Estos son los 9 puntos que cubre este artículo sobre gestión de riesgos ISO 14971:
- Qué es ISO 14971 y por qué es el estándar de referencia en gestión de riesgos sanitarios
- Relación entre ISO 14971 y los reglamentos MDR e IVDR de la UE
- El proceso de gestión de riesgos paso a paso
- Conceptos clave: uso previsto, mal uso previsible y criterios de aceptabilidad
- Conexión entre ISO 14971 e ISO 13485 (sistema de gestión de calidad)
- Documentación obligatoria: archivo, plan e informe de gestión de riesgos
- Vigilancia post-comercialización y su papel en el ciclo de riesgo
- Errores que te pueden frenar
- Cómo puede ayudarte PrivaLex con la gestión de riesgos ISO 14971
La gestión de riesgos según ISO 14971 es el pilar sobre el que se construye la seguridad de cualquier dispositivo médico que llegue al mercado. No es una guía opcional: es el estándar internacional (ISO 14971:2019) que define cómo identificar, evaluar y controlar los riesgos a lo largo de todo el ciclo de vida del producto.
Si fabricáis o comercializáis dispositivos médicos en la UE, el cumplimiento de ISO 14971 no es solo una buena práctica. Es un requisito que el MDR y el IVDR dan por hecho.
En PrivaLex Partners ayudamos a fabricantes y distribuidores de productos sanitarios a implementar la gestión de riesgos ISO 14971 con rigor, desde el plan inicial hasta el informe final y la vigilancia post-comercialización. Si estáis preparando vuestro sistema de gestión de calidad o necesitáis alinear la documentación con los reglamentos europeos, esta guía os da la hoja de ruta.
Qué es ISO 14971 y por qué marca el estándar en gestión de riesgos sanitarios
Origen y alcance de la norma
ISO 14971 es la norma internacional que establece los requisitos para la gestión de riesgos aplicada a dispositivos médicos. Revisada en 2019, cubre todo el ciclo de vida del producto: desde el diseño hasta la retirada del mercado.
Su alcance incluye dispositivos médicos de cualquier clase, diagnóstico in vitro y software como dispositivo médico (SaMD). No prescribe un nivel de riesgo aceptable universal, pero sí exige que el fabricante defina criterios de aceptabilidad y los aplique de forma sistemática y documentada. Para orientación práctica de aplicación, el informe técnico ISO/TR 24971:2020 complementa la norma con ejemplos y vínculos con estándares relacionados.
Qué problema resuelve
La gestión de riesgos sin estándar se convierte en opinión. ISO 14971 transforma esa opinión en un proceso repetible y auditable.
Define un lenguaje común: peligro, situación peligrosa, daño, gravedad, probabilidad de ocurrencia. Las normas ISO comparten esa filosofía: no buscan cumplimiento puntual sino un marco sostenible en el tiempo.
Relación entre ISO 14971 y los reglamentos MDR e IVDR
ISO 14971 como norma armonizada
El MDR 2017/745 y el IVDR 2017/746 exigen que los fabricantes apliquen gestión de riesgos durante todo el ciclo de vida del producto. En la UE, EN ISO 14971:2019 + A11:2021 está armonizada con ambos reglamentos: cumplir con la norma genera presunción de conformidad con los requisitos de seguridad del Anexo I, sustituyendo la versión armonizada anterior bajo las directivas MDD/IVDD.
Qué cambia con el MDR respecto a la directiva anterior
El MDR eleva las exigencias respecto a la antigua MDD. Introduce la evaluación de la relación beneficio-riesgo de forma explícita, refuerza la vigilancia post-comercialización y exige que los riesgos residuales sean aceptables considerando el beneficio clínico.
ISO 14971 encaja porque incluye la evaluación del riesgo residual global y la justificación documentada de la aceptabilidad.
Requisitos del IVDR
Para diagnóstico in vitro, el IVDR aplica requisitos similares con matices en evaluación del rendimiento y evidencia clínica. Un fabricante que ya cumple ISO 14971 para MDR puede adaptar el proceso al IVDR ajustando el uso previsto y los peligros específicos.
