IA y RGPD en residencias: usar inteligencia artificial con datos de salud, bien hecho
La inteligencia artificial ha llegado a las residencias antes que las instrucciones de uso. El resultado es un sector atrapado entre dos miedos: el de quedarse atrás y el de acabar tratando datos de salud de forma indebida. Ambos son razonables, y ninguno obliga a renunciar a la IA. Obligan a hacerlo bien.
Este artículo repasa los principios que un centro de atención a la dependencia debería aplicar antes de conectar cualquier herramienta de IA a su información, y las preguntas concretas que hacer a un proveedor.
Datos de salud: categoría especial, no un dato más
El RGPD no trata todos los datos igual. La información sobre la salud de una persona pertenece a las categorías especiales de datos: aquellas cuyo tratamiento está en principio prohibido y solo se permite bajo condiciones reforzadas. En una residencia, prácticamente todo lo asistencial entra ahí: diagnósticos, medicación, curas, constantes, valoraciones, planes de cuidados, incidencias con relevancia clínica.
Además, hablamos de personas en situación de dependencia, muchas de ellas especialmente vulnerables. El listón de diligencia que se le exige a un centro es alto, y debe serlo. Cualquier uso de IA sobre estos datos hereda ese listón completo.
El riesgo real: las herramientas genéricas
El mayor riesgo de cumplimiento hoy no es el software especializado, es el atajo: un profesional que pega el informe de un residente en un chatbot público para que se lo resuma. Con toda su buena intención, en ese momento el centro está transfiriendo datos de salud a un tercero:
- Sin contrato de encargado de tratamiento que cubra ese uso.
- Sin garantías sobre dónde se almacenan los datos ni durante cuánto tiempo.
- Con la posibilidad, según el servicio y su configuración, de que esos datos se usen para entrenar modelos.
- Sin que quede registro alguno de que ha ocurrido.
La respuesta organizativa no es solo prohibirlo en una circular: es dar al equipo una vía segura que resuelva la misma necesidad. Las prohibiciones sin alternativa se incumplen.
Los principios que lo hacen posible
Usar IA con datos de salud de forma correcta no requiere inventar nada: requiere aplicar los principios de siempre del RGPD al canal nuevo.
- Minimización: al modelo solo debe llegar la información necesaria para responder la consulta. Si preguntas por caídas del último mes, el modelo no necesita el expediente completo de nadie.
- Seudonimización antes de enviar al modelo: es la pieza clave. Los identificadores (nombres, apellidos, cualquier dato que señale a una persona) se sustituyen por seudónimos antes de que la información salga hacia el modelo de lenguaje. Es el enfoque de Espacio Dependencia: la identidad de los residentes nunca sale de la plataforma; el modelo razona sobre referencias anónimas y la correspondencia con personas reales solo existe dentro del sistema.
- Limitación de la finalidad: los datos asistenciales se recogieron para prestar atención al residente. Usar IA para apoyar esa misma atención y su gestión es coherente con la finalidad; reutilizarlos para otra cosa exigiría un análisis aparte.
- Registro de actividades de tratamiento: si incorporas IA al tratamiento de datos, ese tratamiento debe reflejarse en tu registro de actividades, con su finalidad, categorías de datos y destinatarios. No es burocracia decorativa: es lo primero que se revisa cuando algo se cuestiona.
- Control de acceso por ámbitos: la IA no debe saltarse los permisos que ya existen. Si un perfil de oficinas no ve datos clínicos en la aplicación, tampoco debe poder obtenerlos preguntando a un asistente. De ahí el valor de los asistentes separados por ámbito (centros, oficinas, dirección).
Preguntas para tu proveedor de IA
Antes de activar cualquier funcionalidad de IA, estas preguntas separan a los proveedores serios del resto:
- ¿Qué datos exactos se envían al modelo de lenguaje y qué se filtra antes?
- ¿Se seudonimiza la información identificativa antes de enviarla? ¿Cómo?
- ¿Los datos enviados se usan para entrenar modelos? La respuesta debe ser no.
- ¿Dónde se procesan los datos y bajo qué contrato de encargado de tratamiento?
- ¿Las consultas quedan registradas y son auditables por perfil?
- ¿Los permisos del asistente replican los permisos de la aplicación?
- ¿La IA puede ejecutar acciones o solo informa y analiza? Que solo informe es una garantía, no una limitación.
Si un proveedor no sabe responder a estas preguntas con precisión, la conversación sobre funcionalidades es prematura.
El papel del delegado de protección de datos
La mayoría de centros y grupos del sector cuentan con un delegado de protección de datos, propio o externo. Involúcralo antes de activar la IA, no después: es quien debe valorar el tratamiento, revisar el contrato con el proveedor, decidir si procede una evaluación de impacto y actualizar el registro de actividades. Un DPD que participa desde el diseño convierte el cumplimiento en parte del proyecto; uno que se entera a posteriori solo puede hacer control de daños.
La conclusión es menos dramática de lo que el ruido sugiere: la IA y el RGPD no están enfrentados. Los mismos principios que ya aplicas al expediente del residente (minimizar, controlar el acceso, documentar) se aplican al nuevo canal. Con la arquitectura adecuada, la pregunta deja de ser si puedes usar IA con datos de salud y pasa a ser cuánto tiempo llevas sin aprovecharla.
Nota: este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para decisiones sobre tratamientos concretos de datos, consulta con tu delegado de protección de datos o con un asesor especializado.
¿Y si tu centro tuviera todo esto registrado solo?
Espacio Dependencia es la nueva forma de trabajar en tu centro de atención a la dependencia. Te lo enseñamos funcionando.
Solicitar una demo