Sanidad y ciencias de la vida Datos de categoría especial

El personal clínico usa IA a diario. Y también lo hacen los datos de tus pacientes.

Tus equipos ya se apoyan en la IA para redactar informes de alta, resumir notas, codificar derivaciones y depurar datos de investigación. El riesgo no está en la herramienta — está en lo que se pega en ella: historiales de pacientes, diagnósticos, resultados de pruebas, datos genéticos y de salud mental. Eso es un dato de categoría especial según el GDPR. Tracehold lo detecta en el dispositivo, en el navegador, para que los PHI nunca salgan de la máquina, y mapea tu exposición de IA frente a GDPR (Art. 9), NIS2, ISO 27001 y SOC 2, con informes listos para auditoría.

Los PHI nunca salen del navegador GDPR Art. 9 · NIS2 · EU AI Act Construido y alojado en la UE
a punto de pegarse en una IA

REC · EN EL DISPOSITIVO · DETENIDO ANTES DE SALIR

El nombre de un paciente con un diagnóstico
detectado como dato de salud de categoría especial
Bloquear
El nombre, fecha de nacimiento y número de historial de un paciente
detectado como dato personal, incluso en texto libre
Redactar
Una fila de un conjunto de datos de investigación con identificadores
detectada antes de llegar a un modelo público
Bloquear
El prompt se queda en el navegador. Solo los metadatos — tipo, gravedad, marca temporal — llegan a tu equipo de seguridad.
En el dispositivo
Dónde se ejecuta la detección

Vemos lo que está a punto de ir a la IA justo donde trabaja el personal clínico — antes de que salga de la máquina.

Los PHI se quedan
Lo que sale del navegador

Por defecto el prompt nunca sale del navegador. Solo conocemos el tipo de hallazgo, su gravedad y cuándo ocurrió.

Más de 1.600
Patrones de detección

En cualquier herramienta o sitio de IA que usen tus equipos — conocidos o no aprobados por igual — incluidos los datos de pacientes en texto libre que no tienen una forma fija.

UE
Construido y alojado en Europa

Construido y alojado en la UE (Francia), con residencia de datos en la UE para todo lo que llega a nuestra infraestructura.

[ Exposición de Shadow AI · observar ]

La vía más rápida para que salgan datos de pacientes es un cuadro de prompt

La IA generativa no esperó a una revisión de seguridad clínica para llegar a la planta y al laboratorio — llegó a través del navegador. Útil, rápida, y a un solo pegado de enviar datos de salud de categoría especial a un tercero para el que nunca tuviste una base legal de cesión. La intención casi siempre es ahorrar tiempo. La exposición no lo vale.

Historiales de pacientes y notas clínicas

Un profesional clínico pega una nota de caso completa — nombre, historial, diagnóstico, medicación — en una herramienta de IA para redactar una derivación o un informe de alta. Cada una es un dato de salud de categoría especial según el GDPR que sale de tu control.

Resultados de pruebas y datos de investigación

Investigadores y analistas pegan resultados de laboratorio, informes de imagen o filas de un conjunto de datos de estudio para "explicar este hallazgo" o "ordenar esta tabla" — identificadores y resultados que van directos al prompt de un modelo público.

Código, integraciones y documentos

Los desarrolladores pegan código de integración con credenciales incrustadas en asistentes de IA para depurar un feed HL7 o FHIR. Los equipos suben protocolos confidenciales, solicitudes de comité de ética e informes de incidentes para resumirlos.

