TODO LO QUE NOS TOCA — Compliance SaaS Endocrino
La infraestructura (servidores) la contratamos. Esto es lo que nosotros tenemos que hacer.
📋 RESUMEN EJECUTIVO
ÁREA | PRIORIDAD | PLAZO
─────────────────────────┼───────────┼───────────────
1. Modelo legal | 🔴 | Antes de codificar
2. Documentación legal | 🔴 | Antes de lanzar
3. Arquitectura técnica | 🔴 | Desde el día 1
4. Contratos externos | 🔴 | 1er mes
5. Certificaciones | 🟡 | 6-12 meses
6. ENS | 🟡 | Cuando vendamos a público
🔴 1. MODELO LEGAL — La decisión que lo condiciona todo
Decisión #1: ¿Responsables o encargados?
FLUJO TÍPICO DE NUESTRO SaaS:
PACIENTE → se registra en nuestra app
│ ✅ NOSOTROS = Responsables de sus datos de registro
│
▼
NUESTRA PLATAFORMA → el paciente da acceso al endocrino
│ ⚠️ Nosotros = Encargados del tratamiento clínico
│
▼
ENDOCRINO → trata al paciente
│ ✅ Él = Responsable de diagnósticos y decisiones
Lo que hacemos:
| Rol | Qué implica | Lo que necesitamos |
|---|---|---|
| Responsables | Decidimos qué datos recoger y para qué | Base legal propia (consentimiento), información Art. 13, procedimiento ARSOLIP |
| Encargados | Tratamos datos por cuenta del endocrino | DPA firmado con cada endocrino/clínica, seguir sus instrucciones |
Decisión #2: ¿Somos producto sanitario (MDR)?
Solo visualizamos datos → ❌ No MDR → GDPR solamente
Alertamos (<70 mg/dL) → ⚠️ MDR Clase IIa → GDPR + MDR + organismo notificado
Recomendamos dosis → 🔴 MDR Clase IIb → + ensayos clínicos
IA predictiva → 🔴 MDR + AI Act
Nuestra decisión: Si el MVP solo muestra datos, NO necesitamos MDR aún.
🔴 2. DOCUMENTACIÓN LEGAL — Lo que tenemos que redactar
Documentos que CREAMOS nosotros (como empresa)
📄 Términos y Condiciones (T&C)
─ Quiénes somos, qué hacemos, condiciones de uso
─ Modelo de responsabilidad (quién responde de qué)
📄 Política de Privacidad (Art. 13 GDPR)
─ Qué datos tratamos, para qué, base legal, plazo conservación
─ Derechos ARSOLIP, DPO, reclamación AEPD
─ Transferencias internacionales (si las hay)
📄 Política de Cookies
─ Si nuestra web/app usa cookies de tracking
📄 Registro de Actividades de Tratamiento (RAT, Art. 30)
─ Lista de todos los tratamientos de datos que hacemos
─ Mínimo: 6-10 tratamientos (registro, HC, facturación, etc.)
