23 años desde Estocolmo
Soluciones · Sanidad

Infraestructura email para organizaciones sanitarias bajo RGPD Art. 9, HIPAA y el régimen del Espacio Europeo de Datos Sanitarios

El email sanitario es el workload donde los errores cuestan más caro. La Agencia Española de Protección de Datos (AEPD), la Comisión Federal para la Protección Contra Riesgos Sanitarios (COFEPRIS) en México, y el HHS Office for Civil Rights en EE.UU. registran cientos de incidentes anuales de exposición de datos sanitarios vinculados a email — un BCC olvidado expone 912 historias clínicas, un autocompletado equivocado envía un diagnóstico al colega equivocado, un phishing exitoso convierte una cuenta en una brecha de 9.850 pacientes. Cada uno empezó con un email rutinario. La infraestructura que maneja comunicaciones con pacientes tiene que asumir que los errores ocurrirán y cifrar por defecto en lugar de depender del juicio del personal, mantener el registro de auditoría que el Art. 32 del RGPD y 45 CFR 164.312 exigen, y encajar dentro del Espacio Europeo de Datos Sanitarios (Reglamento UE 2025/327) que entró en vigor el 26 de marzo de 2025.

El panorama regulatorio 2026 del email sanitario

RGPD Art. 9 gobierna los datos sanitarios desde 2018. EEDS acaba de entrar en vigor. El email entre profesional y paciente está regulado por ambos.

En la Unión Europea, el Artículo 9 del RGPD ha clasificado los datos sanitarios como categoría especial desde mayo de 2018, exigiendo bases legales reforzadas para su procesamiento (consentimiento explícito, atención sanitaria preventiva, salud pública, archivo de interés público, o investigación científica con salvaguardas). El email es un canal permitido bajo el RGPD — el artículo 28 enmarca la relación responsable-encargado entre el centro sanitario y su proveedor de email — pero la infraestructura debe implementar las medidas técnicas y organizativas apropiadas que el Art. 32 exige. Para España específicamente, la LOPD-GDD (Ley Orgánica 3/2018) y el Decreto 1093/2010 sobre conjunto mínimo de datos de los informes clínicos refuerzan esta capa con requisitos nacionales.

Los datos sanitarios bajo el RGPD son más amplios de lo que muchos clínicos esperan inicialmente. Incluyen no solo diagnósticos y tratamientos, sino también cualquier información identificable de salud vinculada a la atención, el pago o el tratamiento del paciente. Una dirección de email asociada a un historial clínico, un nombre combinado con una cita en una clínica especializada, una factura que menciona un código de procedimiento — todos son datos sanitarios bajo el RGPD Art. 4(15). Incluso los asuntos de los emails y las cabeceras de mensaje pueden exponer datos sanitarios. Un asunto que dice "Resultados del análisis de diabetes de Juan Pérez" es una divulgación ilícita antes de que el email sea abierto, porque las cabeceras no están cifradas end-to-end y el cifrado TLS solo las protege durante el tránsito entre servidores, no en el buzón del destinatario.

El 26 de marzo de 2025, el Espacio Europeo de Datos Sanitarios (EEDS) Reglamento (UE) 2025/327 entró en vigor. El EEDS no reemplaza las protecciones del Art. 9 del RGPD para datos sanitarios de categoría especial; las complementa con un marco sectorial específico para el uso primario (prestación de atención sanitaria) y secundario (investigación, innovación, formulación de políticas) de datos sanitarios electrónicos en toda la UE. El reglamento EEDS se aplica desde el 26 de marzo de 2027, con las principales disposiciones de uso primario operativas el 26 de marzo de 2029, y la segunda ola el 26 de marzo de 2031. En junio de 2025, cada estado miembro de la UE debió designar una Autoridad Nacional de Salud Digital; en enero de 2026, los proveedores de HCE debieron certificar sus sistemas para cumplimiento de interoperabilidad y seguridad. Para España, esa Autoridad es el órgano correspondiente dentro del Ministerio de Sanidad, y la certificación de HCE incluye a vendors locales como Compugroup Medical España, IECISA, y Doctoralia.

