El Reglamento General de Protección de Datos (RGPD), conocido en inglés como GDPR (General Data Protection Regulation), es el marco legislativo de protección de datos de referencia de la Unión Europea, vigente desde mayo de 2018. Establece normas estrictas sobre cómo las organizaciones recopilan, procesan, almacenan y comparten los datos personales de los individuos dentro de la UE y del Espacio Económico Europeo. Los datos de salud se clasifican como una "categoría especial" bajo el RGPD, sujetos al más alto nivel de protección y a las condiciones de procesamiento más restrictivas.
Para los proveedores de tecnología sanitaria, el cumplimiento del RGPD no es opcional — es un requisito fundamental que determina la arquitectura de los sistemas y las prácticas de manejo de datos. Al procesar informes de laboratorio, los sistemas deben implementar la minimización de datos (recopilar solo lo necesario), la limitación de la finalidad (usar los datos solo para el propósito declarado) y la limitación del almacenamiento (no retener datos más tiempo del necesario). Los pacientes tienen derecho a acceder a sus datos, solicitar correcciones, exigir su eliminación y recibir sus datos en un formato portable.
El impacto del RGPD en los pipelines de procesamiento de datos de laboratorio es significativo. Los sistemas que digitalizan informes de laboratorio deben garantizar que los identificadores de los pacientes estén protegidos a lo largo de todo el pipeline, que existan acuerdos de procesamiento de datos con cualquier servicio de terceros, y que se implementen medidas técnicas apropiadas — como cifrado, controles de acceso y registro de auditoría. Para el procesamiento en la nube, los requisitos de residencia de datos pueden exigir que los datos sanitarios permanezcan dentro de la UE, influyendo en las decisiones de infraestructura.
El reglamento también requiere que las organizaciones realicen Evaluaciones de Impacto en la Protección de Datos (EIPD) para actividades de procesamiento de alto riesgo, lo que incluye el procesamiento a gran escala de datos sanitarios. Las organizaciones deben designar un Delegado de Protección de Datos, mantener registros detallados de las actividades de procesamiento e informar sobre las violaciones de datos en un plazo de 72 horas. Estos requisitos han impulsado a la industria sanitaria hacia arquitecturas de privacidad por diseño, donde la protección de datos se integra en los sistemas desde el principio en lugar de añadirse como una reflexión posterior.