Dicho claramente: el DLP tradicional vigila el correo y los repositorios de ficheros — nunca ve el cuadro de prompt de una pestaña del navegador. Ese es exactamente el canal por el que corre la IA. Tracehold se ha construido para ese canal: inspecciona lo que está a punto de enviarse a una herramienta de IA, en el dispositivo, antes de que salga — para que los PHI nunca tengan que salir para ser comprobados.
[ Cobertura de detección · más de 1.600 patrones ]

Diseñado para reconocer los datos que una organización sanitaria no se puede permitir perder

Con más de 1.600 patrones de detección ejecutándose en cualquier herramienta o sitio de IA que usen tus equipos, Tracehold reconoce tanto identificadores estructurados con una forma fija como el detalle clínico en texto libre que no la tiene — y lee el texto dentro de capturas de pantalla e informes escaneados, en el dispositivo, por defecto.

Datos de salud de categoría especial

Diagnósticos, patologías, medicación, detalle de salud mental y genético, y narrativa clínica — reconocidos como el dato de categoría especial que el GDPR distingue para la protección más estricta, incluso cuando se escribe en prosa libre.

Identificadores de pacientes

Nombres, fechas de nacimiento, direcciones, números de identificación nacional y de historial de paciente, y datos de contacto — incluidos nombres y direcciones que no siguen un formato fijo y que se escapan a las herramientas basadas solo en patrones.

Credenciales y documentos confidenciales

Claves API y tokens ocultos en código de integración pegado, además de protocolos internos, solicitudes de comité de ética e informes de incidentes — detectados para que un simple "resume esto" no los exporte sin que nadie se dé cuenta.

[ Flujo en el dispositivo · los PHI se quedan ]

Los PHI nunca tienen que salir del navegador para estar protegidos

En sanidad, el trato habitual del DLP — "envía tus datos a nuestra nube para que podamos inspeccionarlos" — es justo lo que intentas evitar. Tracehold le da la vuelta: la comprobación ocurre en el dispositivo, en el navegador, para que los datos de pacientes que se están protegiendo nunca salgan de la máquina del profesional clínico para ser comprobados.

La detección se ejecuta localmente

El prompt que escribe tu equipo se inspecciona directamente en el navegador. Por defecto nunca sale de la pestaña — ni a una herramienta de IA, ni a nosotros.

Solo metadatos en despliegues gestionados

Cuando Tracehold se gestiona de forma centralizada, solo los metadatos — el tipo de hallazgo, su gravedad y una marca temporal — llegan al backend. El contenido del prompt en sí no sale del navegador por defecto.

El plan gratuito se queda íntegramente en el dispositivo

La extensión de navegador gratuita funciona sin cuenta y sin backend — todo ocurre en el dispositivo. Nada de lo que escribe tu personal se envía a ningún sitio.

Ficheros ya guardados en el dispositivo, no solo lo que se escribe

El agente de escritorio también puede escanear PDF, documentos de Word y hojas de cálculo ya guardados en un dispositivo — un informe de alta o una exportación de investigación — en busca del mismo detalle sensible, antes de que se arrastre a un cuadro de prompt.

La versión honesta

En el escritorio, una organización puede optar por conservar el texto exacto tras una alerta para que un administrador distinga una fuga real de una falsa alarma. Cuando esa opción está activada, el texto se cifra y solo puede revelarse mediante una acción auditada y con permisos controlados — y eso lo configuras tú, no nosotros.

Sin copias silenciosas, sin puerta trasera maestra. Siempre te diremos exactamente dónde puede existir un elemento sensible y cómo está protegido. Descubre cómo protegemos tus datos →

[ GDPR Art. 9 · NIS2 · EU AI Act ]

El uso descontrolado de IA toca las normativas que más importan en sanidad

Los datos de salud están en el extremo más estricto de la protección de datos. Un solo pegado puede incumplir más de una obligación a la vez.

GDPR — categoría especial del Art. 9

Los datos de salud son datos de categoría especial según el Artículo 9, con un listón más alto para el tratamiento y la cesión. Pegarlos en una herramienta de IA pública puede ser una cesión ilícita a un tercero. Detectarlos en el dispositivo evita que salgan de tu control.

