Postura de cumplimiento normativo

Para responsables de decisión en laboratorios clínicos y equipos DPO

Tiempo de lectura: ~4 minutos

Genetic History es un módulo de software con modelo push instalado en la infraestructura de su propio laboratorio. Esta página explica qué significa esto para las obligaciones de protección de datos — las de su organización y las nuestras — en términos sobre los que sus equipos de contratación y DPO puedan actuar sin necesidad de un diccionario jurídico.

En síntesis: los datos de los pacientes nunca llegan a Genetic History. Permanecen en su infraestructura. Las obligaciones de Genetic History bajo el RGPD se derivan de la distribución de una biblioteca de software, no del tratamiento de los datos genéticos de sus pacientes.

1. Arquitectura: la base técnica del perímetro de cumplimiento

Genetic History no opera como una API en la nube ni como una plataforma SaaS. Su laboratorio instala un módulo de software en su propio entorno informático. El módulo procesa las entradas de variantes genéticas contra una biblioteca de narrativas de ancestralidad almacenada localmente y devuelve resultados estructurados, sin que ningún dato salga de su perímetro.

Cuatro invariantes arquitectónicas definen la estructura de cumplimiento:

Sin transferencia de datos en tiempo real a Genetic History. Una vez instalado y sincronizada la biblioteca, el módulo opera completamente sin conexión. Ninguna comunicación con sede central, ninguna telemetría, ninguna analítica de uso ni registros en tiempo real llegan a Genetic History durante el tratamiento de los resultados de los pacientes.

Las actualizaciones de la biblioteca son unidireccionales. Genetic History publica actualizaciones versionadas de la biblioteca en puntos de acceso HTTPS en Scaleway EU (Francia, DC2 Vitry-sur-Seine, Val-de-Marne, área metropolitana de París). Su módulo se sincroniza con una cadencia configurable — semanalmente por defecto; mensual o trimestral para entornos que priorizan la estabilidad. Solo el contenido de la biblioteca fluye hacia su módulo. Ningún dato de pacientes retorna.

Alojamiento exclusivo en la UE. La infraestructura de sincronización de Genetic History opera exclusivamente en Scaleway EU (Francia, DC2 Vitry-sur-Seine, Val-de-Marne, área metropolitana de París). No existe ningún mecanismo de transferencia transfronteriza de datos en la versión 0.1.

Los datos permanecen en las instalaciones del socio. Los datos de los pacientes residen en su infraestructura en todas las fases: ingesta, tratamiento y entrega de resultados. Esta es una invariante técnica, no un compromiso de política — es auditable por diseño.

2. RGPD Art. 9 — alcance de nuestro compromiso

Dado que los datos de los pacientes permanecen en su infraestructura, Genetic History S.L. opera como proveedor de software / licenciante y no asume rol de encargado ni subencargado del tratamiento sobre datos personales del paciente per RGPD Arts. 4.7-4.8. El alcance de Genetic History bajo el RGPD cubre únicamente la distribución de la biblioteca — no el tratamiento de datos de pacientes.

En la práctica:

Nuestro alcance contractual es reducido. La plantilla del Anexo contractual de licencia y distribución de Genetic History se limita exclusivamente a la distribución de la biblioteca y a la licencia del software — no constituye un acuerdo de encargo del tratamiento bajo RGPD; cubre la relación con el punto de sincronización y la licencia del software, no el tratamiento de datos de pacientes. Una plantilla del anexo de licencia prediseñada y de alcance restringido está disponible desde la fase LOI en adelante.

