Protección de datos en Salud

Hoy, 28 de enero, se celebra el Día Internacional de la Protección de Datos, una oportunidad para recordar que los datos son un activo estratégico para el presente y el futuro de la salud. 

Los datos son esenciales para transformar la atención sanitaria, anticipar riesgos, personalizar las intervenciones y hacer más sostenible el sistema de salud. La gobernanza, la interoperabilidad y la ética de los datos en salud son el andamiaje que permite aprovechar el valor clínico y poblacional de la información, sin poner en riesgo los derechos de las personas ni la confianza en el sistema sanitario. En paralelo, la gestión ética de los datos clínicos y la IA responsable exigen marcos claros de responsabilidad, transparencia y supervisión humana a lo largo de todo el ciclo de vida del dato y del algoritmo que lo trate. 

Gobernanza de datos en salud 

La gobernanza de datos en salud es el conjunto de políticas, procesos, roles y mecanismos que regulan cómo se generan, comparten, usan y supervisan los datos sanitarios en un sistema u organización. Su objetivo es maximizar el valor social y clínico del dato, garantizando su calidad, seguridad, equidad, privacidad y transparencia.​ 

Principios habituales de una gobernanza robusta en salud son: 

  • Finalidad clara del uso de datos (asistencia, gestión, investigación, planificación).​ 
  • Definición de responsabilidades (quién decide, quién accede, quién audita). 
  • Mecanismos de participación social y de los pacientes en la definición de los posibles usos secundarios del dato.​ 
  • Transparencia y capacidad de auditoría sobre las decisiones basadas en datos y algoritmos. 

Ahora mismo, la gobernanza de los datos de salud está sometida a los siguientes grandes normativos, tanto españoles como europeos: 

  1. Marco general de protección de datos 
  • Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (RGPD), que define categorías especiales de datos (como los de salud), las bases legales, los derechos de las personas y las obligaciones de los responsables y encargados del tratamiento de los datos. 
  • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el RGPD al contexto español y dedica artículos específicos al tratamiento de datos de salud. 
  • Ley 41/2002, básica reguladora de la Autonomía del Paciente, que regula la historia clínica, el deber de confidencialidad y el acceso a la información sanitaria. 
  1. Espacio Europeo de Datos de Salud 
  • Reglamento (UE) 2025/327, relativo al Espacio Europeo de Datos de Salud (EHDS/EEDS), que establece el marco para: el acceso y control de las personas sobre sus datos electrónicos, la interoperabilidad y los requisitos de calidad de los sistemas de historia clínica electrónica, y para la reutilización de datos con los fines de investigación, innovación y políticas de salud. 
  1. IA y sistemas de alto riesgo en salud 
  • Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act), que clasifica los sistemas de IA según niveles de riesgo y establece obligaciones estrictas para los sistemas de alto riesgo en salud (seguridad, trazabilidad, supervisión humana, gestión de datos, etc.). 

Interoperabilidad y su vínculo con la ética 

La interoperabilidad en salud es la capacidad de distintos sistemas de información, dispositivos y aplicaciones para acceder, intercambiar y usar datos de manera coordinada, más allá de fronteras organizativas y geográficas. Permite que la información acompañe al paciente, evita pruebas duplicadas y facilita el análisis de salud poblacional y la vigilancia en salud pública. 

Para que la interoperabilidad sea completa, debe cumplir varios requisitos: 

  • Estandarización semántica y técnica (formatos, terminologías, mensajería) que reduzca los errores clínicos.​ 
  • Seguridad y control de accesos según roles, con distintos niveles de granularidad (identificado, pseudonimizado, agregado). 
  • Respeto a la autodeterminación informativa del paciente: derecho a saber qué datos se comparten, con quién y para qué fin.​ 
  • Gobernanza clara sobre los usos secundarios (investigación, innovación, planificación), incluyendo mecanismos de autorización y anonimización o pseudonimización robustas. 

Iniciativas como el Espacio Europeo de Datos de Salud (EHDS) buscan precisamente combinar la interoperabilidad técnica con salvaguardas jurídicas y organizativas para el uso primario y secundario de datos sanitarios en la UE. 

