Llámenos: 93 414 00 66
Cloud sanitario y RGPD: guía técnica para desplegar datos de salud en Azure, AWS y Google Cloud cumpliendo el ENS

Cloud sanitario y RGPD: guía técnica para desplegar datos de salud en Azure, AWS y Google Cloud cumpliendo el ENS

Informática Médica
· 14 min de lectura

Introducción

El cloud sanitario y el RGPD mantienen en España una relación que oscila entre la oportunidad estratégica y la cautela regulatoria. Según HIMSS, el 65 % de los centros sanitarios a nivel global ya utilizan plataformas cloud-native para gestionar su Historia Clínica Electrónica, y Gartner proyecta que el 70 % de los proveedores de salud migrarán sus sistemas críticos a la nube antes de 2027. Sin embargo, la realidad española dibuja un escenario muy diferente: según el informe Cloud Nation 2025 del Grupo Aire, solo el 31,65 % de las empresas españolas contratan servicios en la nube, situando al país en el puesto 23 de la UE, por detrás de vecinos como Portugal, Italia o Francia.

Esta brecha no es casual. El sector sanitario español opera bajo un marco normativo particularmente exigente: el RGPD (Reglamento UE 2016/679) clasifica los datos de salud como categoría especial con protección reforzada, el Esquema Nacional de Seguridad (RD 311/2022) es obligatorio para toda la sanidad pública, la directiva NIS2 cataloga la sanidad como sector esencial, y la LOPDGDD (LO 3/2018) añade especificidades nacionales. Navegar este laberinto normativo sin sacrificar la innovación tecnológica es el reto que afrontan los CIO y CISO de los servicios de salud autonómicos.

En este artículo proporcionamos una guía técnica comparativa de las tres principales plataformas cloud sanitarias (Azure, AWS y Google Cloud), detallamos los requisitos de cumplimiento normativo específicos para España, y analizamos las estrategias arquitectónicas que permiten desplegar datos de salud en la nube sin comprometer la seguridad ni la legalidad. Si gestionas infraestructura sanitaria, lideras proyectos de transformación digital en hospitales o asesoras a servicios de salud autonómicos, esta guía te ofrece las claves técnicas y regulatorias que necesitas.

El marco normativo: cuatro capas de cumplimiento para el cloud sanitario en España

Antes de evaluar plataformas tecnológicas, es imprescindible comprender la arquitectura regulatoria que rige el cloud sanitario y el RGPD en el contexto español. No se trata de un único reglamento, sino de cuatro capas normativas superpuestas que deben cumplirse simultáneamente.

RGPD: datos de salud como categoría especial

El Reglamento General de Protección de Datos (UE 2016/679) establece en su artículo 9 que los datos relativos a la salud son datos de categoría especial, cuyo tratamiento está prohibido con carácter general salvo que concurra alguna de las excepciones tasadas: consentimiento explícito, necesidad para fines de medicina preventiva o laboral, interés público en el ámbito de la salud pública, o investigación científica con garantías adecuadas.

Para el despliegue en la nube, los artículos clave son el 25 (protección de datos desde el diseño y por defecto), el 32 (seguridad del tratamiento, que exige medidas técnicas y organizativas apropiadas como cifrado y seudonimización), y los artículos 33-34 (notificación de brechas de seguridad a la autoridad de control en un plazo máximo de 72 horas). Cualquier plataforma cloud que aloje datos sanitarios debe garantizar que el responsable del tratamiento mantiene el control efectivo sobre los datos, incluso cuando el encargado del tratamiento es un hiperescalar estadounidense.

ENS: obligatorio para la sanidad pública

El Real Decreto 311/2022 (BOE-A-2022-7191) actualiza el Esquema Nacional de Seguridad y es de obligado cumplimiento para todo el sector público español, incluyendo los servicios de salud de las comunidades autónomas, hospitales públicos y centros de atención primaria. Los sistemas de información sanitarios se categorizan típicamente en nivel Medio o Alto del ENS, lo que implica requisitos estrictos en control de acceso, trazabilidad, cifrado, gestión de incidentes y auditoría.

El ENS exige que los servicios cloud utilizados por el sector público dispongan de la certificación ENS en la categoría correspondiente. Los tres grandes hiperescalares (Microsoft Azure, Amazon Web Services y Google Cloud) cuentan con certificación ENS de nivel Alto para sus regiones europeas, pero es responsabilidad del organismo contratante verificar que los servicios específicos utilizados están incluidos en el alcance de dicha certificación.

NIS2: sanidad como sector esencial

La Directiva (UE) 2022/2555 (NIS2), cuya transposición al ordenamiento español se formalizó en 2024, clasifica a los prestadores de asistencia sanitaria como entidades esenciales. Esto impone obligaciones reforzadas en materia de gestión de riesgos de ciberseguridad, notificación de incidentes, seguridad de la cadena de suministro (lo que incluye a los proveedores cloud) y responsabilidad de la alta dirección.

