Compliance Práctico — Roadmap para Empresas de Datos de Salud
“La ley es el qué. Este documento es el cómo.”
Filosofía: Compliance basado en riesgo, no en checklist
El error más común es tratar el GDPR como una lista de tareas. No funciona. El GDPR está diseñado para ser proporcionado al riesgo. Una clínica de 5 médicos no necesita el mismo compliance que un hospital de 1000 camas.
Principio rector: Documenta lo que haces, haz lo que documentas.
Roadmap en 7 fases
Fase 1: Diagnóstico (semanas 1-2)
Objetivo: Saber qué datos tratas, por qué, y con quién los compartes
Entregables:
- ✅ data-mapping-rat — Mapeo de datos + Registro de Actividades (Art. 30)
- ✅ Identificar qué es categoría especial (Art. 9) y qué no
- ✅ Identificar flujos transfronterizos (si los hay)
- ✅ Identificar encargados del tratamiento (Art. 28)
🔑 Truco: No intentes mapear todo de golpe. Empieza por los tratamientos críticos (HC, facturación, investigación) y ve ampliando.
Fase 2: Base legal y legitimación (semana 3)
Objetivo: Cada tratamiento tiene su base legal clara
Decisiones clave para datos de salud:
| Tratamiento | Base legal típica |
|---|---|
| Asistencia sanitaria directa | Art. 9.2(h) — sin consentimiento |
| Investigación | Art. 9.2(j) + Art. 89 |
| Facturación/administración | Art. 6.1(c) obligación legal |
| Marketing | Art. 6.1(a) consentimiento (nunca datos de salud) |
| Secondary use futuro | EHDS o consentimiento explícito |
🔑 Truco: NO uses consentimiento para todo. El consentimiento es la base legal más débil (revocable, difícil de obtener). Para asistencia sanitaria, usa Art. 9.2(h).
Fase 3: Información y transparencia (semanas 3-4)
Objetivo: El paciente/usuario sabe qué pasa con sus datos
Entregables:
- ✅ Cláusula informativa (Art. 13-14) adaptada a cada tratamiento
- ✅ Aviso de privacidad en la web/app
- ✅ Consentimiento informado (si aplica)
- ✅ Información sobre DPO y derechos
🔑 Truco: Capa la información. Un documento de 20 páginas no sirve. Ten:
- Capa 1: 4 líneas en el momento de recogida
- Capa 2: 1 página online
- Capa 3: Documento completo para quien quiera
Fase 4: Derechos ARSOLIP (semana 4-5)
Objetivo: Poder responder a cualquier solicitud en plazo
Entregables:
- ✅ Procedimiento interno de respuesta (quién, cómo, plazo)
- ✅ Plantillas para cada derecho (acceso, rectificación, supresión, etc.)
- ✅ Sistema de registro de solicitudes
- ✅ Verificación de identidad del solicitante
🔑 Truco: El 80% de las solicitudes son ACCESO a la historia clínica. Ten ese proceso aceitado. Los demás derechos apenas se usan en salud (supresión casi nunca aplica por obligación legal de conservación).
Fase 5: Seguridad y medidas técnicas (semanas 5-8)
Objetivo: Proteger los datos de forma proporcionada al riesgo
Entregables:
- ✅ eipd para cada tratamiento de alto riesgo
- ✅ Control de accesos (RBAC) a la HCE
- ✅ Cifrado en reposo y tránsito
- ✅ Copias de seguridad cifradas
- ✅ Logs de auditoría
- ✅ Plan de respuesta a breaches
🔑 Truco: No hace falta cifrar todo a nivel nuclear. Lo esencial: cifrado de portátiles y móviles, 2FA en accesos remotos, logs de quién ve cada HC.
Fase 6: Contratos y proveedores (semanas 6-8)
Objetivo: Todos tus proveedores cumplen
Entregables:
- ✅ Contratos Art. 28 con cada encargado (cloud, laboratorio, mantenimiento HCE)
- ✅ Due diligence de proveedores
- ✅ Subencargados autorizados
🔑 Truco: No renegocies 50 contratos de golpe. Prioriza: 1) Cloud/HCE, 2) Laboratorios externos, 3) Soporte IT, 4) Resto.
Fase 7: Mantenimiento y mejora continua (ongoing)
Objetivo: No es un proyecto, es un proceso
Entregables:
- ✅ DPO designado
- ✅ Revisión anual de compliance
- ✅ Formación continua del personal
- ✅ Auditorías internas periódicas
- ✅ Monitorización de cambios legales (¡EHDS viene!)
La regla 80/20 del compliance en salud
🏆 El 20% de las acciones cubren el 80% del riesgo:
1. DATA MAPPING — Saber qué tienes
2. BASES LEGALES — Cada cosa con su fundamento
3. INFORMACIÓN — El paciente sabe lo que pasa
4. ACCESOS — Quién ve qué y por qué
5. CONTRATOS — Tus proveedores atados
6. BREACHES — Saber reaccionar
Haz esto bien y estarás mejor que el 90% de las empresas.
Errores mortales que evitar
| Error | Consecuencia |
|---|---|
| Consentimiento para todo | Cuando se revoque, te quedas sin base legal |
| No tener RAT | Multa directa (es lo primero que pide la AEPD) |
| No saber quién es encargado | Breach de un proveedor = tu responsabilidad |
| Confiar en que el software cumple por ti | El responsable eres tú, no el programador |
| Ignorar los logs de acceso | No puedes demostrar quién vio qué |