Ética de datos clínicos 

La ética de los datos clínicos se centra en cómo se recogen, almacenan, comparten e interpretan los datos de pacientes manteniendo principios de beneficencia, no maleficencia, autonomía y justicia. Supone reconocer que el dato sanitario no es un mero recurso técnico, sino información sensible sobre la vida, la salud y, a menudo, la vulnerabilidad de las personas. 

Elementos clave de una gestión ética de los datos clínicos son: 

  • Minimización y proporcionalidad: solo los datos necesarios para el objetivo definido han de ser recopilados o manipulados. 
  • Consentimiento informado adecuado o base jurídica clara para el tratamiento de los datos cuando el consentimiento no es viable. 
  • Calidad de la información, reduciendo los sesgos que puedan dañar las decisiones clínicas o las investigaciones.​ 
  • Protección reforzada de los colectivos vulnerables y un enfoque de equidad (género, edad, origen, nivel socioeconómico) en el tratamiento de los datos. 
  • Trazabilidad de quién accede a los datos y para qué, con auditorías periódicas. 

En la práctica, esto implica integrar la ética de datos en los comités de ética asistencial y de investigación, evaluar los proyectos de big data clínico con un enfoque de impacto equitativo y asegurar que los pacientes puedan ejercer sus derechos de acceso, rectificación, oposición o portabilidad. 

IA responsable en salud 

La IA responsable en salud es un enfoque de diseño, validación, implantación y supervisión de sistemas de IA que prioriza los derechos humanos, la seguridad del paciente, la equidad, la transparencia y la rendición de cuentas. Documentos como la guía de la OMS sobre ética y gobernanza de la IA sanitaria, y los desarrollos normativos como la futura aplicación de la Ley Europea de IA, subrayan que la IA médica es de alto riesgo y requiere controles estrictos. 

Los principios esenciales de una IA responsable en salud son: 

  • Seguridad y eficacia clínica demostradas con evidencia robusta antes de su implantación, y reevaluación continua en uso real. 
  • Supervisión humana significativa: la IA apoya, pero no debe sustituir, el juicio clínico; siempre debe existir un profesional responsable último de la decisión. 
  • Transparencia y explicabilidad: capacidad de comprender las variables relevantes y el razonamiento del modelo en un nivel comprensible porlos clínicos y, cuando proceda, por los pacientes. 
  • Equidad y mitigación de sesgos: análisis y corrección de sesgos en los datos de entrenamiento y en el comportamiento del modelo, con especial atención a los grupos de personas históricamente infrarrepresentados. 
  • Privacidad y protección de datos, alineadas con el RGPD y con los marcos normativos sanitarios; el diseño de los sistemas de IA debe tomar en cuenta la privacidad desde el origen. 
  • Gobernanza y trazabilidad de las diferentes versiones de los modelos de IA, los datos de entrenamiento, las validaciones, los incidentes y las decisiones de diseño. 

Un ejemplo sería un sistema de IA para priorizar listados de espera quirúrgica que se entrena con datos representativos, se valida evitando penalizar sistemáticamente a ciertos grupos, incorpora explicaciones sobre cada recomendación y está sometido a auditorías periódicas por un comité clínico-ético. 

La gobernanza de datos, la interoperabilidad y la IA responsable forman un ecosistema mutuamente dependiente. Sin gobernanza sólida, los datos interoperables corren el riesgo de permitir usos opacos o discriminatorios; sin interoperabilidad, la IA se alimenta de información fragmentada y sesgada; sin ética y supervisión, los beneficios de la analítica avanzada pueden traducirse en nuevos riesgos y desigualdades. 

En el contexto europeo, marcos como el EHDS, el RGPD y la Ley de IA convergen hacia una arquitectura regulatoria en la que el uso primario y secundario de datos, la certificación de historiales clínicos electrónicos y la clasificación de los sistemas de IA de alto riesgo se articulan bajo principios comunes de seguridad, transparencia, derechos de los pacientes y evaluación continua de impacto. Para los sistemas sanitarios y las organizaciones prestadoras de servicios de salud, esto se traduce en la necesidad de desarrollar estrategias integradas de gobernanza del dato y de IA, con la participación de las direcciones clínicas, tecnológicas, jurídicas y de pacientes desde el diseño de cada proyecto. 