Para organizaciones LATAM con pacientes en la UE (caso común en medicina privada premium en CDMX, São Paulo, Buenos Aires con clientela europea expatriada), las reglas de transferencia del RGPD Art. 9 aplican cuando los datos cruzan el Atlántico. México tiene su propio régimen: la NOM-024-SSA3-2012 (renovada en 2019) sobre Sistemas de Información de Registro Electrónico para la Salud, la LFPDPPP de 2010 con su categorización de datos sensibles (incluidos los sanitarios), y la supervisión de la COFEPRIS y el IMSS. Colombia opera bajo la Resolución 1995 de 1999 sobre historia clínica electrónica reforzada por la Ley 1581 de 2012. Brasil bajo la LGPD desde agosto de 2020 trata los datos sanitarios como dato sensible. Argentina bajo la Ley 25.326. Chile bajo la Ley 19.628 con reforma 2024.

Las penalizaciones son severas en todos los regímenes. RGPD permite multas hasta €20M o 4% del volumen global anual. La AEPD ha aplicado consistentemente sanciones de cinco a seis cifras a centros sanitarios por brechas de email no aseguradas. LGPD Brasil permite multas hasta 2% de la facturación del grupo económico (limitado a R$50M por infracción). El EEDS añade una capa de multas adicionales: hasta €10M o 2% para infracciones menores, hasta €20M o 4% para graves. Para organizaciones US bajo HIPAA, $100 a $50.000 por violación, $1.5M anual máximo por categoría. La intersección de estos regímenes hace del email sanitario la categoría de email más regulada de la economía.

Modelado de exposición de datos sanitarios

Lo que una organización sanitaria pierde cada año en brechas atribuibles al email

Mueve los sliders para modelar tu situación. Las matemáticas aproximan el coste por registro documentado en sanidad (€400 a ~€2.000 según fuente) combinado con la tasa de exposición por cuenta de personal que sugieren los archivos de brechas de la AEPD y el HHS OCR. El multiplicador de postura refleja si el cifrado es por defecto plano, TLS oportunístico, o auto-cifrado al detectar datos sanitarios.

1K (consulta pequeña)2M (red hospitalaria)
5 (clínica pequeña)5K (multi-hospital)
€100 (solo notificación)€2.500 (con litigación)
PlanoTLS-oppPortal cifradoAuto-cifrar + DLP

Matemáticas: eventos esperados de brecha/año por cuenta de personal × registros expuestos por evento × coste por registro × multiplicador de postura. Multiplicadores: Plano + portal = 1,0×; TLS oportunístico (Office 365 + DPA) = 0,55× (cae a plano si el servidor receptor no soporta TLS); Portal cifrado con DPA = 0,20× (asuntos y cabeceras aún vulnerables); Auto-cifrar + DLP + auditoría + MFA = 0,05×.

Exposición anual esperada
€600K
Exposición plano + portal
Personal manejando datos sanitarios 75
Eventos de brecha esperados/año ~2,3
Registros promedio por evento ~650
Registros expuestos/año ~1.495

Pasa a auto-cifrar + DLP + auditoría + MFA y la exposición baja ~95%. La expectativa del Art. 32 del RGPD es que el sistema, no el personal, previene las divulgaciones ilícitas. Cada email asumido como dato sanitario, cifrado independientemente, es la única arquitectura que la AEPD trata consistentemente como habiendo implementado medidas técnicas apropiadas.

Tres patrones de email sanitario

Cómo manejan realmente los datos sanitarios por email las organizaciones — comparación honesta

La mayoría de organizaciones sanitarias acaban en una de tres configuraciones. Cada una funciona para cierto tamaño de organización y cierta tolerancia al riesgo. Abajo: dónde encaja cada una, dónde se rompe, y qué tiende a encontrar la AEPD cuando investiga.

Patrón 1 — Plano + portal

Email de consumo + notificaciones "inicia sesión en el portal"

El patrón más común en consultas pequeñas. El personal usa Gmail/Yahoo de consumo (sin DPA específico), las comunicaciones con pacientes pasan por un flujo "inicia sesión en el portal" con un email de notificación genérico. El portal en sí está cubierto por DPA, pero cada email fuera de él es un riesgo RGPD.

Uso práctico
~1-5 clínicos, bajo volumen
Se rompe en
Cualquier email clínico fuera del portal
Visión AEPD
Medidas insuficientes bajo Art. 32
Evaluación honesta

Aceptable solo si la disciplina es perfecta: ningún dato sanitario en ningún asunto, ningún cuerpo, ningún archivo adjunto, cada conversación clínica se mueve al portal. En la práctica la disciplina se rompe en meses.

