Las Demandas Sobre la IA en la Salud Han Llegado a las Salas de Examen de California

1. Empezó en la sala de examen

El desarrollo más importante para los centros de salud comunitarios también es el más nuevo. Sharp desplegó el escriba de IA ambiental Abridge alrededor de abril de 2025 — una herramienta que escucha la visita, la transcribe y redacta la nota clínica. La demanda de noviembre de 2025 alega que grabó el examen del paciente y envió el audio a la nube del proveedor sin su consentimiento, y que el expediente llevaba texto genérico diciendo que había sido informado y había consentido cuando, según él, nadie le preguntó.

Luego se extendió. En abril de 2026, los pacientes presentaron una segunda demanda colectiva — Washington v. Sutter Health, junto con MemorialCare, en el Distrito Norte de California (No. 4:26-cv-03012) — nombrando de nuevo a Abridge, alegando de nuevo que el escriba interceptó conversaciones médicas íntimas sin consentimiento. Dos casos de California en cinco meses, nombrando a un proveedor que los centros de salud comunitarios de todo el estado ya usan, no es una coincidencia. Es un patrón.

Esta es la razón por la que esto recae específicamente en los FQHC. La Ley de Invasión de la Privacidad de California (CIPA) es un estatuto de consentimiento de todas las partes: una conversación confidencial no puede grabarse a menos que todos estén de acuerdo. La teoría de los demandantes es simple — grabar la visita de un paciente y enviar el audio a un proveedor para transcripción es una interceptación, punto, y necesita el consentimiento del paciente. Abridge, Suki, Sunoh.ai y Nabla están ampliamente desplegados en los centros de salud comunitarios, a menudo dentro de OCHIN Epic. El riesgo no es la tecnología; es el consentimiento. Y la acusación más aguda de la demanda de Sharp — que el expediente documentó falsamente el consentimiento — es una advertencia contra exactamente ese 'consentimiento' genérico y posterior al hecho.

¿Cree que esto es solo sobre herramientas clínicas? Una consolidación paralela, In re Otter.ai Privacy Litigation en el Distrito Norte de California, muestra la misma mecánica — auto-grabar, crear una huella de voz, entrenar con la conversación, capturar a terceros sin consentimiento — aplicada a un tomador de notas general. Las aseguradoras de mala práctica ahora señalan el problema del consentimiento de grabación del escriba como la responsabilidad a corto plazo. La solución es operativa, no tecnológica: capture un consentimiento genuino, documentado y de todas las partes en el punto de atención, y no dependa del texto genérico del portal.

2. Los algoritmos que dicen que no

El litigio de IA de mayor cuantía no es sobre escribas — es sobre la denegación. Y su caso insignia es californiano. En Kisting-Leung v. Cigna (Distrito Este de California, No. 2:23-cv-01477), los asegurados alegan que el sistema 'PxDx' de Cigna denegó reclamos en lotes sin una revisión genuina — reportajes hallaron que los médicos denegaron cientos de miles de reclamos en dos meses a aproximadamente 1.2 segundos cada uno. En marzo de 2025, el tribunal rechazó la defensa de 'autoridad discrecional' de Cigna y permitió que avanzaran los reclamos de mala fe y de la Ley de Competencia Desleal.

El compañero nacional es 'nH Predict,' el algoritmo de NaviHealth en el centro de las demandas contra UnitedHealth (Estate of Lokken) y Humana (Barrows) por cortar la atención post-aguda de Medicare Advantage. El titular de 2026: un magistrado ordenó a UnitedHealth revelar cómo funciona realmente el algoritmo — la primera mirada real dentro de un motor de denegación — después de que los demandantes alegaran una tasa de reversión en apelación de aproximadamente el 90%.

