Wiki

Compliance para SaaS de Salud — Responsable, Encargado y DPA

Se lee en 4 min

Compliance para SaaS de Salud

La pregunta del millón: ¿Eres responsable o encargado?

Esta es la decisión más importante de tu SaaS. Determina todo lo demás.

TU SAAS DE ENDOCRINOLOGÍA
         │
         ├── ¿Eres RESPONSABLE? → Tú decides finalidades y medios
         │    → Tú respondes ante AEPD
         │    → Necesitas base legal propia
         │    → Necesitas DPO propio, RAT propio, todo propio
         │
         └── ¿Eres ENCARGADO? → El cliente (hospital/endocrino) decide
              → Tú solo tratas según instrucciones
              → El cliente es responsable
              → Tú necesitas contrato Art. 28 con cada cliente

Escenario típico de SaaS B2B en salud

ModeloQuién es responsableQuién es encargado
SaaS para endocrinos (el médico introduce datos de pacientes)El médico/clínica (decide qué datos, para qué) (provees la plataforma)
SaaS directo al paciente (el paciente se registra y sube sus datos) (decides finalidades, recoges datos directamente)
SaaS mixto (médicos + pacientes)Tú + el médico (corresponsabilidad)Depende del flujo

Escenario más común: Eres ENCARGADO

HOSPITAL / ENDOCRINO (Responsable)
    │  decide qué datos tratar y para qué
    │
    ▼
TU SAAS (Encargado de tratamiento)
    │  tratas según instrucciones
    │
    ▼
PROVEEDOR CLOUD (Subencargado)
    │  ej: AWS, Google Cloud

Implicaciones de ser encargado:

  • ✅ No necesitas base legal propia (la tiene el responsable)
  • ✅ No respondes directamente ante el paciente
  • ❌ Pero sí ante la AEPD si incumples Art. 28
  • ❌ Debes tener contrato Art. 28 con cada cliente
  • ❌ Debes tener contrato Art. 28 con tu cloud (subencargado)
  • ❌ Respondes si tratas datos fuera de las instrucciones

El DPA (Data Processing Agreement) — Tu documento clave

Necesitas un DPA (contrato Art. 28) que firmen todos tus clientes. Debe incluir:

CONTRATO DE ENCARGO DE TRATAMIENTO (Art. 28 GDPR)

1. OBJETO: Plataforma SaaS de gestión de pacientes de endocrinología
2. DURACIÓN: Mientras dure el contrato de servicios
3. DATOS TRATADOS: 
   - Categorías: identificativos, datos de salud (HC endocrino)
   - Categorías interesados: pacientes del responsable
4. INSTRUCCIONES: El encargado tratará según instrucciones documentadas del responsable
5. MEDIDAS: [cifrado, accesos, etc.]
6. SUBCONTRATACIÓN: [AWS/Google Cloud] autorizada
7. BREACHES: El encargado notificará al responsable en ≤48h
8. ASISTENCIA: El encargado ayudará al responsable con ARSOLIP
9. DEVOLUCIÓN/SUPRESIÓN: Al finalizar el contrato
10. AUDITORÍA: Derecho del responsable a auditar

🔑 Truco: Ten un DPA estándar que todos los clientes firman al contratar tu SaaS. Si cada cliente quiere negociarlo, te mueres en papeleo.

Modelo B2C (directo al paciente)

Si tu SaaS permite que pacientes se registren directamente:

TU EMPRESA (Responsable)
    │  decides qué hacer con los datos
    │
    ├── Base legal: ¿cuál?
    │   ├── Consentimiento explícito (Art. 9.2.a)
    │   └── Interés vital (Art. 9.2.c) si es emergencia
    │
    ├── Necesitas: DPO, RAT, EIPD, información Art. 13
    │
    └── OJO: Si derivas datos al endocrino, eres responsable
        hasta que el endocrino los recibe → luego él es responsable

Modelo Mixto (el más común en endocrinología)

PACIENTE → se registra en tu app
    │  ✅ Tú eres responsable de los datos hasta que los compartes
    ▼
TU SAAS → el paciente da acceso a su endocrino
    │  ⚠️ Aquí hay corresponsabilidad
    ▼
ENDOCRINO → accede a los datos del paciente
    │  ✅ Él es responsable de su tratamiento (diagnóstico, recetas)

Solución recomendada: Define claramente en tus Términos y Condiciones quién es responsable de qué. Normalmente:

  • Tú: del funcionamiento de la app, seguridad de la plataforma, datos de registro
  • El endocrino: de los diagnósticos, tratamientos, y decisiones clínicas
  • El paciente: dueño de sus datos, puede compartirlos o revocar el acceso
□ Decidir modelo (responsable vs encargado vs mixto)
□ DPA estándar preparado (si eres encargado)
□ Términos y condiciones + Política de privacidad
□ Consentimiento explícito para datos de salud (si B2C)
□ Información Art. 13 GDPR clara
□ DPO designado (si tratas datos de salud a gran escala)
□ EIPD de la plataforma
□ RAT de tu empresa
□ Contrato con proveedor cloud (subencargado)
□ Cifrado de datos de salud
□ Logs de auditoría de accesos
□ Protocolo de breaches
□ Seguro de responsabilidad civil / ciber
□ Designación de representante UE (si no estás en UE)

Referencias

Vista Gráfica

Retroenlaces