NIS2

La sanidad figura entre los sectores esenciales e importantes bajo NIS2, con una gestión del riesgo cibernético y una rendición de cuentas más exigentes. Demostrar control sobre cómo salen los datos hacia herramientas de IA — con un registro de auditoría — forma parte de mostrar que gestionas el riesgo.

EU AI Act

A medida que los equipos clínicos y de investigación adoptan la IA, necesitas saber dónde y cómo se usa, y gobernarla. Tracehold mapea tu uso real de IA para que puedas gobernarlo en lugar de suponerlo.

[ Mapeo de cumplimiento · lectura en vivo ]

Un mapeo de cumplimiento que puedes llevar al consejo

Tracehold mapea tu exposición real de IA frente a GDPR, NIS2, ISO 27001 y SOC 2 — con los datos de categoría especial del Artículo 9 del GDPR en primer plano para sanidad, y las expectativas de gobernanza de la EU AI Act integradas. En lugar de un cuestionario anual, obtienes una vista clara y siempre actualizada que evoluciona con tu riesgo — y la evidencia que la respalda cuando un auditor o regulador pregunta.

Riesgo real, no teatro

El mapeo refleja lo que tu gente hace realmente con la IA hoy — qué se detecta, con qué frecuencia, con qué gravedad — no una lista de comprobación puntual que queda obsoleta a la hora de comer.

Evidencia bajo demanda

Cada hallazgo deja un registro de auditoría con solo lo esencial — tipo, gravedad, marca temporal — para que puedas demostrar diligencia a un regulador o una autoridad de protección de datos sin exponer los datos de pacientes subyacentes.

Alineados, y honestos al respecto

Tracehold está alineado y mapeado con ENS, PCI-DSS y SOC 2, con la certificación ISO 27001 en curso. Te decimos exactamente qué está certificado y qué está mapeado — nunca más de lo que es.

De "creemos que estamos bien" a "esta es la situación real"

La mayoría de las organizaciones sanitarias no pueden responder a una pregunta sencilla del consejo: ¿cuántos datos de pacientes están yendo a la IA ahora mismo? El mapeo de cumplimiento lo responde — y muestra la tendencia a medida que tus controles hacen efecto.

El mapeo cubre GDPR, NIS2, ISO 27001 y SOC 2 en una sola vista, con la gobernanza de la EU AI Act integrada. Ver el cumplimiento en detalle →

[ Despliegue · impulsado por MDM ]

Semanas, no meses — sin proxy, sin cirugía de red

Un hospital o consorcio sanitario no puede meter un nuevo proxy en línea en una red clínica de la noche a la mañana. Tracehold se despliega como una extensión de navegador que envías con la gestión de dispositivos que ya usas — para que el equipo de seguridad mantenga el control y la red quede intacta.

Desplegado a través de tu MDM

Despliega la extensión de forma centralizada a través de Microsoft Intune o cualquier MDM estándar, vinculada a tu proveedor de identidad — Microsoft Entra ID u Okta. Sin agente que tu equipo de endpoint tenga que vigilar, sin gateway en línea.

Empieza solo con observación

Comienza con un piloto que observa e informa sin bloquear a nadie. Ves exactamente qué se detectaría — y dónde está tu exposición real — con cero disrupción del trabajo clínico antes de activar el bloqueo.

Se integra en tu pila

Los hallazgos y alertas se exportan a tu SIEM, con alertas en tiempo real a Slack o por correo. Alojado en la UE (Francia), con residencia de datos en la UE para todo lo que llega a nuestra infraestructura.

La mayoría de los equipos pasan de la primera llamada a estar protegidos en 2–4 semanas. La detección se ejecuta en el dispositivo; solo los metadatos llegan al backend por defecto.
[ Planes · precios publicados ]

Empieza gratis, escala a gobernado

Precios honestos y publicados. Empieza en el dispositivo de forma gratuita, añade visibilidad gestionada e informes de cumplimiento cuando estés listo.