El proceso de gestión de riesgos ISO 14971 paso a paso
El corazón de la norma es un flujo iterativo que se repite a lo largo del ciclo de vida. En resumen:
- Definir el plan de gestión de riesgos y los criterios de aceptabilidad.
- Identificar peligros y situaciones peligrosas (uso previsto y mal uso previsible).
- Estimar y evaluar cada riesgo frente a los criterios.
- Implementar controles (diseño, protección, información) y verificar su eficacia.
- Evaluar riesgo residual, riesgo residual global y relación beneficio-riesgo.
- Recoger información de producción y posproducción para actualizar el archivo.
Análisis de riesgos
El proceso comienza con la identificación de peligros asociados al dispositivo. Esto incluye peligros derivados del uso previsto, del mal uso razonablemente previsible, de fallos del dispositivo y de factores humanos.
Para cada peligro, el fabricante identifica las situaciones peligrosas que podrían producirse y estima la probabilidad de ocurrencia del daño y la gravedad del daño potencial.
Las técnicas más habituales son el FMEA (análisis de modos de fallo y efectos), el árbol de fallos (FTA) y el análisis de peligros y operabilidad (HAZOP).
Evaluación de riesgos
Una vez estimados, los riesgos se comparan con los criterios de aceptabilidad definidos en el plan de gestión de riesgos. El fabricante decide si cada riesgo es aceptable, si requiere reducción o si es inaceptable.
La evaluación no es binaria. ISO 14971 distingue entre riesgos que se aceptan sin acción adicional, riesgos que requieren control y riesgos que son inaceptables bajo cualquier circunstancia.
Control de riesgos
Para los riesgos que requieren reducción, la norma establece una jerarquía de medidas de control:
- Seguridad inherente en el diseño: eliminar o reducir el peligro desde el diseño.
- Medidas de protección: barreras, alarmas o mecanismos de contención.
- Información de seguridad: etiquetado, instrucciones de uso, formación.
El fabricante debe verificar que cada medida de control se implementa correctamente y no introduce nuevos peligros. Eso exige verificación y, cuando aplique, validación.
Evaluación del riesgo residual y riesgo residual global
Después de aplicar controles, queda un riesgo residual. El fabricante evalúa si es aceptable según los criterios del plan. Si no lo es, debe aplicar controles adicionales o justificar por qué el beneficio médico supera el riesgo residual.
ISO 14971 exige además evaluar el riesgo residual global: todos los riesgos residuales individuales en conjunto. Puede ocurrir que cada riesgo individual sea aceptable, pero que la combinación no lo sea. Este paso obliga a mirar el producto como un todo.
Conceptos clave en la gestión de riesgos ISO 14971
Uso previsto y mal uso razonablemente previsible
El uso previsto define para qué sirve el dispositivo, en qué entorno y por quién. Es la base de todo el análisis de riesgos.
El mal uso razonablemente previsible es el uso incorrecto que un usuario podría hacer aunque no sea el objetivo del diseño. ISO 14971 exige que el fabricante lo contemple y analice los peligros derivados.
Identificación de peligros y estimación de riesgos
La identificación de peligros debe ser exhaustiva. ISO 14971 incluye un anexo (Anexo C) con ejemplos por categoría: energía, biológicos, químicos, operativos, informativos.
La estimación del riesgo combina probabilidad de ocurrencia del daño y gravedad. La norma no impone una escala concreta, pero exige criterios coherentes y aplicados de forma uniforme.
Criterios de aceptabilidad del riesgo
Los criterios se definen en el plan de gestión de riesgos antes de iniciar el análisis. No son universales: dependen del tipo de dispositivo, la clase de riesgo y el beneficio clínico esperado. La coherencia entre criterios y decisiones es lo que el organismo notificado verificará.
Conexión entre ISO 14971 e ISO 13485
ISO 13485 como sistema de gestión de calidad
ISO 13485 define los requisitos del sistema de gestión de calidad (SGC) para dispositivos médicos. La gestión de riesgos bajo ISO 14971 no funciona en el vacío: se integra en el SGC como proceso transversal.
Puntos de integración
Los puntos clave donde ambas normas se conectan:
- Diseño y desarrollo (cláusula 7.3): las revisiones de diseño deben incorporar los resultados del análisis de riesgos.