Para un FQHC, este frente es el lado receptor — y California le ha dado una herramienta. SB 1120, la 'Ley Los Médicos Toman las Decisiones', vigente desde el 1 de enero de 2025, codifica la teoría exacta de los demandantes: un plan de salud no puede dejar que la IA deniegue, retrase o modifique la atención por necesidad médica — solo un médico con licencia puede, según el expediente del propio paciente. Cuando un plan de atención administrada de Medi-Cal deniega su autorización previa, la guía del estado dice que un humano calificado debe ser dueño de esa decisión. Haga que su equipo de ciclo de ingresos lo exija, y escale las denegaciones algorítmicas sospechosas a DMHC o CDI.

3. El problema de los $5,000 de California

¿Por qué es California el epicentro? Un número: $5,000. Esos son los daños estatutarios de CIPA por violación — por paciente, por grabación — con un derecho de acción privado y, en el tribunal estatal, sin necesidad de probar un daño concreto. Multiplíquelo por un panel de pacientes y la exposición se vuelve existencial rápido. Es el hecho más importante de esta página, y la calculadora de abajo lo hace concreto.

Ya no es teórico. En agosto de 2025, un jurado de San Francisco halló a Meta responsable bajo CIPA por interceptar datos de salud reproductiva de la app Flo — el primer veredicto de juicio de esta ola, con una exposición que la propia Meta llamó 'múltiplos de miles de millones.' El caso insignia de proveedores, In re Meta Pixel Healthcare Litigation en el Distrito Norte de California, ha sobrevivido dos mociones de desestimación y está en la etapa de certificación de clase (nota: un caso aparte de Meta Pixel de *impuestos* tuvo su certificación denegada en 2026 — no este asunto de salud).

Y los acuerdos son reales. Kaiser Permanente acordó pagar hasta $47.5 millones por píxeles de rastreo en sus portales de pacientes, ligado a una brecha de 13.4 millones de personas — la más grande jamás causada por tecnología de rastreo. Pero el número que un FQHC debe vigilar es más pequeño: MarinHealth, un hospital comunitario de California, se resolvió por $3 millones, y Eisenhower Medical Center por $875,000. Esos son los análogos de tamaño — no los gigantes.

Dos corrientes importan. El caso Popa v. Microsoft del Noveno Circuito (agosto 2025) elevó el umbral para los casos de CIPA de metadatos genéricos — pero los demandantes responden alegando datos específicamente de salud, lo que pone a los demandados de salud en el lado equivocado de la nueva línea. Y después de que AHA v. Becerra (2024) anulara parte de la guía de tecnología de rastreo de OCR, HIPAA quizás no alcance los píxeles de sus páginas *públicas* — pero CIPA y CMIA sí, y los rastreadores en su portal de pacientes *autenticado* siguen firmemente dentro de HIPAA. La acción práctica: audite cada etiqueta de terceros en su sitio y portal.

4. El perro que no ha ladrado

Aquí está la sorpresa. A pesar de años de fallas documentadas de la IA clínica — las recomendaciones inseguras de IBM Watson for Oncology, y el Modelo de Sepsis de Epic, que una validación independiente halló que detectaba solo alrededor de un tercio de los casos de sepsis — todavía no hay una demanda registrada que nombre a una IA de diagnóstico o de apoyo a decisiones como la causa de la lesión de un paciente. El perro no ha ladrado.

¿Por qué no? Convergen tres doctrinas. La regla del intermediario informado dirige la culpa al clínico que firmó, así que el caso se presenta como mala práctica ordinaria y la IA nunca aparece como demandada. La preeminencia de la FDA protege a los fabricantes de dispositivos aprobados de los reclamos estatales. Y la causalidad a través de una caja negra — probar que la IA, no el juicio del equipo tratante, causó el daño — es extraordinariamente difícil. El precedente que podría abrir esto no es de la atención médica: Garcia v. Character Technologies, donde un tribunal sostuvo que un sistema de IA puede ser un 'producto' sujeto a responsabilidad estricta.

Entonces, ¿cuál es el riesgo real de IA clínica para un FQHC hoy? Ser el respaldo. El clínico que firma la nota redactada por IA es dueño de su exactitud, el codificador que acepta un código sugerido por IA es dueño del reclamo, y el director médico que despliega un modelo de riesgo no validado es dueño de las consecuencias. La lección del Modelo de Sepsis de Epic no es el miedo a las demandas — es la diligencia en la adquisición: exija validación prospectiva antes de desplegar.