Free

Se ejecuta íntegramente en el dispositivo. Sin cuenta, sin backend — nada de lo que escribe tu personal se envía a ningún sitio.

Ver qué incluye

Insight — 40€/usuario·mes

Visibilidad gestionada de la exposición de IA en tus equipos, con informes basados solo en metadatos y mapeo de cumplimiento en vivo.

Ver Insight

Governance — 60€/usuario·mes

Bloqueo completo, registro de auditoría e integraciones para equipos de seguridad y cumplimiento que necesitan demostrar control.

Habla con nuestro equipo
[ FAQ · preguntas de compradores ]

Lo primero que preguntan los compradores del sector sanitario

¿Llegan alguna vez los datos de pacientes a Tracehold?
No, no por defecto. La detección se ejecuta en el dispositivo, en el navegador, y el prompt en sí nunca sale de la pestaña — para que los PHI no tengan que salir de la máquina para ser comprobados. En despliegues gestionados, solo los metadatos — el tipo de hallazgo, su gravedad y una marca temporal — llegan al backend, nunca el contenido del prompt. La extensión gratuita va todavía más lejos: se ejecuta íntegramente en el dispositivo sin cuenta y sin backend alguno, así que nada de lo que escribe tu personal se envía a ningún sitio.
¿Cómo encaja esto con el Artículo 9 del GDPR para datos de salud?
Los datos de salud son datos de categoría especial según el Artículo 9, con un listón más alto para el tratamiento y la cesión. Pegarlos en una herramienta de IA pública puede ser una cesión ilícita. Tracehold reconoce los datos de salud de categoría especial — incluida la narrativa clínica en texto libre — y los detecta en el dispositivo antes de que salgan, para que se mantengan dentro de tu base legal. El mapeo de cumplimiento refleja esa exposición frente a GDPR, NIS2, ISO 27001 y SOC 2, con la gobernanza de la EU AI Act integrada.
¿Ralentizará al personal clínico o romperá sus herramientas?
No. No hay proxy en línea ni cambio de red — es una extensión de navegador que funciona localmente. Puedes empezar en modo solo de observación para que nada se bloquee mientras mides la exposición, y luego activar el bloqueo en las políticas que elijas, con mensajes claros en contexto en lugar de fallos silenciosos.
¿Estáis certificados — ISO 27001, SOC 2?
Somos honestos sobre nuestro estado. La certificación ISO 27001 está en curso — todavía no la tenemos. Tracehold está alineado y mapeado con SOC 2, PCI-DSS y ENS, pero no está certificado frente a ellos — nunca afirmamos tener una certificación que no tenemos. Estaremos encantados de repasar el detalle con tus equipos de gobierno de la información y riesgo.
¿Dónde se alojan realmente los datos de pacientes?
Tracehold está construido y alojado en la UE (Francia), con residencia de datos en la UE para todo lo que llega a nuestra infraestructura. Y la detección en sí se ejecuta en el dispositivo, así que por defecto el contenido del prompt nunca llega a nosotros — solo lo hacen los metadatos, en despliegues gestionados. La extensión de navegador gratuita va aún más lejos: se ejecuta íntegramente en el dispositivo, sin cuenta y sin backend alguno.
¿Con qué rapidez podemos estar protegidos?
Semanas, no meses. Despliegas la extensión a través de tu MDM ya existente, sin necesidad de proxy ni cambios de red. La mayoría de los equipos pasan de la primera llamada a estar protegidos en 2–4 semanas, empezando con un piloto solo de observación. Los precios están publicados de antemano: Free, Insight (40€/usuario·mes) y Governance (60€/usuario·mes).

Descubre lo que tu organización ya está enviando a la IA

Inicia un piloto solo de observación y obtén una imagen clara y honesta de dónde se están filtrando datos de pacientes y de investigación hacia herramientas de IA — con cero disrupción del trabajo clínico, y con PHI que nunca sale del navegador. Referencias disponibles bajo NDA.