LOPDGDD: especificidades españolas

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales complementa el RGPD con disposiciones específicas para el ordenamiento español, incluyendo precisiones sobre el tratamiento de datos de salud en el ámbito sanitario público y la investigación biomédica.

Comparativa técnica de las tres plataformas cloud sanitarias

Azure Health Data Services: el ecosistema más maduro para FHIR

Microsoft Azure ofrece la propuesta más completa para el sector sanitario europeo a través de Azure Health Data Services, un servicio PaaS que integra de forma nativa tres módulos especializados:

  • FHIR Server: Servidor FHIR R4 gestionado que actúa como repositorio central de datos clínicos. Soporta operaciones CRUD completas, búsquedas avanzadas, $export para extracción masiva y perfiles personalizados. Su integración nativa con Azure Active Directory (Entra ID) simplifica la autenticación basada en tokens OAuth 2.0.

  • DICOM Service: Almacenamiento y recuperación de imágenes médicas conforme al estándar DICOM. Permite desplegar un PACS cloud-native con APIs DICOMweb (STOW-RS, WADO-RS, QIDO-RS) y conectarlo directamente con los visores de imagen existentes.

  • MedTech Service (IoMT): Ingestión de datos de dispositivos médicos conectados (Internet of Medical Things). Transforma flujos de telemetría de dispositivos (pulsioxímetros, monitores de glucosa, wearables) en observaciones FHIR normalizadas.

Un diferenciador clave es el servicio de de-identificación con ML, que utiliza modelos de aprendizaje automático para anonimizar datos clínicos antes de su uso secundario (investigación, analítica), cumpliendo los requisitos del artículo 89 del RGPD. La integración con Azure Synapse Analytics permite ejecutar consultas analíticas sobre datos FHIR a escala, y Power BI facilita la creación de cuadros de mando clínicos y de gestión.

Desde la perspectiva del cifrado, Azure Health Data Services utiliza AES-256 en reposo de forma predeterminada mediante Azure Storage Service Encryption, con la opción de claves gestionadas por el cliente a través de Azure Key Vault. El tránsito se protege con TLS 1.3. El servicio cuenta con certificación ENS nivel Alto, RGPD, ISO 27001, ISO 27018 (protección de datos personales en la nube) y SOC 2 Type II.

AWS HealthLake: NLP clínico y machine learning integrados

Amazon Web Services aborda el cloud sanitario con AWS HealthLake, un almacén de datos sanitarios gestionado que normaliza la información clínica al estándar FHIR R4. Su principal fortaleza reside en la integración nativa con los servicios de inteligencia artificial de AWS:

  • Amazon Comprehend Medical: Servicio de NLP clínico que extrae entidades médicas (diagnósticos, medicaciones, procedimientos, anatomía) de texto no estructurado en inglés y español. Permite transformar informes de alta, notas clínicas y documentos escaneados en datos FHIR estructurados.

  • Amazon SageMaker: Plataforma de ML que permite entrenar modelos predictivos sobre los datos normalizados en HealthLake, desde modelos de estratificación de riesgo hasta algoritmos de detección precoz.

HealthLake realiza la normalización automática de los datos ingeridos al modelo FHIR, incluyendo la resolución de terminologías y la estandarización de formatos temporales. Los datos se cifran en reposo con AWS KMS (AES-256) y en tránsito con TLS 1.3. AWS dispone de la región de España (eu-south-2, Aragón), operativa desde 2022, lo que permite garantizar la residencia de datos dentro del territorio nacional, un requisito frecuente en contratación pública sanitaria.

La certificación ENS de nivel Alto cubre los servicios principales de AWS, y HealthLake se integra con AWS CloudTrail para la trazabilidad completa de accesos, cumpliendo los requisitos de auditoría del ENS y del RGPD.

Google Cloud Healthcare API: potencia analítica con BigQuery

Google Cloud Platform ofrece su Healthcare API como punto de entrada al sector sanitario, con soporte nativo para tres estándares de interoperabilidad: FHIR R4, HL7v2 y DICOM. Una capacidad diferenciadora es el mapeo automático del 90 %+ de mensajes HL7v2 a FHIR, lo que facilita enormemente la migración incremental desde sistemas legacy que aún utilizan mensajería v2, un escenario habitual en hospitales españoles.

La integración con BigQuery es el punto fuerte analítico de la propuesta: los datos clínicos almacenados en formato FHIR pueden consultarse directamente mediante SQL estándar en BigQuery, permitiendo análisis poblacionales, estudios de cohortes y cuadros de mando sin necesidad de pipelines ETL intermedios. Para casos que requieran consistencia transaccional a escala global, Cloud Spanner ofrece una base de datos relacional distribuida con latencia de milisegundos.

