AI Act w farmacji – przewodnik compliance dla firm farmaceutycznych

Sztuczna inteligencja (AI) odmienia oblicze przemysłu farmaceutycznego. Algorytmy analizujące ogromne zbiory danych skracają czas badań klinicznych, pomagają przewidywać interakcje leków i personalizują terapie. Wirtualni „asystenci” wspierają lekarzy w diagnostyce, a systemy uczenia maszynowego wyszukują potencjalne substancje czynne w mgnieniu oka. Wraz z dynamicznym rozwojem technologii pojawiają się jednak pytania: czy działanie algorytmów jest przejrzyste? Kto odpowiada za decyzje podejmowane przez AI? Jak chronić wrażliwe dane pacjentów?

W odpowiedzi na te wyzwania Unia Europejska przyjęła AI Act – pierwsze kompleksowe rozporządzenie regulujące stosowanie sztucznej inteligencji. Akt ten wszedł w życie 1 sierpnia 2024 r. i stopniowo obejmuje kolejne obszary; pełne stosowanie przewidziano na 2 sierpnia 2026 r., przy czym obowiązki dotyczące systemów wysokiego ryzyka w produktach regulowanych będą miały wydłużony okres przejściowy do 2 sierpnia 2027 r..

Niniejszy poradnik powstał z myślą o przedsiębiorcach, menedżerach oraz zespołach badawczych w branży farmaceutycznej, którzy chcą zrozumieć, jakie zmiany przyniesie AI Act i jak przygotować organizację na nowe przepisy. Stosujemy język prosty, unikamy obietnic i wskazujemy na rzetelne źródła, aby każdy mógł samodzielnie pogłębić temat. Tekst odzwierciedla stan prawny na dzień 3 października 2025 r. i dotyczy jurysdykcji polskiej i unijnej. Zawarte tu informacje mają charakter edukacyjny i nie zastąpią profesjonalnej porady prawnej.

Czym jest AI Act?

AI Act (Regulation (EU) 2024/1689) to rozporządzenie Parlamentu Europejskiego i Rady ustanawiające harmonizowane zasady stosowania sztucznej inteligencji. Jest to pierwsza na świecie kompleksowa regulacja AI, mająca na celu budowanie zaufania do tej technologii i zapobieganie szkodom. W odróżnieniu od dyrektyw, rozporządzenie stosuje się bezpośrednio w każdym państwie członkowskim – nie trzeba go implementować do prawa krajowego.

U podstaw AI Act leży podejście oparte na ryzyku: im większe potencjalne zagrożenie dla zdrowia, bezpieczeństwa lub praw podstawowych, tym surowsze wymogi wobec dostawców i użytkowników systemów AI. Regulacja wprowadza obowiązek analizy ryzyka, transparentności i nadzoru ludzkiego, a także zakaz stosowania niektórych technologii. W kontekście farmacji i ochrony zdrowia ma to ogromne znaczenie – wrażliwe dane pacjentów wymagają szczególnej ochrony, a decyzje podejmowane na podstawie AI mogą mieć wpływ na życie i zdrowie ludzi.

Podstawowe cele AI Act

Rozporządzenie stawia przed sobą kilka kluczowych celów:

• Bezpieczeństwo i ochrona praw podstawowych – AI nie może zagrażać życiu, zdrowiu ani godności człowieka. Systemy wysokiego ryzyka muszą być zaprojektowane tak, aby minimalizować ryzyko błędów i zapewniać solidne mechanizmy nadzoru.

• Przejrzystość i zaufanie – użytkownicy muszą wiedzieć, kiedy korzystają z AI i na jakiej podstawie algorytm podejmuje decyzje. Dostawcy mają obowiązek informować o ograniczeniach oraz źródłach danych, a w przypadku generatywnej AI – jasno oznaczać treści wygenerowane przez algorytm.

• Wspieranie innowacji – przepisy mają stymulować rozwój bezpiecznej AI, oferując wsparcie dla start‑upów i MŚP, a także umożliwiając testowanie rozwiązań w kontrolowanych środowiskach. Komisja Europejska uruchomiła m.in. inicjatywę AI Pact, która zachęca firmy do dobrowolnego wdrażania zasad jeszcze przed ich obligatoryjnym stosowaniem.