- Compras y proveedores: los componentes críticos afectan al perfil de riesgo.
- Producción: los controles de proceso reflejan las medidas de control de riesgos.
- CAPA: los hallazgos del proceso de riesgos alimentan las acciones correctivas y preventivas.
La ciberseguridad también entra en este marco cuando el dispositivo incorpora software o conectividad. Para dispositivos conectados, conviene cruzarlo con nuestra guía sobre ciberseguridad en dispositivos médicos conectados (MDR, NIS2 y controles técnicos).
Auditorías integradas
Un organismo notificado evaluará tanto el SGC como la gestión de riesgos. Si ambos no están alineados, detectará brechas: diseño que no refleja peligros, CAPA que no actualizan el archivo de riesgos o vigilancia desconectada del proceso.
Para organizaciones que ya trabajan con marcos como obtener la certificación ISO 27001, el concepto de integración entre normas resulta familiar.
Documentación obligatoria en gestión de riesgos ISO 14971
El archivo de gestión de riesgos
El archivo de gestión de riesgos (risk management file) es el contenedor documental que reúne toda la evidencia del proceso. No es un solo documento: es una colección que debe permitir la trazabilidad completa desde la identificación de peligros hasta la aceptación del riesgo residual.
Incluye el plan, los análisis, las evaluaciones, las medidas de control, la verificación de su implementación, la evaluación del riesgo residual y el informe final.
El plan de gestión de riesgos
El plan de gestión de riesgos se define al inicio y establece las reglas del juego: alcance del análisis, criterios de aceptabilidad, métodos que se usarán, responsabilidades, calendario y cómo se gestionará la información de producción y post-producción.
Sin plan, no hay marco. Y sin marco, cada decisión se toma sin referencia.
El informe de gestión de riesgos
El informe de gestión de riesgos se elabora cuando el proceso ha completado al menos un ciclo. Resume los resultados, confirma que el plan se ejecutó, que los riesgos residuales son aceptables y que el riesgo residual global es tolerable.
Es el documento que el organismo notificado o la autoridad competente revisará para verificar que el fabricante ha cumplido con ISO 14971.
La documentación en dispositivos médicos tiene requisitos comparables a los de una auditoria GDPR: trazabilidad, evidencia y coherencia entre lo que se dice y lo que se hace.
Vigilancia post-comercialización y gestión continua del riesgo
Post-market surveillance (PMS)
La gestión de riesgos no termina cuando el dispositivo sale al mercado. El MDR exige vigilancia post-comercialización que recoja datos de campo, incidentes, quejas y tendencias.
Esos datos alimentan el proceso de riesgos: si aparecen peligros nuevos o un mal uso no previsto se repite, el fabricante debe actualizar el análisis.
PSUR e informes periódicos
Para dispositivos de clase IIa, IIb y III, el MDR exige informes periódicos de seguridad (PSUR) que consolidan la vigilancia y evalúan si la relación beneficio-riesgo sigue siendo favorable.
ISO 14971 respalda este proceso porque exige que la información de post-producción se traduzca en acciones sobre el archivo de riesgos.
Señales y actualización del archivo de riesgos
Las señales que activan una revisión: incidentes graves, tendencias en quejas, estudios clínicos post-comercialización, cambios regulatorios y hallazgos de auditorías.
El archivo de riesgos debe ser un documento vivo. Organizaciones del sector sanitario que también deben cumplir con NIS2 encontrarán paralelos con la lógica de vigilancia continua; en NIS2 vs RGPD en el sector sanitario explicamos cómo coordinar ambos marcos sin duplicar esfuerzos.
4 Errores que te pueden frenar
1. Definir criterios de aceptabilidad después del análisis
Si los criterios se fijan después de ver los resultados, el proceso pierde objetividad. El plan de gestión de riesgos debe establecer los criterios de aceptabilidad antes de iniciar el análisis. Cuando el auditor detecta que los criterios se ajustaron a posteriori, la credibilidad del proceso se desploma.
2. Tratar el archivo de riesgos como un trámite estático
Un archivo que se completa al inicio y no se actualiza es un archivo muerto. ISO 14971 exige revisión continua con datos de producción y post-comercialización. Si el organismo notificado ve un archivo sin actualizaciones durante años, asumirá que el proceso no es real.
