Desplegar un agente de voz IA en consulta médica plantea una pregunta en cada primera conversación entre proveedor y facultativo: el cumplimiento del RGPD. El sector sanitario es uno de los más regulados de Europa — datos sanitarios sensibles, requisitos específicos de alojamiento, EIPD obligatoria y ahora el EU AI Act. Veamos cómo Vocalis AI se alinea con este marco y qué debe anticipar el centro por su lado.
Artículo 9 RGPD: la frontera de los datos sensibles
El Reglamento General de Protección de Datos (RGPD, 2016/679) clasifica los datos sanitarios como categoría especial en su artículo 9. Su tratamiento está en principio prohibido, salvo excepciones reguladas — incluida la prestación sanitaria (artículo 9.2.h). Pero no todo dato relativo a un paciente es automáticamente un dato sanitario: el motivo administrativo de una cita (consulta, seguimiento, revisión) no lo es, mientras que un síntoma mencionado espontáneamente sí lo es.
Vocalis AI está configurado para evitar activamente la recogida de datos sanitarios sensibles por teléfono. El agente no solicita el motivo clínico detallado — solo el contexto administrativo (primera consulta, seguimiento, revisión). Si el paciente menciona un síntoma, el agente lo deriva al facultativo sin almacenar información clínica. Esta disciplina de minimización es la piedra angular del cumplimiento.
Alojamiento de datos sanitarios
Si la consulta graba conversaciones que pueden contener datos sanitarios, el alojamiento debe estar específicamente certificado. En España, se recomienda alojamiento conforme al ENS (Esquema Nacional de Seguridad) nivel alto, verificado con su DPD. En Francia: certificación HDS obligatoria.
En la práctica la respuesta no es binaria:
- Flujos puramente administrativos → un alojador EU ISO 27001 con cifrado puede bastar, sujeto a validación DPD + EIPD
- Grabaciones de conversaciones → si el contenido puede revelar datos sanitarios, alojamiento certificado recomendado
- Transcripciones y logs IA → si contienen datos sanitarios, alojamiento certificado requerido
Vocalis AI recomienda verificar el cumplimiento del alojador con el DPD del centro antes de cualquier despliegue. Esta decisión se documenta en la EIPD.
EIPD: la evaluación de impacto obligatoria
La AEPD (y las autoridades de protección de datos equivalentes en la UE) exige una Evaluación de Impacto sobre la Protección de Datos (EIPD) para todo tratamiento que presente un alto riesgo para los derechos y libertades — incluidos los tratamientos de datos sanitarios a gran escala (RGPD artículo 35).
La EIPD debe describir:
- El tratamiento: finalidades, naturaleza de los datos, duración de conservación
- Necesidad y proporcionalidad: por qué un agente de voz IA en lugar de un buzón de voz simple
- Riesgos: acceso no autorizado, fuga de datos, sesgo de la IA, fallo técnico
- Medidas de mitigación: cifrado, control de accesos, registro, contratación con encargado de tratamiento
El DPD del centro realiza la EIPD con el apoyo técnico del proveedor. Vocalis AI proporciona una plantilla de EIPD sectorial sanitaria.
EU AI Act: el marco IA sanitario en 2026
El Reglamento Europeo sobre IA (AI Act, 2024/1689) es aplicable de forma progresiva desde agosto de 2024. Un agente de voz IA que dialoga con pacientes se clasifica como riesgo limitado (artículo 50) — no se considera dispositivo médico (no requiere marcado CE médico para reserva de citas), pero debe cumplir obligaciones de transparencia.
Concretamente:
- Información del paciente: el agente debe anunciar al inicio de la llamada que se trata de una IA. Vocalis AI lo hace sistemáticamente.
- Documentación técnica: el proveedor (Vocalis AI) mantiene documentación conforme al artículo 11 del AI Act.
- Evaluación de sesgos: para agentes IA sanitarios, la evaluación de sesgos debe estar documentada.
- Derecho a transferencia humana: el paciente puede solicitar hablar con un humano en cualquier momento.
Atención: si el agente de voz IA evoluciona hacia triaje médico o ayuda a la decisión clínica, su clasificación cambia. Se convertiría entonces potencialmente en dispositivo médico (Reglamento 2017/745 MDR). Vocalis AI permanece voluntariamente en tareas administrativas.
Duración de conservación: un punto crítico
- Grabaciones de audio: 6 meses máximo (recomendación general, más estricta para salud)
- Transcripciones textuales anonimizadas: 12 meses para mejora del servicio
- Metadatos (fecha, duración, número): 3 años para trazabilidad administrativa
- Datos de cita: alineados con la historia clínica del centro
Vocalis AI permite parametrizar la duración de conservación por centro.
Derechos del paciente: operacionalizar el acceso y la supresión
El RGPD otorga al paciente derechos exigibles: acceso (artículo 15), rectificación (16), supresión (17), portabilidad (20), oposición (21).
- Derecho de acceso: el paciente puede solicitar copia de sus grabaciones + transcripciones. Procedimiento en Vocalis AI dentro de 30 días.
- Derecho de supresión: borrado bajo demanda, sujeto a obligaciones legales.
- Derecho de oposición: el paciente puede rechazar que el agente IA procese sus llamadas. Se mantiene entonces una línea directa al secretariado humano.
- Información previa: mención en la web, en la sala de espera, y al inicio de la llamada.
"El cumplimiento RGPD sanitario no es una casilla a marcar, sino un proceso continuo. Un agente de voz IA bien configurado es más conforme que un buzón de voz tradicional sin política de conservación." — Síntesis posiciones AEPD 2024 sobre IA sanitaria
Seguridad técnica: mínimos
- Cifrado en tránsito: TLS 1.3 mínimo
- Cifrado en reposo: AES-256
- Autenticación multifactor para accesos administrativos
- Logging: registros de acceso trazables, conservación 6 meses
- Pruebas de penetración: pentest anual por tercero independiente
- Copias de seguridad cifradas: restauración probada, RPO < 24h, RTO < 4h
- Localización UE: sin transferencia fuera de la Unión Europea
¿Y si ocurre un incidente?
El artículo 33 del RGPD impone notificar una violación a la AEPD en 72 horas. El contrato con el encargado prevé:
- Notificación inmediata Vocalis AI → centro (DPD)
- Informe de incidente en 24h
- Apoyo al centro en su notificación a la autoridad
- Post-mortem documentado, medidas correctivas, actualización EIPD
Conclusión: cumplimiento = trío centro + proveedor + DPD
- El centro sigue siendo responsable del tratamiento. Define las finalidades, valida la EIPD, informa a los pacientes.
- El proveedor (Vocalis AI) es encargado. Aporta seguridad técnica, documentación, apoyo EIPD.
- El DPD arbitra, documenta, dialoga con la AEPD si es necesario.
Sin este trío, el cumplimiento queda teórico. Con él, el agente de voz IA en consulta médica se convierte en una herramienta madura, segura y conforme — al servicio de una mejor atención administrativa, sin invadir nunca el acto sanitario.
Para profundizar, consulte nuestro artículo sobre citas 24/7 y ausentismo, el de configuración por especialidad, y el marco general en Inicio y pillar llamadas entrantes.