📄 Evaluación de Impacto (EIPD, Art. 35)
─ Análisis de riesgos de nuestra plataforma
─ Obligatoria por tratar datos de salud a gran escala
📄 Consentimiento informado (para investigación)
─ Si hacemos módulo de investigación
─ Explícito, granular, revocable
📄 Designación del DPO
─ Comunicación a la AEPD
─ Contacto público
📄 Procedimiento ARSOLIP
─ Cómo respondemos a solicitudes de derechos
─ Plantillas de respuesta
📄 Protocolo de Breach
─ Qué hacer en las primeras 72h
─ Plantilla de notificación a AEPD
Documentos que FIRMAMOS con otros
📝 DPA (Data Processing Agreement) con cada endocrino/clínica
─ Nosotros como encargados, ellos como responsables
─ Estándar (no negociable), lo firman al contratar
📝 DPA con nuestro proveedor cloud (AWS/GCP/Azure)
─ Ellos como subencargados, nosotros como encargados/responsables
─ Ya lo ofrecen, solo hay que aceptarlo
📝 Contrato con DPO externo (si no tenemos interno)
📝 Acuerdos de confidencialidad con empleados/colaboradores
🔴 3. ARQUITECTURA TÉCNICA — Lo que implementamos en el código
Seguridad (obligatorio desde el día 1)
✅ CIFRADO EN REPOSO
─ AES-256 a nivel de base de datos (o campo a campo)
─ Las series CGM, diagnósticos, datos personales: siempre cifrados
─ Backups también cifrados
✅ CIFRADO EN TRÁNSITO
─ TLS 1.3 en todas las comunicaciones
─ Certificados gestionados (no caducados)
─ HSTS + HTTP/2
✅ AUTENTICACIÓN
─ 2FA para endocrinos y administradores
─ Mínimo: email + SMS. Ideal: TOTP o Cl@ve
─ Sesiones con timeout
✅ CONTROL DE ACCESOS (RBAC)
─ Roles: paciente, endocrino, admin, investigación, soporte
─ El paciente ve solo sus datos
─ El endocrino ve solo sus pacientes
─ Soporte NO ve datos clínicos
─ Admin NO ve datos clínicos
✅ LOGS DE AUDITORÍA
─ Cada acceso a datos de salud se loguea
─ Quién, cuándo, qué, IP
─ Logs inmutables (append-only)
─ Revisión periódica de logs
✅ SEUDONIMIZACIÓN
─ IDs internos de pacientes (no DNI, no email)
─ Tabla de seudónimos separada y cifrada
─ Para analytics: datos anonimizados (sin posibilidad de reidentificación)
Buenas prácticas técnicas
□ API con rate limiting (evitar scraping)
□ WAF (Web Application Firewall)
□ Protección contra inyección SQL (ORMs, parametrización)
□ CSRF + XSS protection
□ CORS bien configurado (no abierto)
□ Dependencias actualizadas (npm audit, pip audit)
□ Secretos en vault (no en .env, no en git)
□ CI/CD con escaneo de seguridad (SAST)
□ Pruebas de penetración antes de lanzar
□ Bug bounty program (cuando tengamos tracción)
🔴 4. CONTRATOS EXTERNOS — Lo que tenemos que gestionar
Con nuestro proveedor cloud
□ Elegir proveedor con certificaciones (ISO 27001, SOC 2, ENS)
□ Región UE sí o sí
□ Firmar DPA (Data Processing Agreement)
□ Verificar SCC (Standard Contractual Clauses) si sacan datos
□ Revisar sus subencargados
□ Configurar: cifrado, VPC, backups, logs
🔑 Truco: AWS, Azure y GCP ya tienen DPAs estándar que cumplen Art. 28. Solo hay que activarlos en la consola.
Con los endocrinos/clientes
□ DPA estándar firmado al contratar
□ Instrucciones documentadas de tratamiento
─ Qué datos pueden introducir
─ Para qué fines
─ Cómo gestionar accesos
□ Nuestro compromiso de medidas de seguridad
□ Lista de subencargados (nuestro cloud)
🔑 Truco: Un DPA estándar que firman todos. Si cada endocrino quiere negociar el suyo, no escalamos.
Con el DPO (si externo)
□ Contrato de servicios
□ Confidencialidad
□ Acceso a la información necesaria
□ Reporte a dirección
🟡 5. CERTIFICACIONES — Lo que implementamos (no necesariamente certificamos ya)
ISO 27001 — La prioritaria
| Qué hacemos | Cuándo |
|---|---|
| Implementar controles (SGSI) | Desde el día 1 (gratis) |
| Documentar políticas | Primer mes |
| Análisis de riesgos | Primer trimestre |
| Auditoría interna | Mes 6 |
| Certificación | Mes 6-12 (~5.000-8.000 €) |
Los controles que aplicamos desde ya:
□ A.5 Política de seguridad
□ A.6 Organización de seguridad
□ A.7 Seguridad RRHH (confidencialidad empleados)
□ A.8 Gestión de activos
□ A.9 Control de acceso (RBAC)
□ A.10 Cifrado
□ A.11 Seguridad física (lo cubre el cloud)
□ A.12 Seguridad operativa (backups, logs, monitorización)
□ A.13 Seguridad comunicaciones (TLS, API)
□ A.14 Adquisición (SDLC seguro)
□ A.15 Relación proveedores (DPA cloud)
□ A.16 Gestión incidentes (breach playbook)
□ A.17 Continuidad negocio (BCP/DRP)
□ A.18 Cumplimiento (GDPR, ENS)
ISO 13485 — Solo si somos MDR
□ Sistema de calidad para producto sanitario
□ Gestión de riesgos clínicos (ISO 14971)
□ Validación de software
□ Evaluación clínica
□ Solo cuando nuestra app sea Clase IIa+
SOC 2 — Para expansión internacional
□ Cuando queramos clientes fuera de España
□ Type I (diseño) → Type II (operación 6-12 meses)
□ Coste: 15.000-40.000 €
🟡 6. ENS — Cuando vendamos al sector público
Lo que necesitamos para ENS nivel ALTO
□ Análisis de riesgos MAGERIT
□ Política de seguridad
□ Responsable de seguridad designado
□ Control de accesos + 2FA
□ Cifrado AES-256 + TLS 1.3
□ Logs de auditoría inmutables
□ Plan de continuidad (BCP + DRP)
□ Gestión de incidentes
□ Separación de entornos (dev/test/prod)
□ Formación del personal
□ Auditoría periódica
□ Registro de actividades
🔑 Truco: Si ya tenemos ISO 27001, la adecuación ENS es ~70% más barata.
✅ CHECKLIST FINAL — Lo que hacemos (y lo que no)
📌 LO QUE SÍ HACEMOS NOSOTROS
🔴 LEGAL
□ Definir modelo (responsable vs encargado)
□ Redactar Términos y Condiciones
□ Redactar Política de Privacidad (Art. 13)
□ RAT (Registro de Actividades)
□ EIPD (Evaluación de Impacto)
□ Consentimiento explícito (para investigación)
□ DPA estándar para endocrinos
□ DPA con proveedor cloud
□ Designar DPO
□ Procedimiento ARSOLIP
□ Protocolo de breach
🔴 TÉCNICO
□ Cifrado AES-256 en reposo
□ TLS 1.3 en tránsito
□ RBAC (paciente, endocrino, admin, investigación, soporte)
□ 2FA para endocrinos y admins
□ Logs de auditoría inmutables
□ Seudonimización de datos de investigación
□ Backups cifrados
□ WAF + rate limiting
□ Seguridad en CI/CD
🟡 CERTIFICACIONES
□ Implementar controles ISO 27001
□ Auditoría ISO 27001 (6-12 meses)
□ Adecuación ENS (si cliente público)
□ SOC 2 (si expansión internacional)
❌ LO QUE NO HACEMOS (LO CUBRE EL CLOUD)
❌ Seguridad física de servidores
❌ Control de acceso a datacenters
❌ Certificación ISO 27001 del hardware
❌ Certificación ENS del centro de datos
❌ Redundancia eléctrica / climatización
❌ Mantenimiento de servidores físicos
❌ Parches de hipervisor / firmware
❌ DDoS a nivel de red
💰 PRESUPUESTO MÍNIMO (primer año)
| Concepto | Coste |
|---|---|
| DPO externo | 2.000-4.000 € |
| Asesoría legal GDPR + docs | 3.000-5.000 € |
| ISO 27001 implantación | 8.000-12.000 € |
| ISO 27001 auditoría | 4.000-5.000 € |
| Cloud (AWS/GCP básico) | 500-1.000 €/mes |
| Seguro ciber | 1.000-2.000 € |
| TOTAL estimado | ~25.000-35.000 € |
El desarrollo del software no está incluido.
📚 Referencia rápida a la wiki
| Si necesitas… | Ve a… |
|---|---|
| Entender el modelo legal | saas-salud-compliance |
| Saber qué datos son sensibles | datos-endocrinologia |
| La checklist completa | checklist-compliance |
| Cómo hacer el RAT | data-mapping-rat |
| Cómo responder ARSOLIP | procedimiento-arsolip |
| Cómo actuar ante un breach | breach-playbook |
| Certificaciones | certificaciones |
| ENS | ens-esquema-nacional-seguridad |
| Plan de acción temporalizado | plan-accion-saas-endocrino |
Documento vivo — actualizado al 2026-05-05. Próxima revisión: cuando definamos el producto concreto.