Patrón 2 — M365 / Workspace + DPA

Cifrado TLS oportunístico con DPA firmado

Microsoft 365 Business o Google Workspace, ambos firman DPAs Art. 28 con clientes sanitarios como estándar. Cifrado TLS entre servidores de correo cuando ambos lo soportan; cae a plano si el servidor receptor no lo hace. Es el defecto para la mayoría de grupos médicos y clínicas ambulatorias.

Uso práctico
5-500 clínicos, volumen medio
Debilidad
Caída TLS a plano + exposición de asunto
Visión AEPD
Aceptable con análisis de riesgo documentado
Evaluación honesta

El default conforme RGPD para la mayoría de consultas. La exposición restante: datos sanitarios en asunto, la brecha de caída TLS cuando los pacientes usan proveedores pequeños/antiguos, y la incapacidad de aplicar DLP automáticamente.

Patrón 3 — Auto-cifrar + DLP + auditoría

Cada email asumido sanitario, cifrado independientemente, auditado per Art. 32

La arquitectura para organizaciones donde la disciplina no se puede asumir. Cada email saliente cifrado por defecto; el DLP escanea patrones (SIP, NIF, CIPA en España; CURP en México; CC en Colombia; CPF en Brasil) y bloquea/redirige cuando se detecta; MFA obligatorio en cada cuenta; logs de auditoría satisfacen Art. 32 RGPD; detección de brechas dentro del reloj de 72h.

Uso práctico
500+ clínicos, alto volumen
Coste-breakeven
Consultas con 50+ personal clínico
Visión AEPD
Medidas técnicas apropiadas documentadas
Evaluación honesta

Donde las matemáticas empiezan a cuadrar para organizaciones con +50 personal clínico. Hospitales como Quirónsalud, HM Hospitales, o redes LATAM como Sanitas Colombia operan a esta escala.

Manejo de datos sanitarios por componente del mensaje

Dónde acaban los datos sanitarios en un email, y cómo cada método de cifrado los maneja

Componente del mensaje TLS (solo tránsito) PGP / S/MIME Entregado por portal AH auto-cifrar
Línea de asunto Cifrado solo en tránsito; visible en buzón al reposo No cifrado (PGP/S/MIME no cubren cabeceras) Solo notificación genérica Auto-saneado si se detectan datos; reemplazado por asunto neutral
Cuerpo del mensaje Cifrado en tránsito; plano en buzón Cifrado extremo a extremo No en email; tras auth de portal Cifrado E2E, receptor descifra en navegador
Archivos adjuntos (analíticas, RX) Cifrado en tránsito; receptor guarda en plano Cifrado Tras auth de portal Cifrado + auditado
Campos remitente/destinatario Siempre visible (RFC 5321) Siempre visible No expuesto; interno al portal Visible (no cifrable a nivel SMTP)
Disciplina CCO Depende del personal (brecha más común) Depende del personal El portal maneja segregación de listas CCO forzado al detectar múltiples destinatarios
Registro de auditoría (Art. 32) Solo logs del servidor de correo Solo logs del servidor Logs de acceso al portal Recibos de entrega y lectura per destinatario
Caída TLS Caída silenciosa a plano si receptor no soporta TLS Independiente de TLS No aplica Enruta vía portal seguro si TLS no disponible

Comparativa verificada contra documentación de la AEPD sobre medidas técnicas y organizativas RGPD Art. 32, guía HHS sobre email PHI (FAQ 570), Paubox guía definitiva HIPAA email 2026, política Yale University HIPAA email 5123, y archivo de brechas del HHS Office for Civil Rights 2023-2025.

Qué entregamos para un engagement sanitario

Las piezas de la plataforma que satisfacen RGPD Art. 32, HIPAA 45 CFR 164.312 y el régimen EEDS juntos

Lo que proveemos es la capa de envío regulada debajo de tu HCE, portal de paciente, y sistemas de comunicación clínica. No reemplazamos Quirónsalud HCE, IECISA, Compugroup, Doctoralia, ni equivalentes LATAM como Sanitas Colombia o Datasul Brasil; lo que reemplazamos es el SMTP relay debajo de ellos, más los workflows de cifrado, auditoría y detección de brechas que el Art. 32 del RGPD y los requisitos de seguridad del EEDS exigen.

