Checklist Compliance — Lista Maestra
Para usar como auditoría rápida. Cada ítem debería poder responderse con un ✅ o ❌
🏗️ Gobernanza (semanas 1-4)
DPO
- ¿Tenemos DPO designado?
- ¿Está notificado a la AEPD?
- ¿Es accesible al público (web, email)?
- ¿Tiene acceso directo a la dirección?
- ¿Tiene recursos suficientes?
- ¿Hay conflicto de intereses? (¿también es IT?)
RAT (Registro Actividades)
- ¿Tenemos RAT de todos los tratamientos?
- ¿Está actualizado (<6 meses)?
- ¿Cubre todos los tratamientos de datos de salud?
- ¿Los encargados están identificados?
- ¿Las transferencias internacionales están documentadas?
📋 Bases Legales
Cada tratamiento tiene base legal documentada:
- Asistencia sanitaria: Art. 9.2(h) GDPR
- Investigación: Art. 9.2(j) + Art. 89
- Facturación/administración: Art. 6.1(c)
- RRHH/salud laboral: Art. 9.2(b) + 6.1(b)
- Marketing/comunicaciones: Art. 6.1(a) (solo si no son datos de salud)
- Videovigilancia: Art. 6.1(f) interés legítimo
Consentimiento (donde aplique)
- Es explícito (no tácito)
- Es granular (separado por fines)
- Es revocable (tan fácil como darlo)
- Queda prueba de cuándo y cómo se obtuvo
- Menores: verificar edad (14 años LOPDGDD)
🔐 Información y Transparencia
- Cláusula informativa en punto de recogida
- Aviso de privacidad en web/app
- Información sobre DPO disponible
- Información sobre derechos ARSOLIP
- Plazos de conservación comunicados
- Destinatarios comunicados
- Transferencias internacionales comunicadas
👤 Derechos ARSOLIP
- Procedimiento interno documentado
- Plazos definidos (1 mes)
- Responsable asignado por tipo de solicitud
- Plantillas de respuesta preparadas
- Registro de solicitudes
- Verificación de identidad definida
🔒 Seguridad
Técnicas
- Cifrado en reposo (discos, backups)
- Cifrado en tránsito (TLS/HTTPS)
- 2FA en accesos remotos
- Control de accesos basado en roles (RBAC)
- Logs de auditoría de accesos
- Política de contraseñas
- Copias de seguridad cifradas
- Actualizaciones de seguridad automáticas
Organizativas
- Acuerdo de confidencialidad firmado por empleados
- Formación anual en protección de datos
- Protocolo de respuesta a breaches
- Seguro de ciber-responsabilidad
🤝 Encargados y Proveedores
- Contrato Art. 28 con cada encargado
- Due diligence realizada antes de contratar
- Lista de subencargados autorizados
- Revisión periódica de proveedores
- Procedimiento de salida (qué pasa al terminar contrato)
📊 EIPD (Evaluación de Impacto)
- EIPD realizada para tratamientos de alto riesgo
- Consulta previa a AEPD si riesgo residual alto
- EIPD revisada periódicamente
- DPO ha participado en la EIPD
- Medidas mitigantes documentadas
🌍 Transferencias Internacionales
- ¿Hay transferencias a terceros países?
- Si sí: SCC (cláusulas contractuales tipo) o decisión adecuación
- Transferencias a EEUU: verificar Data Privacy Framework
- Proveedores cloud: verificar ubicación servidores
- Transferencias documentadas en el RAT
🚨 Breaches
- Canal de notificación interno definido
- Procedimiento de respuesta documentado
- Contacto 24/7 para IT/seguridad
- Plantilla de notificación a AEPD preparada
- Plantilla de comunicación a afectados preparada
- Simulacro de breach realizado
- Registro de todos los breaches (incluso no notificados)
📈 EHDS — Preparación (futuro)
- Sistema HCE compatible con FHIR/estándares UE
- Mecanismo de opt-out para secondary use
- Punto de contacto para HDAB
- Capacidad de seudonimización de datos
- Sistema de permisos para acceso a datos de investigación
Cuadrante de prioridad
┌─────────────────────────────────────┐
│ │ URGENTE │ NO URGENTE │
├──────────┼──────────┼───────────────┤
│IMPORTANTE│ RAT │ EIPD │
│ │ Contratos │ Formación │
│ │ Breach │ Procedimiento │
│ │ protocol │ ARSOLIP │
├──────────┼──────────┼───────────────┤
│POCO │ Marketing│ ISO 27001 │
│IMPORTANTE│ web │ EHDS prep │
└──────────┴──────────┴───────────────┘