Cómo mantener la PHI fuera de los prompts de LLM bajo PHIPA y el Proyecto de Ley C-27
Una enfermera profesional va atrasada con la documentación clínica. Abre ChatGPT y pega una nota clínica desordenada —nombre del paciente, fecha de nacimiento, un diagnóstico sospechado, una lista de medicamentos— y le pide que redacte una carta de derivación limpia. La carta llega en segundos, y es buena. Lo que ella no ve es que la información de salud identificable que acaba de pegar ahora queda sujeta a las condiciones de uso de un tercero, potencialmente retenida, procesada en otro lugar o utilizada para entrenar los modelos del proveedor. No hay botón para deshacer. Una vez que la PHI se envía a una herramienta de IA pública, ha salido del control de la organización, y la PHIPA no reconoce el "no era mi intención" como defensa.
Esta es la realidad silenciosa en todo el sector de la salud digital y las ciencias de la vida: las personas más cercanas a los datos más sensibles viven todo el día en SaaS basado en navegador —EMR, plataformas de ensayos clínicos, herramientas de agendamiento— y la caja del prompt de IA está a una pestaña de distancia. Es más rápida que una plantilla, más indulgente que un formulario y completamente invisible para la mayoría de los controles que un responsable de privacidad cree tener implementados.
Por qué la PHI es la categoría más difícil de proteger
La información de salud reúne una combinación que casi ningún otro tipo de dato tiene: sensibilidad extrema, regulación densa y adopción acelerada de la IA por parte de las mismas personas que la manejan. Bajo la PHIPA de Ontario, un custodio de información de salud es responsable de los datos independientemente de si la divulgación fue autorizada o no —y la Ley 25 de Quebec (con sanciones de hasta C$25M o el 4% de la facturación mundial) y el marco propuesto del Proyecto de Ley C-27 / CPPA impulsan el mismo principio a nivel nacional: usted es responsable de la información personal desde el momento en que sale de su control.
La responsabilidad no se suspende porque un empleado haya usado una cuenta personal de ChatGPT para un problema de trabajo. Y ese es el caso común, no la excepción. La investigación de 2025 de LayerX encontró que el 77% de los usuarios de IA pegan datos en los prompts, y el 82% de ese pegado ocurre a través de cuentas personales no gestionadas. Los datos de 2025 de Cyberhaven muestran que aproximadamente el 40% de las interacciones con IA involucran datos sensibles. Cuando se superponen esas cifras sobre una clínica o un equipo de investigación, la pregunta deja de ser "¿podría terminar la PHI en un prompt?" y pasa a ser "¿cuánta ya lo ha hecho?".
El consentimiento y la anonimización no sobreviven al pegado
Las organizaciones de salud se apoyan con fuerza en dos salvaguardas: el consentimiento del paciente para usos definidos, y la anonimización para usos secundarios como la investigación. Ambas asumen un flujo controlado. Un prompt de IA pública no lo es.
El consentimiento para el tratamiento no se extiende a divulgar el expediente de un paciente a un proveedor de IA del que el paciente nunca ha oído hablar. Y la anonimización es frágil en el texto libre: una nota que elimina el nombre pero deja el diagnóstico poco frecuente, el médico que deriva y la fecha de la cita a menudo puede reidentificarse. Cuando un investigador pega un resumen de caso "limpio" en un LLM para reformularlo, puede estar reintroduciendo identificadores que creía eliminados, o entregando una combinación lo bastante específica como para apuntar de vuelta a una sola persona.
El problema de fondo es que estas salvaguardas operan a nivel de política e intención, mientras que la fuga ocurre a nivel de una pulsación de teclas. Un formulario de consentimiento no puede alcanzar la caja del prompt. Esto es lo que en realidad describe el hallazgo de Netskope de 2025 —un promedio de unas 223 violaciones de políticas de datos sensibles por mes por organización, con los datos regulados representando el 54% de ellas—: la brecha entre lo que permite la política y lo que hace la gente bajo presión de tiempo.
Las prohibiciones empujan el problema hacia la oscuridad
El instinto es bloquear las herramientas. Rara vez funciona. La encuesta de 2026 de Gartner encontró que el 88% de los empleados con acceso a IA empresarial también usan herramientas de IA personales para el trabajo, y el 69% de las organizaciones sospechan o tienen evidencia de uso prohibido de GenAI pública. Prohíba la herramienta autorizada y un clínico cambia a su teléfono. Ahora la PHI sigue saliendo, y además ha perdido toda visibilidad sobre ella.
La gobernanza funciona mejor que la prohibición, y las cifras lo demuestran: el Informe de 2025 sobre el Costo de una Filtración de Datos de IBM encontró que el 97% de las organizaciones con una filtración relacionada con IA carecían de controles de acceso a la IA adecuados, el 63% no tenía ninguna política de gobernanza de IA, y solo el 17% contaba con controles técnicos para redactar o bloquear datos sensibles en el punto de entrada. El sector salud ya soporta el costo promedio de filtración más alto de cualquier sector, con $7,42M. Las organizaciones que salen mejor paradas no son las que tienen la prohibición más estricta, sino las que tienen un control que actúa antes del envío, porque después del envío no queda nada que controlar.
Actuar antes de que el prompt salga, y enseñar en el momento
El único lugar para proteger la PHI es antes de que llegue a la herramienta de IA. Un control que reconoce un identificador de paciente, un número de tarjeta sanitaria o un diagnóstico en un prompt —y lo redacta antes de que el prompt se envíe, sustituyéndolo por valores de marcador de posición realistas para que la IA aún pueda redactar la carta de derivación— conserva el trabajo útil mientras detiene la divulgación. La clínica obtiene su carta; el expediente del paciente nunca sale.
Igual de importante es lo que ocurre en el momento del casi-incidente. Cuando un prompt se detiene, una explicación en lenguaje claro de qué se marcó y por qué convierte un único pegado riesgoso en una pequeña pieza de formación que la persona realmente recuerda —mucho más efectiva que el módulo anual de políticas que nadie lee—. Con el tiempo, eso construye una fuerza de trabajo que es medibliemente mejor en el uso seguro de la IA, y un registro que lo demuestra. Este es el principio sobre el que está construido Sanitized AI: detectar los datos sensibles antes de que se envíen, y usar cada detención para enseñar.
Este trimestre, hágase una pregunta concreta sobre su propio entorno: si un integrante de su personal clínico o de investigación pegó un expediente de paciente identificable en una herramienta de IA pública esta mañana, ¿lo sabría? Y ¿podría haberlo detenido antes de que saliera? Si la respuesta honesta es no, esa es la brecha que hay que cerrar antes de que un regulador le pida describirla. Si desea ver cómo se ve en la práctica actuar en el prompt, solicite una demostración.