3. No integrar el proceso de riesgos con el SGC
La gestión de riesgos aislada del sistema de calidad genera brechas. Si el diseño no recoge los peligros identificados, si las CAPA no actualizan el archivo de riesgos o si la vigilancia no alimenta el análisis, la auditoría encontrará desconexiones. La integración entre ISO 14971 e ISO 13485 no es opcional: es estructural.
4. Ignorar el riesgo residual global
Evaluar cada riesgo individual sin valorar el conjunto es un error frecuente. ISO 14971 exige la evaluación del riesgo residual global. Un dispositivo puede tener todos los riesgos individuales dentro de criterios, pero la combinación puede ser inaceptable. Saltarse este paso es una no conformidad directa.
Cómo puede ayudarte PrivaLex con la gestión de riesgos ISO 14971
Qué hacemos
En PrivaLex Partners ayudamos a fabricantes de dispositivos médicos a diseñar e implementar la gestión de riesgos ISO 14971 de principio a fin: plan de gestión de riesgos, criterios de aceptabilidad, acompañamiento en el análisis y preparación del archivo e informe.
Por qué PrivaLex
Combinamos experiencia en cumplimiento regulatorio europeo con conocimiento del sector sanitario. Trabajamos con fabricantes que necesitan alinear su proceso con MDR, IVDR e ISO 13485 y buscan documentación que resista una auditoría de organismo notificado.
No vendemos software ni plantillas genéricas. Aportamos criterio, estructura y acompañamiento directo. Si necesitáis certificar con un organismo como Bureau Veritas, os acompañamos en la preparación.
Preguntas Frecuentes (FAQs)
Es el proceso definido por ISO 14971:2019 para identificar peligros, estimar y evaluar riesgos, aplicar controles y supervisar su eficacia en dispositivos médicos, diagnóstico in vitro y software como dispositivo médico (SaMD). Aplica a cualquier organización que diseñe, fabrique o comercialice estos productos.
Sí. El MDR exige gestión de riesgos durante todo el ciclo de vida del dispositivo. EN ISO 14971:2019 + A11:2021 está armonizada con el reglamento y genera presunción de conformidad con los requisitos de seguridad del Anexo I. En la práctica, todos los organismos notificados esperan un proceso alineado con ISO 14971.
El proceso requiere tres piezas principales: el plan de gestión de riesgos (criterios, métodos y responsabilidades), el archivo de gestión de riesgos (toda la evidencia del proceso) y el informe de gestión de riesgos (resultados y confirmación de aceptabilidad del riesgo residual).
ISO 14971 se integra en el sistema de gestión de calidad definido por ISO 13485 como un proceso transversal. Los resultados del análisis de riesgos alimentan el diseño y desarrollo, las compras, la producción y las CAPA. A su vez, los datos de calidad y vigilancia actualizan el archivo de riesgos. La auditoría evalúa ambos sistemas como un conjunto coherente.
ISO 14971 no fija una frecuencia concreta, pero exige revisión ante información nueva de producción o post-comercialización. En la práctica, combina cadencia formal (anual) con triggers operativos: incidentes, quejas o cambios regulatorios. Un proceso que no se actualiza pierde validez ante el regulador.
Sí. En PrivaLex diseñamos el proceso completo: plan, criterios, análisis, archivo e informe final. También integramos el proceso con ISO 13485 y los requisitos de vigilancia del MDR o IVDR. Acompañamos hasta que la documentación esté lista para auditoría de organismo notificado.
Próximos pasos
Implementar la gestión de riesgos ISO 14971 es un requisito para cualquier fabricante de dispositivos médicos que quiera operar en la UE. El estándar no es complejo si se aborda con método: plan, análisis, evaluación, control, documentación y vigilancia.
El primer paso es definir el plan de gestión de riesgos con criterios claros y responsabilidades asignadas. El segundo es ejecutar el análisis con rigor y trazabilidad. El tercero es mantener el proceso vivo con datos de campo y revisiones periódicas.
Agenda una sesión estratégica con PrivaLex y construyamos juntos un proceso de gestión de riesgos que resista cualquier auditoría.
