Sanidad y RGPD en Dinamarca: enforcement del Datatilsynet 2024
El Datatilsynet danés emitió 31 decisiones del RGPD en 2024. Catorce de ellas — el 45 % — afectaban a sistemas médicos. Dinamarca tiene 5,9 millones de habitantes. Esa proporción es muy alta. Muestra hasta dónde ha llegado el país en la digitalización sanitaria. También muestra lo exigentes que son los requisitos técnicos.
El sistema sanitario de Dinamarca
Cada ciudadano danés tiene un número CPR. Ese número está vinculado a su historial clínico, al registro de medicamentos, al registro hospitalario y a las muestras biológicas del Statens Serum Institut. El registro hospitalario se remonta a 1977.
Este sistema hace de la investigación médica danesa una de las mejores del mundo. También significa que los expedientes de pacientes son muy sensibles. Por eso el Datatilsynet ha puesto tanto foco en esta área.
El problema del número CPR
El número CPR es un identificador de 10 dígitos. Su formato es DDMMAA-XXXX. El último dígito es un dígito de control. Se calcula mediante aritmética módulo 11.
Los números CPR aparecen en todo documento clínico. Están vinculados a registros sanitarios, fiscales, bancarios y electorales.
El Datatilsynet exige que la anonimización se verifique y documente antes de cualquier uso secundario de expedientes de pacientes. Pero el 67 % de las herramientas NLP genéricas omiten el paso de módulo 11. Cuando lo omiten, surgen dos problemas.
Falsos positivos: Cadenas de fechas, números de factura y códigos de referencia se marcan como números CPR reales. Eso genera revisiones manuales costosas.
Identificadores omitidos: Los números CPR con dígitos transpuestos fallan el control. Los identificadores reales de pacientes se escapan. El resultado parece limpio pero no lo es.
Nuestro guía de detección de identificadores nacionales de la UE explica cómo funcionan las reglas de dígito de control para otros tipos de ID europeos.
Cuatro reglas para la reutilización de expedientes de pacientes
Los registros médicos daneses sustentan una investigación de primer nivel. La guía de 2024 del Datatilsynet sobre reutilización establece cuatro reglas.
Documente su proceso: Enumere cada campo eliminado o modificado. Indique cómo redondeó o agrupó los valores. Una nota de política breve no cumple este estándar.
Muestre sus resultados de prueba: Demuestre que su herramienta detectó números CPR y otros identificadores daneses. Una afirmación no es una prueba.
Limite el alcance: No tome más datos personales de los que necesita su estudio. Esta regla rige incluso para conjuntos pseudonimizados.
Realice una EIPD para herramientas de IA: Cualquier herramienta de IA que procese expedientes de pacientes daneses necesita una evaluación de impacto. Use el formulario estándar del Datatilsynet.
Tres áreas de enfoque en Copenhague
El sector med-tech de Copenhague incluye Leo Pharma, Bavarian Nordic y muchas startups. El Datatilsynet vigila tres áreas de riesgo.
Conjuntos de entrenamiento de IA: La autoridad encontró en 2024 empresas que habían entrenado modelos de IA con expedientes que contenían números CPR reales. Ninguna tenía una base jurídica válida.
Transferencias al extranjero: Algunas empresas enviaron expedientes de pacientes a proveedores de nube estadounidenses para trabajos de IA. La autoridad consideró que las CCT por sí solas no son suficientes. También se necesitan medidas técnicas — por ejemplo, cifrado con claves conservadas en Europa.
Registros de acceso: Los registros deben mostrar quién leyó qué expedientes y por qué. Deben conservarse durante al menos cinco años.
El 56 % de las brechas de datos médicos en Dinamarca en 2024 se debieron a una anonimización deficiente. Las herramientas validadas para CPR con soporte en danés eliminan el fallo técnico más frecuente.
Para saber más sobre el enforcement nórdico, consulte nuestra guía RGPD del IMY Suecia.