Google Cloud cuenta con la región de Madrid (europe-southwest1), operativa desde 2022, y dispone de certificación ENS nivel Alto. El cifrado sigue el mismo patrón que los competidores: AES-256 en reposo (gestionado por defecto con opción de CMEK mediante Cloud KMS) y TLS 1.3 en tránsito.

Tabla comparativa resumen

Característica Azure Health Data Services AWS HealthLake Google Healthcare API
Estándares nativos FHIR R4, DICOM, IoMT FHIR R4 FHIR R4, HL7v2, DICOM
NLP clínico Text Analytics for Health Comprehend Medical Healthcare NLP API
Analítica Synapse + Power BI Athena + QuickSight BigQuery + Looker
ML integrado Azure ML SageMaker Vertex AI
Región España Sí (Madrid) Sí (Aragón) Sí (Madrid)
ENS Alto
De-identificación ML nativo Comprehend Medical DLP API
Cifrado reposo AES-256 (Key Vault) AES-256 (KMS) AES-256 (Cloud KMS)

Arquitectura de referencia: cloud híbrido y edge computing sanitario

La realidad de la sanidad española no permite una migración directa y completa a la nube pública. Los hospitales operan con sistemas críticos que requieren latencia mínima (monitores de UCI, sistemas quirúrgicos, urgencias), datos que por política interna o normativa autonómica no pueden salir del centro, y una base instalada de aplicaciones legacy que no son cloud-ready.

Modelo de cloud híbrido sanitario

La arquitectura más adoptada en los servicios de salud autonómicos españoles es el cloud híbrido: los sistemas transaccionales críticos y los datos en tiempo real permanecen on-premises o en CPDs autonómicos, mientras que las cargas de trabajo analíticas, el almacenamiento a largo plazo, los entornos de desarrollo y las aplicaciones de nueva generación se despliegan en la nube pública.

Las tres plataformas ofrecen soluciones específicas para este modelo:

  • Azure Arc + Azure Stack HCI: Permite ejecutar servicios Azure en infraestructura local, manteniendo un plano de gestión unificado.
  • AWS Outposts: Extensión física de la infraestructura AWS desplegada en el CPD del hospital.
  • Google Distributed Cloud: Infraestructura Google Cloud gestionada en las instalaciones del cliente.

Edge computing para datos en tiempo real

Los flujos de datos de monitorización de pacientes, dispositivos IoMT y sistemas de imagen generan volúmenes masivos que no es práctico ni necesario enviar íntegramente a la nube. Las estrategias de edge computing permiten procesar, filtrar y agregar estos datos localmente, enviando a la nube solo los resúmenes, alertas o datos seleccionados para analítica secundaria.

Infraestructura como código y gestión de secretos

El despliegue reproducible y auditable de infraestructura cloud sanitaria requiere herramientas de IaC como Terraform o Pulumi, que permiten versionar la configuración de la infraestructura y aplicar revisiones de seguridad antes del despliegue. La gestión de secretos (credenciales, certificados, claves API) debe centralizarse mediante soluciones como HashiCorp Vault, Azure Key Vault, AWS Secrets Manager o Google Secret Manager, evitando la dispersión de credenciales en código o configuraciones.

FinOps sanitario: el coste como variable crítica

Un aspecto frecuentemente subestimado en la migración cloud sanitaria es la gestión financiera. Los datos de salud son voluminosos (un estudio de imagen DICOM puede superar los 500 MB), los requisitos de retención son largos (la historia clínica se conserva un mínimo de 5 años tras el último contacto asistencial, y en muchas CCAA 15 o 20 años), y los patrones de acceso son impredecibles (picos en urgencias, estacionalidad epidemiológica).

El FinOps sanitario implica:

  • Tiering de almacenamiento: Clasificar los datos según frecuencia de acceso (hot/cool/archive) para optimizar costes. Las imágenes DICOM de más de dos años pueden trasladarse a almacenamiento frío sin afectar a la operativa clínica.
  • Reserved instances y savings plans: Comprometer capacidad a 1-3 años para cargas de trabajo predecibles reduce costes entre un 30 % y un 60 %.
  • Etiquetado y showback: Implementar políticas de etiquetado (por servicio clínico, proyecto, CCAA) que permitan atribuir costes y detectar anomalías.
  • Gobernanza de datos: Políticas de retención automatizadas que eliminen o archiven datos conforme a los plazos legales, evitando el almacenamiento indefinido que infla los costes.

En el contexto español, donde los presupuestos sanitarios públicos están sujetos a restricciones severas y procesos de contratación pública largos, la previsibilidad del coste cloud es tan importante como la capacidad técnica. Las licitaciones del sector público suelen exigir precios cerrados a 3-4 años, lo que obliga a modelar cuidadosamente el crecimiento del volumen de datos y el consumo de servicios.

