Compliment RGPD per a SaaS de salut: l'Article 9 sense pànic
Per què Article 9 importa
El Reglament General de Protecció de Dades (RGPD) reserva un règim especial per a categories particulars de dades personals — el famós Article 9. Entre aquestes hi ha les dades de salut: qualsevol informació relativa a la salut física o mental d'una persona física, inclosa la prestació de serveis sanitaris, que reveli informació sobre el seu estat de salut.
Una clínica estètica que rep un missatge de WhatsApp del tipus "tinc rosàcia, és tractable amb làser?" està rebent — vulgui o no — una dada de salut. Si aquest missatge passa per un sistema automatitzat (un agent d'IA, una eina de CRM, una plantilla de resposta automàtica), el sistema està **tractant** dades de l'Article 9. El nivell d'exigència legal puja un esglaó.
Tres preguntes que has de poder respondre
Abans de signar amb qualsevol proveïdor SaaS que toqui converses amb pacients, fes-li tres preguntes concretes. Si no les pot respondre amb claredat, no signis.
1. On s'emmagatzemen les dades?
L'RGPD permet processar dades dins l'Espai Econòmic Europeu sense friccions. Fora — Estats Units, Índia, Xina — la transferència ha de complir mecanismes específics (Clàusules Contractuals Tipus, decisions d'adequació, etc.). El 2023, l'EDPB va invalidar el Privacy Shield amb els Estats Units; el seu successor (Data Privacy Framework de 2023) ha tornat a obrir el flux però amb obligacions reforçades.
Resposta acceptable: "Servidors a Frankfurt, Dublin o París, sota proveïdors EEE". Resposta inacceptable: "Al núvol" sense més detalls.
2. Hi ha DPA signat amb subprocessadors?
Quan una clínica fa servir un SaaS, la clínica és el responsable del tractament i el SaaS és l'encarregat. Cal un Data Processing Agreement (DPA) signat. Si el SaaS al seu torn fa servir altres serveis (Resend per email, OpenAI per al model de llenguatge, AWS per al servidor), aquests són subprocessadors i cada un necessita el seu DPA en cadena.
Resposta acceptable: el proveïdor t'envia el seu DPA estàndard, llista subprocessadors públicament, i t'avisa amb antelació de canvis. Resposta inacceptable: "ja ens encarreguem nosaltres".
3. Què passa si demanes l'esborrat?
L'Article 17 (dret a la supressió) és un dret real, no decoratiu. Si un client teu demana que esborris totes les seves dades, has de poder fer-ho — i el SaaS també ha de poder fer-ho als sistemes que en gestiona. Si un proveïdor et diu "les conversas queden a l'històric, no es poden esborrar individualment", tens un problema.
El cost de fer-ho bé
Un sistema RGPD-compliant per a sector salut no és més car que un de no-compliant — és que requereix més rigor en el setup. Pots tenir un agent d'IA elegant i barat funcionant en un dia, però si processa dades a Estats Units sense base legal vàlida, en algun moment l'AEPD o un client farà la pregunta i no tindràs resposta.
La inversió real és en la fase inicial: tres setmanes per validar el flow legal, signar DPAs, configurar retencions, i documentar les bases legals. A partir d'aquí el cost operatiu és el mateix.
Què oferim a Auratech
El nostre producte d'agents IA per a clíniques compleix l'Article 9 perquè ha estat dissenyat així des del primer dia: servidors a Frankfurt, DPA estàndard signat amb cada clínica, subprocessadors públics, drets ARCO operables des del primer mes. No és un afegit; és un requisit del propi producte.
Si estàs avaluant proveïdors, estem oberts a què ens envieu el qüestionari de compliance i el responem per escrit, abans de cap demo.