  • Marco DPA Art. 28 RGPD + BAA HIPAA, listos para firmar DPA pre-redactado alineado con Art. 28 RGPD, excepciones permitidas documentadas, notificación de brecha dentro de 72h como el Art. 33 requiere, lista de subprocesadores con DPA propio. Para organizaciones US: BAA pre-redactado alineado con 45 CFR 164.504(e) en paralelo. Para LATAM: equivalentes locales (LFPDPPP México, LGPD Brasil con contratos de operador de tratamiento, Resolución 1995 Colombia). Incluido en cada plan sanitario.
  • Auto-cifrar al detectar datos sanitarios El DLP saliente escanea identificadores RGPD (NIF, CIPA, número de Seguridad Social) y patrones clínicos (códigos CIE-10, términos diagnósticos comunes, formatos de resultados de laboratorio). La detección dispara cifrado automático — el email sale por la ruta de portal seguro en lugar de SMTP plano — sin requerir que el personal recuerde marcarlo. El supuesto por defecto es que cada email puede contener datos sanitarios, cada email se cifra.
  • Saneado de datos sanitarios en línea de asunto Las líneas de asunto son el componente más expuesto de un email (las cabeceras no se cifran E2E, son visibles en el buzón del destinatario al reposo). Nuestro DLP escanea el asunto independientemente del cuerpo; cuando se detectan datos sanitarios, el asunto se reemplaza con un marcador neutral ("Mensaje seguro de la consulta del Dr. García — inicia sesión para ver") y el asunto original con datos vive solo dentro del cuerpo cifrado o portal.
  • Controles de auditoría bajo Art. 32 RGPD Registro de auditoría per-mensaje: remitente, destinatarios (incluidos los que recibirían CCO), timestamp, ID de mensaje, método de cifrado aplicado, estado de entrega, recibos de lectura donde estén soportados, retención por el período que especifique tu organización. Los logs son consultables por tu equipo de cumplimiento y están listos para exportar ante cualquier inspección de la AEPD o petición de Health Data Access Body bajo EEDS.
  • Refuerzo de autenticación multifactor (MFA) El Art. 32 del RGPD requiere medidas técnicas apropiadas; la propuesta de actualización 2025 de la HIPAA Security Rule hace MFA obligatorio. Nuestra infraestructura fuerza MFA en cada cuenta de personal que toca datos sanitarios, con TOTP, security keys (FIDO2/WebAuthn), o SMS como fallback. Los fallos de autenticación se registran; los fallos repetidos disparan bloqueo de cuenta y notificación al equipo de seguridad.
  • Disciplina CCO en la capa relay El patrón de brecha más común es emails multi-destinatario enviados sin CCO. Cuando nuestro sistema detecta múltiples destinatarios en línea Para: o CC: en un mensaje marcado como comunicación de paciente, el envío se intercepta, los destinatarios se mueven silenciosamente a CCO, y una notificación va al remitente para que aprenda la disciplina.
  • Detección de brechas dentro del reloj de 72h del Art. 33 El Art. 33 del RGPD requiere notificación a la AEPD dentro de 72 horas del descubrimiento. Nuestro workflow marca patrones sospechosos, mensajes mal dirigidos, y anomalías de autenticación casi en tiempo real, con el contacto de cumplimiento nombrado en tu organización recibiendo notificación dentro de una hora. Los datos técnicos de brecha que proveemos están estructurados para inclusión directa en la notificación a la AEPD.
  • Ruteo solo-UE en Stockholm y Frankfurt Para organizaciones sanitarias establecidas en la UE, las comunicaciones con pacientes permanecen en la UE por defecto — infraestructura primaria en Stockholm, secundaria en Frankfurt. Las preguntas Schrems II que complican cualquier mail ruteado por EE.UU. involucrando datos del Art. 9 simplemente no aplican a nuestra cadena. Para hospitales en LATAM con clientes UE, este ruteo satisface el Art. 46 del RGPD sin BCRs adicionales.
Escenarios de pricing

Cómo se dimensionan típicamente los engagements sanitarios

Clínica pequeña / mono-especialidad

SMTP Relay Pro + DPA · €749/mes

20 IPs dedicadas, DPA incluido, auto-cifrar + saneado de asunto, refuerzo MFA, controles de auditoría. La configuración para consultas con ~5-50 clínicos manejando workloads rutinarios (recordatorios de cita, resultados de laboratorio, comunicaciones de facturación).

Ver SMTP Relay
Grupo médico / multi-especialidad · Más común

PowerMTA Pro + Managed Deliverability · €2.699/mes

PowerMTA Pro (€1.499) + Managed Deliverability (€1.200). 20 IPs dedicadas, 150K msg/hr, ingeniero de cumplimiento nombrado, stack completo de auditoría y DLP, detección de brechas dentro del reloj de 72h, marco DPA con registro de subprocesadores. Tier típico de asentamiento para grupos médicos con 50-500 clínicos.