Sin embargo, recabar los datos útiles en salud enfrenta serios obstáculos que limitan su potencial transformador: los sistemas fragmentados y no interoperables generan información dispersa e incompleta, los procesos manuales pueden provocar errores humanos, inexactitudes y duplicidades, mientras que la falta de estandarización técnica y semántica complica la integración de las diversas fuentes de datos. A esto se suman la resistencia cultural a la digitalización plena, la escasa formación del personal en gestión de datos y las restricciones legales que, aunque necesarias para proteger la privacidad, ralentizan el acceso y la reutilización ética de la información.  

Como resultado, los sistemas sanitarios operan con datos de calidad variable que sesgan los análisis, duplican los esfuerzos clínicos y frenan las iniciativas de IA o de salud poblacional.  Por ello, resulta imprescindible trabajar activamente para garantizar que los datos sean un activo de calidad, accesible y éticamente gestionado, que impulse el desarrollo integral del sistema sanitario. 

Con gobernanza sólida, interoperabilidad fluida y ética en cada paso, convertimos los desafíos en oportunidades para una salud más inteligente, equitativa y sostenible. El futuro de la salud depende, también, de datos bien gestionados. 

Principales fuentes consultadas 

Normativa sobre protección de datos 

Reglamento (UE) 2016/679 (RGPD). (2016). Reglamento general de protección de datos. Diario Oficial de la Unión Europea.​ 
https://protecciondatos-lopd.com/empresas/rgpd-reglamento-general-proteccion-datos/ 

Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. (2018). BOE.​ 
https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673 

Ley 41/2002, básica reguladora de la autonomía del paciente. (2002). BOE.​ 
https://protecciondatos-lopd.com/empresas/sanitarios/ 

Agencia Española de Protección de Datos. (2026). Guía de protección de datos en el sector sanitario. 
https://usercentrics.com/es/knowledge-hub/ley-proteccion-datos-sanidad/ 
https://www.infomedsoftware.com/es-blog-ley-proteccion-datos-medicos/ 

Agencia Española de Protección de Datos. (2024). Adecuación al RGPD de tratamientos que incorporan inteligencia artificial.​ 
https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf 

Espacio Europeo de Datos de Salud y salud digital 

Reglamento (UE) 2025/327 (Espacio Europeo de Datos de Salud). (2025). DOUE. 
https://www.laboral-social.com/reglamento-ue-datos-salud-2025 
https://www.bdo.es/es-es/publicaciones/circulares/legal/reglamento-del-espacio-europeo-de-datos-de-salud-ehds 
https://www.boe.es/buscar/doc.php?id=DOUE-L-2025-80382 

Ministerio de Sanidad. (2024). Espacio Europeo de Datos de Salud (EEDS).​ 
https://www.sanidad.gob.es/areas/saludDigital/espacioEuropeoDS/home.htm 

Ministerio de Sanidad. (2025). El Reglamento 2025/327 EEDS Europeo de Datos de Salud.​ 
https://www.sanidad.gob.es/areas/saludDigital/espacioEuropeoDS/docs/EEDS_WEB.pdf 

datos.gob.es. (2025). El Espacio Europeo de Datos de Salud y los datos abiertos.​ 
https://datos.gob.es/es/blog/el-espacio-europeo-de-datos-de-salud-y-los-datos-abiertos-una-sinergia-al-servicio-de-la 

EIT Health Spain. (2023). Implementación del Espacio Europeo de Datos Sanitarios en España.​ 
https://eithealth.eu/wp-content/uploads/2024/07/Informe-EEDS_EIT-Health-Spain_2023.pdf 

AseBio. (2025). EHDS: Una revolución en la gestión de datos de salud.​ 
https://www.asebio.com/actualidad/noticias/ehds-una-revolucion-en-la-gestion-de-datos-de-salud 

García-Morales, N. (2024). El Espacio Europeo de Datos Sanitarios. Revista Derecho y Salud.​ 
https://www.ajs.es/es/index-revista-derecho-y-salud/volumen-34-extraordinario-2024/el-espacio-europeo-datos-sanitarios-la 

