Cumplimiento RGPD para SaaS de salud: el Artículo 9 sin pánico
Por qué importa el Artículo 9
El Reglamento General de Protección de Datos (RGPD) reserva un régimen especial para categorías particulares de datos personales — el famoso Artículo 9. Entre estas están los datos de salud: cualquier información relativa a la salud física o mental de una persona física, incluida la prestación de servicios sanitarios, que revele información sobre su estado de salud.
Una clínica estética que recibe un mensaje de WhatsApp del tipo "tengo rosácea, ¿es tratable con láser?" está recibiendo — quiera o no — un dato de salud. Si ese mensaje pasa por un sistema automatizado (un agente de IA, una herramienta de CRM, una plantilla de respuesta automática), el sistema está tratando datos del Artículo 9. El nivel de exigencia legal sube un escalón.
Tres preguntas que debes poder responder
Antes de firmar con cualquier proveedor SaaS que toque conversaciones con pacientes, hazle tres preguntas concretas. Si no las puede responder con claridad, no firmes.
1. ¿Dónde se almacenan los datos?
El RGPD permite procesar datos dentro del Espacio Económico Europeo sin fricciones. Fuera — Estados Unidos, India, China — la transferencia debe cumplir mecanismos específicos (Cláusulas Contractuales Tipo, decisiones de adecuación, etc.). En 2020 el TJUE invalidó el Privacy Shield UE-EE.UU. (Schrems II); el Data Privacy Framework de 2023 ha reabierto el flujo pero con obligaciones reforzadas.
Respuesta aceptable: "Servidores en Frankfurt, Dublín o París, bajo proveedores EEE". Respuesta inaceptable: "En la nube" sin más detalles.
2. ¿Hay DPA firmado con subprocesadores?
Cuando una clínica usa un SaaS, la clínica es el responsable del tratamiento y el SaaS es el encargado. Hace falta un Data Processing Agreement (DPA) firmado. Si el SaaS a su vez usa otros servicios (Resend para email, OpenAI para el modelo de lenguaje, AWS para el servidor), esos son subprocesadores y cada uno necesita su propio DPA en cadena.
Respuesta aceptable: el proveedor te envía su DPA estándar, lista subprocesadores públicamente, y te avisa con antelación de cambios. Respuesta inaceptable: "ya nos encargamos nosotros".
3. ¿Qué pasa si pides el borrado?
El Artículo 17 (derecho a la supresión) es un derecho real, no decorativo. Si un cliente tuyo pide que borres todos sus datos, debes poder hacerlo — y el SaaS también debe poder hacerlo en los sistemas que gestiona. Si un proveedor te dice "las conversaciones quedan en el histórico, no se pueden borrar individualmente", tienes un problema.
El coste de hacerlo bien
Un sistema RGPD-compliant para sector salud no es más caro que uno no compliant — requiere más rigor en el setup. Puedes tener un agente de IA elegante y barato funcionando en un día, pero si procesa datos en Estados Unidos sin base legal válida, en algún momento la AEPD o un cliente hará la pregunta y no tendrás respuesta.
La inversión real está en la fase inicial: tres semanas para validar el flujo legal, firmar DPAs, configurar retenciones, y documentar las bases legales. A partir de ahí el coste operativo es el mismo.
Qué ofrecemos en Auratech
Nuestro producto de agentes IA para clínicas cumple el Artículo 9 porque ha sido diseñado así desde el primer día: servidores en Frankfurt, DPA estándar firmado con cada clínica, subprocesadores públicos, derechos ARCO operables desde el primer mes. No es un añadido; es un requisito del propio producto.
Si estás evaluando proveedores, estamos abiertos a que nos enviéis el cuestionario de compliance y lo respondamos por escrito, antes de cualquier demo.