Ver Managed Deliverability
Red hospitalaria / centro médico académico

Personalizado · desde €5.999/mes

Arquitectura multi-servidor entre Stockholm + Frankfurt, espacio IP dedicado, SLA nombrado con respuesta sub-30 min en incidentes de datos sanitarios, soporte de auditoría alineado con AEPD/EHDS, integración con Compugroup/IECISA/Doctoralia/equivalentes LATAM, liaison con Autoridad Nacional de Salud Digital para organizaciones europeas.

Abrir conversación
Preguntas comunes de cumplimiento sanitario

Lo que las organizaciones sanitarias preguntan antes de firmar

¿Qué cubre vuestro DPA y cuál es la situación de subprocesadores?

+

Nuestro DPA está alineado con los términos requeridos bajo Art. 28 RGPD: acordamos usar y divulgar datos sanitarios solo como permite el DPA, implementar medidas apropiadas bajo Art. 32, reportar brechas a tu organización dentro del plazo que especifique tu DPA (defecto 24h del descubrimiento), hacer disponibles los datos para el derecho de acceso del interesado bajo Art. 15, documentar y reportar cualquier subcontratista, y devolver o destruir datos al término salvo retención requerida por ley.

Subprocesadores: nuestra infraestructura corre en servidores bare-metal en nuestras instalaciones de Stockholm y Frankfurt, ambas operadas directamente (no en AWS, no en Azure, no en Google Cloud). La lista de subprocesadores es corta: DNS, los proveedores de red en cada data center. Cada subprocesador tiene DPA con nosotros. El registro completo es parte del documento de procurement que compartimos antes de firmar.

¿Cómo funciona el flujo de recordatorio de cita cuando un paciente consiente email sin cifrar?

+

El RGPD permite explícitamente que el responsable acomode medios de comunicación alternativos cuando el interesado lo solicita expresamente. La AEPD ha clarificado en múltiples resoluciones que el paciente puede consentir recibir recordatorios por email sin cifrar siempre que se le hayan informado los riesgos.

Lo que entregamos: un flag de consentimiento por paciente en la base de datos. Cuando el flag está activo, nuestro DLP trata los recordatorios de ese paciente diferente — recordatorios de cita, notificaciones de facturación, y comunicaciones similares de baja sensibilidad pueden fluir como plano (con asunto genérico sin datos sanitarios), mientras que comunicaciones clínicas (resultados de laboratorio, detalles de receta, información de diagnóstico) aún disparan auto-cifrado independientemente. El flag es auditable: quién lo activó, cuándo, con qué evidencia (formulario de autorización firmado escaneado al HCE, o consentimiento verbal con documentación del personal). Revocar es un clic y propaga en minutos.

¿Qué pasa si un email con datos sanitarios sale mal dirigido — cuál es el path de recuperación?

+

La ventana de 24-48 horas es la más crítica. Detección: nuestro DLP marca mensajes multi-destinatario, dominios de destinatario inusuales (Gmail/Hotmail de consumo cuando el perfil del paciente muestra una cuenta Office 365), y direcciones que coinciden con cuentas de personal o vendor en un mensaje clínico. Cuando el flag dispara, el mensaje se retiene en la cola saliente y el remitente más su supervisor inmediato son notificados dentro de 60 segundos.

Si un mensaje sí se filtra, el workflow de recuperación: notificación inmediata a tu DPO, plantilla de evaluación de brecha pre-rellenada con los hechos técnicos, petición al destinatario de borrado (legalmente débil pero vale hacerla), y el reloj del Art. 33 del RGPD empieza. Si la brecha es probable que resulte en riesgo a los derechos del interesado, debe notificarse a la AEPD dentro de 72 horas. Proveemos los datos técnicos estructurados para inclusión directa en el formulario de notificación de la AEPD.

¿Cómo integra esto con nuestro HCE (Compugroup, IECISA, Doctoralia, o equivalentes LATAM)?

+

Dos patrones de integración. Patrón SMTP relay: Compugroup/IECISA/Doctoralia (o tu HCE específico — Datasul Brasil, Sanitas Colombia, equivalentes regionales) autentica a nuestro SMTP relay, el HCE continúa siendo la fuente de comunicaciones, nuestra infraestructura maneja cifrado, DLP, auditoría, y entrega. El contexto clínico del HCE no se expone a nosotros; vemos metadata a nivel de envelope y estructura del mensaje, no el historial del paciente.

