Saltar al contenido
tiviz.
Regulación

GDPR/RGPD

Reglamento General de Protección de Datos

Reglamento (UE) 2016/679 que establece las normas de protección de datos personales en la Unión Europea, con requisitos específicos para datos de salud como categoría especial que requiere base legal reforzada, evaluaciones de impacto y medidas técnicas de seudonimización.

¿Qué es el GDPR/RGPD?

El GDPR (General Data Protection Regulation), conocido en España como RGPD (Reglamento General de Protección de Datos), es la normativa europea que regula el tratamiento de datos personales desde mayo de 2018. Los datos de salud están clasificados como categoría especial (artículo 9), lo que impone requisitos adicionales.

Datos de salud bajo el GDPR

El tratamiento de datos de salud requiere una base legal del artículo 6 y una excepción del artículo 9.2:

  • 9.2(a): Consentimiento explícito del interesado
  • 9.2(h): Fines de medicina preventiva, diagnóstico o tratamiento
  • 9.2(i): Interés público en el ámbito de la salud pública
  • 9.2(j): Fines de investigación científica (con garantías adecuadas)

Obligaciones específicas

  • EIPD (Evaluación de Impacto): Obligatoria para tratamientos a gran escala de datos de salud
  • DPO (Delegado de Protección de Datos): Obligatorio en centros sanitarios
  • Registro de actividades: Documentación de todos los tratamientos
  • Notificación de brechas: En 72 horas a la autoridad de control

GDPR y uso secundario de datos de salud

Para investigación con datos de salud (uso secundario):

  • Seudonimización: Separación de identificadores directos
  • Minimización: Solo los datos estrictamente necesarios
  • Limitación de finalidad: Uso acorde con el propósito declarado
  • Garantías técnicas: Cifrado, control de acceso, registros de auditoría

Relación con el EHDS

El EHDS complementa al GDPR estableciendo un marco específico para datos de salud:

  • Define bases legales claras para el uso secundario
  • Crea organismos de acceso a datos de salud (Health Data Access Bodies)
  • Establece entornos seguros de procesamiento
  • Mantiene los derechos GDPR del paciente como base

¿Cómo puede ayudar Tiviz?

Tiviz diseña arquitecturas de gobernanza de datos que cumplen simultáneamente con GDPR y EHDS: procesos de seudonimización, evaluaciones de impacto, y flujos de acceso a datos para investigación que garantizan el cumplimiento normativo.