• Harmonizacja i pewność prawa – jednolite zasady w całej UE mają ułatwić działanie przedsiębiorstw transgranicznych i zapobiec fragmentacji rynku. AI Act współgra z innymi aktami prawnymi, m.in. RODO, Data Act oraz europejską przestrzenią danych zdrowotnych EHDS.

Klasyfikacja ryzyka systemów AI

AI Act dzieli systemy sztucznej inteligencji na cztery poziomy ryzyka. Ta klasyfikacja jest sercem regulacji – od niej zależy, jakie obowiązki spoczywają na dostawcach i użytkownikach. Przyjrzyjmy się każdej kategorii i zastanówmy, jak wpływa ona na branżę farmaceutyczną.

Ryzyko nieakceptowalne – zakazane praktyki

Na szczycie „piramidy ryzyka” znajdują się systemy uznane za nieakceptowalne. Obejmują one osiem praktyk, które stanowią poważne zagrożenie dla bezpieczeństwa, praw podstawowych lub demokracji. AI Act zakazuje m.in.: szkodliwej manipulacji i wykorzystywania podatnych na wpływ grup, social scoringu, przewidywania indywidualnych przestępstw, masowego zautomatyzowanego zbierania danych biometrycznych z internetu lub monitoringu, rozpoznawania emocji w szkołach i miejscach pracy oraz zdalnej identyfikacji biometrycznej w przestrzeni publicznej.
W praktyce oznacza to, że firmy farmaceutyczne nie mogą np. wykorzystywać AI do profilowania pacjentów pod kątem wrażliwych cech lub manipulacji behawioralnej. Takie zastosowania pozostają poza prawem i powinny być eliminowane już na etapie projektowania.

Ryzyko wysokie – systemy pod specjalnym nadzorem

Największy wpływ na branżę farmaceutyczną będą miały przepisy dotyczące systemów wysokiego ryzyka. Do tej kategorii zalicza się m.in. AI stosowane jako element bezpieczeństwa produktów (np. roboty chirurgiczne), w zarządzaniu infrastrukturą krytyczną, edukacji, rekrutacji, dostępie do usług publicznych, w organach ścigania, migracji i wymiarze sprawiedliwośc. W kontekście zdrowia i farmacji klasyfikację wysokiego ryzyka obejmują również algorytmy analizujące dane medyczne, diagnostyka wspierana AI, systemy rekrutujące uczestników badań klinicznych oraz oprogramowanie w wyrobach medycznych.

AI Act nakłada na te systemy rozbudowane obowiązki:

• Ocena i zarządzanie ryzykiem – dostawcy muszą wykazać, że zidentyfikowali potencjalne zagrożenia i wprowadzili działania minimalizujące ryzyko.

• Jakość danych – dane treningowe muszą być wysokiej jakości, wolne od błędów i uprzedzeń, aby uniknąć dyskryminacji.

• Rejestrowanie zdarzeń – systemy muszą prowadzić logi umożliwiające śledzenie decyzji AI i analizę w przypadku incydentów.

• Dokumentacja techniczna – dostawca jest zobowiązany do stworzenia dokumentacji opisującej działanie systemu i udostępnienia jej organom nadzoru.

• Informacje dla użytkownika – osoby lub firmy korzystające z AI powinny otrzymać jasne instrukcje dotyczące przeznaczenia, ograniczeń i warunków stosowania systemu.

• Nadzór ludzki – systemy wysokiego ryzyka nie mogą działać w pełni autonomicznie; człowiek musi mieć możliwość interwencji.

• Bezpieczeństwo i cyberbezpieczeństwo – wymagane jest zapewnienie odporności na ataki i błędy, a także wysoki poziom dokładności.

W przypadku firm farmaceutycznych oznacza to obowiązek certyfikacji algorytmów klinicznych, regularne audyty systemów i wprowadzenie procedur umożliwiających weryfikację decyzji AI przez specjalistów. Jeśli oprogramowanie medyczne zawierające AI jest już objęte certyfikacją MDR lub IVDR, przepisy AI Act będą stosowane równolegle, co może wymagać dodatkowej dokumentacji.