Sus obligaciones bajo el Art. 9 siguen siendo suyas. Su laboratorio ya dispone de la base de consentimiento de los pacientes para las pruebas genéticas clínicas. Ampliar la generación de narrativas de ancestralidad al resultado de un paciente requiere que el alcance de su consentimiento cubra este uso adicional. Genetic History proporciona orientación sobre el lenguaje de consentimiento en la plantilla del anexo de licencia para facilitar su revisión de cumplimiento. El RGPD, implementado en España mediante la Ley Orgánica 3/2018 (LOPDGDD), rige esta base de consentimiento. el lenguaje de consentimiento y la plantilla están validados por la arquitectura; redacción final sujeta a revisión por el Asesor Legal/Cumplimiento externo en las próximas semanas — pendiente de revisión legal externa

Proveedor de infraestructura para distribución de biblioteca. Scaleway (UE, Francia — DC2 Vitry-sur-Seine, Val-de-Marne, área metropolitana de París) es el único proveedor de infraestructura para la distribución de la biblioteca en el alcance del anexo de licencia de Genetic History, involucrado exclusivamente en el alojamiento de la biblioteca y la infraestructura del punto de sincronización (no procesa datos de pacientes; no es subencargado del tratamiento sobre datos personales).

2.bis. Base de tratamiento de datos en la prospección comercial B2B

La prospección comercial B2B realizada por Genetic History SLU (envío de correos electrónicos a responsables de decisión de laboratorios clínicos NGS para conversación de asociación) opera bajo art. 6(1)(f) RGPD interés legítimo, acompañado de una Evaluación de Interés Legítimo (LIA) firmada por la dirección que documenta el test de tres prongs ICO (finalidad / necesidad / ponderación) + análisis de la interpretación restrictiva STJUE C-621/22 KNLTB.

La divulgación de transparencia conforme al art. 13(1)(d) + art. 14(2)(b) RGPD para esta base de tratamiento se publica en el Aviso de Privacidad §2 — fila «Outreach a prospectos B2B» — disponible para todos los interesados.

Acceso DPD + diligencia debida del proveedor: el texto completo de la LIA Wave-1 v0.1.1 (firmada por Vadim Urasin, administrador-controlador corporativo conforme al art. 233-234 LSC, fecha 2026-04-22; modificada v0.1.1 el 2026-04-30 — corrección factual ubicación Scaleway) está disponible bajo NDA para clientes cualificados, equipos DPD que realicen diligencia debida del proveedor y autoridades supervisoras (AEPD). Para solicitar acceso, contacte con acgt@genetichistory.es con asunto «Solicitud de LIA — [Nombre de su organización]».

Los interesados pueden ejercer el derecho de oposición conforme al art. 21 RGPD en cualquier momento sin justificación; véase el Aviso de Privacidad §4 + §7 para los canales de ejercicio de derechos.

3. Alcance de brechas de seguridad y notificación

En sus instalaciones: los datos de los pacientes residen en su infraestructura. Una brecha que involucre datos genéticos de pacientes en su entorno cae dentro de su obligación de notificación de 72 horas del Art. 33 del RGPD.

En Genetic History: cualquier brecha en Genetic History involucra únicamente el activo de distribución de la biblioteca — un paquete de software versionado. Esto no constituye datos personales. La obligación de notificación de 72 horas de Genetic History, cuando se activa, se limita a este activo de biblioteca únicamente.

4. Declaraciones del marco regulatorio

Las siguientes posiciones reflejan la postura arquitectónica actual de Genetic History combinada con el sustrato de investigación legal establecido. Los elementos marcados como pendiente de revisión legal externa están pendientes de validación formal por el Asesor Legal/Cumplimiento externo (previsto en las próximas semanas). El Asesor externo confirmará, actualizará o revisará estas posiciones con opiniones jurídicas formales.

Ley 14/2007 de Investigación Biomédica (España) Genetic History opera en el contexto genealógico y de bienestar. El módulo proporciona narrativas de ancestralidad — no protocolos de investigación, análisis biomédico ni interpretación de datos clínicos. La separación técnica entre la generación de narrativas de ancestralidad y la investigación biomédica está garantizada por el diseño del módulo. la caracterización del alcance genealógico está pendiente de revisión formal por el Asesor externo — pendiente de revisión legal externa

