Postura de cumplimiento normativo
Para responsables de decisión en laboratorios clínicos y equipos DPO
Tiempo de lectura: ~4 minutos
Genetic History es un módulo de software con modelo push instalado en la infraestructura de su propio laboratorio. Esta página explica qué significa esto para las obligaciones de protección de datos — las de su organización y las nuestras — en términos sobre los que sus equipos de contratación y DPO puedan actuar sin necesidad de un diccionario jurídico.
En síntesis: los datos de los pacientes nunca llegan a Genetic History. Permanecen en su infraestructura. Las obligaciones de Genetic History bajo el RGPD se derivan de la distribución de una biblioteca de software, no del tratamiento de los datos genéticos de sus pacientes.
1. Arquitectura: la base técnica del perímetro de cumplimiento
Genetic History no opera como una API en la nube ni como una plataforma SaaS. Su laboratorio instala un módulo de software en su propio entorno informático. El módulo procesa las entradas de variantes genéticas contra una biblioteca de narrativas de ancestralidad almacenada localmente y devuelve resultados estructurados, sin que ningún dato salga de su perímetro.
Cuatro invariantes arquitectónicas definen la estructura de cumplimiento:
Sin transferencia de datos en tiempo real a Genetic History. Una vez instalado y sincronizada la biblioteca, el módulo opera completamente sin conexión. Ninguna comunicación con sede central, ninguna telemetría, ninguna analítica de uso ni registros en tiempo real llegan a Genetic History durante el tratamiento de los resultados de los pacientes.
Las actualizaciones de la biblioteca son unidireccionales. Genetic History publica actualizaciones versionadas de la biblioteca en puntos de acceso HTTPS en Scaleway EU (región España). Su módulo se sincroniza con una cadencia configurable — semanalmente por defecto; mensual o trimestral para entornos que priorizan la estabilidad. Solo el contenido de la biblioteca fluye hacia su módulo. Ningún dato de pacientes retorna.
Alojamiento exclusivo en la UE. La infraestructura de sincronización de Genetic History opera exclusivamente en Scaleway EU (región España). No existe ningún mecanismo de transferencia transfronteriza de datos en la versión 0.1.
Los datos permanecen en las instalaciones del socio. Los datos de los pacientes residen en su infraestructura en todas las fases: ingesta, tratamiento y entrega de resultados. Esta es una invariante técnica, no un compromiso de política — es auditable por diseño.
2. RGPD Art. 9 — alcance de nuestro compromiso
Dado que los datos de los pacientes permanecen en su infraestructura, el alcance de Genetic History bajo el RGPD cubre únicamente la distribución de la biblioteca — no el tratamiento de datos de pacientes.
En la práctica:
Nuestro alcance en el DPA es reducido. La plantilla del Acuerdo de Tratamiento de Datos (DPA) de Genetic History se limita exclusivamente a la distribución de la biblioteca — materialmente más restringida que un DPA típico de API-SaaS. Cubre la relación con el punto de sincronización, no el tratamiento de datos de pacientes. Una plantilla DPA prediseñada y de alcance restringido está disponible desde la fase LOI en adelante.
Sus obligaciones bajo el Art. 9 siguen siendo suyas. Su laboratorio ya dispone de la base de consentimiento de los pacientes para las pruebas genéticas clínicas. Ampliar la generación de narrativas de ancestralidad al resultado de un paciente requiere que el alcance de su consentimiento cubra este uso adicional. Genetic History proporciona orientación sobre el lenguaje de consentimiento en la plantilla DPA para facilitar su revisión de cumplimiento. El RGPD, implementado en España mediante la Ley Orgánica 3/2018 (LOPDGDD), rige esta base de consentimiento. [POSTURA PROVISIONAL: el lenguaje de consentimiento y la plantilla están validados por la arquitectura; redacción final sujeta a revisión por el Asesor Legal/Cumplimiento de Nivel 8 tras la puesta en marcha del MVP ~2026-05-15..05-25]
Registro de subencargados del tratamiento. Scaleway (UE, región España) es el único subencargado del tratamiento en el alcance DPA de Genetic History, involucrado exclusivamente en el alojamiento de la biblioteca y la infraestructura del punto de sincronización.
3. Alcance de brechas de seguridad y notificación
En sus instalaciones: los datos de los pacientes residen en su infraestructura. Una brecha que involucre datos genéticos de pacientes en su entorno cae dentro de su obligación de notificación de 72 horas del Art. 33 del RGPD.
En Genetic History: cualquier brecha en Genetic History involucra únicamente el activo de distribución de la biblioteca — un paquete de software versionado. Esto no constituye datos personales. La obligación de notificación de 72 horas de Genetic History, cuando se activa, se limita a este activo de biblioteca únicamente.
4. Declaraciones del marco regulatorio
Las siguientes posiciones reflejan la postura arquitectónica actual de Genetic History combinada con el sustrato de investigación legal establecido. Los elementos marcados como [POSTURA PROVISIONAL] están pendientes de validación formal por el Asesor Legal/Cumplimiento de Nivel 8 (despliegue ~2026-05-15..05-25). El Asesor de Nivel 8 confirmará, actualizará o revisará estas posiciones con opiniones jurídicas formales.
Ley 14/2007 de Investigación Biomédica (España) Genetic History opera en el contexto genealógico y de bienestar. El módulo proporciona narrativas de ancestralidad — no protocolos de investigación, análisis biomédico ni interpretación de datos clínicos. La separación técnica entre la generación de narrativas de ancestralidad y la investigación biomédica está garantizada por el diseño del módulo. [POSTURA PROVISIONAL: la caracterización del alcance genealógico está pendiente de revisión formal por el Asesor de Nivel 8]
IVDR / MDR Genetic History distribuye un módulo no clínico. Nuestra declaración de alcance es que el módulo de narrativas de ancestralidad no constituye un producto sanitario según el IVDR. El alcance de cumplimiento MDR/IVDR existente en su laboratorio no se ve afectado por esta integración — el módulo opera fuera del ámbito de interpretación clínica. [POSTURA PROVISIONAL: la etiqueta de módulo no clínico es nuestra declaración de alcance, no una determinación regulatoria; revisión formal por el Asesor de Nivel 8 tras la puesta en marcha del MVP]
EHDS (Espacio Europeo de Datos Sanitarios, en vigor desde el 26-03-2026) El marco genealógico de ancestralidad no clínica está probablemente fuera del alcance de los datos de uso primario del EHDS. Genetic History no almacena ni trata datos de salud dentro de la definición del EHDS. [POSTURA PROVISIONAL: evaluación formal del alcance EHDS por el Asesor de Nivel 8 pendiente]
EU AI Act (Reglamento de Inteligencia Artificial de la UE) Las disposiciones de alto riesgo del EU AI Act entran en vigor el 02-08-2026. Genetic History adopta una postura de transparencia proactiva ante esta fecha límite. La generación de narrativas de ancestralidad asistida por IA se revela en la documentación de resultados del módulo. La clasificación formal de riesgo bajo el EU AI Act está sujeta a la revisión del Asesor Legal/Cumplimiento de Nivel 8; en este documento no se afirma ninguna clasificación. [POSTURA PROVISIONAL]
Accesibilidad (AAE / RD 193/2023 de España) La exención para relaciones B2B y la exención para microempresas del Acta Europea de Accesibilidad son aplicables a la oferta de Genetic History. El cumplimiento voluntario de WCAG 2.1 AA se adopta como señal de confianza y como preparación anticipatoria ante la implantación del RD 193/2023 de España (plazo de 2029).
5. Plantilla DPA y documentación legal
Una plantilla de Acuerdo de Tratamiento de Datos (DPA) prediseñada y de alcance restringido (distribución de biblioteca únicamente, no tratamiento de datos de pacientes) está disponible desde la fase LOI en adelante.
Para solicitar la plantilla DPA o hablar sobre los requisitos de cumplimiento para la integración:
Correo electrónico: urasin@yfull.com Asunto: Solicitud de DPA — [Nombre de su organización]
El DPA incluye:
- Declaración del único subencargado del tratamiento: Scaleway EU
- Declaración del alcance restringido a la distribución de biblioteca
- Orientación sobre el lenguaje de consentimiento para ampliar las funcionalidades de ancestralidad a los resultados de los pacientes
6. Responsable del tratamiento
Genetic History, S.L.U. CIF B24962573 Registro Mercantil de Barcelona, Hoja B-646398 Calle Aribau 168, 1-1, 08036 Barcelona, España
7. Postura de gobernanza provisional
Nota para DPO y asesores legales: las posiciones regulatorias del §4 anterior reflejan la postura actual de los factores palanca arquitectónicos de Genetic History, combinada con la investigación establecida en materia de RGPD y legislación sectorial. Las opiniones jurídicas formales para los elementos de postura provisional están previstas con el Asesor Legal/Cumplimiento de Nivel 8 tras la puesta en marcha del MVP (~2026-05-15..05-25). En caso de que las opiniones formales difieran de las posiciones provisionales, esta página se actualizará y la plantilla DPA se revisará en consecuencia.
Si su proceso de contratación requiere opiniones jurídicas formales con anterioridad a esa revisión — por ejemplo, para su proceso de aprobación de proveedores — contacte con Genetic History en urasin@yfull.com para concertar un diálogo directo con el fundador.
Apéndice A: registro de subencargados del tratamiento (v0.1)
| Subencargado | Servicio | Región | Datos tratados |
|---|---|---|---|
| Scaleway | Alojamiento de biblioteca + puntos de sincronización | UE (España) | Activo de distribución de biblioteca (sin datos personales) únicamente |
Ningún dato de pacientes llega a ningún subencargado del tratamiento de Genetic History.