Cómo garantizamos que Qualicode cumple con el RGPD.
Referencia: Wiki GDPR Salud para normativa detallada.
📋 ¿Qué datos trata Qualicode?
Tipo de dato
Ejemplo
¿Dato personal?
Audio (entrevistas, focus groups)
Voz de participantes, conversaciones
✅ Sí (la voz es dato biométrico, Art. 4.14 GDPR)
Transcripción TXT
Texto de lo dicho
✅ Sí (contiene información identificable)
Códigos y temas
”adherencia-al-tratamiento”
❌ No (análisis abstracto)
Informes
Citas textuales + análisis
✅ Sí si contiene citas textuales
Datos de usuario
Email, nombre del investigador
✅ Sí
La clave: Qualicode es una herramienta de análisis, no un repositorio de datos personales. Pero los audios y transcripciones pueden contener datos personales (y a veces de salud). Depende de lo que el investigador suba.
🏗️ Modelo: Qualicode como ENCARGADO del tratamiento
INVESTIGADOR / UNIVERSIDAD (Responsable)
│ Decide qué entrevistas graba, con qué fines
│ Obtiene consentimiento de los participantes
│
▼
QUALICODE (Encargado de tratamiento)
│ Procesa según instrucciones del investigador
│ No decide finalidades ni medios
│
├── Opción A: LOCAL (máxima privacidad)
│ │ WhisperX en GPU del usuario → nada sale de su máquina
│ ▼
│ Datos en TXT local (cifrado de disco)
│
├── Opción B: MODAL UE (cloud con garantías)
│ │ GPU en Frankfurt, DPA firmado, datos efímeros
│ ▼
│ Datos en TXT local (audio eliminado de Modal)
│
└── Opción C: MÓVIL → MODAL (trabajo de campo)
│ Graba offline en móvil, sube a Modal al tener conexión
▼
Datos en TXT local
¿Por qué encargado y no responsable?
El investigador decide a quién entrevista, qué pregunta, para qué usa los datos
Qualicode solo pone la herramienta: transcribe, propone códigos, genera informes
No tratamos datos por cuenta propia — seguimos instrucciones del cliente
Documentos necesarios
DPA (Data Processing Agreement) — Contrato Art. 28 GDPR con cada cliente
DPA con Modal — Como subencargado (Modal lo ofrece, región Frankfurt)
Términos y condiciones + Política de privacidad
Registro de Actividades de Tratamiento (RAT)
Modal cumple GDPR: región UE (Frankfurt), DPA firmable, SOC 2 Tipo II, datos efímeros.
Ver infraestructura para detalles técnicos de Modal.
🏆 Ventaja diferencial: local first = GDPR friendly
El enfoque local first de Qualicode es una ventaja GDPR enorme:
Escenario
Cómo lo maneja Qualicode
Ventaja GDPR
Datos subidos a la nube
Opcional. El usuario elige si procesar en Modal/AWS o local
✅ Control del usuario
Supresión de datos
Borras la carpeta del proyecto = todo eliminado
✅ Derecho al olvido trivial
Portabilidad
Los TXT se abren con cualquier editor
✅ Art. 20 GDPR
Acceso
El usuario tiene todos sus datos en TXT legibles
✅ Art. 15 GDPR
Cifrado
Cifrado en reposo (disco) y en tránsito (HTTPS)
✅ Art. 32 GDPR
Minimización
Solo procesas el audio que subes, nada más
✅ Art. 5.1.c GDPR
El argumento de venta GDPR
“Con Qualicode, tú decides si tus datos suben a la nube o se procesan localmente. Si trabajas con datos sensibles (entrevistas clínicas, pacientes), procesas en local y solo subes los códigos anonimizados. Tus transcripciones nunca salen de tu máquina.”
✅ Checklist de cumplimiento para Qualicode
Prioridad alta (imposible lanzar sin esto)
Requisito
Cómo lo cumplimos
Estado
DPA con cliente
Contrato Art. 28 estándar firmado al registrarse
⬜ Pendiente
DPA con Modal
Modal ofrece DPA estándar (verificar)
⬜ Verificar
DPA con AWS
AWS Art. 28 disponible en consola
⬜ Para migración
Política de privacidad
Texto legal claro: qué datos, para qué, base legal
⬜ Pendiente
Términos y condiciones
Responsabilidades, limitaciones, ley aplicable
⬜ Pendiente
Cifrado en tránsito
HTTPS (TLS 1.3) — obligatorio
⬜ Implementar
Cifrado en reposo
Cifrado de disco en Modal/AWS + opción de cifrado local
⬜ Implementar
Prioridad media (primeros meses)
Requisito
Cómo lo cumplimos
Estado
RAT
Registro de Actividades de Tratamiento
⬜ Pendiente
Consentimiento informado
Template para investigadores (explicar que graban con consentimiento)
⬜ Pendiente
Notificación de breaches
Procedimiento: si hay breach, notificar al cliente ≤48h
⬜ Pendiente
Minimización de datos
Política de retención: borrar audios tras X tiempo (configurable)
⬜ Pendiente
Logs de acceso
Quién accedió a qué proyecto, cuándo
⬜ Pendiente
Prioridad baja (escalando)
Requisito
Cómo lo cumplimos
Estado
DPO
Designar un DPO (externo, compartido) si tratamos datos de salud a gran escala
⬜ Pendiente
EIPD
Evaluación de Impacto (si tratamos datos de salud)
⬜ Pendiente
Representante UE
Si la empresa está fuera de la UE
⬜ Pendiente
Certificaciones
ISO 27001, ENS (cuando toque)
⬜ Futuro
📝 Ejemplo: entrevista clínica con GDPR
ESCENARIO: Un investigador de Endocrinotech graba entrevistas
con pacientes para un estudio cualitativo sobre adherencia al tratamiento.
1. INVESTIGADOR (responsable):
- Obtiene consentimiento informado de cada paciente
- Explica que grabará la entrevista y la analizará con Qualicode
- El paciente firma
2. INVESTIGADOR sube audio a Qualicode:
- Opción A: SUBE A MODAL → cifrado HTTPS, procesa en GPU, elimina audio tras transcripción
- Opción B: PROCESA EN LOCAL → WhisperX en su máquina, nada sale de su disco
- Opción C: HÍBRIDO → transcripción local, análisis en la nube (solo códigos)
3. QUALICODE (encargado):
- Transcribe → TXT en proyecto (cifrado)
- Agente propone códigos en codigos-propuestos.txt
- Investigador decide qué aceptar
4. FINAL:
- Transcripciones + códigos → TXT en el proyecto
- El investigador puede exportar, borrar, compartir lo que quiera
- Si quiere eliminar al paciente: borra su entrevista de la carpeta