre normas resulta familiar.

    Documentación obligatoria en 14971 risk management

    El archivo de gestión de riesgos

    El archivo de gestión de riesgos (risk management file) es el contenedor documental que reúne toda la evidencia del proceso. No es un solo documento: es una colección que debe permitir la trazabilidad completa desde la identificación de peligros hasta la aceptación del riesgo residual.

    Incluye el plan, los análisis, las evaluaciones, las medidas de control, la verificación de su implementación, la evaluación del riesgo residual y el informe final.

    El plan de gestión de riesgos

    El plan de gestión de riesgos se define al inicio y establece las reglas del juego: alcance del análisis, criterios de aceptabilidad, métodos que se usarán, responsabilidades, calendario y cómo se gestionará la información de producción y post-producción.

    Sin plan, no hay marco. Y sin marco, cada decisión se toma sin referencia.

    El informe de gestión de riesgos

    El informe de gestión de riesgos se elabora cuando el proceso ha completado al menos un ciclo. Resume los resultados, confirma que el plan se ejecutó, que los riesgos residuales son aceptables y que el riesgo residual global es tolerable.

    Es el documento que el organismo notificado o la autoridad competente revisará para verificar que el fabricante ha cumplido con ISO 14971.

    La documentación en dispositivos médicos tiene requisitos comparables a los de una auditoria GDPR: trazabilidad, evidencia y coherencia entre lo que se dice y lo que se hace.

    Vigilancia post-comercialización y gestión continua del riesgo

    Post-market surveillance (PMS)

    La gestión de riesgos no termina cuando el dispositivo sale al mercado. El MDR exige vigilancia post-comercialización que recoja datos de campo, incidentes, quejas y tendencias.

    Esos datos alimentan el proceso de riesgos: si aparecen peligros nuevos o un mal uso no previsto se repite, el fabricante debe actualizar el análisis.

    PSUR e informes periódicos

    Para dispositivos de clase IIa, IIb y III, el MDR exige informes periódicos de seguridad (PSUR) que consolidan la vigilancia y evalúan si la relación beneficio-riesgo sigue siendo favorable.

    ISO 14971 respalda este proceso porque exige que la información de post-producción se traduzca en acciones sobre el archivo de riesgos.

    Señales y actualización del archivo de riesgos

    Las señales que activan una revisión: incidentes graves, tendencias en quejas, estudios clínicos post-comercialización, cambios regulatorios y hallazgos de auditorías.

    El archivo de riesgos debe ser un documento vivo. Organizaciones que también deben cumplir con NIS2 encontrarán que la lógica de vigilancia continua es común a ambos marcos.

    4 Errores que te pueden frenar

    1. Definir criterios de aceptabilidad después del análisis

    Si los criterios se fijan después de ver los resultados, el proceso pierde objetividad. El plan de gestión de riesgos debe establecer los criterios de aceptabilidad antes de iniciar el análisis. Cuando el auditor detecta que los criterios se ajustaron a posteriori, la credibilidad del proceso se desploma.

    2. Tratar el archivo de riesgos como un trámite estático

    Un archivo que se completa al inicio y no se actualiza es un archivo muerto. ISO 14971 exige revisión continua con datos de producción y post-comercialización. Si el organismo notificado ve un archivo sin actualizaciones durante años, asumirá que el proceso no es real.

    3. No integrar el proceso de riesgos con el SGC

    La gestión de riesgos aislada del sistema de calidad genera brechas. Si el diseño no recoge los peligros identificados, si las CAPA no actualizan el archivo de riesgos o si la vigilancia no alimenta el análisis, la auditoría encontrará desconexiones. La integración entre ISO 14971 e ISO 13485 no es opcional: es estructural.

    4. Ignorar el riesgo residual global

    Evaluar cada riesgo individual sin valorar el conjunto es un error frecuente. ISO 14971 exige la evaluación del riesgo residual global. Un dispositivo puede tener todos los riesgos individuales dentro de criterios, pero la combinación puede ser inaceptable. Saltarse este paso es una no conformidad directa.

    Cómo puede ayudarte PrivaLex con 14971 risk management

    Qué hacemos

    En PrivaLex Partners ayudamos a fabricantes de dispositivos médicos a diseñar e implementar el proceso de 14971 risk management de principio a fin: plan de gestión de riesgos, criterios de aceptabilidad, acompañamiento en el análisis y preparación del archivo e informe.

    Por qué PrivaLex

    Combinamos experiencia en cumplimiento regulatorio europeo con conocimiento del sector sanitario. Trabajamos con fabricantes que necesitan alinear su proceso con MDR, IVDR e ISO 13485 y buscan documentación que resista una auditoría de organismo notificado.

    No vendemos software ni plantillas genéricas. Aportamos criterio, estructura y acompañamiento directo. Si necesitas certificar con un organismo como Bureau Veritas, te acompañamos en la preparación.

    Agenda una sesión estratégica con PrivaLex y diseña tu proceso de gestión de riesgos con claridad.

    Preguntas Frecuentes (FAQs)

    14971 risk management es el proceso de gestión de riesgos definido por ISO 14971, aplicable a fabricantes de dispositivos médicos, diagnóstico in vitro y software como dispositivo médico. Aplica a cualquier organización que diseñe, fabrique o comercialice estos productos.

    Sí. El MDR exige gestión de riesgos durante todo el ciclo de vida del dispositivo. La norma está armonizada con el reglamento y genera presunción de conformidad. En la práctica, todos los organismos notificados esperan un proceso basado en 14971 risk management.

    El proceso de 14971 risk management requiere tres documentos principales: el plan (criterios, métodos y responsabilidades), el archivo (toda la evidencia del proceso) y el informe (resultados y confirmación de aceptabilidad del riesgo residual).

    14971 risk management se integra en el sistema de gestión de calidad definido por ISO 13485 como un proceso transversal. Los resultados del análisis de riesgos alimentan el diseño y desarrollo, las compras, la producción y las CAPA. A su vez, los datos de calidad y vigilancia actualizan el archivo de riesgos. La auditoría evalúa ambos sistemas como un conjunto coherente.

    ISO 14971 no fija frecuencia concreta, pero exige revisión ante información nueva de producción o post-comercialización. En la práctica, combina cadencia formal (anual) con triggers operativos: incidentes, quejas o cambios regulatorios. Un proceso de 14971 risk management que no se actualiza pierde validez ante el regulador.

    Sí. En PrivaLex diseñamos el proceso completo de 14971 risk management: plan, criterios, análisis, archivo e informe final. También integramos el proceso con ISO 13485 y los requisitos de vigilancia del MDR o IVDR. Te acompañamos hasta que la documentación esté lista para auditoría.

    Implementar 14971 risk management es un requisito para cualquier fabricante de dispositivos médicos que quiera operar en la UE. El estándar no es complejo si se aborda con método: plan, análisis, evaluación, control, documentación y vigilancia.

    El primer paso es definir tu plan de gestión de riesgos con criterios claros y responsabilidades asignadas. El segundo es ejecutar el análisis con rigor y trazabilidad. Y el tercero es mantener el proceso vivo con datos de campo y revisiones periódicas.

    Agenda una sesión estratégica con PrivaLex y construyamos juntos un proceso de gestión de riesgos que resista cualquier auditoría.

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar