Saltar a contenido

MedTime - Roadmap Regulatorio

Identificador: MTS-REG-ROADMAP Version: 1.0.0 Fecha: 2025-12-03 Autor: SpecQueen Proposito: Regulaciones diferidas para versiones futuras de MedTime

1. Resumen Ejecutivo

Este documento contiene las regulaciones que NO aplican a v1.0 de MedTime pero seran necesarias para expansion a otros mercados o funcionalidades avanzadas.

1.1. Estado Actual (v1.0)

Version Mercado Regulaciones Activas Estado
1.0 Mexico LFPDPPP, NOM-024, COFEPRIS ACTUAL

1.2. Roadmap de Expansion

Version Mercado Regulaciones a Implementar Timeline Estimado
1.5 +USA HIPAA Q3 2025
2.0 +Brasil LGPD Q1 2026
2.5 +Portal Clínico FDA 21 CFR Part 11 Q3 2026

Nota Iteración 13: "Clinical" se refiere alPortal Clínico para Profesionales de Salud, un producto separado planificado para v2.0+. No es un tier de suscripción de la app MedTime.

| 3.0 | +Europa | GDPR | Q1 2027 |

2. HIPAA (Version 1.5 - Expansion USA)

2.1. Aplicabilidad

HIPAA aplica cuando MedTime procese Protected Health Information (PHI) de residentes de Estados Unidos.

2.2. Ventaja E2E para HIPAA

ARQUITECTURA ZERO-KNOWLEDGE SIMPLIFICA HIPAA:

1. PHI cifrada en dispositivo = MedTime no es "covered entity"
2. Servidor almacena blobs = no "access" a PHI
3. BAA simplificados = proveedores solo manejan datos cifrados
4. Breach notification reducida = datos comprometidos son inutilizables

2.3. Requisitos Diferidos

2.3.1. Privacy Rule

ID Requisito Estado Prioridad para v1.5
HIPAA-PR-001 Minimo uso necesario Cubierto por E2E Baja
HIPAA-PR-002 Derechos del paciente Ya en ARCO Media
HIPAA-PR-003 Autorizacion divulgacion Consentimiento E2E Baja
HIPAA-PR-004 Aviso practicas privacidad Actualizar aviso Alta
HIPAA-PR-005 Derecho acceso PHI Ya implementado Baja
HIPAA-PR-006 Derecho enmienda Ya implementado Baja
HIPAA-PR-007 Contabilidad divulgaciones Log de auditoría Media

2.3.2. Security Rule - Salvaguardas Administrativas

ID Requisito Estado Accion v1.5
HIPAA-SA-001 Analisis de riesgos Pendiente Documentar analisis formal
HIPAA-SA-002 Gestion de riesgos Parcial Plan de mitigacion
HIPAA-SA-003 Politica de sanciones Pendiente Documentar
HIPAA-SA-004 Revision de actividad Dashboard Existente
HIPAA-SA-005 Gestion de acceso Implementado OK
HIPAA-SA-006 Capacitacion seguridad Basico Expandir
HIPAA-SA-007 Plan de contingencia Modo offline Documentar formalmente

2.3.3. Security Rule - Salvaguardas Tecnicas

ID Requisito Estado v1.0 Accion v1.5
HIPAA-ST-001 Control acceso unico OK (MFA) -
HIPAA-ST-002 Acceso emergencia Pendiente Implementar break-glass
HIPAA-ST-003 Cierre automatico OK (15 min) -
HIPAA-ST-004 Cifrado OK (E2E AES-256) -
HIPAA-ST-005 Logs auditoria OK -
HIPAA-ST-006 Integridad datos OK (checksums) -
HIPAA-ST-007 Autenticacion OK (MFA) -
HIPAA-ST-008 Controles transmision OK (TLS 1.3) -

2.3.4. Breach Notification

ID Requisito Estado Accion v1.5
HIPAA-BN-001 Deteccion brechas Basico IDS/IPS
HIPAA-BN-002 Notificacion individuos Proceso Formalizar
HIPAA-BN-003 Notificacion HHS Pendiente Proceso documentado
HIPAA-BN-004 Notificacion medios Pendiente Proceso para >500
HIPAA-BN-005 Plazo 60 dias Pendiente SLA interno

2.4. Business Associate Agreements (BAA)

Decision del Director (de aclaraciones-compliance.md):

La informacion de PHI de los pacientes nunca es accedida por MedTime, en tanto que esta cifrada y el servicio online de MedTime es unicamente un repositorio cifrado de datos. La unica informacion que se recolecta es la lista de medicamentos de los pacientes y esta completamente anonimizada. Se requiere un analisis de la situacion legal para determinar si es necesario un BAA en este contexto.

ARGUMENTO: MedTime como "conduit" no "business associate"

HIPAA define Business Associate como entidad que:
"creates, receives, maintains, or transmits PHI on behalf of a covered entity"

Con E2E:
- MedTime NO "creates" PHI (usuario lo hace)
- MedTime NO "receives" PHI (recibe blobs cifrados)
- MedTime NO "maintains" PHI (mantiene blobs sin significado)
- MedTime transmite blobs cifrados (no PHI legible)

CONCLUSION PRELIMINAR:
Arquitectura E2E puede posicionar a MedTime similar a
"conduit exception" (como USPS o ISPs).

RECOMENDACION:
Obtener opinion legal formal antes de lanzamiento USA.

2.4.3. BAAs Preventivos (si se requieren)

Proveedor Tipo Datos BAA Existente Accion
AWS Blobs cifrados Disponible Activar BAA
DrugBank Codigos (sin PII) Verificar Consultar
SMS Gateway Telefonos Requiere Negociar
Email Provider Emails Requiere Negociar

2.5. Checklist Pre-Lanzamiento USA

[ ] Opinion legal sobre estatus BA vs conduit
[ ] Actualizar Aviso de Privacidad (version USA)
[ ] Documentar analisis de riesgos HIPAA
[ ] Formalizar proceso breach notification
[ ] Activar BAA con AWS (preventivo)
[ ] Training HIPAA para equipo
[ ] Designar Privacy Officer
[ ] Pentest con scope HIPAA

3. LGPD (Version 2.0 - Expansion Brasil)

3.1. Aplicabilidad

LGPD aplica cuando MedTime procese datos personales de residentes de Brasil, independientemente de donde esten los servidores.

3.2. Requisitos Diferidos

3.2.1. Principios (Art. 6)

Principio Estado v1.0 Accion v2.0
Finalidad OK (LFPDPPP) Traducir aviso
Adecuacion OK -
Necesidad OK (E2E minimalista) -
Libre acceso OK (ARCO) Traducir UI
Calidad datos OK -
Transparencia OK Aviso portugues
Seguridad OK (E2E) -
Prevencion OK Documentar
No discriminacion OK -
Responsabilizacion Parcial Documentar

3.2.2. Derechos del Titular (Art. 18)

Derecho Estado Accion v2.0
Confirmacion tratamiento OK UI portugues
Acceso datos OK -
Correccion OK -
Anonimizacion/bloqueo/eliminacion Eliminacion only Mantener decision
Portabilidad OK (FHIR) -
Eliminacion OK -
Comparticion terceros OK Lista traducida
Revocacion consentimiento OK -
Oposicion OK -
Revision decisiones automatizadas N/A* -

*MedTime no toma decisiones automatizadas que afecten significativamente al usuario.

3.2.3. DPO (Encarregado) - Art. 41

Decision del Director:

CTO asume rol dual inicialmente. Se designara rol dedicado cuando equipo supere 15 empleados o ARR supere $100k USD.

Aspecto Accion v2.0
Designacion Formalizar con operacion Brasil
Publicacion Aviso de privacidad + app
Contacto dpo-brasil@medtime.com
Idioma Portugues requerido

3.2.4. Transferencias Internacionales (Art. 33-36)

Requisito Estado Accion v2.0
SCCs con procesadores Pendiente Negociar con AWS
Consentimiento especifico En aviso Checkbox explicito
Documentacion RIPD Pendiente Crear para Brasil

3.3. Anonimizacion vs Eliminacion

Decision del Director:

Opcion D es preferible en tanto que la anonimizacion puede presentar riesgos de re-identificacion si no se implementa correctamente. La eliminacion completa garantiza la privacidad de los datos de los usuarios.

POLITICA MEDTIME: Eliminacion Completa

- Usuario solicita eliminacion = datos BORRADOS
- No hay estado "anonimizado"
- No se mantienen datos para estadisticas
- Cumple LGPD Art. 18 (derecho eliminacion)
- Mas estricto que minimo requerido
- Evita riesgos de re-identificacion

3.4. Checklist Pre-Lanzamiento Brasil

[ ] Aviso de privacidad en portugues
[ ] UI localizada portugues
[ ] Designar DPO (puede ser externo)
[ ] SCCs con AWS activadas
[ ] RIPD (Relatorio de Impacto) documentado
[ ] Proceso notificacion ANPD
[ ] Registro de tratamiento actualizado
[ ] Geolocalizacion app stores (Brasil)

4. FDA 21 CFR Part 11 (Version 2.5 - Portal Clínico)

4.1. Aplicabilidad

FDA 21 CFR Part 11 aplica SOLO si MedTime se usa para:

  • Registros de ensayos clinicos
  • Decisiones medicas formales
  • Prescripciones legalmente vinculantes
  • Sistemas regulados por FDA

v1.0 NO tiene Portal Clínico - Regulacion completamente diferida.

4.2. Decision del Director

La propuesta es adecuada, siempre y cuando se mantenga la premisa de que MedTime no accede a la informacion de los pacientes en tanto que esta cifrada y anonimizada. En este contexto, el riesgo regulatorio es minimo y la implementacion de un plan de validacion puede ser pospuesta hasta que se tenga un cliente especifico que requiera el uso de MedTime en un entorno clinico regulado por la FDA.

4.3. Requisitos Diferidos

4.3.1. Registros Electronicos (11.10)

ID Requisito Prioridad Clinical
FDA-ER-001 Validacion sistema Critica
FDA-ER-002 Copias legibles Alta
FDA-ER-003 Proteccion registros Alta
FDA-ER-004 Acceso limitado Cubierto
FDA-ER-005 Audit trail Cubierto
FDA-ER-006 Secuencia operaciones Cubierto
FDA-ER-007 Controles autoridad Cubierto
FDA-ER-008 Validacion dispositivos Alta
FDA-ER-009 Capacitacion documentada Alta
FDA-ER-010 Politicas escritas Alta
FDA-ER-011 Controles documentacion Alta

4.3.2. Firmas Electronicas (11.50-11.300)

ID Requisito Estado
FDA-FE-001 Unicidad firma OK (usuario unico)
FDA-FE-002 Verificacion identidad Parcial
FDA-FE-003 Componentes firma OK (password + MFA)
FDA-FE-004 Controles firma Parcial
FDA-FE-005 Vinculacion criptografica Pendiente

4.3.3. Validacion IQ/OQ/PQ

4.3.4. Diferido hasta Tier Clinical

Protocolo Descripcion Costo Estimado
IQ Installation Qualification $10-20k
OQ Operational Qualification $15-30k
PQ Performance Qualification $20-40k
Total $45-90k

4.3.5. Computer System Validation (CSV)

4.3.6. Diferido hasta Tier Clinical

Aspecto Descripcion Timeline
V-Model Desarrollo con trazabilidad 3-6 meses
GAMP 5 Framework de validacion Consultora
SOPs Procedimientos validados 2 meses
Traceability Matrix Requisitos a tests Continuo

4.4. Roadmap Clinical Tier

CUANDO IMPLEMENTAR FDA COMPLIANCE:

Trigger: Cliente especifico requiere uso clinico regulado

FASE 1 (Pre-requisitos)
- Contratar consultora FDA validation
- Asignar Quality Assurance lead
- Presupuesto: $50-100k + 6 meses

FASE 2 (Validacion)
- Desarrollar plan CSV
- Ejecutar IQ/OQ/PQ
- Documentar SOPs

FASE 3 (Mantenimiento)
- Change control formal
- Re-validacion por cambios
- Auditorias periodicas

5. GDPR (Version 3.0 - Expansion Europa)

5.1. Aplicabilidad

GDPR aplica si MedTime procesa datos de residentes de la Union Europea, independientemente de ubicacion de servidores.

5.2. Requisitos Adicionales sobre LGPD

Requisito GDPR Diferencia vs LGPD Accion
DPO obligatorio (ciertos casos) Similar Ya cubierto
DPIA (Art. 35) Similar a RIPD Adaptar
Transferencias (Cap. V) Mas estricto SCCs especificos
Derecho al olvido (Art. 17) Similar Ya implementado
Portabilidad (Art. 20) Similar FHIR cumple
Consentimiento (Art. 7) Mas estricto Revisar flujos

5.3. Acciones Especificas GDPR

Accion Prioridad Estimado
Privacy by Design documentado Alta 2 semanas
DPIA formal Alta 4 semanas
SCCs para Europa Alta Negociacion
Representante en UE (Art. 27) Media Servicio externo
Aviso en idiomas UE Media Traducciones

6. Items Diferidos Especificos

6.1. Resumen de Diferimientos

ID Gap Regulacion Version Objetivo Justificacion
GAP-FDA-001 Controles Operacionales FDA v2.5 No hay tier Clinical
GAP-FDA-002 Requisitos Personal FDA v2.5 No hay tier Clinical
GAP-FDA-003 Control Documental FDA v2.5 No hay tier Clinical
GAP-FDA-004 Plan Validacion IQ/OQ/PQ FDA v2.5 No hay tier Clinical
GAP-FDA-006 Change Control formal FDA v2.5 No hay tier Clinical
GAP-FDA-007 Plan CSV FDA v2.5 No hay tier Clinical
GAP-LGPD-002 Designar DPO LGPD v2.0 No operamos en Brasil
GAP-LGPD-005 Revision decisiones automatizadas LGPD v2.0 No aplica actualmente
GAP-LGPD-007 Standard Contractual Clauses LGPD v2.0 No transferencias desde Brasil
GAP-HIPAA-De-id Metodo de-identificacion HIPAA N/A Decision: eliminacion completa

6.2. Decisiones del Director Relevantes

6.2.1. Anonimizacion (GAP-HIPAA-De-id, GAP-LGPD-003)

Decision: Eliminacion completa, NO anonimizacion

JUSTIFICACION:
- Anonimizacion tiene riesgos de re-identificacion
- E2E ya protege datos en uso
- Eliminacion es mas simple y segura
- Cumple todos los requisitos regulatorios
- No necesitamos datos para analytics

6.2.2. Disaster Recovery (GAP-HIPAA-004, GAP-NOM-002)

Decision: Modo offline como estrategia primaria

JUSTIFICACION:
- E2E = datos siempre en dispositivo del usuario
- Servidor es backup, no fuente primaria
- Modo offline ya implementado (MTS-OFF-001)
- Costo multi-region no justificado

6.2.3. FDA Validation

Decision: Diferir hasta cliente Clinical especifico

JUSTIFICACION:
- v1.0 es herramienta de apoyo personal
- No genera registros regulados FDA
- Costo de validacion: $50-100k + 6 meses
- Implementar cuando haya demanda real

7. Beneficios E2E para Regulaciones Futuras

7.1. Como E2E Simplifica Compliance

Requisito Tradicional Con E2E Impacto
HIPAA BAA Simplificado o no requerido -80% complejidad legal
LGPD SCCs Solo para metadatos -50% negociacion
Breach Notification Rara vez requerida -90% exposicion
Auditorias Solo metadatos -60% scope
DPO workload Reducido -40% tiempo

7.2. Arquitectura que Escala

HOY (Mexico v1.0):
- LFPDPPP + NOM-024 cubiertos
- E2E protege datos de salud
- 94% cumplimiento

MANANA (Expansion):
- Misma arquitectura E2E
- Agregar documentacion especifica por region
- Localizar avisos de privacidad
- Sin cambios fundamentales al sistema

8. Calendario de Implementacion

8.1. Timeline Propuesto

2025 Q1-Q2: v1.0 Mexico - Lanzamiento
            - LFPDPPP completo
            - NOM-024 completo
            - COFEPRIS completo

2025 Q3-Q4: v1.5 USA - Expansion
            - Opinion legal HIPAA
            - Aviso privacidad USA
            - BAA preventivos
            - Privacy Officer

2026 Q1-Q2: v2.0 Brasil - Expansion
            - LGPD compliance
            - DPO designado
            - Aviso portugues
            - SCCs activadas

2026 Q3-Q4: v2.5 Clinical - Si hay demanda
            - FDA 21 CFR Part 11
            - Validacion IQ/OQ/PQ
            - CSV implementado
            - Change control formal

2027 Q1+: v3.0 Europa - Expansion
            - GDPR compliance
            - Representante UE
            - DPIA completo

8.2. Triggers de Implementacion

Regulacion Trigger Accion Inmediata
HIPAA Primer usuario USA Opinion legal
LGPD Primer usuario Brasil Aviso portugues
FDA Cliente Clinical Consultora validacion
GDPR Primer usuario UE DPIA + representante

9. Referencias

Documento generado por SpecQueen - Roadmap regulatorio para expansion internacional. La especificacion funcional ES el sistema.