Casos prácticos en el contexto español

Comunidades autónomas pioneras

Varias comunidades autónomas han iniciado procesos de migración parcial a la nube para sus sistemas de información sanitaria. El modelo predominante es el cloud híbrido, manteniendo los sistemas transaccionales core (HIS, HCE) en CPDs autonómicos y desplegando en la nube las capas de analítica, interoperabilidad y nuevas aplicaciones.

El Servicio Andaluz de Salud (SAS) ha explorado arquitecturas cloud para su plataforma de datos de salud poblacional, aprovechando las capacidades analíticas de BigQuery para estudios epidemiológicos. En Cataluña, la Fundació TIC Salut Social ha evaluado modelos de referencia para el despliegue de servicios FHIR en la nube, alineados con el proyecto HES (Historia Electrònica de Salut). El Servicio Madrileño de Salud (SERMAS) mantiene su estrategia de integración HORUS como capa de acceso unificado, con componentes analíticos que pueden beneficiarse del despliegue cloud.

Consideraciones para la contratación pública

La contratación de servicios cloud por parte de organismos sanitarios públicos en España debe cumplir la Ley 9/2017 de Contratos del Sector Público, lo que añade requisitos adicionales:

  • Pliegos de prescripciones técnicas que especifiquen los requisitos de certificación ENS, residencia de datos, cifrado y auditoría.
  • Evaluación de riesgos de transferencias internacionales: Aunque los tres hiperescalares disponen de regiones en España, muchos servicios de soporte y gestión pueden implicar accesos desde fuera del EEE. Las cláusulas contractuales tipo (SCC) y las medidas complementarias deben documentarse conforme a las directrices del EDPB.
  • Planes de reversibilidad: Los contratos deben prever la capacidad de migrar datos y servicios a otro proveedor o de vuelta a infraestructura propia, evitando el vendor lock-in.

La AEPD publicó una guía específica para prestadores de servicios cloud que detalla las obligaciones del responsable y del encargado del tratamiento en entornos cloud, incluyendo las medidas de seguridad exigibles y los mecanismos de control que debe retener el responsable.

Conclusión

El cloud sanitario y el RGPD no son fuerzas antagónicas, sino complementarias cuando se abordan con rigor técnico y conocimiento normativo. Las tres grandes plataformas (Azure Health Data Services, AWS HealthLake y Google Cloud Healthcare API) ofrecen capacidades maduras para alojar datos de salud con las garantías exigidas por el ordenamiento europeo y español: cifrado AES-256 en reposo y TLS 1.3 en tránsito, certificación ENS nivel Alto, regiones en territorio español y herramientas nativas de de-identificación y auditoría.

Sin embargo, la tecnología es solo una parte de la ecuación. El cumplimiento efectivo requiere una arquitectura de cloud híbrido que respete las particularidades de cada servicio de salud autonómico, una estrategia de FinOps que garantice la sostenibilidad económica a largo plazo, y un marco de gobernanza que integre las cuatro capas normativas (RGPD, ENS, NIS2 y LOPDGDD) en políticas operativas concretas.

En Informática Médica ayudamos a servicios de salud y hospitales a diseñar, implementar y operar arquitecturas cloud sanitarias que cumplen con el RGPD y el ENS desde el diseño, combinando el conocimiento profundo del sector sanitario español con la experiencia técnica en las tres grandes plataformas cloud.

Referencias

  1. RGPD — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Artículos 9, 25, 32, 33, 34 y 89. Disponible en EUR-Lex.
  2. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad — BOE-A-2022-7191.
  3. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) — BOE.
  4. Directiva (UE) 2022/2555 (NIS2) — relativa a medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión.
  5. AEPD: Guía para prestadores de servicios de cloud computing — aepd.es.
  6. Azure Health Data Services — docs.microsoft.com/azure/healthcare-apis.
  7. AWS HealthLake — docs.aws.amazon.com/healthlake.
  8. Google Cloud Healthcare API — cloud.google.com/healthcare-api/docs.
  9. Informe Cloud Nation 2025, Grupo Aire: adopción cloud en España — aire.es.
  10. HIMSS: Cloud adoption in healthcare 2025 — himss.org.
  11. Gartner: Predicts 2025 — Cloud adoption in healthcare — gartner.com.

Utilizamos cookies propias y de terceros para mejorar la web mediante el análisis de la navegación y personalizar el contenido mediante tus preferencias. Para más información puedes consultar nuestra Política de Cookies.

Puedes aceptar todas las cookies mediante el botón “Aceptar todas”.

Puedes configurar o rechazar su uso pulsando en “Configuración de cookies”.

Cookies técnicas esenciales:
Son necesarias para gestionar la navegación dentro de la web o para mantener al usuario conectado. No se pueden desactivar porque afectaría al funcionamiento de la web.