Ryzyko ograniczone – obowiązki w zakresie transparentności

Systemy AI o ograniczonym ryzyku nie zagrażają bezpośrednio życiu ani zdrowiu, ale mogą wpływać na wybory użytkowników. Przykłady to chatboty obsługujące pacjentów, wirtualni doradcy czy generatywne modele przygotowujące treści edukacyjne. AI Act nakłada na nie obowiązek informowania użytkownika, że ma do czynienia z maszyną.
Ponadto generatywna AI musi jasno oznaczać treści, które zostały wytworzone przez algorytm – dotyczy to w szczególności tzw. deep fake’ów oraz tekstów publikowanych w celach informacyjnych. Branża farmaceutyczna może wykorzystać generatywną AI np. do tworzenia materiałów edukacyjnych dla pacjentów, ale powinna zadbać o odpowiednie oznaczenia i unikać wprowadzania w błąd.

Ryzyko minimalne lub brak ryzyka

Większość systemów AI wykorzystywanych w codziennych czynnościach, takich jak filtrowanie spamu czy personalizacja treści marketingowych, należy do kategorii minimalnego ryzyka. AI Act nie nakłada na nie dodatkowych obowiązków. W farmacji takie systemy mogą wspomagać administrację czy obsługę klienta, nie ingerując jednak w procesy decyzyjne dotyczące zdrowia.

AI Act a sektor farmaceutyczny

Systemy wysokiego ryzyka w farmacji

W branży farmaceutycznej szczególną uwagę trzeba zwrócić na rozwiązania zaliczane do systemów wysokiego ryzyka. AI wykorzystywana do oceny danych klinicznych, prognozowania reakcji pacjentów na leki czy klasyfikacji pacjentów do terapii może mieć bezpośredni wpływ na zdrowie. Zgodnie z AI Act tego typu systemy muszą spełniać szereg wymagań, takich jak zarządzanie ryzykiem, wysokiej jakości dane, transparentność oraz nadzór ludzki.

Przykłady aplikacji wysokiego ryzyka w farmacji obejmują:

• Analiza wyników badań klinicznych – algorytmy identyfikujące wzorce w danych z badań mogą zwiększyć skuteczność analizy, ale muszą być dokładnie monitorowane i certyfikowane.

• Diagnostyka wspierana AI – systemy wykorzystujące obrazy medyczne (np. mammografia) są powszechnie uznawane za wysokiego ryzyka i podlegają wymogom AI Act, w tym wymogom MDR/IVDR.

• Zarządzanie farmakoterapią – oprogramowanie dostosowujące dawki leków do parametrów pacjenta musi zapewniać możliwość interwencji lekarza.

• Systemy rekrutacji pacjentów – AI używana do wyboru uczestników badań klinicznych musi być wolna od uprzedzeń i działać zgodnie z zasadami etyki.

Wszystkie te zastosowania wymagają oceny zgodności i prawdopodobnie zostaną wpisane do unijnego rejestru systemów wysokiego ryzyka. Z tego powodu już teraz warto przygotować się do procedury certyfikacji.

Wymogi dla firm farmaceutycznych

Jakie konkretne obowiązki nakłada AI Act na producentów leków, laboratoria badawcze i ośrodki kliniczne? Oto najważniejsze z nich:

• Ocena ryzyka i zarządzanie ryzykiem – każdy projekt AI powinien rozpoczynać się od identyfikacji i analizy potencjalnych zagrożeń. Należy opracować system zarządzania ryzykiem obejmujący cały cykl życia algorytmu, począwszy od projektowania, przez testy, aż po monitoring po wdrożeniu.

• Kontrola jakości danych – dostawcy AI muszą zadbać, aby zbiory danych były reprezentatywne, aktualne i pozbawione uprzedzeń. W farmacji oznacza to współpracę z instytucjami gromadzącymi dane medyczne oraz ich odpowiednie przygotowanie do trenowania algorytmów.

• Przejrzystość i dokumentacja – obowiązkowe jest prowadzenie dokumentacji opisującej budowę systemu, źródła danych i podejmowane decyzje. Lekarze, regulatorzy i pacjenci powinni móc zrozumieć, dlaczego AI podjęła daną decyzję.