IVDR / MDR Genetic History distribuye un módulo no clínico. Nuestra declaración de alcance es que el módulo de narrativas de ancestralidad no constituye un producto sanitario según el IVDR. El alcance de cumplimiento MDR/IVDR existente en su laboratorio no se ve afectado por esta integración — el módulo opera fuera del ámbito de interpretación clínica. la etiqueta de módulo no clínico es nuestra declaración de alcance, no una determinación regulatoria; revisión formal por el Asesor externo en las próximas semanas — pendiente de revisión legal externa

EHDS (Espacio Europeo de Datos Sanitarios — calendario art. 105 Reg. UE 2025/327: aplicación general 26-03-2027; categorías prioritarias + sistemas EHR 26-03-2029; categorías adicionales 26-03-2031) El marco genealógico de ancestralidad no clínica está probablemente fuera del alcance de los datos de uso primario del EHDS. Genetic History no almacena ni trata datos de salud dentro de la definición del EHDS. evaluación formal del alcance EHDS por el Asesor externo pendiente — pendiente de revisión legal externa

EU AI Act (Reglamento de Inteligencia Artificial de la UE) El EU AI Act entra en vigor de forma escalonada por Art. 113 del Reg. 2024/1689: aplicación general 02-08-2026; disposiciones de alto riesgo (Art. 6(1)) 02-08-2027. Genetic History adopta una postura de transparencia proactiva ante este calendario. La generación de narrativas de ancestralidad asistida por IA se revela en la documentación de resultados del módulo. La clasificación formal de riesgo bajo el EU AI Act está sujeta a la revisión del Asesor Legal/Cumplimiento externo; en este documento no se afirma ninguna clasificación. pendiente de revisión legal externa

Accesibilidad (AAE / RD 193/2023 de España) La exención para relaciones B2B y la exención para microempresas del Acta Europea de Accesibilidad son aplicables a la oferta de Genetic History. El cumplimiento voluntario de WCAG 2.1 AA se adopta como señal de confianza y como preparación anticipatoria ante la implantación del RD 193/2023 de España (plazo de 2029).

5. Plantilla del anexo contractual y documentación legal

Una plantilla del Anexo contractual de licencia y distribución prediseñada y de alcance restringido (distribución de biblioteca y licencia de software únicamente, no tratamiento de datos de pacientes) está disponible desde la fase LOI en adelante.

Para solicitar la plantilla del anexo de licencia o hablar sobre los requisitos de cumplimiento para la integración:

Correo electrónico: acgt@genetichistory.es Asunto: Solicitud del anexo de licencia — [Nombre de su organización]

El anexo de licencia incluye:

• Declaración del único proveedor de infraestructura para distribución de biblioteca: Scaleway EU
• Declaración del alcance restringido a la distribución de biblioteca y licencia de software
• Orientación sobre el lenguaje de consentimiento para ampliar las funcionalidades de ancestralidad a los resultados de los pacientes

6. Responsable del tratamiento

Genetic History, S.L.U. CIF B24962573 Registro Mercantil de Barcelona, Hoja B-646398 Calle Aribau 168, 1-1, 08036 Barcelona, España

7. Postura de gobernanza provisional

Nota para DPO y asesores legales: las posiciones regulatorias del §4 anterior reflejan la postura actual de los factores palanca arquitectónicos de Genetic History, combinada con la investigación establecida en materia de RGPD y legislación sectorial. Las opiniones jurídicas formales para los elementos de postura provisional están previstas con el Asesor Legal/Cumplimiento externo en las próximas semanas. En caso de que las opiniones formales difieran de las posiciones provisionales, esta página se actualizará y la plantilla del anexo de licencia se revisará en consecuencia.

Si su proceso de contratación requiere opiniones jurídicas formales con anterioridad a esa revisión — por ejemplo, para su proceso de aprobación de proveedores — contacte con Genetic History en acgt@genetichistory.es para concertar un diálogo directo con el fundador.

Apéndice A: registro de proveedores de infraestructura (v0.1)

Ningún dato de pacientes llega a ningún proveedor de infraestructura de Genetic History (Genetic History S.L. no asume rol de encargado ni subencargado del tratamiento sobre datos personales del paciente per RGPD Arts. 4.7-4.8).