Eres médico, dentista, gerente de clínica. Un proveedor IA te hace una demo seductora. Antes de firmar, aquí los 12 puntos a verificar para no quedar en falta RGPD en 2026.
1. Alojamiento geográfico de datos
Datos paciente deben almacenarse en Europa — idealmente España/Francia. Pide nombre exacto del data center. Si proveedor dice "Europa" sin precisión, desconfía.
2. Certificación HDS
HDS (Health Data Hosting) es obligatorio. Pide copia del certificado HDS del proveedor o su subcontratista cloud.
3. DPA (Data Processing Agreement)
Contrato RGPD que formaliza quién trata qué, con qué fin, qué medidas de seguridad. Debe entregarse antes de firmar, no después.
4. Zero retention lado proveedor IA
Si el agente usa OpenAI/Claude/Gemini, las salidas pueden almacenarse para entrenar modelos. Exige "zero retention". Anthropic lo ofrece nativo, OpenAI solo vía "Enterprise".
5. Anonimización antes de tratamiento
Datos paciente (nombre, n° SS, alergias) deben anonimizarse ANTES de enviarse a la IA. El proveedor debe explicar técnicamente el approach.
6-12. Derechos paciente y autenticación
- Derecho de acceso (Art. 15 RGPD) — export <30 días
- Derecho de borrado (Art. 17) — purga real DB+logs+backups
- Logs de auditoría RGPD — conservación 12 meses
- Subcontratistas declarados en el DPA
- Notificación de violación <72h
- Reversibilidad total · export JSON/CSV/SQL
- 2FA TOTP mínimo · SSO recomendado · SAML 2.0 para >30 usuarios
Conclusión
Sobre estos 12 puntos, un buen proveedor en 2026 debe marcar al menos 10/12. Por debajo, tomas riesgo CNIL real. Para comparar: Orkelia marca 12/12. Reserva 30 min para revisar tu stack actual.
¿Quieres profundizar tu caso?
30 minutos en vídeo conmigo. Sin pitch, solo un intercambio concreto sobre tu situación. Sin compromiso.
Reservar auditoría 30 min →