El Datatilsynet de Dinamarca se ha convertido en un líder europeo en la aplicación de datos de salud. En 2024, la autoridad emitió 31 decisiones del GDPR, de las cuales 14 (45%) involucraron directamente sistemas de datos de salud. Para un país de 5.9 millones de personas, esta densidad de cumplimiento refleja la avanzada infraestructura de salud digital de Dinamarca y las exigentes expectativas de cumplimiento técnico.
Infraestructura de Datos de Salud de Dinamarca
Dinamarca opera uno de los sistemas nacionales de datos de salud más completos del mundo. Cada ciudadano danés tiene un número CPR vinculado a registros electrónicos de salud, el registro nacional de recetas, el registro nacional de pacientes (que rastrea todos los contactos hospitalarios desde 1977) y muestras de biobanco en el Statens Serum Institut.
Esta infraestructura integrada hace que los datos de salud daneses sean algunos de los más valiosos para la investigación, y los más sensibles para la privacidad. El enfoque de cumplimiento de salud del Datatilsynet refleja esta tensión.
Número CPR: El Desafío Técnico
El número CPR (Det Centrale Personregister-nummer) es un número de registro civil de 10 dígitos en formato DDMMYY-XXXX. El último dígito es un dígito de verificación validado utilizando aritmética de módulo-11.
El número CPR es la base de toda la administración pública danesa: salud, impuestos, beneficios sociales, votación, banca. Cada documento de salud lo incluye.
El Datatilsynet requiere validación documentada de la anonimización para el uso secundario de datos de salud. El problema técnico: el 67% de las herramientas de NLP genéricas no implementan la validación de módulo-11 del número CPR. Sin la validación de suma de verificación:
Falsos positivos: Cadenas similares a fechas, números de factura y códigos de referencia se marcan como números CPR, lo que requiere una revisión manual costosa.
Falsos negativos: Números CPR con dígitos transpuestos que no pasan la validación de suma de verificación se pasan por alto, dejando identificadores de pacientes reales en datos que parecen limpios.
Requisitos para el Uso Secundario de Datos de Salud
Los datos del registro de salud de Dinamarca apoyan la investigación médica de clase mundial. La guía del Datatilsynet de 2024 sobre el uso secundario establece requisitos técnicos específicos:
Procedimientos de anonimización documentados: Las organizaciones deben mantener documentación técnica escrita que describa exactamente cómo se realiza la desidentificación, no solo el resultado, sino los procesos, herramientas y pasos de validación específicos.
Validación de integridad: La documentación debe incluir evidencia de que la anonimización fue verificada. Esto incluye resultados de pruebas que demuestran la cobertura de detección para números CPR y otros identificadores de salud daneses.
Principio de datos mínimos necesarios: Los conjuntos de datos de investigación que contienen más datos personales de los que requiere la pregunta de investigación violan la proporcionalidad del GDPR, incluso cuando están seudonimizados. Las organizaciones deben demostrar que el alcance de los datos coincide con el propósito de investigación documentado.
DPIA para sistemas de IA: Cualquier sistema de IA que procese datos de salud daneses requiere un DPIA completado utilizando el marco modelo del Datatilsynet.
Tecnología de Salud en Copenhague: Requisitos Específicos de Cumplimiento
El sector de tecnología de salud de Copenhague (Leo Pharma, Bavarian Nordic y numerosas startups de salud digital) enfrenta un escrutinio de cumplimiento en tres áreas:
Herramientas de IA clínica: Las herramientas de diagnóstico de IA deben demostrar cumplimiento con el Artículo 22 del GDPR y anonimización documentada para conjuntos de datos de entrenamiento. El Datatilsynet encontró múltiples empresas en 2024 utilizando conjuntos de datos de entrenamiento que contenían números CPR de pacientes identificables sin una base legal adecuada.
Transferencias transfronterizas: Varias empresas danesas de tecnología de salud contrataron proveedores de nube de EE. UU. para el entrenamiento de modelos de IA. El Datatilsynet requiere Evaluaciones de Impacto de Transferencia y encontró que las SCC por sí solas son insuficientes para datos de salud sin medidas técnicas suplementarias (cifrado con gestión de claves europea).
Requisitos de registro de auditoría: Para el procesamiento de datos de salud, los registros de acceso deben permitir la reconstrucción de qué registros de pacientes fueron accedidos, por quién y con qué propósito documentado, conservados durante al menos 5 años.
El 56% de las violaciones de datos de salud daneses en 2024 involucraron desidentificación inadecuada. Las organizaciones que utilizan detección validada por CPR con soporte en idioma danés eliminan el modo de fallo técnico más común en la aplicación del GDPR en la atención médica danesa.
Fuentes: