Conformitat HDS per a dades de salut : guia associacions ...

Les associacions caritatives, les ONG humanitàries, les estructures médico-socials sense ànim de lucre comparteixen un punt comú sovint subestimat: tan aviat com tracten o allotgen dades de salut de caràcter personal, s'inclouen en el marc legal de l'allotjament de dades de salut (HDS). Or, aquest sector acumula un retard estructural en matèria de conformitat, per manca de recursos interns dedicats i una sensibilització insuficient. Aquest article et guia pas a pas per entendre què implica la certificació HDS, identificar les teves obligacions reals i activar una posada en conformitat operacional — fins i tot amb un equip IT limitat.

Què és la certificació HDS i per què les associacions són interessades?

La definició legal de dades de salut

Al sentit del RGPD (article 4, §15), les dades de salut són dades de caràcter personal relatives a la salut física o mental d'una persona, revelant informacions sobre el seu estat de salut. Aquesta definició és intencionalment ampla. Cobreix no només els dossiers mèdics en sentit clínic, sinó també:

• Les dades de beneficiaris recollides durant campanyes de detecció
• Les informacions sobre discapacitats declarades en dossiers d'ajuda social
• Les dades nutricionals o de salut mental recollides en un context d'acompanyament psicosocial
• Els resultats de proves o d'avaluacions mèdiques en el marc de programes humanitaris

Una associació de lluita contra les addicions, una xarxa d'ajuda a persones grans dependents o una ONG que gestiona consultes mèdiques de terrain recopilen totes dades que entren en aquesta categoria.

El dispositiu HDS : obligació legal, no opció

La llei n° 2016-41 del 26 de gener de 2016 (llei de modernització del sistema de salut) ha instaurat l'obligació d'allotjament certificat HDS per a tota entitat que allotja dades de salut de caràcter personal per compte de tercers — incloent les associacions i ONG. El referencial de certificació, definit pel decret n° 2018-137 del 26 de febrer de 2018, precisa les activitats cobertes i els requisits tècnics i organitzacionals a satisfer.

Contràriament a una idea rebuda, l'exempció no s'aplica únicament pel fet de ser una estructura sense ànim de lucre. El que importa és la naturalesa de les dades tractades i el fet que l'allotjament es realitzi per compte d'un tercera (un metge, un pacient, una estructura associada).

Les sis activitats HDS i el seu abast per a les estructures associatives

La certificació HDS cobreix sis activitats diferents, organitzades en dos blocs:

Bloc infraestructura (activitats 1 a 3)

• Activitat 1 : La posada a disposició i el manteniment en condició operacional dels llocs físics (datacenters)
• Activitat 2 : La posada a disposició i el manteniment en condició operacional de la infraestructura de maquinari
• Activitat 3 : La posada a disposició i el manteniment en condició operacional de la infraestructura virtual

Bloc programari i serveis gestionats (activitats 4 a 6)

• Activitat 4 : La posada a disposició i el manteniment en condició operacional de la plataforma d'allotjament d'aplicacions
• Activitat 5 : L'administració i l'explotació del sistema d'informació de salut
• Activitat 6 : La còpia de seguretat externalitzada de dades de salut

Per a una associació, les activitats més sovint interessades són les activitats 4 a 6, especialment quan utilitza una solució SaaS tercera per gestionar els seus dossiers de beneficiaris o quan externalitza la còpia de seguretat de les seves bases de dades. Per tant, és essencial verificar que tot prestatari SaaS o cloud que manipula les teves dades de salut està ben certificat HDS per a les activitats corresponents.

En aquest context, el recurs a una solució de signatura electrònica en el sector de la salut certificada HDS permet assegurar els fluxos documentals sensibles — consentiments informats, formularis d'admissió, ordres desmaterialitzades — sense exposar l'associació a un risc de no-conformitat.

Com activar pràcticament la conformitat HDS a la teva associació?

Etapa 1 : Cartografiar els teus tractaments de dades de salut

Abans de qualsevol gestió tècnica, s'ha de procedir a un inventari precís de la totalitat dels tractaments implicant dades de salut. Aquest exercici s'inscriu directament en l'obligació de manteniment del registre dels tractaments previst per l'article 30 del RGPD.

Per a cada tractament, documenta:

• La naturalesa de les dades recollides (categoria especial al sentit RGPD)
• Les finalitats del tractament
• Els destinataris i subcontractistes
• Els mitjans d'allotjament (servidor intern, cloud, SaaS)
• Les mesures de seguretat en col·locació

Aquesta cartografia permet identificar ràpidament les zones de risc i els prestataris a auditar.

Etapa 2 : Auditar els teus prestataris i exigir la certificació

La certificació HDS és lliurada per organismes acreditats pel COFRAC (Comitè francés d'acreditació). Pots verificar l'estat de certificació d'un allotjador en el lloc de l'ANS (Agència del Numèric en Salut), que manté una llista pública d'allotjadors certificats HDS.

Exigeix sistemàticament als teus prestataris:

• Una còpia del certificat HDS en vigència actual
• L'abast exacte de les activitats cobertes
• Les condicions contractuals específiques a la protecció de dades de salut

No et conformis amb una declaració d'intenció: la certificació ha de ser verificable i actualitzada.

Etapa 3 : Actualitzar els teus contractes i DPA

L'article 28 del RGPD imposa la conclusió d'un Data Processing Agreement (DPA) amb tot subcontractista que tracti dades personals per compte teu. En el context HDS, aquest DPA ha de ser completat per clàusules específiques cobrint:

• Els compromisos de confidencialitat reforçada
• Les obligacions de notificació d'incident en 72 hores
• Les condicions de restitució i esborrat de dades
• La localització de les dades (imperativament en el territori de l'EEE o en un país que es beneficia d'una decisió d'adequació)

Algunes associacions utilitzen encara formularis en paper per recollir el consentiment dels seus beneficiaris. La desmaterialització d'aquests processos per mitjà d'una solució de signatura electrònica conforme permet segellat temporal i autenticació dels consentiments, produint una prova legalment oposable.

Etapa 4 : Formar les teves equips i designar un referent conformitat

La conformitat HDS no és un projecte puntual: és un procés continu. Designa un referent intern (que pot ser el teu DPO si tens un, conformement a l'obligació prevista en l'article 37 del RGPD per als organismes que tracten dades de salut a gran escala) i preveu sessions de sensibilització regulars per als equips en contacte amb les dades sensibles.

Segons un estudi publicat per la CNIL el 2024, més del 60% de les violacions de dades de salut notificades implicaven un error humà (enviament a un destinatari equivocat, absència de xifrat). Per tant, la formació és un incentiu de reducció del risc tant important com les mesures tècniques.

Els reptes específics del sector associatiu: recursos limitats i restriccions pressupostàries

La paradoxa de la dada sensible i del pressupost limitat

Les associacions i ONG es troben en una posició particular: sovint gestionen dades entre les més sensibles (estat de salut de persones vulnerables, refugiats, menors aïllats) amb mitjans humans i financers molt inferiors als del sector hospitalari o de les empreses privades de salut.

Aquesta realitat imposa adoptar una estratègia de conformitat pragmàtica i prioritzada. Segons les recomanacions de l'ANS, una aproximació en tres fases és generalment aconellada per a les petites i mitjanes estructures:

1. Fase d'urgència (0-3 mesos): identificació i neutralització dels riscos crítics (allotjadors no certificats, absència de xifrat)
2. Fase de consolidació (3-12 mesos): actualització dels contractes, desplegament d'eines conformes, formació
3. Fase de maduresa (12-24 mesos): audits interns, pla de continuïtat, revisió anual dels tractaments

El paper de la signatura electrònica en la conformitat HDS associativa

La desmaterialització dels documents sensibles és un incentiu sovint infraexplotat pel sector associatiu. Tanmateix, reemplaçar formularis en paper per processos de signatura electrònica qualificada o avançada presenta diversos avantatges:

• Traçabilitat: cada signatura està segellada temporalment i associada a una identitat verificada, la qual cosa facilita la demostració de la licitud del tractament
• Reducció del risc d'error: menys manipulació manual de documents sensibles
• Arxivament segur: els documents signats electrònicament poden ser conservats en una caixa forta digital certificada

Per a més informació sobre els criteris de selecció d'una solució adaptada a la teva estructura, consulta la nostra comparativa de solucions de signatura electrònica que detalla les diferències entre ofertes del mercat en termes de conformitat HDS i eIDAS.

Les associacions que ja utilitzen una eina de gestió RH o de gestió de dossiers de beneficiaris sovint fan bé de verificar si la seva solució actual integra nativament la signatura electrònica conforme. La nostra guia de la signatura electrònica en empresa aborda aquests criteris d'integració en detall.

Finalment, si ja has desplegat una solució de signatura però desitges migrar cap a un prestatari certificat HDS, la nostra oferta de migració et permet transferir les teves dades i fluxos de treball sense interrupció de servei.

Marc legal aplicable a l'allotjament de dades de salut per a les associacions i ONG

Textos fundadors del marc HDS

La regulació francesa sobre l'allotjament de dades de salut es basa en una superposició de textos la maestria dels quals és indispensable per a tota associació que manipula dades mèdiques o médico-socials.

Llei n° 2016-41 del 26 de gener de 2016 (llei de modernització del sistema de salut): ha inscrit en el Codi de salut pública (article L. 1111-8) l'obligació de recórrer a un allotjador certificat HDS per a tota persona física o jurídica que allotja dades de salut de caràcter personal per compte de persones interessades o d'entitats que les tracten.

Decret n° 2018-137 del 26 de febrer de 2018: precisa les activitats subjectes a certificació, les modalitats de lliurament i retirada de la certificació, així com els requisits aplicables als organismes certificadors (acreditació COFRAC obligatòria).

Ordre del 8 d'agost de 2017: fixa el referencial de seguretat aplicable als sistemes d'informació de salut, que serveix de base tècnica per a l'avaluació HDS.

Articulació amb el RGPD

El Reglament (UE) 2016/679 (RGPD) constitueix el marc general de protecció de dades personals. Les seves disposicions s'apliquen cumulativament als requisits HDS:

• Article 9: les dades de salut són categories especials de dades el tractament de les quals està prohibit en principi, excepte excepcions llistades (consentiment explícit, necessitat per a cures de salut, interès públic, etc.)
• Article 28: tot recurs a un subcontractista que allotja dades de salut ha de ser objecte d'un contracte escrit detallat (DPA)
• Article 32: l'associació està obligada a implementar mesures tècniques i organitzacionals adequades (xifrat, pseudonimització, control d'accés)
• Article 33: tota violació de dades de salut ha de ser notificada a la CNIL en un termini de 72 hores
• Article 35: una Anàlisi d'Impact relativa a la Protecció de Dades (AIPD) és obligatòria tan aviat com el tractament és susceptible de generar un risc elevat pels drets de les persones

Riscos jurídics en cas de no-conformitat

El no-respecte del marc HDS exposa l'associació a diversos nivells de sancions:

• Sancions administratives CNIL: fins a 20 milions d'euros o 4% de la facturació anual mundial (article 83, §5 del RGPD) pels incompliments més greus. Per a les associacions, la CNIL aprecia l'import tenint en compte els recursos disponibles, però ja s'han pronunciat sancions simbòliques però públiques contra petites estructures.
• Responsabilitat penal: l'article 226-13 del Codi penal preveu fins a un any de presó i 15.000 euros de multa per violació del secret mèdic.
• Responsabilitat civil: els beneficiaris afectats poden exercir la responsabilitat de l'associació sobre la base dels articles 1240 i següents del Codi civil en cas de perjudici demostrable.
• Suspensió d'acreditació: les associacions acreditades per autoritats públiques (ARS, consell departamental) poden veure's retirada l'acreditació en cas d'incompliment greu de la protecció de dades de salut.

Cal tenir en compte també que la directiva NIS2 (directiva UE 2022/2555, transposada a França per la llei n° 2024-449 del 21 de maig de 2024) estén les obligacions de ciberseguretat a un espectre ampliat d'entitats, potencialment incloent grans associacions que gestionen infraestructures crítigues de salut.

Escenaris d'ús: la conformitat HDS en la pràctica per a associacions i ONG

Escenari 1 : Una associació d'ajuda domiciliar que gestiona 500 dossiers de beneficiaris

Una associació que intervé en persones grans dependents en diversos departaments gestiona aproximadament 500 dossiers actius que inclouen informacions sobre les patologies, les ordres en curs i les avaluacions de dependència (graella GIR). Aquestes dades es desen en un programari de gestió associativa allotjat per un prestatari cloud no certificat HDS.

Seguint una auditoria interna desencadenada per una sol·licitud d'accés d'un beneficiari, l'associació identifica aquesta no-conformitat. Engega una migració cap a un allotjador certificat HDS per a les activitats 4 i 5, conclou un DPA conforme amb el seu prestatari de programari i desplegua una solució de signatura electrònica per desmaterialitzar els formularis de consentiment i els plans d'ajuda personalitzats.

Resultats observats: reducció del 70% del temps de processament dels consentiments (de 12 dies en mitjana en format paper a menys de 4 dies), supressió total dels riscos relacionats amb la pèrdua o enviament erroni de documents en paper, i obtenció d'una cobertura asseguradora ciber reforçada gràcies a la posada en conformitat documentada.

Escenari 2 : Una ONG internacional que coordina missions mèdiques de camp

Una ONG especialitzada en cures mèdiques d'urgència recull, en el marc de les seves missions, dades de salut en poblacions beneficiàries en diversos països, incloses dades transmeses cap a un servidor centralitzat a França. L'equip IT està composat per dues persones voluntàries.

Davant la impossibilitat de mantenir una infraestructura interna certificada HDS, l'ONG opta per una arquitectura 100% SaaS amb un allotjador certificat HDS que cobreix les activitats 1 a 6. Implementa un procés de signatura electrònica per a protocols mèdics i formularis de consentiment adaptats a zones de baixa connectivitat (signatura en mode fora de línia sincronitzada).

Resultats observats: conformitat HDS i RGPD assolida en menys de 6 mesos sense contractació IT addicional, economia estimada del 40% respecte a una infraestructura allotjada en pròpia, i capacitat de respondre a cridades a projectes institucionals (AFD, Unió Europea) que exigeixen una certificació de conformitat de les dades.

Escenari 3 : Una xarxa associativa que gestiona centres de salut comunitaris

Un agrupament associatiu que federia diversos centres de salut comunitaris (aproximadament 8.000 pacients actius) utilitza un programari de dossier de pacient compartit entre els diversos llocs. La coordinació entre llocs implica intercanvis de dades de salut per correu electrònic no assegurat, en violació directa del referencial HDS.

L'associació engega una refundació del seu sistema d'informació amb l'ajut d'un prestatari certificat HDS, implementa una missatgeria assegurada de salut (MSSanté), i desmaterialitza la totalitat dels seus formularis d'admissió i consentiment per mitjà d'una plataforma de signatura electrònica conforme eIDAS. Una AIPD es condueix per a cada tractament de risc elevat.

Resultats observats: zero violació de dades notificada a la CNIL en els 18 mesos següents a la posada en conformitat (contra dos incidents menors en el període anterior), temps mitjà d'admissió reduït del 35%, i millora de la taxa de compleció dels dossiers de pacients del 22% gràcies a la supressió dels formularis en paper incomplets.

Conclusió

Activar la conformitat HDS per a les dades de salut en el sector associatiu i ONG no és una opció reservada a grans estructures hospitalàries: és una obligació legal que s'imposa a tota entitat, sigui quin sigui el seu tamany o estatut jurídic, tan aviat com allotja o tracta dades de salut de caràcter personal. El desconeixement del marc no exonera de la responsabilitat.

La bona notícia: una aproximació estructurada en quatre etapes — cartografia, auditoria dels prestataris, actualització contractual, formació — permet assolir un nivell de conformitat sòlid fins i tot amb recursos limitats. La desmaterialització dels consentiments i documents sensibles per mitjà d'una solució de signatura electrònica certificada constitueix un incentiu particularment efectiu per reduir riscos mentre es millora l'eficiència operacional.

Certyneo proposa una plataforma de signatura electrònica conforme eIDAS, adaptada a les limitacions del sector associatiu i allotjada en una infraestructura certificada HDS. Contacta amb el nostre equip per a una auditoria gratuïta de la teva situació documental i descobreix com assegurar els teus fluxos de dades de salut des d'avui.