• Udział człowieka w procesie decyzyjnym – AI ma wspierać, a nie zastępować specjalistów. Systemy muszą umożliwiać interwencję człowieka i nie mogą być w pełni autonomiczne. W praktyce oznacza to, że decyzje terapeutyczne muszą być zatwierdzane przez lekarzy.

• Ochrona danych – AI Act wymaga stosowania wysokich standardów bezpieczeństwa i ochrony prywatności. W branży farmaceutycznej konieczna będzie ścisła współpraca z działami compliance RODO oraz implementacja mechanizmów anonimizacji i pseudonimizacji danych pacjentów.

• Rejestrowanie incydentów i monitorowanie po wprowadzeniu na rynek – firmy muszą raportować poważne incydenty i wady algorytmów do właściwych organów oraz prowadzić systematyczne monitorowanie działania AI po jej wdrożeniu.

Ochrona danych pacjentów

AI w medycynie nie mogłaby funkcjonować bez dostępu do ogromnych zbiorów danych klinicznych. Te dane są jednak wrażliwe – zawierają informacje o zdrowiu, genetyce czy historii chorób. W Unii obowiązuje RODO, które chroni dane osobowe, a AI Act wprowadza dodatkowe wymogi dla systemów przetwarzających takie informacje. W szczególności w sektorze zdrowia AI Act podkreśla potrzebę stosowania mechanizmów minimalizacji ryzyka oraz nadzoru człowieka.

Aby spełnić wymagania ochrony danych, firmy powinny:

• Anonimizować lub pseudonimizować dane pacjentów, jeśli to możliwe, tak aby nie można było łatwo zidentyfikować osoby.

• Ograniczać dostęp do danych tylko do uprawnionych osób i systemów, korzystając z zaawansowanych mechanizmów kontroli dostępu.

• Szkolić personel w zakresie bezpieczeństwa danych i ochrony prywatności.

• Współpracować z organami nadzorczymi i korzystać z ram prawnych, takich jak European Health Data Space (EHDS), które zapewnia bezpieczne środowisko dla ponownego wykorzystania danych zdrowotnych.

Wyzwania i konsekwencje AI Act dla firm farmaceutycznych

AI Act przynosi liczne korzyści, takie jak zwiększenie zaufania do technologii i lepsza ochrona pacjentów. Jednocześnie wprowadza nowe obowiązki, które mogą stanowić wyzwanie.

Spełnienie wymogów regulacyjnych

Firmy farmaceutyczne będą musiały przeprowadzić audyty wszystkich używanych systemów AI, aby ustalić ich klasę ryzyka i zgodność z przepisami. Dla systemów wysokiego ryzyka niezbędna jest certyfikacja, obejmująca ocenę zgodności, dokumentację techniczną i mechanizmy nadzoru. Proces ten może być czasochłonny i kosztowny, ale jest konieczny, aby uniknąć kar i ograniczeń w stosowaniu technologii. AI Act przewiduje powołanie organów nadzoru w państwach członkowskich oraz ustanowienie Europejskiego Urzędu AI (AI Office), który będzie wspierał wdrażanie regulacji.

Wpływ na badania i rozwój (R&D)

AI przyspiesza badania nad nowymi lekami, ale dostosowanie do nowych przepisów może początkowo spowolnić proces wdrażania innowacji. Wymóg certyfikacji i przejrzystości, szczególnie w przypadku systemów działających jak „czarna skrzynka”, może wydłużyć czas przygotowania produktu do wejścia na rynek. Jednocześnie obowiązek rejestrowania incydentów i prowadzenia logów stawia wyższe wymagania techniczne przed twórcami systemów. Mimo to długoterminowo wyższe standardy przejrzystości mogą zwiększyć zaufanie regulatorów i pacjentów, otwierając drogę do szerokiego wdrożenia innowacyjnych rozwiązań.