Patrón HTTP API: para organizaciones construyendo workflows más nuevos (plataformas de telemedicina, capas de engagement de paciente sobre un HCE existente), el HCE o middleware llama a nuestra API directamente con plantillas estructuradas. Los flags de consentimiento de paciente viajan como parámetros API; el DLP corre contra el mensaje renderizado antes del handoff SMTP. Este patrón es más común en despliegues europeos donde los estándares de interoperabilidad EEDS fomentan integración basada en API.

Para clientes europeos: ¿cómo interactúa el EEDS con lo que estáis enviando?

+

El EEDS (Reglamento UE 2025/327) es principalmente un marco de interoperabilidad y acceso transfronterizo, no un mandato de cifrado. La mayoría de provisiones no aplican hasta el 26 de marzo de 2027, con la funcionalidad principal de uso primario (Resúmenes de Paciente, eRecetas/eDispensaciones intercambiadas a través de fronteras) operativa para el 26 de marzo de 2029. Lo que ya está vivo: cada estado miembro UE tuvo que designar una Autoridad Nacional de Salud Digital para junio 2025, y los vendors de HCE tuvieron que certificar sus sistemas para enero 2026.

Lo que esto significa para nuestra infraestructura: no reemplazamos tu HCE (la certificación EEDS aplica allá), pero somos parte del perímetro de seguridad que la Autoridad Nacional de Salud Digital de tu estado miembro puede preguntar durante la supervisión. El registro de auditoría que mantenemos está estructurado para satisfacer tanto el Art. 32 del RGPD como los requisitos EEDS para controles de seguridad, confidencialidad e integridad. Para hospitales en España específicamente, esto también alinea con los requerimientos de la AEPD sobre tratamiento de categoría especial y las expectativas del Ministerio de Sanidad para HCE.

¿Qué cubrís para organizaciones LATAM bajo LGPD, LFPDPPP y regímenes locales?

+

Tenemos clientes sanitarios significativos en México, Colombia, Brasil, Chile y Argentina. Los regímenes locales tienen sus particularidades pero la estructura técnica subyacente es la misma: el centro sanitario es el responsable/controlador, somos el encargado/operador, con un contrato que documenta las medidas técnicas y la cadena de subprocesadores.

Para México: contrato de transferencia bajo LFPDPPP Art. 36, alineación con NOM-024-SSA3-2012/2019 sobre Sistemas de Información de Registro Electrónico, supervisión del INAI. Para Colombia: contrato bajo Ley 1581 de 2012, alineación con Resolución 1995 de 1999 sobre historia clínica electrónica reforzada por Resolución 8430 de 1993 para investigación. Para Brasil: contrato de operador de tratamiento bajo LGPD (Ley 13.709/2018), notificación de incidentes a la ANPD. Para Chile: alineación con Ley 19.628 reformada en 2024, y la Ley 20.584 sobre derechos del paciente. Para Argentina: Ley 25.326 y la Disposición 18/2015 de la Autoridad Nacional de Protección de Datos.

¿Qué pasa con la propuesta 2025 de la HIPAA Security Rule haciendo MFA obligatorio?

+

Para organizaciones US bajo HIPAA, la propuesta de actualización reclasifica MFA de "abordable" (la covered entity decide implementar basado en análisis de riesgo) a "requerido" (la covered entity debe implementar). A principios de 2026 la regla aún está propuesta — la adopción final se espera a través del proceso de comentarios regulatorios — pero la dirección es clara.

Para organizaciones UE bajo RGPD: el Art. 32 ya requiere medidas técnicas apropiadas, y la AEPD ha clarificado consistentemente que MFA es la expectativa de la industria para sistemas que manejan datos de categoría especial. Nuestra infraestructura fuerza MFA en cada cuenta de personal que toca datos sanitarios como el defecto — TOTP, FIDO2/WebAuthn security keys, o SMS como fallback. El log de auditoría registra cada evento de autenticación, cada desafío MFA, cada fallo.

Cuéntanos sobre tu organización

Tamaño de la consulta, HCE, perímetro regulatorio (RGPD + AEPD, EEDS, equivalentes LATAM, HIPAA si corresponde), setup de email actual, y qué específicamente te llevó a revisar la infraestructura de email. Volveremos con una propuesta dimensionada, un DPA, y el cuestionario de seguridad pre-rellenado.