5. El reglamento ya está escrito

Las demandas acaparan los titulares, pero para un FQHC las obligaciones vinculantes son la verdadera historia — y California ya las ha escrito. AB 3030 exige un aviso y un camino hacia un humano cuando la IA generativa envía comunicaciones clínicas a los pacientes — a menos que un proveedor con licencia revise el mensaje primero (el refugio práctico). AB 489 prohíbe que la IA implique que es un clínico con licencia. Y el aviso de salud de enero de 2025 del Fiscal General advierte que la IA en atención, agendamiento y facturación ya debe cumplir con la ley existente — y que una herramienta 'neutral' aún puede violarla mediante el impacto dispar.

La capa federal también lo obliga. La §92.210 de la Sección 1557 exige a las entidades que reciben fondos federales — los FQHC claramente incluidos — identificar y mitigar la discriminación en las herramientas de apoyo a decisiones clínicas, incluso las simples como una calculadora de riesgo corregida por raza. (La postura de aplicación federal está en flujo, pero las propias leyes de derechos civiles de California imponen un deber casi idéntico de todos modos.) Y el DOJ ha señalado la sobrecodificación asistida por IA como una prioridad de la Ley de Reclamos Falsos — lo que significa que un clínico debe revisar y atestiguar los códigos generados por IA antes de facturar.

Note el hilo conductor. Un humano en el circuito — un clínico con licencia que revisa la salida de la IA antes de que se envíe — es el control maestro. Satisface la exención de AB 3030, protege la integridad de la necesidad médica bajo SB 1120 y las reglas de CMS, defiende contra la exposición a la Ley de Reclamos Falsos y respalda su deber de la Sección 1557. Una disciplina, cuatro regímenes legales. Los proveedores también están en la mira: el acuerdo del Fiscal General de Texas con Pieces Technologies por afirmaciones de precisión infundadas fue la primera acción de un fiscal contra un proveedor de IA de salud, y el fiscal de California puede hacer lo mismo bajo la Ley de Competencia Desleal.

6. Qué hacer el lunes por la mañana

No necesita ser demandado para actuar. Seis movimientos, en orden aproximado de prioridad:

• **Audite su sitio web y portal en busca de etiquetas de terceros.** Inventaríe cada píxel, widget de chat, herramienta de agendamiento y script de analítica. Elimine o exija consentimiento para cualquier cosa en una página de temas de salud o su portal de pacientes. Este es el riesgo de CIPA de mayor frecuencia y mayor cuantía.
• **Asegure el consentimiento del escriba ambiental.** Antes de cualquier grabación de Abridge/Suki/Sunoh/Nabla, capture un consentimiento documentado de todas las partes en el punto de atención — un guion verbal real, no texto genérico que el expediente rellena automáticamente. Capacite a recepción y a los clínicos.
• **Dirija los mensajes clínicos redactados por IA a través de un clínico** para usar el refugio de AB 3030 — y asegúrese de que ninguna IA para pacientes implique que es un clínico con licencia (AB 489).
• **Use SB 1120 en las denegaciones.** Capacite a su equipo de ciclo de ingresos para exigir la certificación de un humano calificado en las denegaciones por necesidad médica de los planes de Medi-Cal y aseguradoras, y escale las denegaciones algorítmicas sospechosas a DMHC o CDI.
• **Establezca un inventario de apoyo a decisiones + archivo de sesgo.** La Sección 1557 y el aviso del Fiscal General lo exigen. Liste cada algoritmo y puntaje de riesgo, marque cualquiera que use variables de clase protegida, y documente la mitigación — con atención especial a sus pacientes con dominio limitado del inglés.
• **Haga de la diligencia del proveedor un requisito contractual.** Exija las divulgaciones de datos de entrenamiento de AB 2013, un BAA que cubra cualquier entrenamiento o uso secundario, métricas de precisión definidas y fundamentadas, e indemnización por reclamos de CIPA/privacidad antes de desplegar.