Transparentność i nadzór

AI Act kładzie nacisk na możliwość wyjaśnienia działania algorytmu. Systemy oparte na metodach deep learning, znane z „czarnej skrzynki”, wymagają dodatkowych narzędzi do interpretacji decyzji. Organizacje muszą zaprojektować procesy umożliwiające interwencję człowieka oraz opracować procedury reagowania na błędy. W sektorze farmaceutycznym każda decyzja AI mająca wpływ na pacjenta musi być weryfikowana przez specjalistów, co może wymagać nowych struktur organizacyjnych.

Cyberbezpieczeństwo

Systemy AI są narażone na ataki – zarówno na etapie trenowania (np. wstrzykiwanie szkodliwych danych), jak i działania (np. modyfikacja danych wejściowych). AI Act wprost nakłada na dostawców obowiązek zapewnienia wysokiego poziomu odporności na ataki i dokładności. Firmy farmaceutyczne muszą zainwestować w cyberbezpieczeństwo, obejmujące szyfrowanie, testy penetracyjne i ciągły monitoring. Naruszenie bezpieczeństwa może nie tylko zagrozić prywatności pacjentów, ale również skutkować utratą zaufania i konsekwencjami finansowymi.

Przygotowanie organizacji do AI Act

Kluczem do skutecznego wdrożenia AI Act jest zaplanowanie działań z wyprzedzeniem. Oto praktyczny plan, który może pomóc firmom farmaceutycznym:

Audyt systemów AI

Pierwszym krokiem jest inwentaryzacja wszystkich stosowanych rozwiązań AI. Należy ocenić, czy dany system jest objęty AI Act, jaka jest jego kategoria ryzyka i jakie dane przetwarza. W razie potrzeby trzeba dostosować procesy gromadzenia danych, w tym metody anonimizacji, pseudonimizacji oraz procedury weryfikacji zgodności z RODO. Organizacje powinny przeanalizować algorytmy pod kątem przejrzystości – czy możliwe jest wyjaśnienie decyzji? Jeśli nie, być może należy wprowadzić dodatkowe mechanizmy interpretacji.

Strategia zgodności i zarządzanie ryzykiem

Na podstawie audytu warto opracować szczegółową strategię dostosowania do AI Act. Niezbędne może być powołanie zespołu ds. zgodności (compliance) złożonego z ekspertów prawnych, technologicznych i bezpieczeństwa danych. Ten zespół powinien monitorować zmiany legislacyjne, wdrażać procedury zarządzania ryzykiem i określić, czy system należy do kategorii wysokiego ryzyka. Warto korzystać z istniejących norm, takich jak ISO 42001 dotycząca zarządzania AI. Choć normy te nie zastępują wymagań AI Act, mogą być punktami odniesienia przy tworzeniu wewnętrznych polityk.

Szkolenia i kultura organizacyjna

AI Act przewiduje obowiązek podnoszenia świadomości AI w organizacjach. Pracownicy powinni rozumieć, jakie są zagrożenia związane ze stosowaniem AI, oraz znać procedury reagowania na incydenty. Szczególne znaczenie ma szkolenie zespołów badawczo‑rozwojowych i IT, które projektują oraz utrzymują systemy AI. Przejrzystość i etyka powinny stać się integralną częścią kultury organizacyjnej.

Współpraca z organami i wdrażanie standardów

AI Act zakłada powstanie Europejskiego Urzędu AI (AI Office) oraz organów krajowych odpowiedzialnych za nadzór i egzekwowanie przepisów. Firmy farmaceutyczne powinny śledzić wytyczne publikowane przez Komisję Europejską oraz krajowe organy nadzorcze. Warto aktywnie uczestniczyć w konsultacjach i testach w ramach „piaskownic regulacyjnych”, które umożliwiają sprawdzanie zgodności systemów w kontrolowanym środowisku.

Ponadto warto monitorować prace nad kodeksami praktyk dla systemów generatywnych. Komisja zobowiązała się do opracowania takiego kodeksu do kwietnia 2025 r., który będzie zawierał wskazówki dotyczące transparentności, praw autorskich i zarządzania ryzykiem. Uczestnictwo w tych inicjatywach pozwoli na lepsze przygotowanie do nadchodzących obowiązków.