IA responsable y ética en salud 

Organización Mundial de la Salud. (2021). Ethics and governance of artificial intelligence for health. 
https://www.slideshare.net/slideshow/tica-y-gobernanza-de-la-inteligencia-artificial-para-la-salud-omswho/249591770 
https://www.who.int/es/publications/b/60710 

Organización Mundial de la Salud. (2024). Orientaciones sobre la ética y gobernanza de la IA para grandes modelos multimodales.​ 
https://www.who.int/es/news/item/18-01-2024-who-releases-ai-ethics-and-governance-guidance-for-large-multi-modal-models 

Ministerio de Sanidad. Estrategia de Inteligencia Artificial para el SNS (eIASNS).​ 
https://www.sanidad.gob.es/areas/saludDigital/doc/eIASNS_v13.pdf 

Parlamento Europeo y Consejo. (2024). Reglamento (UE) 2024/1689 (AI Act). 
https://immune.institute/blog/el-ai-act-la-nueva-ley-europea-que-regula-la-inteligencia-artificial/ 
https://www.unir.net/revista/derecho/ley-inteligencia-artificial/ 

Agencia Española de Supervisión de la IA. (2025). Sistemas de alto riesgo.​ 
https://aesia.digital.gob.es/es/actualidad/recursos/ria-sistemas-de-alto-riesgo 

Vences Garrido, A. (2025). Uso responsable, ético y legal de la Inteligencia Artificial en Salud.​ 
https://adrianvencesgarrido.com/wp-content/uploads/2025/07/Uso-responsable-etico-y-legal-de-Inteligencia-Artificial-en-Salud.pdf 

DigitalES. (2022). Inteligencia artificial ética en sanidad.​ 
https://www.digitales.es/wp-content/uploads/2022/02/Informe_IA_Etica_en_Sanidad.pdf 

Petralanda, I. (2025). ISO/IEC 42001:2023, IA y salud.​ 
https://wadmin.uca.edu.ar/public/20250919/1758321281_ISOIEC42001InigoPetralanda.pdf 

Rodríguez Chaves, M. B. (2024). ¿Debería no aplicarse sistemas de inteligencia artificial en sanidad?​ 
https://congresoaepdavigo2024.es/wp-content/uploads/2024/01/9.-Com-Rodriguez-Chaves-Mimbrero-B.-Deberia-no-aplicarse-sistemas-de 

Gobernanza de datos, interoperabilidad y datos en salud 

Transform Health. (2021). Principios de gobernanza de datos de salud.​ 
https://transformhealthcoalition.org/wp-content/uploads/2021/11/SPANISH_-HDG-Principles-Draft-For-Public-Consultation.pdf 

Agencia Española de Supervisión de la IA. (2023). Guía de datos y gobernanza de datos.​ 
https://aesia.digital.gob.es/storage/media/07-guia-de-datos-y-gobernanza-de-datos.pdf 

Oracle Health. (2024). Explicación de la interoperabilidad en el sector sanitario.​ 
https://www.oracle.com/es/health/interoperability-healthcare/ 

Ministerio de Sanidad. (2019). Indicadores de salud.​ 
https://www.sanidad.gob.es/estadEstudios/estadisticas/inforRecopilaciones/indicadoresSalud.htm 

Calidad, retos y valor de los datos en salud 

Data Ladder. (2022). Calidad de los datos en la sanidad: retos, limitaciones y medidas para mejorar la calidad.​ 
https://dataladder.com/es/calidad-de-los-datos-en-la-sanidad-retos-limitaciones-y-medidas-para-mejorar-la-calidad/ 

WinPure. (2025). Cómo afecta la calidad de los datos sanitarios a los resultados de los pacientes.​ 
https://winpure.com/es/como-afecta-la-calidad-de-los-datos-sanitarios-a-los-resultados-de-los-pacientes-guia-detallada/ 

Conexia. (2023). Desafíos del acceso a la información en salud.​ 
https://conexia.com/blog/desafios-del-acceso-a-la-informacion-en-salud-cuales-son-y-como-resolverlos/ 

World Economic Forum. (2024). Cómo aprovechar el poder de los datos para mejorar la atención sanitaria.​ 
https://es.weforum.org/stories/2024/01/como-aprovechar-el-poder-de-los-datos-para-mejorar-la-atencion-sanitaria/ 

Scroll al inicio