Standardy i wytyczne

Przy wprowadzaniu systemów AI w farmacji warto korzystać z istniejących standardów i rekomendacji. Poniżej najważniejsze z nich:

• ISO 42001 – międzynarodowa norma zarządzania systemami AI, obejmująca kontrolę jakości, nadzór i ciągłe doskonalenie. Może stanowić podstawę do tworzenia procedur zarządzania ryzykiem, choć w niektórych przypadkach wymogi AI Act mogą być bardziej restrykcyjne.

• Kodeks praktyki dla systemów generatywnych – planowany kodeks ma wyjaśniać zakres obowiązków dostawców modeli general‑purpose. Według zapowiedzi Komisji zostanie opublikowany w 2025 r., co ma pomóc interpretować przepisy.

• Europejskie i krajowe wytyczne etyczne – warto śledzić dokumenty opracowywane przez organy nadzoru, takie jak polski Urząd Ochrony Danych Osobowych (UODO), Urząd Rejestracji Wyrobów Medycznych (URPL) oraz AI Office. Te wytyczne mogą precyzować wymagania w specyficznych kontekstach, np. badań klinicznych.

• Regulatory Sandbox – inicjatywy pozwalające testować innowacyjne technologie w warunkach zbliżonych do realnych, pod nadzorem regulatorów. Udział w piaskownicy może przyspieszyć proces certyfikacji i zminimalizować ryzyko naruszeń.

Harmonogram wdrożenia AI Act

Harmonogram stosowania AI Act jest stopniowany, aby zapewnić czas na dostosowanie się. Ważne daty to:

• 1 sierpnia 2024 r. – wejście AI Act w życie, rozpoczęcie biegu okresów przejściowych. Od tego momentu rozpoczyna się liczenie terminów dla poszczególnych obowiązków.

• 2 lutego 2025 r. – wejście w życie zakazów systemów nieakceptowalnego ryzyka oraz obowiązków dotyczących edukacji (AI literacy). Według Parlamentu Europejskiego zakaz stosowania systemów nieakceptowalnych zaczął obowiązywać 2 lutego 2025 r..

• 2 sierpnia 2025 r. – wejście w życie zasad dotyczących systemów generatywnych i governance (reguły zarządzania), w tym wymogów dla modeli general‑purpose.

• 2 sierpnia 2026 r. – pełna stosowalność AI Act; większość obowiązków, w tym wymogi dla systemów wysokiego ryzyka, zaczyna obowiązywać 24 miesiące po wejściu w życie.

• 2 sierpnia 2027 r. – koniec wydłużonego okresu przejściowego dla systemów wysokiego ryzyka w produktach regulowanych. Firmy farmaceutyczne mają więc dodatkowy rok, aby dostosować się do wymogów dotyczących oprogramowania w wyrobach medycznych i systemów klinicznych.

Warto pamiętać, że harmonogram może ulegać zmianom wraz z publikacją aktów wykonawczych i wytycznych. Dlatego monitorowanie komunikatów Komisji Europejskiej i krajowych organów jest kluczowe.

Podsumowanie

AI Act wprowadza nową erę regulacji sztucznej inteligencji w Unii Europejskiej. Dzięki podejściu opartemu na ryzyku i naciskowi na przejrzystość oraz nadzór ludzki ma potencjał zwiększyć zaufanie do innowacji w medycynie i farmacji. Z drugiej strony stawia przed przedsiębiorcami liczne wyzwania: konieczność audytów, certyfikacji, ochrony danych pacjentów i inwestycji w cyberbezpieczeństwo.

Dla firm farmaceutycznych kluczem do sukcesu będzie jak najszybsze rozpoczęcie prac przygotowawczych: inwentaryzacja systemów, analiza ryzyka, opracowanie strategii zgodności i budowanie kultury transparentności. AI Act nie ma na celu hamowania innowacji – wręcz przeciwnie, jego celem jest zapewnienie, aby rozwój sztucznej inteligencji następował w sposób odpowiedzialny i bezpieczny.

Pamiętajmy, że artykuł ten nie stanowi porady prawnej. Każda organizacja powinna skonsultować swoje działania z prawnikiem lub ekspertem ds. zgodności, aby dostosować strategię do specyfiki swojej działalności.